El passat 15 d’abril de 2021, el Ple del Congrés dels Diputats va aprovar el Projecte de Llei orgànica de protecció de dades personals tractades per a finalitats de prevenció, detecció, recerca i enjudiciament d’infraccions penals i d’execució de sancions penals, que amb posterioritat, una vegada finalitzat el seu procés de tramitació parlamentària, va esdevenir la Llei orgànica 7/2021, de 26 de maig (d’ara endavant, la “Norma”), encarregada –de conformitat amb el que l’Exposició de Motius indica– de transposar a l’ordenament jurídic espanyol el contingut de la Directiva (UE) 2016/680 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relativa a la protecció de les persones físiques, pel que fa al tractament de dades personals per part de les autoritats competents per a finalitats de prevenció, recerca, detecció o enjudiciament d’infraccions penals o d’execució de sancions penals, així com a la lliure circulació d’aquestes dades i per la qual es derogava la Decisió Marc 2008/977/JAI del Consell (d’ara endavant, la “Directiva”).

En aquest punt, cal recordar que la Directiva es va aprovar conjuntament amb altres dos instruments normatius en la mateixa data, el 27 d’abril de 2016. Això és, el Reglament (UE) 2016/679, general de protecció de dades (d’ara endavant, el “RGPD”) i la Directiva (UE) 2016/681, sobre la utilització de dades del registre de noms de passatgers (d’ara endavant, la “Directiva PNR”). No es tracta d’una mera coincidència, sinó que l’aprovació d’aquestes normatives cal entendre-la com la consecució d’un mateix cos jurídic que resulta complementari per a la seva respectiva interpretació. Sobretot, si tenim en compte que totes intenten regular qüestions vinculades a la salvaguarda del dret fonamental a la protecció de les dades de caràcter personal.

Aquesta Llei orgànica arriba amb retard –i amb errors–, com sol ser habitual a la tècnica legislativa espanyola.[i] Si realitzem una lectura de l’article 63 de la Directiva, el seu termini de transposició finalitzava el passat 6 de maig de 2018. Com indica el mateix Consell General del Poder Judicial al seu informe sobre l’Avantprojecte d’aquesta mateixa Norma: “(…) ello debería llevar a una futura reflexión sobre los tiempos de transposición de Directivas a nuestro Ordenamiento interno, a fin de abordar esta importante y necesaria función sin precipitación, de manera ordenada y con el sosiego deseable para obtener el mejor de los resultados”. Aquesta tessitura va motivar que el Consell de Ministres optés per la tramitació del Projecte a través del procediment d’urgència previst a l’article 88 de la Constitució espanyola, així com als articles 93.1 del Reglament del Congrés dels Diputats i 133.1 del Reglament del Senat.

Aquesta omissió del deure de transposició dins del termini establert no va passar inadvertida pel Tribunal de Justícia de la Unió Europea (d’ara endavant, el “TJUE”). A través de la seva sentència, de 25 de febrer,[ii] va convertir Espanya en el primer país integrant de la Unió Europea en ser sancionat –de manera simultània–, per les dues sancions pecuniàries previstes als apartats segon i tercer de l’article 260 del TFUE, amb una suma a tant alçat de 15 milions d’euros i una multa coercitiva diària de 89.000 euros perdurable fins que no es posés fi a la situació d’irregularitat. L’incompliment tenia el seu fonament en no haver adoptat, dins del període establert, les mesures necessàries que haguessin permès la transposició de la Directiva a l’ordenament jurídic espanyol en temps i forma, així com tampoc s’havia complert amb el deure de comunicació a la Comissió Europea sobre les mesures de transposició adoptades.

El TJUE expressa de manera taxativa la falta de diligència del cas espanyol, no admetent les justificacions infundades manifestades i afirmant a l’Expositiu núm. 75: “A ello se añade que la Directiva 2016/680 pretende contribuir a la consecución de un espacio de libertad, seguridad y justicia dentro de la Unión, al tiempo que establece un marco para la protección de los datos personales sólido y coherente con el fin de garantizar el respeto del derecho fundamental a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, reconocido en el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea y en el artículo 16 TFUE, apartado 1. La falta o la insuficiencia, a escala nacional, de normas que garanticen el buen funcionamiento del espacio de libertad, seguridad y justicia dentro de la Unión deben considerarse especialmente graves habida cuenta de sus consecuencias para los intereses públicos y privados dentro de la Unión” [la negreta és de l’autor].

La Llei orgànica 7/2021 compta amb seixanta-cinc articles distribuïts en vuit capítols, cinc disposicions addicionals, una transitòria, una derogatòria i dotze disposicions finals –dues més que el seu avantprojecte. Té com a principal objectiu, d’acord amb el seu article 1, establir les normes relatives a la protecció de les persones físiques, pel que fa al tractament de les dades de caràcter personal per part de les autoritats competents, amb finalitats de prevenció, detecció, recerca i enjudiciament d’infraccions penals o d’execució de sancions penals, incloses la protecció i prevenció enfront de les amenaces contra la seguretat pública. Tanmateix, pretén trobar el difícil equilibri entre la protecció de la seguretat pública i la salvaguarda del dret fonamental a la protecció de les dades de caràcter personal.

A la cerca d’aquest mateix equilibri també s’hi ha enfrontat amb antelació la Directiva PNR –i la Llei orgànica 1/2020, de 16 de setembre, que s’encarrega de la seva transposició–, però en aquest cas sense èxit. La sistemàtica que s’hi proposa entra en col·lisió directa amb la protecció del dret fonamental a la protecció de les dades de caràcter personal. Essencialment, no compleix amb les exigències previstes a la Carta de Drets Fonamentals de la Unió Europea, ni tampoc amb el RGPD. D’aquesta manera ho ha manifestat el Supervisor Europeu de Protecció de Dades a les seves opinions,[iii] així com el mateix TJUE al seu dictamen 1/15[iv] –en consonància amb les consideracions establertes a la seva sentència DRI[v]–, cosa que produeix un clar desequilibri en favor de la protecció de la seguretat pública que implica l’assumpció de la doctrina americana involucionista de drets i llibertats civils.[vi]

Seguint amb l’anàlisi de la Norma, aquesta mateixa també resulta aplicable sobre aquells tractaments de dades personals que provinguin de la obtenció d’imatges i sons mitjançant la utilització de càmeres i videocàmeres per part de les Forces i Cossos de Seguretat de l’Estat, o en el seu defecte, per part de les autoritats competents. Tanmateix, s’hi estableixen una sèrie d’exclusions, com tots aquells tractaments de dades personals duts a terme per part de les autoritats competents per a finalitats diferents a les cobertes per la Llei orgànica 7/2021, així com aquells efectuats per part dels organismes de l’Administració General de l’Estat en el marc de les activitats compreses al Tractat de la Unió Europea en relació amb la política exterior i la seguretat comuna, entre d’altres.

Al capítol segon de la Norma es recullen els principis de protecció de dades que recauen sota la garantia del responsable del tractament, dividint-se específicament en dues seccions. Per un costat, la relativa als principis aplicables durant el tractament de les dades de caràcter personal –que a excepció d’algunes particularitats–, reprodueix gairebé íntegrament el contingut previst al RGPD. I, per l’altre costat, s’inclou un deure de col·laboració amb les autoritats competents sobre tota aquella informació que pugui resultar necessària en el curs d’una investigació o enjudiciament d’infraccions penals o execució de penes per a la protecció de la seguretat pública. En aquest últim punt, s’inclou l’obligació de no informar a l’interessat d’aquests tractaments ulteriors, per tal de no posar en perill les actuacions investigadores que es puguin estar duent a terme.

En aquest mateix capítol, també s’hi regulen una sèrie de garanties, com la introducció d’uns períodes màxims de conservació i l’establiment de terminis de revisió sobre les dades de caràcter personal tractades, la prohibició de tractar categories especials de dades personals a excepció que resulti estrictament necessari i es compleixin una sèrie de condicionants–, així com també la prohibició d’adoptar decisions individuals automatitzades, inclosa l’elaboració de perfils, d’acord amb les recomanacions que s’havien manifestat per part del Supervisor Europeu de Protecció de Dades quan aquest va tenir l’oportunitat d’emetre la seva opinió sobre la Directiva PNR. Al mateix temps, la Norma preveu una regulació expressa com abans s’esmentava sobre el tractament de dades per part de les Forces i Cossos de Seguretat, indicant que les gravacions hauran de ser destruïdes dins d’un període màxim de tres mesos des de la seva gravació.

El capítol III de la Norma regula els drets que es reconeixen als afectats per la recollida i tractament de les seves respectives dades personals. Concretament, s’hi reconeixen els drets d’accés, rectificació, supressió i limitació al tractament, que van en consonància amb el contingut previst a aquest efecte al RGPD. L’eficàcia d’aquests drets queda supeditada a certes restriccions taxades, que també s’aplicaran quan sigui necessari, per tal d’evitar que s’obstaculitzi una investigació o es posi en perill la seguretat pública. Per aquest supòsit, es preveu un règim especial per als interessats. Seguint amb aquesta anàlisi, el capítol IV preveu una sèrie d’obligacions per als responsables i encarregats del tractament, que bàsicament se centren en les reconegudes a la legislació vigent sobre la matèria, fonamentades en el principi de responsabilitat proactiva, com l’aplicació de mesures de seguretat, la realització de certes avaluacions de riscos o el nomenament d’un delegat de protecció de dades, si s’escau.

D’altra banda, la Norma té com a objectiu intentar garantir que el moviment de dades transfronterer pugui realitzar-se sense restriccions derivades de la protecció de les dades de caràcter personal. El capítol V preveu un règim exclusiu destinat a regular les transferències internacionals de dades cap a un tercer país o organització internacional. Per a aquests supòsits, resultarà essencial tenir en compte les consideracions efectuades pel TJUE a la seva sentència “Schrems II”.[vii] Tanmateix, l’autoritat de control del país exportador de les dades haurà d’autoritzar prèviament la transferència, a la vegada que el país importador de les dades haurà d’estar avalat per una decisió d’adequació emesa per part de la Comissió Europea, o el responsable del tractament haurà d’oferir garanties adequades. Es preveuen una sèrie d’excepcions per tal d’articular aquests tractaments.

Com a últims aspectes a destacar, podem esmentar que els capítols VI, VII i VIII de la Norma preveuen particularitats en relació amb les competències de les autoritats de control, en el cas espanyol, l’Agència Espanyola de Protecció de Dades i les autoritats autonòmiques, d’acord amb el que estableix l’article 57.1 de la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals. En aquest sentit, es dona per tancat el debat relatiu a la creació d’una nova autoritat encarregada específicament d’atendre les qüestions establertes per la Directiva. Addicionalment, també es regulen procediments de reclamació per als afectats quan hagin patit danys o perjudicis efectuats per part de les referides autoritats de control, així com un règim sancionador específic.

A mode de conclusió, i per tal de no fer més extensiva la present anàlisi, resulta oportú indicar que la Norma emmalalteix d’una certa imprecisió i un ús alarmant de conceptes difusos, derivat principalment d’haver transcrit la literalitat de la Directiva. En el moment en què es realitza un exercici de transposició com el que s’exigeix en aquest supòsit, ha de prevaldre la protecció dels drets fonamentals enfront d’altres interessos que puguin entrar en conflicte. Amb tot això, convé manifestar que la utilització de dades personals en el marc d’actuacions policials o investigadores haurà de respectar íntegrament el contingut previst a la Norma, ja que del contrari, el tractament de dades efectuat resultarà manifestament il·legal i suposarà amb certa facilitat una vulneració d’altres drets fonamentals per part de les autoritats públiques, com el dret a la presumpció d’innocència. En qualsevol cas, haurem d’esperar un temps prudencial per tal d’avaluar com desplega els seus efectes pràctics.

Albert Castellanos Rodríguez
Advocat i doctorand en dret a la Universitat Autònoma de Barcelona

---

[i] La deficient tècnica legislativa es palpable directament en diversos punts del Projecte de Llei. En termes generals, la seva literalitat suposa en diversos punts gairebé una còpia exacta del contingut previst a la Directiva, aspecte que comporta la inclusió de conceptes erronis o poc precisos. Un exemple de l’anterior es denota amb la inclusió del concepte “fitxer” en determinats punts del text, terme que hauria de ser substituït per “tractament”, d’acord amb la legislació vigent en matèria de protecció de dades. Un últim exemple d’aquesta redacció insuficient, la podem trobar a l’article 5 que s’ocupa de les definicions, ja que suposa de nou una còpia íntegra del contingut preceptuat a la Directiva. Fins i tot el mateix Avantprojecte remetia ja directament a les definicions contingudes al RGPD –tot i regular qüestions ben diferenciades.

[ii] Vid. Sentència del Tribunal de Justícia de la Unió Europea (Sala Vuitena), de 25 de febrer de 2021, dictada a l’assumpte C-658/19.

[iii] Entre d’altres, Vid. Supervisor Europeu de Protecció de Dades, “Dictamen sobre la proposta de Directiva del Parlament Europeu i del Consell relativa a la utilització de dades del registre de noms dels passatgers per a la prevenció, detecció, recerca i enjudiciament de delictes terroristes i delictes greus”, (2011/C 181/02)”, de 25 de març de 2011, ap. 10.

[iv] Vid. Apartat 232.3, lletra c), del Dictamen 1/15, de 26 de juliol de 2017.

[v] Vid. Sentència del Tribunal de Justícia de la Unió Europea (Gran Sala), de 8 d’abril de 2014, dictada als assumptes acumulats C-293/12 i C-594/12.

[vi] La involució a la qual es fa referència, té la seva màxima expressió en el context de les transferències internacionals de dades als Estats Units d’Amèrica (d’ara en endavant, “EUA”), on s’han invalidat els dos acords d’intercanvis de dades personals que s’havien formalitzat per part de les autoritats europees i nord-americanes. Tot això, com a conseqüència de la fervent necessitat dels EUA de vetllar per la protecció de la seguretat nacional en detriment de la salvaguarda dels drets fonamentals dels ciutadans de la Unió Europea.

[vii] Sentència del Tribunal de Justícia de la Unió Europea (Gran Sala), de 16 de juliol de 2020, dictada en l’assumpte C-311/18.