Ley Orgánica 7/2021, de 26 de mayo: Así es la protección de datos en causas penales

El 27 de mayo de 2021 ha sido publicada en el BOE la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.  Entrará en vigor el 16/06/2021, salvo las previsiones contenidas en el capítulo IV (obligaciones y responsabilidades de los responsables y encargados de protección de datos), que producirán efectos a partir del 16/12/2021.

El Objeto de la ley es establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales por parte de las autoridades competentes, con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública.

La finalidad principal es que los datos sean tratados por las autoridades competentes, (Fuerzas y Cuerpos de Seguridad; las autoridades judiciales del orden jurisdiccional penal y el Ministerio Fiscal; las Administraciones Penitenciarias; la Dirección Adjunta de Vigilancia Aduanera; el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias; y la Comisión de Vigilancia de Actividades de Financiación del Terrorismo) cumpliendo los fines previstos, pero estableciendo mayores estándares de protección de los derechos fundamentales de los ciudadanos, conforme al artículo 8.1 de la Carta de los Derechos Fundamentales de la Unión Europea, al artículo 16.1 TFUE y al artículo 18.4 de la Constitución. Introduce modificaciones en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Resumen de la Ley Orgánica 7/2021 de Protección de Datos.

Estos son los puntos que cambian con la nueva Ley Orgánica que entra en vigor l 16 de junio:

Se incluye un nuevo apartado 5 en el artículo 2

«El tratamiento de datos llevado a cabo con ocasión de la tramitación por el Ministerio Fiscal de los procesos de los que sea competente, así como el realizado con esos fines dentro de la gestión de la Oficina Fiscal, se regirán por lo dispuesto en el Reglamento (UE) 2016/679 y la presente Ley Orgánica, sin perjuicio de las disposiciones de la Ley 50/1981, de 30 de diciembre, reguladora del Estatuto Orgánico del Ministerio Fiscal, la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial y de las normas procesales que le sean aplicables.»

Se modifica el apartado 3 del artículo 44.

«La Agencia Española de Protección de Datos, el Consejo General del Poder Judicial y en su caso, la Fiscalía General del Estado, colaborarán en aras del adecuado ejercicio de las respectivas competencias que la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, les atribuye en materia de protección de datos personales en el ámbito de la Administración de Justicia.»

Se modifica la disposición adicional decimoquinta. Así queda redactada:

«Disposición adicional decimoquinta. Requerimiento de información por parte de la CNMV. Cuando no haya podido obtener por otros medios la información necesaria para realizar sus labores de supervisión e inspección relacionadas con la detección de delitos graves, la Comisión Nacional del Mercado de Valores podrá recabar de los operadores que presten servicios de comunicaciones electrónicas disponibles al público y de los prestadores de servicios de la sociedad de la información, los datos que obren en su poder relativos a la comunicación electrónica o servicio de la sociedad de la información proporcionados por dichos prestadores que sean distintos a su contenido y resulten imprescindibles para el ejercicio de dichas labores. La cesión de estos datos requerirá la previa obtención de autorización judicial otorgada conforme a las normas procesales.»

Con respecto a los Principios de protección de datos se incluye el deber de colaboración con las autoridades competentes, según el cual, salvo que legalmente sea exigible una autorización judicial, las Administraciones Públicas o cualquier persona física o jurídica deberá proporcionar a las autoridades judiciales, al Ministerio Fiscal o a la Policía Judicial la información necesaria para la investigación o enjuiciamiento de infracciones penales o la ejecución de las penas y la información necesaria para la protección y prevención frente a un peligro real y grave para la seguridad pública, con la obligación de no informar al interesado de dichos tratamientos ulteriores. Como novedad, el responsable del tratamiento, deberá revisar la necesidad de conservar, limitar o suprimir el conjunto de los datos personales contenidos en cada una de las actividades de tratamiento bajo su responsabilidad, como máximo cada tres años. Con carácter general, el plazo máximo para la supresión de los datos será de veinte años.

El responsable distinguirá los datos que correspondan a las diversas categorías de interesados: sospechosos, condenados, sancionados, víctimas o terceros involucrados. También deberá diferenciar, en la medida de lo posible, si los datos están basados en hechos o en apreciaciones. Por otro lado, la norma prohíbe la adopción de decisiones individuales automatizadas, incluida la elaboración de perfiles en este ámbito, salvo que esté autorizado por una norma con rango de ley o por el Derecho de la Unión Europea, con el objetivo final de garantizar y proteger los derechos de los interesados y de la ciudadanía en general. Establece la norma que el ejercicio de los derechos de información, acceso, rectificación, supresión y limitación del tratamiento se llevará a cabo de conformidad con las normas procesales penales cuando los datos personales figuren en una resolución judicial o en un registro, diligencias o expedientes tramitados en el curso de investigaciones y procesos penales.

Los derechos de acceso, rectificación, supresión y limitación del tratamiento podrán ser restringidos en determinados supuestos, como cuando sea necesario para evitar que se obstaculice una investigación o se ponga en peligro la seguridad pública o la seguridad nacional. Cuando el dato se transfiere a un tercer país o a una organización internacional, la autoridad competente del Estado miembro en el que se obtuvo el dato, debe autorizar previamente esta transferencia y las ulteriores que puedan tener lugar a otro tercer país o a una organización internacional. Ese tercer país u organización internacional destinatario de la transferencia deberá ser objeto de evaluación por la Comisión Europea para saber si ofrece las garantías adecuadas. Sólo por las causas excepcionales previstas en esta Ley Orgánica se podrán autorizar transferencias fuera de estos supuestos.

PUEDE CONSULTAR LA LO 7/2021 EN EL SIGUIENTE ENLACE https://www.boe.es/diario_boe/txt.php?id=BOE-A-2021-8806