Datos personales en procesos penales y administrativos

Por Emilio Frías Martínez, fiscal en la Fiscalía Provincial de Albacete

El derecho a la protección de datos puede es definido como el poder que tienen todos los ciudadanos de evitar qué información de su vida o intimidad sea conocida por terceras personas. Igualmente comprende el derecho a conocer, acceder, corregir o cancelar los datos que obren en ficheros de terceras personas públicas o privadas. Reconocido como derecho fundamental con autonomía propia por STC 292/2000. La existencia de este Derecho fundamental se recoge en la Constitución Española en el artículo 18.4 CE, que dispone “la Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. Este derecho se consagra, además de en el 18.4 Código Penal (CP), en el artículo 8 del Convenio Europeo de Derechos Humanos, y en el ámbito internacional en el Convenio nº 108 del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal.

Como derecho positivo, en estos momentos, disponemos del Reglamento general de protección de datos, Reglamento (UE) 2016/679 Del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.  Este Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. Su carácter no es absoluto pues existen diversas excepciones, del objeto de dicho Reglamento queda expresamente excluido el uso por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.

Si la investigación de delitos es una de las excepciones a la aplicación del Reglamento, debemos conocer qué normativa es la de referencia en dichas cuestiones. Ahí encontramos la Directiva (UE) 2016/680 Del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales. Aunque se trate de una directiva ya es directamente aplicable en España desde el 6 de mayo de 2018 porque la trasposición no se ha efectuado de manera completa.

Como normas de Derecho Interno debemos destacar la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, texto que deroga la LOPD  15/99. No es una ley completa porque el Reglamento General es de aplicación directa, motivo por el que solamente trata los aspectos no regulados o sobre los que el Reglamento permitía margen de decisión.

Por último, la LO 15/99, LOPD. Aunque la LO 3/18 deroga expresamente este texto, resulta de aplicación en algunos aspectos, la Disposición Transitoria cuarta de la LO 3/18 prevé que en los tratamientos sometidos a la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo continuarán rigiéndose por la Ley Orgánica 15/1999, de 13 de diciembre, y en particular el artículo 22, y sus disposiciones de desarrollo, en tanto no entre en vigor la norma que trasponga al Derecho español lo dispuesto en la citada directiva.

DISPERSIÓN NORMATIVA

Por tanto, en la materia de este trabajo, obtención de datos en causas penales o administrativas, tenemos una indeseada dispersión normativa impropia de una legislación novedosa y avanzada. Así, disponemos del Reglamento General que regulará la mayoría de los archivos donde se recogen los datos personales que se puedan recabar, sea en proceso penal o administrativo, texto que será de aplicación para la obtención de datos en causas administrativas pero que no lo será en causas penales. En estas últimas será de aplicación la directiva y las dos leyes orgánicas españolas.

Nos vamos a ocupar del modo en el que los datos personales se incorporan a los procesos penales o administrativos. Obviamente, no regirá lo dispuesto en el art. 4.11 del Reglamento de protección de datos en el que se regula el consentimiento del interesado para la comunicación de datos de carácter personal. Es preciso conocer si cabe la posibilidad de que el encargado de una investigación pueda recabar tales datos directamente del interesado o del encargado de un fichero en el que obren los datos de carácter personal obtenidos para otra finalidad. La respuesta debe ser necesariamente afirmativa o se provocaría la imposible finalización de investigación, pero ello no impide que quede sujeta a determinadas exigencias normativas.

El recabar dichos datos supone una limitación del derecho fundamental a la protección de datos. Toda limitación de un derecho fundamental debe quedar sujeta a las exigencias del art. 8.2 CEDH que permite la limitación de la privacidad siempre que concurran en los dos supuestos analizados, penal y administrativo, los siguientes elementos:

1)previsión legal. Es decir, es preciso disponer de una ley que permita el acceso a los datos de carácter personal.

2)necesidad. Debe perseguir un fin legítimo. Para garantizar la seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención del delito, la protección de la salud o de la moral, o la protección de los derechos y las libertades de los demás.

Debemos conocer, por tanto, si existe alguna previsión legal que habilite que se recaben datos de carácter personal sin consentimiento del titular de los mismos. La respuesta nos la ofrece el art. 6 del Reglamento al decir que solamente será licito el tratamiento cuando sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, o cuando, el tratamiento sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero. En este último caso, expresamente se prevé que no cabrá el tratamiento cuando dichos intereses no prevalezcan sobre los intereses del interesado, exceptuando los supuestos del tratamiento realizado por las autoridades en el ejercicio de sus funciones, generando una presunción de mayor interés y protección de lo público sobre lo privado.

Lo dicho hasta ahora sirve como marco general, pero hemos dicho que el Reglamento no resulta de aplicación a aquellos supuestos que se refieran a las investigaciones penales, el marco normativo nos lo dará la Directiva ya mencionada.  El art. 4.1 de la Directiva establece que los datos personales deban ser tratados:

1. A) manera lícita y leal.
2. B) recogidos con fines determinados, explícitos y legítimos, y no ser tratados de forma incompatible con esos fines.
3. C) adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados.

Vemos que reproduce lo que habíamos dicho al analizar el art. 8.2 del CEDH. solamente podrá haber recogida y tratamiento de datos en aquellos supuestos en los que exista una ley habilitante, que se hagan para una investigación o con finalidad concreta y no prospectiva y sean proporcionados a la misma.

En España pueden realizar investigaciones por la comisión de un hecho criminal la policía, el Ministerio Fiscal y el juez de instrucción. Debemos conocer si en el seno de dichas investigaciones podrán recabarse datos de carácter personal. De ser así, deberán realizar el juicio de proporcionalidad en cada ocasión.

INVESTIGACIÓN PENAL Y DATOS PERSONALES

La policía podrá recabar datos de carácter al estar habilitada por la LO 15/99 en el artículo 22.2  “La recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas estén limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad”.

El fiscal, cada vez más, lleva a cabo diligencias de investigación. Cuando estas no se refieran a la investigación de delitos regirá el RGPD, si se refieren a infracciones penales regirá lo dispuesto en la Directiva y la LOPD.

Lo primero que debemos saber es si el fiscal puede llevar a cabo tales diligencias de investigación por delito. El art. Quinto del Estatuto Orgánico del Ministerio Fiscal (EOMF) dice que el fiscal “puede llevar a cabo u ordenar aquellas diligencias para las que este legitimado según la Ley de Enjuiciamiento Criminal”. Pudiendo llevar a cabo investigaciones por delito, faltaría por saber si puede recabar datos de carácter personal, y ello está expresamente previsto en la LOPD en el art. 11.2 que permite recabar datos sin consentimiento del titular “Cuando la comunicación que deba efectuarse tenga por destinatario al … el Ministerio Fiscal o los Jueces o Tribunales …, en el ejercicio de las funciones que tiene atribuidas”.

Si la policía y el fiscal pueden recabar datos de carácter personal, parece obvio que el juez de instrucción podrá hacerlo del mismo modo. La ley de Enjuiciamiento Criminal configura nuestro sistema de investigación penal encargándoselo al juez, las investigaciones de la policía serán a prevención y las del fiscal meramente preparatorias, por lo que el juez está plenamente capacitado para recabar datos personales, de hecho, el mismo artículo 11.2 d LOPD contempla a la autoridad judicial como cesionaria de datos personales.

Lo que es realmente relevante es que el juez de instrucción debe hacer el juicio ponderativo de proporcionalidad, y además de hacerlo debe revestir la forma de auto especialmente motivado, en caso contrario, correrá el riesgo de que adolezca de nulidad.

Es posible que en determinados supuestos exista una ley especial que reserve el acceso al juez y se lo impida a la policía o al fiscal, nos referimos a datos de comunicaciones o historial clínico. En otros casos, podrá acceder el juez y el fiscal, pero no lo podrá hacer la policía, como ocurre en los datos que obran en poder de la Tesorería de la Seguridad Social.

Ya sabemos cómo se recaban datos de carácter personal para investigaciones penales, ahora es preciso saber el modo en el que se hacen para investigaciones meramente administrativas, especialmente en procedimientos sancionadores.

INVESTIGACIÓN ADMINISTRATIVA

Para los procedimientos administrativos el régimen es el estudiado y previsto en el Reglamento de Protección de datos y en la LO 3/18 pues toda disposición contenida en la LOPD 15/99 debemos entenderla expresamente derogada.

Las exigencias de previsión legal y juicio de proporcionalidad son idénticas en los procedimientos administrativos que en los penales. Pero no debemos obviar que mientras en los penales se recogen datos de carácter personal para una investigación concreta, la Administración recaba miles de datos para la simple gestión sin que exista, en ese momento expediente sancionador. Aunque en un primer momento se entendía que la Administración estaba legitimada para recabar datos de manera indiscriminada, en estos momentos tal posibilidad está vedada, salvo que expresamente así se prevea, como establece el Tribunal Supremo en sentencia de 13 de noviembre de 2018 en la que se considera desproporcionado que la Agencia Tributaria pueda acceder a la totalidad de datos de actividad procesal de abogados y procuradores.

La previsión expresa que legitima a la Administración para recabar datos de carácter personal se encuentra en el artículo el artículo 28.2 de la Ley de Procedimiento Administrativo Común, redacción dada por LO 3/18 que dice “Los interesados tienen derecho a no aportar documentos que ya se encuentren en poder de la Administración actuante o hayan sido elaborados por cualquier otra Administración. La administración actuante podrá consultar o recabar dichos documentos salvo que el interesado se opusiera a ello. No cabrá la oposición cuando la aportación del documento se exigiera en el marco del ejercicio de potestades sancionadoras o de inspección”. Este precepto exime de consentimiento en los procedimientos de inspección o sanción.

Como norma específica habilitante, para la Agencia Tributaria se dispone del art. 93 LGT que prevé la comunicación de datos y paras cuestiones de la Seguridad Social el art. 13 de la Ley 23/2015, de 21 de julio, Ordenadora del Sistema de Inspección de Trabajo y Seguridad Social faculta a la inspección de trabajo a recabar datos personales.