¿Qué datos se consideran personales?

El nombre y apellidos, el domicilio, la dirección de correo electrónico, el número de identificación nacional de identidad, los datos de localización extraídos de un teléfono móvil, los datos recopilados en un historial médico, el identificador de una cookie…

¿Qué datos quedan excluidos de ser datos personales?

Todos los datos que hayan sido anonimizados (como los datos de encuestas de opinión), la dirección de correo de empresa o el número de registro mercantil, entre otros.

La investigación de delitos menores podrá justificar el acceso a datos personales. De esta forma, las autoridades se servirán de estos datos si la injerencia no resulta de especial gravedad.

Las autoridades públicas ¿pueden acceder a mis datos personales?

Hasta ahora lo más habitual había sido que las autoridades públicas manejaran datos personales en la investigación de delitos graves.

Sin embargo, ante la información clave que aportan los dispositivos móviles, el acceso a datos personales estará validado en el avance de investigaciones de robo.

Sentencia donde se aplica

A la Audiencia Provincial de Tarragona llegó el caso de un robo con violencia de una cartera y un teléfono móvil.

En el proceso de acopio de pruebas, la Policía Judicial solicitó al Juzgado de Instrucción el acceso a datos personales de los usuarios de teléfono activados desde el teléfono robado.

La petición de acceso solo se restringía a los doce días posteriores al delito.

La Audiencia Provincial de Tarragona consultó al TJUE si el nivel de gravedad del delito autorizaba la conservación y cesión de datos personales.

La respuesta del tribunal europeo fue clara: el acceso a los datos personales no resultaba tan grave como para restringirlo a delitos de mayor pena.

El Tribunal de Justicia de la Unión Europea (TJUE) recuerda la validez de la Directiva sobre la privacidad y las comunicaciones electrónicas. En ella, las autoridades públicas podrán acceder a datos personales almacenados por los proveedores de servicios de comunicaciones electrónicas incluso cuando un delito no revista gravedad.

Conclusiones

Aunque los derechos fundamentales de los titulares de las tarjetas SIM activadas desde el teléfono sustraído se vulneren, la injerencia resulta oportuna para el curso de la investigación.

La Directiva no solo se cierne sobre el objetivo de prevención, investigación, descubrimiento y persecución de delitos graves, se puede extender a delitos en general, pero con la aplicación del principio de proporcionalidad siempre presente.

No obstante, en la mayoría de delitos menores, el acceso a los datos personales es bastante acotado.

El acceso limitado no permite extraer conclusiones precisas sobre la vida privada.

La investigación de delitos menores podrá justificar el acceso a datos personales.

De esta forma, las autoridades se servirán de estos datos si la injerencia no resulta de especial gravedad.

La entrada Acceso a datos personales del teléfono móvil se publicó primero en Gestiona Abogados.

La Constitución EspañolaEnlace añadido por la extensión vLex recoge en su art. 18.4Enlace añadido por la extensión vLex que:

«la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos».

Tal disposición se refiere al derecho a la protección de datos, habeas data o libertad informática, como derecho autónomo al de la intimidad, que no garantiza ésta sino la privacidad.

Es decir, que la protección de datos, como nomenclatura pacíficamente aceptada, es un derecho fundamental autónomo de cualquier otro de los recogidos en el art. 18Enlace añadido por la extensión vLex CEEnlace añadido por la extensión vLex según STC 292/2000Enlace añadido por la extensión vLex.

La consideración de derecho fundamental tiene gran relevancia pues implica que el tratamiento de datos,  y su cesión,  supone una intromisión a un derecho fundamental.

NOCIONES GENERALES

Fines legítimos

Los datos de carácter personal, objeto del tratamiento, sólo podrán ser comunicados a un tercero, para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario, y todo ello, con el previo consentimiento del interesado.

Consentimiento

El consentimiento exigido en el apartado anterior no será preciso cuando:

• La cesión está autorizada en una ley.
• Se trate de datos recogidos de fuentes accesibles al público.
• El tratamiento responda a la libre y legítima aceptación de una relación jurídica, cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
• La comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal, o los Jueces o Tribunales, o el Tribunal de Cuentas, en el ejercicio de las funciones que tienen atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario las instituciones autonómicas, con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
• La cesión se produzca entre Administraciones públicas, y tenga por objeto el tratamiento posterior de los datos, con fines históricos, estadísticos o científicos.
• La cesión de datos de carácter personal, relativos a la salud, sea necesaria para solucionar una urgencia, que requiera acceder a un fichero, o para realizar los estudios epidemiológicos, en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

Recogida y tratamiento por parte de la policía

La recogida y tratamiento, para fines policiales, de datos de carácter personal, por las Fuerzas y Cuerpos de Seguridad, sin consentimiento de las personas afectadas,  están limitados a aquellos supuestos y categorías de datos, que resulten necesarios para la prevención de un peligro real para la seguridad pública,  o para la represión de infracciones penales.

LA POLICIA PUEDE ACCEDER A NUESTROS DATOS DE LA SEGURIDAD SOCIAL

El acceso a nuestros datos de la seguridad social supone una intromisión ilegítima, lo que no implica, al igual que en los restantes derechos, prohibición absoluta de toda injerencia,  sino que la misma ha de hacerse del modo menos intrusivo posible, de conformidad a lo dispuesto en la ley y tras el correspondiente juicio ponderativo en el que se valoren los intereses en conflicto.

Indudablemente,  la policía,  para la investigación de los delitos cometidos, es posible que tenga que acceder a datos de carácter personal que se encuentren recogidos en las diversas bases de datos públicas o privadas.

Lo que supone que en estos casos no regirá el principio general de no cesión,  sino que se podrán ceder,  y deberá hacerse.

Es decir, que la policía puede acceder a cualquier dato de carácter personal, al entender que  actúa a prevención y por delegación de órganos judiciales o Ministerio Fiscal, habiendo tratado ya esta cuestión la Agencia Española de Protección de Datos en informe jurídico 133/2008.

LIMITACIONES

Lo dicho en el apartado anterior es con carácter general,  pues existen pequeñas limitaciones de acceso.

Nos referimos a aquellos supuestos en los que existe una previsión legal que lo impide, previsión legal que debe ser considerada conforme al principio de especialidad.

Como ejemplo de lo que decimos, podemos ver la previsión de los artículos 3Enlace añadido por la extensión vLex y 4Enlace añadido por la extensión vLex de la Ley 25/2007, de 18 de octubreEnlace añadido por la extensión vLex, de Conservación de Datos Relativos a las Comunicaciones Electrónicas y a las Redes Públicas de Comunicaciones que exige autorización judicial, y a la referente a Ley 41/2002, de 14 de noviembreEnlace añadido por la extensión vLex reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica que exige que sea autoridad judicial.

En el caso relativo al posible acceso por parte de la policía a los datos obrantes en los ficheros de la Tesorería de la Seguridad Social, la cesión se hará para «La investigación o persecución de delitos públicos por los órganos jurisdiccionales, el Ministerio Público o la Administración de la Seguridad Social».

Es decir, que con el mismo criterio establecido por el Tribunal supremo para los datos de telecomunicaciones debemos descartar que los Cuerpos y Fuerzas de Seguridad del Estado puedan directamente, acceder a los datos obrantes en los ficheros de la Tesorería General de la Seguridad Social.

¿PUEDEN ACCEDER DE MODO INDIRECTO A NUESTROS DATOS?

Descartada la vía anterior, acceso directo a los datos, debemos determinar si de modo indirecto y como meros agentes de los órganos judiciales o del Ministerio Fiscal pueden acceder a dichos datos de carácter personal.

Indudablemente, como Policía Judicial, y de conformidad con los arts. 547Enlace añadido por la extensión vLex y ss LOPJEnlace añadido por la extensión vLex están facultados para auxiliar al Juez y Fiscal en la investigación de delitos, es decir, son comisionados de órganos judiciales y del Ministerio Fiscal.

Pero debemos atender a que la protección de datos es un derecho de carácter fundamental, y que toda cesión de datos supone una injerencia en la privacidad de la persona, por lo que la interpretación que efectuemos ha de ser restrictiva.

Por ello, debemos entender que el legislador ha querido expresamente limitar el conocimiento o el acceso a sus archivos de Seguridad Social únicamente al fiscal o al juez.

Lo que en la práctica supone que,  el juicio de proporcionalidad en el que se pondere el derecho fundamental limitado,  y el resultado producido,  se haga por expertos en Derecho,  y no solo por la policía.

Obviamente, nada obsta para que el juez o el fiscal puedan ordenar que los datos sean entregados a la policía para que prosigan o inicien determinadas diligencias.

CONCLUSIONES

La Policía podrá acceder a cualquier dato de carácter personal que se encuentre en cualquier fichero, público o privado, para la investigación de infracciones penales.

Salvo en aquellos supuesto en los que una ley especial lo limite, en cuyo caso deberá ser habilitado por el Fiscal o el Juez competente.

Por tanto, cuando se persiga como fin, la investigación de delitos públicos, será preceptiva habilitación fiscal o judicial para acceder a los ficheros de la Seguridad Social.

Esta habilitación no será preceptiva cuando se persiga el fraude en la obtención o percepción de ayudas o subvenciones a cargo de fondos públicos, incluidos los de la Unión Europea, así como en la obtención o percepción de prestaciones incompatibles en los distintos regímenes del sistema de la Seguridad Social.

La entrada DATOS DE LA SEGURIDAD SOCIAL Y POLICÍA se publicó primero en Gestiona Abogados.

«El tratamiento de la información es una herramienta fundamental en el desarrollo de la labor de protección de la seguridad pública que llevan a cabo las Fuerzas y Cuerpos de Seguridad».

Esta, que es una afirmación indiscutible, debe ser objeto de matizaciones, en lo que al tratamiento de dicha información se refiere.

Y ello porque ese tratamiento supone, en última instancia, una incidencia en el derecho fundamental a la protección de datos de carácter personal de los ciudadanos.

REGULACION ESPECIFICA DE LOS FICHEROS

La regulación específica de los ficheros de carácter policial comienza en 1987, con la aprobación por el Consejo de Europa de la Recomendación nº 15, por la que se regula el uso de los datos personales por la policía.

Aunque en principio estaba dirigida al tratamiento automatizado de datos personales con fines policiales, esta Recomendación también podría extenderse a tratamientos no automatizados, e incluso ser objeto de un desarrollo más amplio, si el Estado signatario así lo decidía.

Es importante señalar, asimismo, que supuso un punto de partida esencial a la hora de regular el tratamiento de los datos personales realizados por la policía, y ello mediante la indicación de los principios claves que debían ser observados en dicho tratamiento.

PRINCIPIOS DEL TRATAMIENTO

1. Control y notificación.

La existencia de estos ficheros debe ser controlada por una autoridad no policial de control que tenga carácter independiente.

2.Datos necesarios.

La recogida de los datos debe limitarse a aquellos casos en que sea necesario, para la prevención de un peligro real, o para la represión de un delito.

3. Conservación de los datos.

Los datos deben ser actualizados y almacenados el tiempo estrictamente necesario, para permitir a la policía ejercer sus funciones.

Asimismo, los datos basados en hechos deben diferenciarse de aquellos basados en opiniones o valoraciones.

Al igual que los datos recogidos por las Fuerzas y Cuerpos de Seguridad con fines administrativos deben almacenarse separadamente de aquellos que sean recabados con fines policiales.

4. Finalidad.

El uso de los datos por la policía se rige por el principio de que los datos recogidos con fines policiales sólo deben usarse para la finalidad para la que fueron recabados.

5. Comunicación de los datos.

La comunicación de los datos a otros cuerpos policiales nacionales debe limitarse a aquellos casos en que exista un interés legítimo.

Otro tipo de transmisiones han de verse amparadas en una habilitación legal o en una autorización, y el tratamiento posterior debe ser compatible con aquél para el que fueron recabados los datos.

Las únicas excepciones a estos requisitos serán cuando la transmisión sea en interés del titular de los datos o sea necesario para prevenir un peligro grave e inminente.

6. Derecho de acceso.

Publicidad, derecho de acceso a los ficheros policiales, derecho a la rectificación y al recurso.

Los ficheros han de ser públicos y se le garantiza al titular de los datos el derecho de acceso a la información que, sobre él, contienen los ficheros policiales.

El ejercicio del derecho de acceso, de rectificación de datos erróneos o la eliminación de los datos innecesarios está limitado, no obstante y por cuestiones obvias derivadas de las especificidades de la acción policial, a los casos en que no suponga una incidencia en la labor de la policía o no afecte a la protección de los derechos del titular de los datos o de terceros.

7. Eliminación de los datos.

Los datos deberán eliminarse cuando no sean necesarios para el cumplimiento de la finalidad para la que fueron recogidos.

8. Medidas de seguridad.

Por último, debe prevenirse el acceso, la comunicación o la alteración no autorizados a través de la adopción de medidas de seguridad por el responsable de los datos.

FINES ADMINISTRATIVOS Y FINES DE INVESTIGACION POLICIAL

En primer lugar, y siguiendo con la diferenciación establecida en la ya mencionada Recomendación 87 (15) del Consejo de Europa, la Ley española diferencia los tratamientos llevados a cabo por las Fuerzas y Cuerpos de Seguridad atendiendo a la finalidad de los mismos, para lo que distingue entre tratamientos efectuados con fines administrativos y tratamientos de datos con fines de investigación policial.

FINES ADMINISTRATIVOS

En efecto, todos sabemos que las Fuerzas y Cuerpos de Seguridad realizan también funciones de carácter puramente administrativo: la expedición del documento nacional de identidad o de los pasaportes, el control de entrada y salida en el territorio nacional (cuando no supone un control de las redes de inmigración ilegal), los ficheros de registros de extranjeros en territorio español o la vigilancia del cumplimiento de las normas de tráfico y seguridad vial.

Respecto de los tratamientos de datos vinculados a estas actividades, la Ley española dispone terminantemente que estén sujetos al régimen general.

En consecuencia, los principios generales de protección de datos aplicables a todos los tratamientos realizados en España son de plena aplicación a los ficheros de carácter administrativo creados por las Fuerzas y Cuerpos de Seguridad.

FINES DE INVESTIGACIÓN POLICIAL

En segundo lugar, y ya respecto de los ficheros que hemos denominado policiales, la Ley española de protección de datos establece una excepción dentro de su ámbito de aplicación al indicar que el régimen general de protección de datos de carácter personal no será de aplicación a los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada.

¿Debe cumplirse la normativa de protección de datos?

Sin embargo, esta excepción no implica la absoluta desvinculación de dichos ficheros al cumplimiento de las normas de protección de datos por un lado, y a la intervención de la Agencia Española de Protección de Datos como autoridad de control en la materia, por otro, y están sujetos a la normativa específica de la protección de datos personales.

Respecto de los ficheros constituidos para llevar a cabo investigaciones concretas con vistas a la represión de infracciones penales o para la prevención de un peligro real para la seguridad pública, ficheros “policiales” o “de investigación”, es importante señalar que sus especiales características determinan, en cierta manera, su regulación.

Deben ser referidos a personas concretas.

En efecto, las condiciones en que se llevan a cabo dichos tratamientos- van referidos a personas concretas sometidas a investigación, pueden tener un gran impacto en el titular de los datos y el tratamiento es normalmente desconocido por el sujeto – son tenidas en cuenta, aplicándose un régimen especial que incluye excepciones a las reglas previstas en la legislación general en materia de protección de datos, pero que también impone sobre dichos tratamientos la aplicación de garantías más severas.

GARANTIAS

1. Limitación objetiva:

El tratamiento debe limitarse a aquellos supuestos y categorías de datos necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales.

2. Los datos se incluirán en ficheros específicos

Datos que serán clasificados por categorías en función de su grado de fiabilidad. Estos datos serán cancelados cuando no sean necesarios para los fines para los que fueron almacenados.

3. Principio de proporcionalidad y tratamiento de los datos sensibles:

Los datos calificados como especialmente protegidos, es decir, aquellos que revelen la “ideología”, “afiliación sindical”, “religión”, “origen racial o étnico”, “salud” o “vida sexual” sólo podrán recabarse y tratarse en aquellos casos en que sea absolutamente necesario para los fines de una investigación concreta.

4. Derechos de los ciudadanos:

Las especiales características de este tratamiento hace necesario el establecimiento de ciertos límites a los derechos del titular de los datos.

En efecto, carecería de sentido informar a un presunto delincuente de que está siendo investigado, puesto que ello podría implicar su evasión de la justicia, o la ocultación de pruebas necesarias para la adecuada investigación policial.

Es por ello que estos derechos podrán denegarse «en función de los peligros que puedan derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros, o las necesidades de las investigaciones que se estén realizando».

No deben suponer la indefensión del interesado.

Estos límites no suponen, sin embargo, la indefensión del interesado, puesto que, en último término, podrá dirigirse a la Agencia Española de Protección de Datos, o al organismo competente en cada Comunidad Autónoma, que analizará la procedencia, o no, de la limitación de estos derechos.

También es objeto de limitación el denominado derecho de información, por el cual toda persona a la que se solicite información puede conocer acerca del eventual tratamiento previsto para sus datos, las condiciones en las que se llevaría a cabo y los derechos que le asisten.

Este derecho podrá limitarse, igualmente, cuando su ejercicio afecte a la Defensa Nacional, la seguridad pública o la persecución de infracciones penales.

5. Medidas de seguridad.

Por último, como garantía adicional de la existencia de tratamientos o accesos no deseados a los datos contenidos en los ficheros de investigación policial, la legislación española exige la imposición sobre los mencionados ficheros de medidas de seguridad, de mayor rigor a las impuestas a la generalidad de los tratamientos de datos de carácter personal.

Estas medidas de seguridad se caracterizan:

• por exigir la elaboración de un documento de seguridad
• por establecer mecanismos para la identificación y autenticación del acceso
• realizar auditorias periódicas
• llevar un registro de incidencias
• por exigir el cifrado de los datos en caso de que sean transmitidos
• llevar un registro de los accesos, que deberá conservarse como mínimo dos años.

Debe también mencionarse que, al tratarse de ficheros en manos de una Administración Pública, los creados por la policía, deben ser objeto de una disposición general- normalmente una orden ministerial- publicada en el Boletín Oficial del Estado.

TRATAMIENTO DE DATOS EN TERCEROS PAÍSES 

La Convención de Prüm prevé, en esencia, la mejora de la cooperación policial mediante el intercambio de información o, más exactamente, haciendo disponible la información contenida en ficheros nacionales, a las autoridades homólogas de los países signatarios.

De esta afirmación se concluye claramente que, todos los principios de protección de datos a los que se someten los ficheros policiales, y que acabamos de comentar, son de aplicación.

Con vistas a analizar la correspondencia de las disposiciones de protección de datos del Convenio de Prüm, con aquellas que acabo de describir, aplicables en España, entraré en el detalle de algunos de estos preceptos.

LIMITACIÓN DE LA FINALIDAD

Así, respecto del principio de limitación de la finalidad, el Convenio-artículo 35- indica que los datos únicamente podrán ser utilizados para la finalidad que justificó su transmisión.

La utilización para otros fines sólo sería posible en caso de que se encontrase habilitada por el Derecho del Estado transmitente.

De ello podemos concluir que, la utilización de los datos que fueran transmitidos desde las bases de datos españolas, debería ajustarse a la finalidad que justificó la transmisión, y al uso para el que esos datos fueron inicialmente recabados.

TRATAMIENTO DE DATOS TRANSMITIDOS

Asimismo, respecto del tratamiento de los datos transmitidos, Prüm establece la limitación de las autoridades receptoras, de la información a aquellas competentes, para el desempeño de una función en el marco de los fines de investigación y prevención de delitos.

Dicha regla deberá entenderse aplicable en el derecho español, a las Fuerzas y Cuerpos de Seguridad, los órganos jurisdiccionales y el Ministerio Fiscal, de conformidad con lo establecido en su normativa reguladora.

PRINCIPIO DE EXACTITUD DE LOS DATOS

El ya mencionado principio de exactitud de los datos, también está presente en el Convenio de Prüm, al exigir tanto la corrección o cancelación de los datos que se revelen erróneos, como la “señalización” de los datos “cuya exactitud no pueda determinarse”.

Como ya hemos tenido ocasión de analizar, está previsión está en consonancia con las regulaciones de los ficheros policiales comentadas, que prevé el almacenamiento de la información, en función de su grado de fiabilidad.

APLICACIÓN DE MEDIDAS DE SEGURIDAD

Las medidas de seguridad que deben aplicarse, también son objeto de una particular atención en el Convenio, al prever que la información se proteja frente a toda acción fortuita que pueda suponer su acceso, modificación, divulgación o destrucción no autorizada.

El detalle y los mecanismos para la introducción de estas medidas se encuentran en el acuerdo de desarrollo del Convenio que fue firmado en Bruselas.

Entre dichas medidas, aparte de las referidas a identificación y autenticación, se encuentran las relativas al cifrado de la información.

Derechos de los ciudadanos.

Los derechos de los afectados _ARCOPL e indemnización en caso de perjuicio_,  también son objeto de reconocimiento, e incluso se prevé la posibilidad de recurso ante el órgano de control independiente.

La tramitación de las reclamaciones de los afectados, la verificación de la licitud del tratamiento, el ejercicio de poderes de supervisión y control y la colaboración con otras autoridades de la misma naturaleza corresponderá a la Agencia Española de Protección de Datos.

CONCLUSIONES

Es evidente que la eficacia de la acción policial depende en gran medida de la información de la que dispongan las Fuerzas y Cuerpos de Seguridad.

Y es también patente que la proliferación de acciones criminales cada vez más globalizadas sólo puede combatirse debidamente mediante el desarrollo de mecanismos de colaboración internacional entre fuerzas policiales.

Pero debe tenerse siempre presente que los instrumentos de los que dispongan los cuerpos policiales en la lucha contra el crimen no pueden ser ilimitados ni utilizarse indebidamente.

Los derechos de los ciudadanos y, entre ellos, la protección de sus datos personales, deben salvaguardarse en todo momento, buscando, como hemos tenido ocasión de comprobar a través del análisis de nuestra regulación, un equilibrio proporcionado con el que se garantice, sin fisuras, que la sociedad democrática y de valores que intentamos proteger no se vea, en último término, afectada.

La entrada POLICÍA Y DERECHOS DE LOS CIUDADANOS se publicó primero en Gestiona Abogados.