TRATAMIENTO DE DATOS POR LA POLICÍA
«El tratamiento de la información es una herramienta fundamental en el desarrollo de la labor de protección de la seguridad pública que llevan a cabo las Fuerzas y Cuerpos de Seguridad».
Esta, que es una afirmación indiscutible, debe ser objeto de matizaciones, en lo que al tratamiento de dicha información se refiere.
Y ello porque ese tratamiento supone, en última instancia, una incidencia en el derecho fundamental a la protección de datos de carácter personal de los ciudadanos.
REGULACION ESPECIFICA DE LOS FICHEROS
La regulación específica de los ficheros de carácter policial comienza en 1987, con la aprobación por el Consejo de Europa de la Recomendación nº 15, por la que se regula el uso de los datos personales por la policía.
Aunque en principio estaba dirigida al tratamiento automatizado de datos personales con fines policiales, esta Recomendación también podría extenderse a tratamientos no automatizados, e incluso ser objeto de un desarrollo más amplio, si el Estado signatario así lo decidía.
Es importante señalar, asimismo, que supuso un punto de partida esencial a la hora de regular el tratamiento de los datos personales realizados por la policía, y ello mediante la indicación de los principios claves que debían ser observados en dicho tratamiento.
PRINCIPIOS DEL TRATAMIENTO
1. Control y notificación.
La existencia de estos ficheros debe ser controlada por una autoridad no policial de control que tenga carácter independiente.
2.Datos necesarios.
La recogida de los datos debe limitarse a aquellos casos en que sea necesario, para la prevención de un peligro real, o para la represión de un delito.
3. Conservación de los datos.
Los datos deben ser actualizados y almacenados el tiempo estrictamente necesario, para permitir a la policía ejercer sus funciones.
Asimismo, los datos basados en hechos deben diferenciarse de aquellos basados en opiniones o valoraciones.
Al igual que los datos recogidos por las Fuerzas y Cuerpos de Seguridad con fines administrativos deben almacenarse separadamente de aquellos que sean recabados con fines policiales.
4. Finalidad.
El uso de los datos por la policía se rige por el principio de que los datos recogidos con fines policiales sólo deben usarse para la finalidad para la que fueron recabados.
5. Comunicación de los datos.
La comunicación de los datos a otros cuerpos policiales nacionales debe limitarse a aquellos casos en que exista un interés legítimo.
Otro tipo de transmisiones han de verse amparadas en una habilitación legal o en una autorización, y el tratamiento posterior debe ser compatible con aquél para el que fueron recabados los datos.
Las únicas excepciones a estos requisitos serán cuando la transmisión sea en interés del titular de los datos o sea necesario para prevenir un peligro grave e inminente.
6. Derecho de acceso.
Publicidad, derecho de acceso a los ficheros policiales, derecho a la rectificación y al recurso.
Los ficheros han de ser públicos y se le garantiza al titular de los datos el derecho de acceso a la información que, sobre él, contienen los ficheros policiales.
El ejercicio del derecho de acceso, de rectificación de datos erróneos o la eliminación de los datos innecesarios está limitado, no obstante y por cuestiones obvias derivadas de las especificidades de la acción policial, a los casos en que no suponga una incidencia en la labor de la policía o no afecte a la protección de los derechos del titular de los datos o de terceros.
7. Eliminación de los datos.
Los datos deberán eliminarse cuando no sean necesarios para el cumplimiento de la finalidad para la que fueron recogidos.
8. Medidas de seguridad.
Por último, debe prevenirse el acceso, la comunicación o la alteración no autorizados a través de la adopción de medidas de seguridad por el responsable de los datos.
FINES ADMINISTRATIVOS Y FINES DE INVESTIGACION POLICIAL
En primer lugar, y siguiendo con la diferenciación establecida en la ya mencionada Recomendación 87 (15) del Consejo de Europa, la Ley española diferencia los tratamientos llevados a cabo por las Fuerzas y Cuerpos de Seguridad atendiendo a la finalidad de los mismos, para lo que distingue entre tratamientos efectuados con fines administrativos y tratamientos de datos con fines de investigación policial.
FINES ADMINISTRATIVOS
En efecto, todos sabemos que las Fuerzas y Cuerpos de Seguridad realizan también funciones de carácter puramente administrativo: la expedición del documento nacional de identidad o de los pasaportes, el control de entrada y salida en el territorio nacional (cuando no supone un control de las redes de inmigración ilegal), los ficheros de registros de extranjeros en territorio español o la vigilancia del cumplimiento de las normas de tráfico y seguridad vial.
Respecto de los tratamientos de datos vinculados a estas actividades, la Ley española dispone terminantemente que estén sujetos al régimen general.
En consecuencia, los principios generales de protección de datos aplicables a todos los tratamientos realizados en España son de plena aplicación a los ficheros de carácter administrativo creados por las Fuerzas y Cuerpos de Seguridad.
FINES DE INVESTIGACIÓN POLICIAL
En segundo lugar, y ya respecto de los ficheros que hemos denominado policiales, la Ley española de protección de datos establece una excepción dentro de su ámbito de aplicación al indicar que el régimen general de protección de datos de carácter personal no será de aplicación a los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada.
¿Debe cumplirse la normativa de protección de datos?
Sin embargo, esta excepción no implica la absoluta desvinculación de dichos ficheros al cumplimiento de las normas de protección de datos por un lado, y a la intervención de la Agencia Española de Protección de Datos como autoridad de control en la materia, por otro, y están sujetos a la normativa específica de la protección de datos personales.
Respecto de los ficheros constituidos para llevar a cabo investigaciones concretas con vistas a la represión de infracciones penales o para la prevención de un peligro real para la seguridad pública, ficheros “policiales” o “de investigación”, es importante señalar que sus especiales características determinan, en cierta manera, su regulación.
Deben ser referidos a personas concretas.
En efecto, las condiciones en que se llevan a cabo dichos tratamientos- van referidos a personas concretas sometidas a investigación, pueden tener un gran impacto en el titular de los datos y el tratamiento es normalmente desconocido por el sujeto – son tenidas en cuenta, aplicándose un régimen especial que incluye excepciones a las reglas previstas en la legislación general en materia de protección de datos, pero que también impone sobre dichos tratamientos la aplicación de garantías más severas.
GARANTIAS
1. Limitación objetiva:
El tratamiento debe limitarse a aquellos supuestos y categorías de datos necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales.
2. Los datos se incluirán en ficheros específicos
Datos que serán clasificados por categorías en función de su grado de fiabilidad. Estos datos serán cancelados cuando no sean necesarios para los fines para los que fueron almacenados.
3. Principio de proporcionalidad y tratamiento de los datos sensibles:
Los datos calificados como especialmente protegidos, es decir, aquellos que revelen la “ideología”, “afiliación sindical”, “religión”, “origen racial o étnico”, “salud” o “vida sexual” sólo podrán recabarse y tratarse en aquellos casos en que sea absolutamente necesario para los fines de una investigación concreta.
4. Derechos de los ciudadanos:
Las especiales características de este tratamiento hace necesario el establecimiento de ciertos límites a los derechos del titular de los datos.
En efecto, carecería de sentido informar a un presunto delincuente de que está siendo investigado, puesto que ello podría implicar su evasión de la justicia, o la ocultación de pruebas necesarias para la adecuada investigación policial.
Es por ello que estos derechos podrán denegarse «en función de los peligros que puedan derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros, o las necesidades de las investigaciones que se estén realizando».
No deben suponer la indefensión del interesado.
Estos límites no suponen, sin embargo, la indefensión del interesado, puesto que, en último término, podrá dirigirse a la Agencia Española de Protección de Datos, o al organismo competente en cada Comunidad Autónoma, que analizará la procedencia, o no, de la limitación de estos derechos.
También es objeto de limitación el denominado derecho de información, por el cual toda persona a la que se solicite información puede conocer acerca del eventual tratamiento previsto para sus datos, las condiciones en las que se llevaría a cabo y los derechos que le asisten.
Este derecho podrá limitarse, igualmente, cuando su ejercicio afecte a la Defensa Nacional, la seguridad pública o la persecución de infracciones penales.
5. Medidas de seguridad.
Por último, como garantía adicional de la existencia de tratamientos o accesos no deseados a los datos contenidos en los ficheros de investigación policial, la legislación española exige la imposición sobre los mencionados ficheros de medidas de seguridad, de mayor rigor a las impuestas a la generalidad de los tratamientos de datos de carácter personal.
Estas medidas de seguridad se caracterizan:
- por exigir la elaboración de un documento de seguridad
- por establecer mecanismos para la identificación y autenticación del acceso
- realizar auditorias periódicas
- llevar un registro de incidencias
- por exigir el cifrado de los datos en caso de que sean transmitidos
- llevar un registro de los accesos, que deberá conservarse como mínimo dos años.
Debe también mencionarse que, al tratarse de ficheros en manos de una Administración Pública, los creados por la policía, deben ser objeto de una disposición general- normalmente una orden ministerial- publicada en el Boletín Oficial del Estado.
TRATAMIENTO DE DATOS EN TERCEROS PAÍSES
La Convención de Prüm prevé, en esencia, la mejora de la cooperación policial mediante el intercambio de información o, más exactamente, haciendo disponible la información contenida en ficheros nacionales, a las autoridades homólogas de los países signatarios.
De esta afirmación se concluye claramente que, todos los principios de protección de datos a los que se someten los ficheros policiales, y que acabamos de comentar, son de aplicación.
Con vistas a analizar la correspondencia de las disposiciones de protección de datos del Convenio de Prüm, con aquellas que acabo de describir, aplicables en España, entraré en el detalle de algunos de estos preceptos.
LIMITACIÓN DE LA FINALIDAD
Así, respecto del principio de limitación de la finalidad, el Convenio-artículo 35- indica que los datos únicamente podrán ser utilizados para la finalidad que justificó su transmisión.
La utilización para otros fines sólo sería posible en caso de que se encontrase habilitada por el Derecho del Estado transmitente.
De ello podemos concluir que, la utilización de los datos que fueran transmitidos desde las bases de datos españolas, debería ajustarse a la finalidad que justificó la transmisión, y al uso para el que esos datos fueron inicialmente recabados.
TRATAMIENTO DE DATOS TRANSMITIDOS
Asimismo, respecto del tratamiento de los datos transmitidos, Prüm establece la limitación de las autoridades receptoras, de la información a aquellas competentes, para el desempeño de una función en el marco de los fines de investigación y prevención de delitos.
Dicha regla deberá entenderse aplicable en el derecho español, a las Fuerzas y Cuerpos de Seguridad, los órganos jurisdiccionales y el Ministerio Fiscal, de conformidad con lo establecido en su normativa reguladora.
PRINCIPIO DE EXACTITUD DE LOS DATOS
El ya mencionado principio de exactitud de los datos, también está presente en el Convenio de Prüm, al exigir tanto la corrección o cancelación de los datos que se revelen erróneos, como la “señalización” de los datos “cuya exactitud no pueda determinarse”.
Como ya hemos tenido ocasión de analizar, está previsión está en consonancia con las regulaciones de los ficheros policiales comentadas, que prevé el almacenamiento de la información, en función de su grado de fiabilidad.
APLICACIÓN DE MEDIDAS DE SEGURIDAD
Las medidas de seguridad que deben aplicarse, también son objeto de una particular atención en el Convenio, al prever que la información se proteja frente a toda acción fortuita que pueda suponer su acceso, modificación, divulgación o destrucción no autorizada.
El detalle y los mecanismos para la introducción de estas medidas se encuentran en el acuerdo de desarrollo del Convenio que fue firmado en Bruselas.
Entre dichas medidas, aparte de las referidas a identificación y autenticación, se encuentran las relativas al cifrado de la información.
Derechos de los ciudadanos.
Los derechos de los afectados _ARCOPL e indemnización en caso de perjuicio_, también son objeto de reconocimiento, e incluso se prevé la posibilidad de recurso ante el órgano de control independiente.
La tramitación de las reclamaciones de los afectados, la verificación de la licitud del tratamiento, el ejercicio de poderes de supervisión y control y la colaboración con otras autoridades de la misma naturaleza corresponderá a la Agencia Española de Protección de Datos.
CONCLUSIONES
Es evidente que la eficacia de la acción policial depende en gran medida de la información de la que dispongan las Fuerzas y Cuerpos de Seguridad.
Y es también patente que la proliferación de acciones criminales cada vez más globalizadas sólo puede combatirse debidamente mediante el desarrollo de mecanismos de colaboración internacional entre fuerzas policiales.
Pero debe tenerse siempre presente que los instrumentos de los que dispongan los cuerpos policiales en la lucha contra el crimen no pueden ser ilimitados ni utilizarse indebidamente.
Los derechos de los ciudadanos y, entre ellos, la protección de sus datos personales, deben salvaguardarse en todo momento, buscando, como hemos tenido ocasión de comprobar a través del análisis de nuestra regulación, un equilibrio proporcionado con el que se garantice, sin fisuras, que la sociedad democrática y de valores que intentamos proteger no se vea, en último término, afectada.
