AD 8/2023

Las comunicaciones de datos en el RGPD. Colaboración con las FFyCCSE

Resumen

El presente artículo tiene como objetivo examinar el estado de la regulación sobre las comunicaciones de datos personales a la luz del Reglamento General de Protección de Datos (RGPD), poniendo el acento en las relaciones de colaboración con las Fuerzas y Cuerpos de Seguridad del Estado (FFyCCSE).

En el primer apartado se introduce el estado de la cuestión, a ojos del autor, de forma que se presenten las líneas básicas que el artículo pretende seguir para llegar a la conclusión de la afección que ha supuesto el cambio de filosofía marcado por el RGPD.

En el apartado II., es intención del autor hacer un breve repaso general sobre la anterior regulación acerca del binomio comunicación-cesión de datos, de forma que podamos tener en cuenta los principales cambios que se han producido con el RGPD con una mayor claridad.

En el apartado III, el artículo afronta los cambios que el RGPD ha llevado a cabo respecto de la gestión de la protección de datos personales, y cómo estos cambios han influido en la regulación sobre las comunicaciones de datos. El objetivo de este apartado consiste en valorar cómo el cambio de filosofía que el legislador ha llevado a cabo a lo hora de regular la protección de datos ha afectado igualmente al ámbito de las comunicaciones de datos personales.

En el apartado IV, se estudia la cuestión específica de la colaboración con las FFyCCSE con un ánimo marcadamente práctico, explicando el modo en que se pueden realizar esas solicitudes de datos por parte de la autoridad competente, y la forma en que se deben satisfacer en términos de compromiso con la legislación, pero también con la seguridad de los datos.

Finalmente, se extraen unas conclusiones generales del artículo en el apartado V, mientras que el apartado VI, establece los recursos que se han utilizado a la hora de elaborar el artículo.

 

Abstract

The aim of this article is to examine the state of the regulation on the communication of personal data in the light of the General Data Protection Regulation (GDPR), with an emphasis on the relations of collaboration with the State Security Forces and Corps (FFyCCSE).

The first section introduces the state of the question, in the author’s opinion, in such a way as to present the basic lines that the article intends to follow in order to reach the conclusion of the effect that the change in philosophy brought about by the GDPR has had.

In section II, it is the author’s intention to make a brief general review of the previous regulation on the communication-data transfer binomial, so that we can take into account the main changes that have occurred with the GDPR with greater clarity.

In section III, the article addresses the changes that the GDPR has brought about with regard to the management of personal data protection, and how these changes have influenced the regulation on data communications. The aim of this section is to assess how the change in philosophy that the legislator has carried out when regulating data protection has also affected the field of personal data communications.

In section IV, the specific issue of collaboration with the SSC and CSCEF is studied in a very practical way, explaining how such requests for data can be made by the competent authority, and how they must be satisfied in terms of commitment to the law, but also to data security.

Finally, general conclusions are drawn from the article in section V, while section VI sets out the resources that have been used in the preparation of the article.

Palabras clave

Datos personales, cesiones de datos, comunicaciones de datos, Fuerzas y Cuerpos de Seguridad del Estado, RGPD, LOPD, LOPDGDD.

Key Words

Personal data, data transfers, data communications, State Security Forces and Corps, GDPR, LOPD, LOPDGDD.

I.- Introducción 

El año 2016 supuso un cambio en varios de los dogmas que los auditores y consultores en protección de datos y privacidad repetíamos como papagayos cuando cruzábamos el umbral de un cliente. Nuestra filosofía de vida como predicadores de la protección de datos había llegado a un cambio de paradigma.

Como diría el actor Gary Oldman, entrábamos libremente en las organizaciones e instituciones y dejábamos parte de nuestra felicidad en forma de Ley 15/1999 de Protección de Datos de Carácter Personal (que transponía la antigua Directiva de protección de datos), con un extenso catálogo de medidas legales, técnicas y organizativas que serían sustituidas por una serie de conceptos: responsabilidad proactiva, seguridad enfocada al riesgo o evaluación de impacto, son los conceptos que más repetimos en la actualidad, ahora sí, bajo el paraguas del RGPD.

Entre otros, uno de los cambios conceptuales, y creo que en este artículo veremos que también filosófico, reside en el acercamiento al binomio de lo que entendíamos como una comunicación de datos – cesión de datos que la nueva normativa reformula dentro del nuevo eje vertebrador de la norma, el tratamiento de datos personales.

Si en la LOPD la palabra “cesión” aparecía hasta en un total de 12 veces, en el RGPD podemos observar que este concepto no se menciona en ninguna ocasión. Asimismo, en la LOPDGDD aparece tan sólo en 9 ocasiones (de las cuales, la gran mayoría sigue una acepción que alude a un contexto diferente del que estamos manejando en este artículo). Sirva este dato como ejemplo de uno de los muchos cambios de mentalidad que se han producido con la implantación de la nueva normativa.

 

II.- Un repaso a la regulación de las comunicaciones de datos en la LOPD

En primer lugar, la antigua Ley 15/1999 era una transposición de la Directiva europea 95/46 de protección de datos, que en su considerando 30 preveía la posibilidad de que los Estados miembros pudieran establecer previamente las condiciones en que pueden efectuarse las comunicaciones de datos personales en el ámbito de la prospección comercial y de las instituciones benéficas u otras asociaciones o fundaciones. Posteriormente, en los considerandos 39 y siguientes se anticipa la regulación que será transpuesta en España.

En segundo lugar, nos centramos en la antigua LOPD donde podemos encontrar las definiciones relevantes para entender la cuestión en su artículo 3º. Cesión o comunicaciones de datos se entienden como toda revelación de datos realizada a una persona distinta del interesado. En este sentido, siendo puristas, podemos interpretar ambos conceptos con las siguientes consecuencias:

1. Cesión: cuando es ilegítima.
2. Comunicación: cuando es legítima.

Para realizarla, era necesario contar con el consentimiento del afectado. En este momento, no hablábamos de “titular” de los datos, sino que la LOPD utilizaba una palabra como “afectado” que tenía una connotación más grave respecto del tratamiento de sus datos.

En el artículo 6 LOPD se contemplaban los requisitos para la recogida del consentimiento, entendiendo que existían motivos que podían exceptuar la obligación de consentir al tratamiento (seguro que le suenan: obligación legal, interés vital del afectado, ejecución de un contrato o acuerdo precontractual del que el afectado es parte, ejercicio propio de las funciones de las AAPP o cuando los datos figuren en fuentes accesibles al público). Por tanto, por la forma en que el legislador decidió articular el artículo; un primer punto que reza “el tratamiento de datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa” donde la coletilla final permite interpretar la voluntad del legislador, y un punto 2., donde se enuncian los casos en que “no será preciso el consentimiento”; puede entenderse que la estructura de garantías se articulaba entorno a una regla general a la que se aplicaban excepciones.

Por tanto, para no incurrir en una cesión de datos, con base en la regla general, era necesario recabar el consentimiento del afectado por el tratamiento.

Esto se reafirmaba en el caso de los datos especialmente protegidos (ahora categorías especiales de datos), en su artículo 7.2 LOPD cuando establecía que la cesión de estos datos precisará siempre del previo consentimiento del afectado (en relación con los datos de los miembros de una asociación). En este artículo, nuevamente, funcionaba la fórmula de la “regla general – excepción”, por cuanto a la prohibición general de tratamiento de datos especialmente protegidos sin consentimiento del afectado se oponían una serie de excepciones muy en la línea de las ya vistas para el consentimiento. Algunas de las excepciones eran, por ejemplo:

• El acceso al tratamiento de datos de salud por parte de las instituciones y centros sanitarios públicos y privados y los profesionales correspondientes, respecto de sus pacientes (artículo 8 LOPD).
• La cesión de datos personales que se debe efectuar a la Administración tributaria (DA4º LOPD).
• La cesión de datos a los ficheros de liquidación de siniestros y colaboración estadístico actuarial con la finalidad de permitir la tarificación y selección de riesgos, y elaboración de técnica aseguradora, en el caso de entidades aseguradoras (DA6º LOPD).

En el artículo 11 LOPD se regulaba específicamente la cuestión sobre las comunicaciones de datos, recogiendo el espíritu que recorre toda la LOPD, la primacía del consentimiento sobre todas las cosas. Así, siguiendo esa misma coherencia del artículo 6, el apartado segundo del mismo artículo contemplaba una extensa lista de excepciones a la regla general del primer apartado, donde encontramos casos en que la cesión está autorizada por una ley, los datos han sido recogidos de fuentes accesibles al público, o la cesión se produzca entre dos o más AAPP con el objeto de cumplir fines históricos, estadísticos o científicos.

Adicionalmente, el artículo 28 LOPD establecía la obligación de informar al afectado en el momento en que el responsable del tratamiento efectuara la primera cesión de los datos, indicando la finalidad del fichero (todavía no hablábamos del tratamiento).

Otro aspecto interesante de esta regulación (en el artículo 12 LOPD en este caso) era que, el acceso a los datos por cuenta de proveedores que estuvieran prestando un servicio contratado por el responsable del tratamiento, no serían considerados como comunicaciones de datos. El motivo es que este acceso se encuentra regulado por un contrato por escrito, que cuenta con una serie de requisitos previstos por el mismo artículo.

Finalmente, ya la antigua LOPD contenía especialidades de cara a las Administraciones Públicas, en su artículo 21 contemplaba el régimen aplicable a las comunicaciones de datos entre distintas Administraciones. Concretamente, el artículo ponía el acento en el ejercicio de sus competencias: cuando las comunicaciones de datos se producían en el ejercicio de sus competencias, no se planteaba ningún inconveniente. La cesión deviene cuando se comunican datos entre Administraciones para el ejercicio de competencias diferentes o que versen sobre materias distintas a las que tienen atribuidas. Es cierto que el mismo literal primero del artículo 21 contemplaba una excepción: cuando la comunicación sea prevista por las disposiciones de creación del fichero o por normas de rango superior, o cuando la finalidad de la comunicación sea su tratamiento para fines históricos, estadísticos o científicos.

 

III. La regulación de las comunicaciones de datos personales en el RGPD

El RGPD supone un cambio a varios niveles para la gestión de la protección de datos personales, desde la nomenclatura que vamos a utilizar para determinados conceptos de la antigua LOPD, hasta el espíritu con el que el responsable del tratamiento se debe acercar a sus correspondientes obligaciones.

Así, como comentábamos anteriormente, ya no vamos a hablar de ahora en adelante del “afectado” para calificar a la persona cuyos datos vamos a tratar, un concepto que nos traía a la mente un contexto negativo, sino que hablaremos del “titular” de los datos, un concepto que refuerza la idea de que las personas son los propietarios de sus datos, y no los responsables del tratamiento (una mentalidad que aún hoy en día es muy difícil de asimilar tanto en el sector público como en el privado).

En esta línea, ya no encontramos una entrada específica para las comunicaciones de datos en el artículo destinado a contener las definiciones de la norma (el artículo 4º en este caso), pero sí descubriremos que las comunicaciones de los datos; por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión; se consideran una acción dentro de la lista que definen el concepto de “tratamiento de datos”. Por tanto, las comunicaciones de datos personales son tratamientos de datos personales.

Estos cambios también afectan a cuestiones más profundas, como es la misma filosofía de vida que el responsable del tratamiento debe asimilar de cara a la gestión integral de la protección de los datos personales. Este cambio afecta a dos niveles fundamentales:

• La caída de la primacía del consentimiento: si anteriormente comentábamos que la legislación pre-RGPD se basaba claramente en una figura preeminente articulada en el consentimiento del interesado, como requisito sine qua non para el tratamiento de los datos, a partir de ahora el consentimiento será una más de las bases legitimadoras de la licitud del tratamiento, previstas en el artículo 6 RGPD, por las que se pueden realizar tratamientos de datos personales. No sólo eso, habrá algunos ámbitos de actuación donde el consentimiento no sólo no será necesario, sino que no será la base de legitimación más adecuada (como es el caso de los tratamientos de videovigilancia, que según la Agencia Española de Protección de Datos están basados en la garantía de un interés público, o el de las llamadas legislaciones de “parte débil”, como son los tratamientos de datos de los trabajadores por parte de la empresa). En este contexto, tendrán una importancia capital los deberes de información que los responsables del tratamiento tienen para con los titulares de los datos, lo que tendrá su impacto de cara a las comunicaciones de datos (así se deriva del artículo 12.5 del RGPD).
• Principio de responsabilidad activa, o enfoque a la gestión de riesgos: porque el legislador decide prescindir de un catálogo ordenado y normalizado de medidas técnicas y organizativas de seguridad con las que ilustrarnos sobre el modo en que todos los responsables del tratamiento, con independencia de su tamaño o sector de actividad, debían proteger sus datos. De acuerdo con el artículo 32 del RGPD, a partir de ahora, el responsable del tratamiento debe analizar los riesgos que entrañan sus tratamientos para poder decidir cuáles son las medidas más adecuadas para proteger sus datos. Esto quiere decir que las medidas más restrictivas no tienen por qué ser, necesariamente, las más adecuadas, sino que deberemos realizar un proceso de armonización entre los intereses del negocio y los intereses de la privacidad. Cuanto más armonizados estén ambos intereses, estaremos alcanzando una mejor gestión de la privacidad. Esto afectará a las comunicaciones de datos en cuanto a las medidas de protección que el emisor de los datos debe aplicar sobre los canales de transmisión, así como sobre el propio mensaje (en el artículo 32.2 las comunicaciones no autorizadas de los datos serán uno de los elementos específicos a la hora de evaluar el nivel de riesgo de los tratamientos).

De esta forma, esos principios han fagocitado el régimen específico que tenían las comunicaciones de los datos en la anterior legislación. Ahora, esas comunicaciones deberán entrar en el juego de las bases legitimadoras del tratamiento, que no dejan de ser una traslación de las antiguas excepciones a la regla general del consentimiento y a la prohibición general de comunicar los datos sin el consentimiento del afectado. Pero la filosofía que está aplicando el legislador no puede ser más diferente.

Finalmente, encontramos el artículo 48 titulado como “Transferencias o comunicaciones no autorizadas por el derecho de la Unión” donde se establece que cualquier sentencia de un órgano jurisdiccional o decisión administrativa de un tercer país que exijan que un responsable o encargado del tratamiento transfiera o comunique datos personales únicamente será ejecutable si se basa en un acuerdo internacional previo.

 

IV.- Comunicaciones de datos: solicitudes de información por las FFyCCSE

Una vez analizada la parte más general de la regulación sobre las comunicaciones de datos, parece que existe algún caso especialmente problemático, o que más dudas puede generar, en la práctica del cliente, Concretamente, me refiero a la solicitud de datos por parte de las Fuerzas y Cuerpos de Seguridad del Estado.

En primer lugar, procede recordar el considerando 62 del RGPD cuando establece que no es necesario imponer la obligación de proporcionar información sobre las comunicaciones cuando el interesado ya posee previamente esa información, o cuando la comunicación está expresamente establecida en una Ley. A este respecto, es importante no olvidar que, según el artículo 6.3, la finalidad y condiciones de la comunicación deben encontrarse específicamente reguladas en la norma que contemple la obligación legal o la misión en interés público que legitiman el tratamiento.

Un ejemplo de esta previsión normativa lo encontramos en la Ley aplicable al caso concreto de la colaboración con las FFyCCSE, la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, la cual prevé en su artículo 7 el deber general, y las condiciones, de colaboración que deben cumplir las peticiones de las fuerzas del orden:

• La información solicitada debe ser necesaria para la investigación y enjuiciamiento de infracciones penales, o para la ejecución de las penas. Obviamente, nosotros no podemos pronunciarnos sobre esa necesidad, dado que esto supondría acceder a datos de investigaciones en curso, pero sí supone una traslación de la responsabilidad por una negligencia a la autoridad correspondiente.
• La petición de la autoridad competente deberá ser concreta y específica, y contener la motivación que acredite su relación con los supuestos indicados.
• Cuando legalmente sea exigible una autorización judicial, no será aplicable lo comentado anteriormente. Es decir, la solicitud de información deberá provenir con su correspondiente autorización judicial.

En este sentido, parece interesante recordar que la Agencia Española de Protección de Datos ya se pronunció en términos similares sobre el caso en su Informe Jurídico 0133/2008, donde da pistas sobre las condiciones que habilitan a las FFyCCSE para obtener los datos personales solicitados Estas condiciones son las siguientes:

• Debe estar debidamente acreditado que la obtención de los datos resulta necesaria para la prevención de un peligro real y grave para la seguridad pública o para la represión de infracciones penales y que, tratándose de datos especialmente protegidos, sean absolutamente necesarios para los fines de una investigación concreta.
• Que se trate de una petición concreta y específica, al no ser compatible con lo señalado anteriormente el ejercicio de solicitudes masivas de datos.
• Que la petición se efectúe con la debida motivación, que acredite su relación con los supuestos que se han expuesto.
• Que los datos sean cancelados “cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento”.

Ciertamente, estos requisitos están haciendo referencia a que los FFyCCSE deberá motivar siempre su petición, preferentemente por escrito (salvo en casos excepcionales de urgencia). En este sentido, como responsables del tratamiento siempre debemos insistir en exigir un oficio, o documento similar, donde todos esos aspectos queden debidamente reflejados. En el caso contrario, debemos asumir el riesgo de estar contribuyendo a una actividad indebida, y a una posible sanción por parte de la AEPD.

Como regla general, la policía puede recabar datos de carácter personal para la investigación de infracciones penales, sin necesidad de autorización judicial, salvo cuando exista una norma que expresamente exija una autorización del Fiscal o Juez competente.

Respecto del modo en que debemos entregar los datos, lo cierto es que no existe una norma donde se explique el modo concreto en que debe hacerse. Podemos acudir, por analogía, a la referencia que el RGPD hace en el art “formato estructurado y de uso común” para la entrega de los datos a un peticionario de un derecho de acceso. Asimismo, es necesario recordar el principio de calidad de los datos, en el art. 4 del RGPD, cuando habla de la protección de la confidencialidad de los datos, así como del art. 32 RGPD respecto del principio de seguridad, que nos debe llevar a valorar la necesidad de cifrar los datos. Esta es una medida de seguridad que gusta especialmente al RGPD, y que nos supone un esfuerzo relativamente modesto.

Respecto del cifrado de los datos, es cierto que se han dado casos en que Juzgados y Tribunales se han negado a recibir los datos con ese tipo de medidas de seguridad. Si se da el caso, podemos remitir los datos sin aplicar los mecanismos de cifrado aportando una notificación donde descargamos la responsabilidad sobre el futuro de esos datos en la decisión del órgano jurisdiccional. Estos hechos deben quedar debidamente reflejados en los registros internos del Delegado de Protección de Datos, Subdelegado o Responsable de Seguridad de la organización.

 

V.- Conclusiones

A continuación, de acuerdo con el análisis llevado a cabo en el artículo, podemos extraer las siguientes conclusiones:

1. En primer lugar, el cambio filosófico que ha supuesto la implantación del RGPD en los ecosistemas normativos europeos ha implicado un cambio en el modo en que entendíamos la regulación de las comunicaciones de datos personales. La regulación “específica” de las comunicaciones de datos, donde enmarcábamos las cesiones, ha sido fagocitada por los principios generales de responsabilidad activa y de licitud del tratamiento.
2. El tratamiento lo ha centralizado todo en la estrategia de protección de los datos personales, lo que supone que la comunicación de datos se enmarca dentro de esa misma estrategia, y deberá jugar con las reglas del juego habilitadas para la información-licitud del tratamiento.
3. Debemos colaborar con las FFyCCSE, pero esta obligación no es una barra libre o un “todo vale”. Hay requisitos y principios que debemos seguir a la hora de entregar datos a las autoridades.

VI.- Recursos

Recursos legales

• CE. Constitución Española.
• RGPD. Reglamento General de Protección de Datos.
• Directiva 95/46 del PE y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respeta al tratamiento e datos personales y a la libre circulación de estos datos. 
• LOPD-GDD. Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales. 
• Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales
• LOPD. Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. 

 

---

Pablo García-Girón Pérez 

Actualmente es abogado y consultor especializado en ciberseguridad y protección de datos.