PUBLICIDAD
PUBLICIDAD

Sobre la cesión de datos personales a las Fuerzas y Cuerpos de Seguridad

|

En estas breves notas se trata de profundizar en el supuesto de recogida y tratamiento por parte de las Fuerzas y Cuerpos de Seguridad de datos que obren en poder de terceros distintos a su titular (v.gr. personas jurídicas), sobre la base de un tratamiento legítimo.

No se parte por tanto, del supuesto de la obtención de datos directamente del titular de los mismos, ni del uso de la habilitación general contenida en el artículo 24 de la LOPD, sino de la concreta posición del responsable del fichero que posee datos adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explicitas y legítimas para los que se hayan obtenido tales datos frente a una solicitud de cesión o comunicación de los mismos llevada a cabo por Fuerzas y Cuerpos de Seguridad en el legítimo ejercicio de sus funciones policiales.

PUBLICIDAD

En el análisis de la cuestión suscitada se debe partir de la obligación de secreto o privacidad sobre el tratamiento de dichos datos, obligación que se deduce del contenido del artículo 10º, de la Ley Orgánica 15/1.999, de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD), donde se establece la obligación de secreto sobre los datos de carácter personal.

PUBLICIDAD

Como se evidencia del contenido de dicho precepto, la regla general parte de la obligación de guardar secreto con relación a los datos de carácter personal que sean objeto de tratamiento, y ello implica en la práctica, tal como señala Davara, que las personas que deban operar sobre los ficheros tienen que estar bajo normas severas de conducta para el mantenimiento del mismo, y para prevenir el mal uso de los datos, como consecuencia directa del derecho constitucional a la intimidad informática, en los términos en los que se encuentra previsto dicho derecho fundamental en el apartado 4º del artículo 18 de la Constitución Española de 1.978.

Y coherentemente con lo anterior, es necesario poner de manifiesto el régimen legal al que está sujeto el  responsable del fichero para proceder a la comunicación de los datos que obren en su poder y de los que sea responsable.

PUBLICIDAD

En este sentido, y a los fines que nos ocupan, debe traerse a colación lo dispuesto en el artículo 11.1º de la LOPD, donde se establece la regla general con relación a la cesión o comunicación de datos de carácter personal.

El régimen legal de la comunicación de datos muy resumidamente se circunscribe a la posibilidad que existe de dicha comunicación, si bien como señala el precepto queda limitada al cumplimiento de fines relacionados de una manera directa entre el cedente y el cesionario, estableciéndose el principio básico de la necesidad de que siempre medie el consentimiento del titular del dato.

Sin embargo, es también cierto que en este mismo artículo en la letra d) de su apartado 2º, se determina la posibilidad de que el consentimiento exigido en el apartado 1º y al que antes se ha hecho referencia no sea necesario, precisamente, “cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas”.

PUBLICIDAD

En consonancia con ello, es importante destacar, que en estas excepciones de carácter subjetivo a la necesidad de prestación del consentimiento del titular del dato para proceder a su comunicación, si bien se  menciona de manera explicita al Ministerio Fiscal, y a los Jueces y Tribunales, no se hace por el contrario, una análoga referencia a la Fuerzas y Cuerpos de Seguridad, lo que lleva a pensar, que el legislador de manera deliberada ha querido diferenciar el régimen legal aplicable a unos y a otros.

Esto significa, que, mientras que para proporcionar o ceder la información solicitada por el Ministerio Fiscal, o por los Jueces y Magistrados no es preciso el consentimiento del titular de los datos, a contrario sensu, la que es instada por las Fuerzas y Cuerpos de Seguridad, para poder ser debidamente cumplimentada será preciso la previa autorización de la persona sobre la que dichos datos versen, salvo que se produzca la  concurrencia de alguno de los supuestos excepcionales contemplados en la ley, so pena de llevar a cabo una cesión o comunicación de los mismos que no se encuentre ajustada a derecho, y que sea conculcadora de derechos fundamentales.

PUBLICIDAD

De acuerdo con lo afirmado, y no obstante ello, debe tenerse en cuenta que de acuerdo con la letra a), del apartado 2º, de dicho artículo 11, tal cesión puede ser posible en tales términos, siempre y cuando exista una norma con rango de ley que así lo autorice, por lo que a tales efectos, tendrán que considerarse las diversas normas que regulan la actuación de los Cuerpos y Fuerzas de Seguridad. Finalmente, en cuanto a la regulación básica del régimen de comunicación de datos, es importante considerar que es el propio apartado 4º del artículo 11 de la LOPD en donde se declara expresamente nulo el consentimiento que el titular del dato haya prestado para proceder a la comunicación de los mismos, cuando la información que se le haya facilitado al interesado no le permita conocer la finalidad a que se destinarán los datos cuya comunicación se autoriza, cuestión que por otra parte es más que obvia, por la propia naturaleza de la investigación policial de los datos proporcionados, pues de otro modo, se perdería la eficacia que garantiza el secreto sobre el uso de los mismos.

El análisis de este conjunto de normas establece una posibilidad favorable a la comunicación de datos personales pero la interpretación de las mismas es obligada que se lleve a cabo de un modo ciertamente estricto y restrictivo, debido al carácter excepcional de los supuestos de hecho que se contemplan, los bienes jurídicos en conflicto –en este caso el derecho constitucional a la intimidad, y el deber de secreto, entre otros-, los sujetos intervinientes, y a estos efectos, la compleja y delicada posición que asumen ante esta situación tanto el cedente de los datos como las propias Fuerzas y Cuerpos de Seguridad del Estado cuando actúan a modo de Policía Judicial, por las razones que a continuación se expondrán.

En los preceptos citados, no se determina el modo concreto en que se ha de producir esta cesión o comunicación de datos, con lo que deben aplicarse las reglas generales establecidas al efecto, y en consonancia con ello, el sujeto cedente de los datos de carácter personal será siempre el responsable del fichero, extendiéndose dicha responsabilidad, valga la redundancia a  la aplicación que se haga de los datos cedidos, aunque la misma se produzca a favor del Ministerio Fiscal, los Jueces o los Tribunales de Justicia, o las Fuerzas y Cuerpos de Seguridad. Esto que parece evidente, es desde la perspectiva del presente análisis trascendental.

De manera específica y con relación  a las Fuerzas y Cuerpos de Seguridad, en su labor de Policía Judicial, debe considerarse lo dispuesto en el número 2º del artículo 22 de la LOPD, donde se afirma que “la recogida y tratamiento automatizado para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas, están limitadas a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real y grave para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías, en función de su grado de fiabilidad”.

La consecuencia directa de la aplicación de este precepto implica que, deben ser aplicadas las reglas generales sobre comunicación de los datos a las que antes se han hecho referencia.

PUBLICIDAD

Esto debe constituir el punto de partida del análisis de este precepto. Dichas reglas generales sólo van a quedar desvirtuadas en el supuesto de la existencia de un peligro grave y real para la seguridad pública o para la represión de infracciones penales, que en uno y otro caso se haya que prevenir.

Si las indicadas circunstancias excepcionales, que deben ser interpretadas siempre restrictivamente por el carácter limitador de los derechos fundamentales de las personas a las que hacen referencia, no se producen o no se explicitan por las propias Fuerzas y Cuerpos de Seguridad en su petición de información, es evidente, que al no constar la concurrencia del supuesto que lo exime, debe siempre intervenir el consentimiento del titular de los datos, a los efectos de posibilitar la cesión o comunicación de los mismos, pues en otro caso, tales actos serían contra legem.

Pero no es suficiente, de conformidad con el tenor literal del precepto trascrito, que concurran estos supuestos excepcionales, sino que además existe la exigencia o condicionamiento legal de proceder al archivo de estos datos cedidos o comunicados en “ficheros específicos establecidos al efecto”, existiendo la obligación de proceder a clasificarlos por categorías en función de su grado de fiabilidad.

La exigencia de la existencia de un peligro real para la seguridad publica, o la necesidad de proceder a la represión de infracciones de carácter penal, plantea la cuestión relativa a si la obtención de los datos por dichos Cuerpos y Fuerzas de Seguridad, en lo que atañe al hecho físico de su petición al responsable del fichero, necesita encontrarse suficientemente motivada, justificando de manera pormenorizada que la tenencia y el conocimiento de estos datos por la Policía se hacen imprescindible para la investigación de los mismos.

La respuesta a priori debe ser afirmativa, pues de otro modo, difícilmente el responsable del fichero podrá tener la certeza de que actúa en dicha cesión de datos conforme a lo establecido en la Ley Orgánica de Protección de Datos de Carácter Personal. Tendrá la certeza positiva, sin lugar a dudas, que está colaborando con las Fuerzas y Cuerpos de Seguridad, pero asume una responsabilidad en virtud de una petición de la cual desconoce su propio alcance. Esto parece un contrasentido jurídico, pero desde la perspectiva interna la la LOPD tiene toda la lógica contenida en el meritado texto legal.

En este caso, cabe señalar que las cuestiones que se derivan de la interpretación de este precepto surgen desde el momento en que esta petición motivada no se lleva a cabo, pero es más, no puede llevarse a efecto, como en la mayoría de las ocasiones puede resultar mas que obvio y evidente, pues de otro modo se correría un altísimo riesgo de desnaturalizar la propia función encomendada a la Policía Judicial si tuviera que motivar y aportar una información en el escrito donde se contenga su petición en la que se aportar una información  al responsable del fichero relativa a los diversos cauces y actuaciones que se pretendan llevar sobre la base de los datos personales proporcionados a los fines de la investigación en marcha, pues de hacerse así, se  comprometerían grave e irremediablemente con toda probabilidad el éxito y los objetivos perseguidos con dicha investigación policial.

Una primera conclusión se basaría, por tanto, en las dificultades existentes en dar a conocer por las propias Fuerzas y Cuerpos de Seguridad de los principales extremos de la investigación, y como contrapartida, el efecto inverso, haría referencia a la situación jurídica en que queda el cedente de los datos al no poder prácticamente evaluar la concurrencia de los supuestos legales que permiten acceder dicha comunicación, y por ende, asumir una responsabilidad muy elevada a consecuencia de la cesión producida de los datos objeto de la información solicitada, puesto que no tendría otro criterio para acceder a la misma que la buena fe, la conciencia cívica y el deseo de colaborar con las Fuerzas y Cuerpos de Seguridad.

Pero no la existencia de un criterio jurídico, tal como ha quedado expresado con anterioridad, que respalde conforme a derecho la existencia de tal comunicación si no conoce a ciencia cierta la concurrencia de un supuesto  donde legalmente no sea preciso recabar la autorización del titular del dato para poder proporcionarlo en el sentido solicitado. La situación es ciertamente grave, para el responsable del fichero si no conoce todos y cada uno de los extremos de la investigación en curso, y no obstante ello, se ceden los datos solicitados.

Es por todo ello, que desde un punto de vista estrictamente jurídico el cedente se sitúa en una situación jurídica incierta al asumir una hipotética responsabilidad, que siempre tendría los calificativos de grave o muy grave, sobre la base de posibles irregularidades o usos indebidos  que se llevaran a cabo con los datos que hubieran sido objeto de cesión cuando le fueran requeridos por las Fuerzas y Cuerpos de Seguridad, si no puede en modo alguno basar el hecho de la cesión en el consentimiento del afectado, sino en unas meras aproximaciones o juicios sobre la petición efectuada.

En este sentido, no debe olvidarse las obligaciones del responsable del fichero el cual tiene también derecho e incluso obligación, sobre la base de su propia responsabilidad, a evaluar si concurre alguno de los supuestos excepcionales previstos en el citado apartado 2º del artículo 22 de la LOPD, a los efectos de proceder a la comunicación de los datos de manera directa e inmediata sin más trámites.

Su labor en el sentido del precepto examinado está muy distante de ser puramente mecánica, sino que debe llevar consigo un procedo de reflexión y de ponderación de la concurrencia de las exigencias y condicionamientos exigidos en dicho precepto de la LOPD.

Ahondando en esta idea, estas diligencias de investigación llevadas a cabo por la Policía Judicial se llevarán a cabo únicamente cuando el daño infringido a la intimidad sea proporcional a la gravedad y el daño producido por el hecho presuntamente delictivo que se está tratando de evitar con las diligencias instructorias o de averiguación que se está llevando a cabo, y esto debería condicionar en primer término la solicitud de información y la consiguiente cesión de datos personales, lo que vuelve a llevarnos a la idea de que el cedente, debe conocer al menos indiciariamente el delito que se está tratando de evitar, lo que en la práctica, y en la mayoría de los casos parece de difícil cumplimiento el que pueda valorar si se está actuando proporcionalmente entre el derecho a la intimidad informática y los hechos delictivos o atentatorios contra la seguridad pública que se tratan de evitar, a los efectos de tomar una decisión sobre la comunicación de datos solicitada. En otro orden de cosas, en el apartado 3º del artículo 22 de la LOPD se indica que “La recogida y tratamiento por las Fuerzas y Cuerpos de Seguridad de los datos a que hacen referencia los apartados 2 y 3 del artículo 7 podrán realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta, sin perjuicio del control de legalidad de la actuación administrativa o de la obligación de resolver las pretensiones formuladas en su caso por los interesados que corresponden a los órganos jurisdiccionales”.

Y el mismo ha de ser puesto en conexión con los apartados 2º y 3º del citado artículo 7º LOPD, donde respectivamente se afirma:

  1. a) Los datos a que hacen referencia el apartado 2 del artículo 7 de la LOPD son “Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precederá siempre el previo consentimiento del afectado”.
  2. b) Los datos que se recogen en el apartado 3 del artículo 7 son “Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual solo podrán ser recabados, tratados y cedidos cuando por razones de interés general, así lo disponga una ley o el afectado consienta expresamente”.

 Con relación al trascrito apartado 3º del artículo 22 de la LOPD, es importante resaltar la expresión “en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta”.

La determinación y el alcance de lo expresado en esta norma constituye una importante dificultad para el responsable del fichero, el cual tiene que ponderar las circunstancias en las que le son solicitados los datos, y proceder o no a la comunicación directa de los mismos, o alternativamente, a solicitar el consentimiento del titular de los mismos. Pero constituye una cuestión ciertamente difícil y compleja que por el mismo se pueda llegar a determinar con la información que posea, que los datos a proporcionar son “absolutamente necesarios” para la investigación.

En este caso lo más normal es que desconozca los extremos de la investigación, su alcance y contenido, y desde luego, todas las particulares circunstancias en que la misma se desenvuelve. Realmente, el supuesto contemplado en este apartado 3º del artículo 22 de la LOPD presenta para el responsable del fichero una identidad de razón con el contenido en el apartado 2º de dicho precepto, al que se ha hecho referencia anteriormente.

En definitiva estamos haciendo referencia a la situación de dicho responsable si accede a la comunicación de uno u otros datos cuando desconoce todas las circunstancias en las que se enmarca dicha investigación policial.

Siguiendo con dicho razonamiento, hay que afirmar que los datos a los que se hace referencia por remisión en el artículo 22.3 LOPD, son sin lugar a dudas de un ámbito personal extremo, que tan solo bajo disposición legal pueden ser tratados sin el consentimiento del afectado. Estos, se cederán exclusivamente a las Fuerzas y Cuerpos de Seguridad para una investigación concreta, de acuerdo a  la estricta necesidad de servir al fin de la misma.

Este requisito restrictivo, se opone frontalmente a la idea vaga, abstracta y general, que de la investigación referida, la conoce el responsable del fichero hasta el punto de posibilitar que se proceda a la cesión de datos de tal naturaleza.

En este orden de cosas, y de manera conceptual, aunque sin olvidar la realidad, no es descartable que el responsable del fichero, en aras de colaborar activamente con la Fuerzas y Cuerpos de Seguridad, y al mismo tiempo de dar cumplimiento a la legalidad vigente, pueda solicitar una ampliación de la motivación o justificación de la petición recibida a los efectos de poder ponderar con mayor base de juicio si es ajustada a derecho tal pretensión, y si consecuentemente debe acceder o no a ella.

Es importante matizar que la asunción de responsabilidad que asume el responsable del fichero, no queda disminuida por la existencia de un control de legalidad de la actuación administrativa, o incluso un recurso jurisdiccional de los propios interesados ante órganos judiciales, pues la comunicación de datos, tanto en uno como en otro caso se habrá producido.

En la misma línea de razonamiento que lo hasta ahora expuesto, debe incidirse en el contenido del apartado 4º del artículo 22 de la LOPD, donde se dice que: “los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento”.

La cuestión aquí suscitada es similar a las anteriores. Difícilmente puede asumirse el control sobre la cesión o comunicación de datos producida por parte del responsable del fichero, si desconoce cuando los datos son necesarios para las averiguaciones que motivaron su almacenamiento.

De nuevo, se observa el desproporcionado riesgo que puede asumir el  cedente de los datos, pues en modo alguno puede conocer y tener la certeza  en el momento de la transmisión de los datos si finalmente los mismos van a resultar pertinentes y útiles para la investigación y si dejaran de serlo se va a dar cumplimiento en debida forma a este precepto procediéndose, consecuentemente, al no ser ya necesarios, a la debida cancelación de éstos.

Criterios como los contenidos en el párrafo in fine de dicho apartado 4 del artículo 22 de la LOPD son completamente ajenos al responsable del fichero que cede los datos a fuerzas policiales.

En este sentido, dicho cedente no puede controlar como es obvio el carácter de los datos almacenados, o la necesidad de mantenerlos hasta la conclusión de la investigación, o la existencia de resolución judicial firme, o de indulto, de rehabilitación o prescripción de la responsabilidad civil entre otros extremos, y sin embargo, dicho responsable del fichero que haya sido  cedente de tales datos, deberá asumir, en su caso, la responsabilidad que le corresponda como consecuencia de la cesión efectuada.

En conclusión, estas breves notas no tratan de ser más que una pequeña reflexión sobre la responsabilidad unilateral en que puede incurrir el responsable del fichero al comunicar o ceder datos personales que obren en su poder, teniendo en cuenta las exigencias del artículo 22 de la LOPD y sus vicisitudes jurídicas, que sin lugar a dudas deben ser tenidas en consideración.

Es fácilmente deducible, la intromisión en el ámbito personal de los afectados, en cada actuación relatada con anterioridad, al igual que ésta se produce cuando directamente se ceden datos de carácter personal a las Fuerzas y Cuerpos de Seguridad.

Por lo tanto, si se reconoce que por exigencias de la investigación la intromisión en la intimidad será válida bajo los requisitos del consentimiento del afectado o previo requerimiento judicial, estos dos puntos imperativos no pueden apartarse en el hecho de la cesión de datos por parte del responsable del fichero.

por Javier Puyol.

Javier Puyol es abogado, socio director de Puyol Abogados, magistrado excedente, exletrado del Tribunal Constitucional, exdirector de la Asesoría Jurídica Contenciosa del BBVA, consultor en tecnologías de la información y comunicación, administrador concursal, árbitro y mediador civil y mercantil, profesor universitario y académico de la Real Academia de Jurisprudencia.