España sancionada por el incumplimiento de la Directiva (UE) 2016/680 del Parlamento y Consejo Europeo

Existe, en la Unión Europea, una Directiva que viene a regular la protección de datos personales en el ámbito penal, es la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas, en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos. Esta Directiva aún no ha sido transpuesta a nuestro ordenamiento jurídico.

El Reglamento General de Protección de datos (UE) 2016/679 y la Directiva sobre protección de datos en el ámbito penal, anteriormente mencionada, tendrían que haber ido de la mano, puesto que su aplicación estaba prevista en ambos casos para el mes de mayo de 2018. Sin embargo, aunque el ya conocido RGPD se ha ido afianzando poco a poco entre la ciudadanía y entidades, la Directiva sobre la protección de datos en el ámbito penal aún no ha sido transpuesta a nuestra normativa nacional.

A través de un dictamen fechado en enero de 2019, la Comisión Europea advirtió a España y a otros seis países, que debían adoptar de inmediato medidas para el cumplimiento en su ordenamiento jurídico de lo dispuesto en la citada Directiva, ya que el plazo que se había dado para la transposición finalizó el día 6 de mayo de 2018. Ante la falta de adopción de medidas, la Comisión ha llevado a España ante el Tribunal de Justicia de la Unión Europea (TJUE) y podría ser sancionada con una multa de 5,29 millones de euros, cantidad que puede incrementarse si, además, la sentencia que dicte el TJUE le reclame 89.548 euros por cada día de retraso acumulado.

El objeto de la Directiva sobre la protección de datos en el ámbito penal lo encontramos regulado en su art.1.2:

• Proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales, cuando el tratamiento lo lleven a cabo las autoridades policiales o judiciales con fines de prevención investigación, detección o enjuiciamiento de infracciones penales, incluidas la prevención y protección frente a las amenazas contra la seguridad pública.

• Garantizar que el intercambio de datos personales por parte de las autoridades competentes en el interior de la Unión, en caso de que el Derecho de la Unión o del Estado miembro exijan dicho intercambio, no quede restringido ni prohibido por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.

A la espera de que la Directiva finalmente forme parte de nuestro ordenamiento jurídico, cabe preguntarse cuál es la norma que aplicamos para el tratamiento de los datos personales en el ámbito penal. Habría que acudir a la actual Ley Orgánica 3/2018, de 5 de diciembre en materia de protección de datos, la conocida LOPDPGDD, puesto que, en su disposición transitoria IV, indica que estos tratamientos continúan rigiéndose por la Ley Orgánica 15/1999, de 13 de diciembre, en sus arts.22 a 24.