8. MEMORIA DEL DELEGADO DE PROTECCIÓN DE DATOS Y DEL FISCAL AUDITOR DEL FTF DEL AÑO 2021

8.1 Introducción

El año 2021, en materia de protección de datos, ha venido marcado por la entrada en vigor (BOE de 27 de mayo de 2021) de la Ley Orgánica 7/2021 de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.

La LO 7/2021 transpone, finalmente[1], la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo.

Dicha Directiva completa el marco normativo en materia de protección de datos cuyo pilar fundamental lo constituye el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) el cual, sin perjuicio de su aplicación directa, fue adaptado al ordenamiento jurídico nacional mediante la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, adaptó el Reglamento General de Protección de Datos, en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos.

El Delegado de Protección de Datos emitió dictamen respecto del Anteproyecto de Ley Orgánica (APLO) que finalmente dio lugar a la Ley Orgánica 7/2021, en cumplimiento de la función de asesoramiento al Ministerio Fiscal en aquellas cuestiones relativas a la protección de datos, y en este caso, a fin de auxiliar en la función consultiva que corresponde al Consejo Fiscal en aquellos aspectos del proyecto legislativo que podían afectar a la estructura, organización y funciones del Ministerio Fiscal.

Por el Consejo Fiscal, en su sesión de 28 de abril de 2020, se suscribió el referido dictamen incorporándose su contenido al informe (de 7 de mayo) evacuado por dicho órgano en cumplimiento de lo dispuesto en el art. 14.4 j) EOMF.

Por el DPD se efectuaron diversas observaciones, recomendaciones y propuestas de modificación y, entre otras, las siguientes:

a) En diversos apartados del dictamen se insistió en el hecho de que el Ministerio Fiscal realiza tratamientos de datos con fines jurisdiccionales. A diferencia de lo recogido en el Anteproyecto, la LO 7/2021 admite, tal como proponía el DPD en su informe, la naturaleza jurisdiccional del tratamiento de datos realizado con ocasión de la tramitación por el Ministerio Fiscal de los procesos y diligencias en los que es competente.

Así, en su artículo 2.2 dispone que el tratamiento de los datos personales llevado a cabo con ocasión de la tramitación por los órganos judiciales y fiscalías de las actuaciones o procesos de los que sean competentes, así como el realizado dentro de la gestión de la Oficina judicial y fiscal se regirá por lo dispuesto en la presente Ley Orgánica, sin perjuicio de las disposiciones de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, las leyes procesales que le sean aplicables y, en su caso, por la Ley 50/1981, de 30 de diciembre, por la que se regula el Estatuto Orgánico del Ministerio Fiscal[2].

De igual modo, la LO 7/2021, en su Disposición final tercera, modifica la Ley Orgánica 6/1985 de 1 de julio, del Poder Judicial[3]. En el art. 236 bis LOPJ se distingue entre el tratamiento de los datos personales con fines jurisdiccionales y los tratamientos no jurisdiccionales. Tiene finalidad jurisdiccional el tratamiento de los datos que se encuentren incorporados a los procesos que tengan por objeto el ejercicio de la actividad jurisdiccional, a su vez, el artículo 236 ter LOPJ reconoce el carácter jurisdiccional del tratamiento de los datos personales llevado a cabo con ocasión de la tramitación por las fiscalías de los procesos, diligencias o expedientes de los que sea competente.

b) Se propuso la modificación del artículo del APLO que recogía el deber de colaboración de las administraciones públicas, personas físicas y jurídicas con las autoridades competentes dado que en su redacción original se otorgaba a las mismas un aparente control sobre el cumplimiento por parte de la autoridad requirente de la conveniencia y legalidad de lo solicitado. Dichas consideraciones fueron atendidas, al no incluirse la referida exigencia en el artículo 7 de la LO 7/2021 el cual regula dicha cuestión.

c) Se insistió, tal como ya se recogió en la Memoria del pasado año, en la necesidad de la creación de la Unidad de Protección de Datos (exigencia que se había reclamado por el DPD ya desde sus primeros informes del año 2018 dirigidos a la Fiscalía General del Estado) como órgano específico de supervisión del tratamiento de datos con fines jurisdiccionales realizado por el Ministerio Fiscal. Dicho órgano no se contemplaba en el APLO.

La LO 7/2021, en su Disposición final segunda, modifica el Estatuto Orgánico del Ministerio Fiscal (arts. 12 y 20)[4], creando así la Unidad de Supervisión y Control de Protección de Datos (en adelante UPD) la cual ejercerá las competencias que corresponden a la autoridad de protección de datos con fines jurisdiccionales sobre el tratamiento de los mismos realizado por el Ministerio Fiscal de acuerdo con lo establecido en el art. 236 octies de la LOPJ, en concreto:

– Supervisar el cumplimiento de la normativa de protección de datos personales mediante el ejercicio de la labor inspectora otorgada en la presente Ley y el Estatuto Orgánico del Ministerio Fiscal.

– Promover la sensibilización de los profesionales de la Administración de Justicia y su comprensión de los riesgos, normas, garantías, derechos y obligaciones en relación con el tratamiento.

– Emitir informe sobre los códigos de conducta destinados a contribuir a la correcta aplicación de la normativa de protección de datos personales en la Oficina judicial y fiscal.

– Previa solicitud, facilitar información a cualquier interesado en relación con el ejercicio de sus derechos en materia de protección de datos.

– Tramitar y responder las reclamaciones presentadas por un interesado o por asociaciones, organizaciones y entidades que tengan capacidad procesal o legitimación para defender intereses colectivos, en los términos que determinen las leyes de aplicación al proceso en que los datos fueron recabados.

No obstante, pese a haberse recogido en la LO 7/2021 la demanda de creación de dicha Unidad, esta no se materializa de modo adecuado ya que, en el artículo 20.4 del EOMF, se establece que al frente de la misma se nombrará por mayoría absoluta del Pleno del Consejo Fiscal[5] una persona titular de la Unidad, de entre juristas de reconocida competencia con al menos quince años de ejercicio profesional y con conocimientos y experiencia acreditados en materia de protección de datos. De igual modo se dispone que la duración del mandato de la persona titular de dicha Unidad será de cinco años, no renovable y que durante su mandato permanecerá, en su caso, en situación de servicios especiales.

Por tanto, la modificación del EOMF operada por la Ley Orgánica 7/2021, en este aspecto, altera injustificadamente las atribuciones y funciones de distintos órganos del Ministerio Fiscal e impone unas exigencias ajenas al modelo vigente y en concreto:

– Posibilidad de que el responsable de la UPD no sea fiscal:

Respecto a esta cuestión se considera que ha de ser un/a fiscal el que asuma con plena independencia la condición de Fiscal responsable de la Unidad de Protección de Datos, una alternativa distinta, alguien extraño a la Institución y, presumiblemente, ajeno y desconocedor de su organización, funcionamiento y singularidades, constituye una innecesaria e insólita excepción respecto de la elección de los responsables de cualesquiera órganos o unidades del Ministerio Fiscal, siendo el único supuesto de «externalización» de un cargo para el ejercicio de funciones en el seno del Ministerio Fiscal.

Por otro lado, con el fin de dotar de mayor autoridad e independencia al cargo, y facilitar el ejercicio efectivo de su misión, el/la fiscal responsable de la Unidad de Protección de Datos, debiera de pertenecer a la primera categoría. No obstante, de no pertenecer a ella, deberá tener, a todos los efectos y durante el tiempo de su mandato, la consideración de Fiscal de Sala.

– Exigencia de que el responsable, de ser fiscal, haya de pasar de servicio activo a la situación de servicios especiales:

En relación a esta exigencia se considera que el/la Fiscal responsable de la UPD ha de estar en servicio activo y no en servicios especiales ya que no se alcanza a entender la razón por la que, dirigiendo un órgano del Ministerio Fiscal, dicho fiscal al mismo tiempo deba encontrase fuera de la Carrera Fiscal.

– Periodo de mandato por cinco años no renovables:

Se considera absolutamente injustificada la limitación temporal impuesta en la reforma del EOMF. Se ha de tener en cuenta que la renovación del mandato, por al menos un nuevo periodo, es un factor fundamental de estabilidad que dota al cargo de mayores garantías de independencia y ello teniendo en cuenta factores clave en esta materia como son la especialización y la experiencia en una materia tan compleja. Así se contempla, por ejemplo, respecto de la Presidencia y del Adjunto de la Agencia Española de Protección de Datos (art. 48.5 L. O. 3/2018) y en los mismos términos respecto del mandato del Supervisor Europeo de Protección de Datos [art. 53.1 y 53. 3 Reglamento (UE) 2018/1725].

– Atribución al Consejo Fiscal de la facultad de nombrar al/la responsable de la UPD.

La competencia para designar al responsable de la Unidad que en la reforma del EOMF se otorga al Consejo Fiscal, no solo carece de justificación desde la perspectiva de protección de datos ya que no dota a la UPD de un superior estatus o grado de independencia sino que, más bien al contrario, sienta un precedente en virtud del cual se dota de facultades de designación de cargos de la Carrera Fiscal a un órgano de naturaleza corporativa (carente de una exigible legitimación democrática de la que, por ejemplo sí que goza el CGPJ), y constituye una anomalía y una injustificada excepción a lo previsto en el art. 14 EOMF y en el Real Decreto 437/1983, de 9 de febrero, sobre constitución y funcionamiento del Consejo Fiscal, ya que, en la actualidad, es al Gobierno, a propuesta del Fiscal General del Estado (oído el Consejo Fiscal), al que le corresponde proveer los nombramientos de la Carrera Fiscal (art. 13.1 EOMF).

– Identificación del nuevo órgano como «Unidad de Supervisión y Control de Protección de Datos».

La denominación «Unidad de Supervisión y Control de Protección de Datos» constituye una innecesaria y avasalladora reiteración léxica, por lo que se propone la de «Unidad de Protección de Datos del Ministerio Fiscal», denominación más amable y suficientemente descriptiva de la labor encomendada la cual, además, resulta similar a la de otros órganos que componen la estructura organizativa de la Institución.

Aspectos todos ellos que sería deseable que fueran corregidos en una próxima y urgente reforma legislativa con carácter previo a que se lleve a efecto tanto el correspondiente desarrollo reglamentario, a fin de definir la composición, organización y funcionamiento de la Unidad, como la designación de la persona responsable de la misma.