8.2 Exposición sucinta de las actuaciones realizadas por el DPD en el curso del año 2021

En el curso de 2021 se puso de manifiesto el incremento de la actividad de la Unidad del Delegado de Protección de Datos, habiéndose registrado un total de 73 expedientes frente a los 21 del año anterior; expedientes que dan soporte a actuaciones iniciadas de oficio, o generadas como consecuencia de consultas y reclamaciones.

Entre las actuaciones realizadas, cabe señalar las siguientes:

8.2.1 Informes de anteproyectos legislativos

Además del antes mencionado y que dio lugar a la promulgación de la LO 7/2021, se emitió informe en relación a:

8.2.1.1 Anteproyecto de Ley de Enjuiciamiento Criminal

Respecto a la protección de datos personales (regulada en el Capítulo I del Título VIII del Libro III, arts. 514 a 520 del APLECr), son tres, básicamente, las cuestiones relativas al Anteproyecto que merecían una especial atención:

Primera. En relación al descubrimiento y comprobación del hecho investigado o de la identidad del autor se recogían cuatro modos de investigación basados en la obtención de datos personales, así:

a) Obtención de datos por medio de fuentes abiertas de información. Se encuentra habilitada la policial judicial por si, o por orden del Ministerio Fiscal, salvo que esta actuación se realice de forma sistemática y continuada, en cuyo caso se requiere autorización del Juez de Garantías (art. 514).

b) Obtención de datos personales contenidos en ficheros públicos o privados. El Ministerio Fiscal puede reclamarlos, con la motivación exigida en el precepto, salvo que para ello expresamente se requiera autorización judicial. En cuanto a los ficheros mantenidos por personas físicas en el ejercicio de actividades personales o domésticas, se establece que, en defecto de consentimiento, se estará a lo dispuesto en el anteproyecto para el registro de documentos ordenadores y dispositivos (art. 515).

La identificación de titulares o terminales o dispositivos de conectividad, podría llevarse a cabo mediante este precepto, pero este medio de investigación expresamente se regula el art. 371 el cual limita esta diligencia a los delitos que enumera el art. 355 (pena superior a tres años, cometidos por medio de instrumentos informáticos o delitos de una singular naturaleza, gravedad o modo de comisión –terrorismo, tráfico de drogas, armas, trata de seres humanos, por medio de organizaciones criminales, etc.–).

El Anteproyecto recogía los supuestos medios de investigación de obtención de datos de ficheros públicos o privados que precisan autorización judicial, así: la incorporación al proceso de datos electrónicos conservados por los prestadores de servicios o personas que faciliten la comunicación (art. 368), la identificación mediante la localización en base a una IP (art. 369), la localización de la persona investigada o sus movimientos (art. 397.2) y la de acceso a la historia clínica (art. 491).

Por tanto, la facultad que el art. 515 del Anteproyecto otorgaba al Ministerio Fiscal tenía un carácter residual dado que las diligencias de investigación más habituales, basadas en el acceso o cesión de datos personales obrantes en ficheros, ya son recogidas en otros preceptos, por lo que este artículo obra a modo de habilitación general de acceso a ficheros a los que en la actualidad dispone de esa legitimación (SIRAJ, Servicios del Punto Neutro Judicial, ADEXTTRA, Fichero de Titularidades Financieras, etc.).

c) Cruce automatizado de datos disponibles sobre la persona investigada con otros datos de la misma obrantes en otras bases de datos de titularidad pública o privada. Este medio de investigación precisaba la autorización judicial a instancia del Ministerio Fiscal y únicamente cuando se cumplieran determinados requisitos –fundados indicios, necesidad de la práctica de esta diligencia, delito con pena superior a tres años– (art. 516).

d) Búsquedas selectivas a partir de rasgos distintivos. Esta diligencia de investigación consiste en el cruce, mediante sistemas automatizados de datos obrantes en ficheros públicos y privados, a fin de comparar datos personales de múltiples sujetos que, en su mayoría, pueden ser completamente ajenos a los hechos, con la finalidad de encontrar a la persona que debe ser investigada, también se requiere autorización judicial previa, a instancia del Ministerio Fiscal restringido a que los delitos tengan pena superior a tres años y siempre que la información que se pretenda obtener no se pudiera conseguir por un medio menos gravoso (art. 517).

En relación a los mencionados medios de investigación se ha de señalar que si bien la Directiva 2016/680 no impide que, en las normas nacionales relativas a los procesos penales, los Estados miembros especifiquen operaciones y procedimientos de tratamiento relativos al tratamiento de datos personales por parte de tribunales y otras autoridades judiciales (Considerando 20), no obstante, el Ministerio Fiscal a los efectos de la misma se equipara a las autoridades judiciales (Considerando 80) y es «autoridad competente» dadas las funciones constitucionales y estatutarias que específicamente tiene atribuidas en el ámbito penal, debiendo tenerse en cuenta, además, que el derecho a la protección de datos personales, a diferencia del derecho a la intimidad, tiene un distinto alcance y protección ya que no se basa en una prohibición general de injerencia sino, fundamentalmente, en la existencia de una base legal legitimadora del tratamiento.

En virtud de ello, el DPD en su informe consideraba cuestionable que el prelegislador requiriese autorización judicial para actuaciones de investigación (basadas en operaciones de tratamiento de datos personales, tales como el acceso y el cotejo) respecto de las cuales bastaría con que lo dispusiese el Ministerio Fiscal cumpliendo los principios de necesidad, proporcionalidad y motivación. Y es que hay que tener en cuenta, además, que el posterior destino de los datos obtenidos no estarían desprovistos de garantías judiciales ya que estos, en términos generales, tendrán como finalidad recabar información suficiente para que la Fiscalía pueda fundamentar la petición, ante la autoridad judicial, de medidas de investigación, en este caso sí, limitativas de derechos fundamentales distintos al de protección de datos personales y cuando, tal como dispone el artículo 520.1 del Anteproyecto, los datos obtenidos a través de esas diligencias solo tendrán efectos como fuentes de investigación ya que, con posterioridad, habrán de ser recogidos por alguno de los medios de prueba.

Segunda. Respecto del ejercicio de los derechos relativos a la protección de datos en el marco de los procesos penales, se ha de señalar que el Anteproyecto:

– No recogía todas las categorías de interesados, ya que el art. 518 del AP solo hace referencia a los derechos de los afectados por la práctica de las diligencias recogidas en los arts. 514 a 517, no incluyendo, por tanto, a los investigados que no hayan sido objeto de las mismas, ni a las víctimas, testigos y personas condenadas.

– No recogía todos los derechos de los que los interesados son titulares según la Directiva. Únicamente se recogen los derechos de información, acceso y rectificación, no incluyendo los de supresión ni el de limitación a su tratamiento.

– No establecía todas las limitaciones al ejercicio de estos derechos que recoge la Directiva como son: a) evitar que se obstaculicen indagaciones, investigaciones o procedimientos oficiales o judiciales; b) evitar que se cause perjuicio a la prevención, detección, investigación o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales; c) proteger la seguridad pública; d) proteger la seguridad nacional, y, e) proteger los derechos y libertades de otras personas.

Tercera. El Anteproyecto debía entenderse, sin perjuicio de otras disposiciones, como una de las normas de trasposición de la Directiva, pese a ello eran múltiples las cuestiones relevantes que se omitían, entre otras:

– La identificación de las distintas categorías de interesados y de las distintas categorías de datos personales para los fines incluidos en el ámbito de aplicación de esta norma, así como los objetivos y finalidades del mismo, y también los plazos y procedimientos específicos para su supresión y revisión periódica.

– La plasmación normativa del principio de minimización del tratamiento de categorías especiales de datos personales.

– La prohibición de mecanismos de decisiones basadas únicamente en tratamientos automatizados y, en caso de autorización de las mismas, las medidas para salvaguardar los derechos y libertades de los interesados.

En relación a las cuestiones que se recogen en los dos últimos apartados, cabía concluir que el Anteproyecto no trasponía adecuadamente la Directiva 2016/680.

8.2.1.2 Anteproyecto de Ley Orgánica por la que se establecen normas que faciliten el uso de información financiera y de otro tipo para la prevención, detección, investigación o enjuiciamiento de infracciones penales

El informe, en este caso, se emitió en la doble condición de Delegado de Protección de Datos y de Fiscal Auditor del Fichero de Titularidades Financieras.

Dicho Anteproyecto tiene por objeto incorporar al Derecho español la Directiva (UE) 2019/1153 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, por la que se establecen normas destinadas a facilitar el uso de información financiera y de otro tipo para la prevención, detección, investigación o enjuiciamiento de infracciones penales y por la que se deroga la Decisión 2000/642/JAI del Consejo.

Con la finalidad de prevenir e impedir el blanqueo de capitales y la financiación del terrorismo, la Ley 10/2010, de 28 de abril, crea el Fichero de Titularidades Financieras (FTF), del cual es responsable la Secretaría de Estado de Economía y Apoyo a la Empresa siendo el encargado del mismo el Servicio Ejecutivo de la Comisión debiendo las entidades de crédito, las entidades de dinero electrónico y las entidades de pago declarar al mismo la apertura o cancelación de cuentas corrientes, cuentas de ahorro, depósitos y de cualquier otro tipo de cuentas de pago, así como los contratos de alquiler de cajas de seguridad y su periodo de arrendamiento, con independencia de su denominación comercial (art. 43.1 y 2).

En atención a la sensibilidad de los datos contenidos en el fichero, la Ley 10/2010 opta por restringir el acceso al mismo a los sujetos que enumera, con los requisitos que establece y para los fines que expresamente prevé. En la actualidad únicamente los órganos judiciales con competencias en investigación de delitos y el Ministerio Fiscal pueden acceder directamente a los datos contenidos en el FTF ya que, como consecuencia de la reforma introducida en el art. 43.3 de la LO 10/2010 (en virtud del art. 3.18 del Real Decreto-ley 7/2021, de 27 de abril), se amplió la inicial exigencia de autorización judicial o del Ministerio Fiscal, que antes se imponía únicamente respecto de las Fuerzas y Cuerpos de Seguridad, al resto de los organismos autorizados (ex art. 43.3 LO 10/2010).

La Comisión Europea persigue con la Directiva (UE) 2019/1153, que es objeto de trasposición mediante este Anteproyecto, adoptar un instrumento jurídico independiente y específico para ampliar el acceso a los registros centralizados de cuentas bancarias y de pagos. En España, ese registro es el Fichero de Titularidades Financieras y cuyo acceso, en la actualidad, se encuentra limitado a la investigación de delitos relacionados con el blanqueo de capitales o la financiación del terrorismo.

En consecuencia, las modificaciones principales que, en este aspecto, introduce el APLO, son la ampliación de los organismos autorizados así como la supresión de la autorización previa, por la autoridad judicial o del Ministerio Fiscal, a los organismos y autoridades referidas en el art. 3 del APLO y en el 43.3 de la Ley 10/2010 para su acceso al FTF, modificación esta última que, con independencia de la valoración que pueda merecer, se deriva de la exigencia impuesta por la Directiva (UE) 2019/1153 de facilitar a las autoridades competentes el acceso directo e inmediato a la información relativa a las cuentas bancarias con la finalidad de mejor prevenir, detectar, investigar o enjuiciar delitos graves (Considerandos 1 y 7 y art. 4) evitando así retrasos susceptibles de afectar a dichas actuaciones.

En el informe se puso de manifiesto, entre otras cuestiones, la necesidad de adaptar también el art. 43 de la Ley 10/2010 así como el art. 50 del RD 304/2014, ampliando la finalidad del FTF a la prevención, detección, investigación y enjuiciamiento de delitos graves entendiendo por tales las formas de delincuencia enumeradas en el anexo I del Reglamento (UE) 2016/794; de igual modo debía modificarse el párrafo 2.º del apartado 1 del art. 52 del RD 52.1 del RD 304/2014, en el que se especifican los concretos puntos únicos de acceso a través de los cuales, necesariamente, cada uno de los organismos autorizados habrán de efectuar las respectivas solicitudes de datos del Fichero de Titularidades Financieras.

Específicamente se propuso, dadas las funciones atribuidas en el Reglamento (UE) 2017/1939 del Consejo, de 12 de octubre de 2017, por el que se establece una cooperación reforzada para la creación de la Fiscalía Europea y en la Ley Orgánica 9/2021, de 1 de julio, de aplicación de dicho Reglamento, que esta fuera incluida en la relación de organismos autorizados del apartado 3 del art. 43 de la Ley 10/2010, así como en la relación de puntos únicos de acceso del párrafo 2.º del apartado 1 del art. 52 del RD 52.1 del RD 304/2014.

8.2.2 Consultas elevadas al DPD

1. Se aperturó expediente gubernativo para dar respuesta a la consulta efectuada por la jefatura de una fiscalía provincial relativa a la solicitud que se efectuó a la misma por el Decanato del correspondiente Colegio de Abogados relativa a la posibilidad de que por dicha fiscalía se le remitiera una relación de los/las fiscales con su asignación de trabajo con el fin de facilitárselo a los colegiados, resolviéndose que no procedía acceder a dicha petición atendiendo, básicamente, a lo siguiente:

a) Ley 50/1981, de 30 de diciembre, por la que se regula el Estatuto Orgánico del Ministerio Fiscal (EOMF) dispone que el Ministerio Fiscal es único para todo el Estado (art. 22.1), pudiendo los miembros del Ministerio Fiscal actuar y constituirse no solo en cualquier punto del territorio de su fiscalía sino en cualquier punto del territorio de la correspondiente comunidad autónoma e incluso, con la correspondiente autorización del Fiscal General del Estado en cualquier punto del territorio nacional (art. 21.5).

Por otro lado, corresponde a los fiscales jefes de cada órgano ejercer la dirección de este, así como organizar los servicios y la distribución del trabajo entre los Fiscales de la plantilla (art. 22.2).

En este aspecto, la Instrucción 1/2003, de 7 de abril, de la Fiscalía General del Estado sobre aspectos organizativos de las fiscalías y sus adscripciones con motivo de la reforma parcial de la Ley de Enjuiciamiento Criminal, insta a que por los fiscales jefes se introduzca la máxima racionalidad en los servicios, señalamiento de vistas y comparecencias que exijan la intervención del Ministerio Fiscal, así como a que se ordene y distribuya la carga de trabajo del modo más equitativo posible y a que se rentabilice la dedicación de los fiscales.

No obstante, la referida Instrucción 1/2003, también recuerda que los fiscales jefes tienen la facultad de alterar el sistema establecido cuando la organización de la correspondiente fiscalía así lo requiera puesto que a los mismos se les exige la adopción de cuantas medidas permitan el efectivo cumplimiento de los cometidos del Ministerio Fiscal en el íntegro ámbito territorial de cada Fiscalía.

b) El Ministerio Fiscal, como responsable de tratamiento, dispone de los datos de identificación de los fiscales con la finalidad de gestionar su situación administrativa, profesional y económica, constituyendo este un tratamiento necesario para el cumplimiento de una obligación legal y para el ejercicio de poderes públicos [arts. 6.1. c), 6.1. e) y 9.2 b) RGPD] y amparado en los correspondientes artículos del Estatuto Orgánico del Ministerio Fiscal.

c) La solicitud de comunicación de los datos de identificación de los fiscales «con su asignación de trabajo para facilitarlo a los colegiados» no indica la base legal en que pudiera justificarse dicha transmisión de información, circunstancia esta que ya es suficiente, por si misma, como para desestimar la solicitud efectuada, dado que no se explica que utilidad podría reportar a dicho Colegio el conocimiento de que fuese uno u otro fiscal el que realizase cualquiera de las actuaciones en las que debe intervenir el Ministerio Público.

Por otro lado, de accederse a la petición formulada, no solo se incumpliría con el principio de minimización de datos, el cual exige que el tratamiento de datos personales sea adecuado, pertinente y limitado a lo necesario en relación con los fines para los que los datos son tratados [art. 5.1 c) RGPD], sino que dicha información quedaría más fácilmente expuesta a una difusión ilícita con las consecuencias que esto podría suponer para los fiscales teniendo en cuenta los riesgos que se derivan del singular ejercicio de sus funciones. Por otra parte, se ha de señalar que, de comunicarse los datos solicitados, el correspondiente colegio de abogados y sus colegiados, adquirirían la condición de responsables de tratamiento sujetos a las correspondientes obligaciones que se derivan de la normativa de protección de datos, así como a las consecuencias derivadas de su incumplimiento (art. 4 7) RGPD y art. 70.1 LO 3/2018).

Tampoco sería el interés legítimo una base legal para la operación de tratamiento consistente en la comunicación por transmisión de los referidos datos al referido Colegio dado que corresponde al legislador establecer por ley la base jurídica para el tratamiento de datos personales realizado por las autoridades públicas –en este supuesto, el Ministerio Fiscal– lo cual impide que dicha base legitimadora pueda aplicarse al tratamiento que este efectúa en el ejercicio de sus funciones cuando en este caso, además, prevalecen los intereses de los fiscales a la vista de sus expectativas razonables, basadas en su relación con el Ministerio Fiscal como responsable del tratamiento, de que no sean transferidos sus datos personales salvo en los supuestos previstos legalmente [Considerando 47 y art. 6.1 f) RGPD].

Finalmente, se consideró que tampoco podría fundarse la petición en la Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la información Pública y Buen Gobierno ya que, en virtud de lo antes argumentado, prevalece el derecho a la protección de datos personales y de otros derechos constitucionalmente protegidos (en este caso, la seguridad) de los fiscales, sobre el interés público en la divulgación de aquellos (arts. 17.1 y 18.4 CE y art. 15.2 de la Ley de Transparencia).

2. A la vista de la consulta efectuada por la Fiscalía General del Estado relativa a la posible afectación de la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales en relación a la existencia de las comisiones de videovigilancia, creadas por Real Decreto 596/1999, de 16 de abril, por el que se aprueba el Reglamento de Desarrollo y Ejecución de la Ley Orgánica 4/1997, de 4 de agosto, de las que forma parte el Ministerio Fiscal, el DPD se inclinó por la pervivencia de las mismas, en base a una serie de argumentos que se exponen a continuación de manera sucinta:

– Una de las dificultades de la «convivencia» de las Comisiones de Videovigilancia con la actual regulación se encuentra en el art. 16.1 LO 7/2021, el cual dispone que «[E]n las vías o lugares públicos donde se instalen videocámaras fijas, el responsable del tratamiento deberá realizar una valoración del citado principio de proporcionalidad en su doble versión de idoneidad e intervención mínima. Asimismo, deberá llevar a cabo un análisis de los riesgos o una evaluación de impacto de protección de datos relativo al tratamiento que se pretenda realizar, en función del nivel de perjuicio que se pueda derivar para la ciudadanía y de la finalidad perseguida, añadiendo el art. 16.2 que [E]sta disposición se aplicará asimismo cuando las Fuerzas y Cuerpos de Seguridad utilicen instalaciones fijas de videocámaras de las que no sean titulares y exista, por su parte, un control y dirección efectiva del proceso completo de tratamiento.

Estos preceptos generaron la duda de que el examen de los mencionados requisitos, al recaer en el «responsable del tratamiento» (en este caso, en las FFCCSS) y no en las Comisiones de Videovigilancia podían hacer innecesaria la existencia de estas, no obstante, estos preceptos se han de interpretar como una exigencia previa e ineludible para las FFCCSS a realizar antes de recabar la autorización para la instalación de las videocámaras y que se sumaría a las ya previstas en el artículo 2 de la LO 4/1997. Por tanto, el art. 16 1 y 2, no se opondría a la LO 4/1997 sino que «actualizaría» la misma acomodándola a las nuevas exigencias que impone la vigente normativa de protección de datos.

– Otra dificultad se podría derivar del art. 16.3 LO 7/2021 el cual dispone que: «[E]stas instalaciones fijas de videocámaras no estarán sujetas al control preventivo de las entidades locales previsto en su legislación reguladora básica, ni al ejercicio de las competencias de las diferentes Administraciones públicas, sin perjuicio de que deban respetar los principios de la legislación vigente en cada ámbito material de la actuación administrativa» y ello si de dicho precepto se quisiera interpretar que las instalaciones fijas de videocámaras ya no requieren la correspondiente autorización del Delegado del Gobierno.

No obstante, este precepto se refiere a que las instalaciones fijas de videocámaras de las FFCCSS, y a diferencia de videocámaras instaladas por personas jurídicas o privadas distintas a las FFCCSS (generalmente en el marco de la seguridad privada de personas, bienes e instalaciones), quedan fuera de las competencias de las administraciones públicas (y del control preventivo de las entidades locales) en ese ámbito.

– Por otro lado, el apartado primero de la Disposición Adicional Primera de la LO 7/2021 cuando dice que el tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad para los fines previstos en al artículo 1, se regirá por dicha Ley Orgánica, básicamente se está remitiendo al art. 18 el cual regula el tratamiento una vez obtenida la captación de hechos, estableciendo que la grabación deberá ponerse a disposición de la autoridad judicial si pudieran ser constitutivos de delito, o de la autoridad competente si los hechos grabados son reveladores de una posible infracción administrativa relacionada con la seguridad pública.

– Otro argumento en favor de su pervivencia lo constituye el hecho de que el informe previo a las correspondientes autorizaciones de las Comisiones (vinculante en caso de ser negativos) y, por tanto, la propia existencia de las mismas, son una garantía frente a intromisiones ilegitimas de otros derechos distintos a los de la protección de datos personales (honor, intimidad personal y familiar y a la propia imagen).

3. A la vista de la consulta efectuada sobre si existía soporte normativo que justificase la remisión a Instituciones Penitenciarias de copia de informes de autopsia y toxicológicos que constan en diligencias previas se indicó que:

La normativa de protección de datos no es de aplicación al tratamiento de datos personales de personas fallecidas [art. 2.2 b) de la LO 3/18 y Considerando 27 RGPD], no obstante se señaló que no procedía solicitar los informes referidos dado que la autopsia y los informes toxicológicos son actuaciones que se realizan en el marco del proceso penal (art. 343, 347 y 356 LECrim); las actuaciones penales son reservadas, incurriendo en responsabilidades todos aquellos intervinientes en el proceso que revelen indebidamente su contenido (art. 301 LECrim); dicho deber de reserva se justifica en la necesidad de garantizar la realización de todas aquellas actuaciones que sean precisas para averiguar y hacer constar la perpetración de los delitos y la participación de los autores y para que Instituciones Penitenciarias pueda acceder al contenido de dichos informes, de no estar personada en el procedimiento penal, debe existir una disposición legal habilitante que expresamente lo permita, la cual en el momento actual, no existe.

8.2.3 Reclamaciones ante la AEPD por actuaciones del Ministerio Fiscal

Se incoó expediente gubernativo a raíz de la recepción de una comunicación de la Agencia Española de Protección de Datos a la que se acompañaba reclamación de una ciudadana la cual reprochaba a una fiscalía provincial una actuación derivada de unas diligencias preprocesales que, según su versión, tuvo como consecuencia que sus datos personales fueran difundidos por diversos medios de comunicación sin su consentimiento.

El DPD, tras llevar a cabo las actuaciones que se estimaron pertinentes dio respuesta a la interesada, al tiempo que remitió copia de la misma a la AEPD, concluyéndose que la sospecha no podía recaer exclusivamente en la fiscalía ya que cabía la posibilidad de que dichos datos personales hubieran sido difundidos por una de las partes intervinientes en las diligencias de fiscalía. No obstante, y en virtud de ello, se trasladaron diversas consideraciones a la fiscalía provincial en cuestión entre las que cabe señalar las siguientes:

Se instó a la jefatura de la misma a que, en el futuro y atendidas las circunstancias concurrentes en cada supuesto, evitase, en virtud del principio de minimización, trasladar a terceros copia íntegra de los escritos de denuncia o dar a conocer los datos personales de las otras partes a los distintos intervinientes en expedientes y diligencias de Fiscalía, debiendo, siempre que no sea imprescindible para garantizar el derecho a la tutela judicial efectiva o indispensable para los fines de las diligencias que se lleven a cabo, anonimizar/seudonimizar los datos personales eliminándolos de las copias de las resoluciones y documentos que se notifiquen evitando de este modo su comunicación.

De igual modo, en relación a la conciliación de la facultad/deber de información con el derecho a la protección de datos personales se recordó que es una labor que habrá de realizarse caso por caso ya que, dada la ilimitada casuística que se puede generar, no es posible establecer unas pautas generales para resolver los posibles conflictos.

No obstante, como criterios orientativos, en línea con lo marcado en este aspecto por la Instrucción FGE 3/2005, se insistió en que se ha de evitar la transmisión de datos personales en aquellos supuestos en los que la comunicación de los mismos pueda comprometer derechos fundamentales del interesado o de terceros (por ej. defensa, tutela judicial efectiva, intimidad, honor, propia imagen de las víctimas, etc.); generar un innecesario daño reputacional o incluso cuando esos datos personales no aporten valor añadido alguno o dato noticiable adicional relevante al acontecimiento que se comunica.

En consecuencia, en la transmisión de información o comunicaciones a los distintos medios que efectúe el Ministerio Fiscal respecto de la documentación por él generada (o de resoluciones judiciales que haya estimado preciso difundir) se deberían disociar los datos personales cuando, en base a los parámetros reseñados, no sean relevantes para el hecho noticiable, impidiendo o dificultando al máximo la identificación de la persona física cuyos datos deban ser protegidos y, en su caso, se incluirá una advertencia sobre la responsabilidad del medio de comunicación en la divulgación de datos personales contenidos en los mismos.

Por la Sra. Directora de la Agencia Española de Protección de Datos se dictó resolución de archivo de actuaciones respecto de la reclamación efectuada acogiéndose los argumentos sostenidos por el DPD en la contestación a la reclamación efectuada.

8.2.4 Recomendaciones emitidas por el DPD

a) En relación a la conciliación de la facultad/deber de información con el derecho a la protección de datos personales, tal como se señaló en la Memoria del pasado año:

El DPD dirigió Nota Interior a la Fiscalía General del Estado que contenía diversas consideraciones y recomendaciones a cuyo cumplimiento se instaba, ello dio lugar a que por la Secretaría Técnica se dirigiese comunicación, de 6 de octubre de 2021, a todas las fiscalías, órganos y unidades del Ministerio Fiscal denominada «Implementación de las recomendaciones del Delegado de Protección de Datos del Ministerio Fiscal en materia de comunicación».

b) Como consecuencia de filtraciones de datos personales de un ciudadano a medios de comunicación o a redes sociales llevadas a cabo, presuntamente, por destinatarios de decretos dictados por el Ministerio Fiscal, se difundió Nota Interior a todas las unidades, órganos y fiscalías con el siguiente contenido:

«La protección de datos personales se basa en un sistema de controles y equilibrios para proteger a las personas físicas siempre que se traten sus datos personales, exigiendo el principio de minimización que los datos personales sean adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados (art. 5 RGPD).

Como consecuencia de ello, el Ministerio Fiscal, como responsable del tratamiento, está obligado a aplicar aquellas medidas técnicas y organizativas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento; esta obligación se extiende, entre otras, a la cantidad de datos personales recogidos, a la extensión de su tratamiento y a su accesibilidad (art. 25 RGPD).

Resulta preciso que, en el ejercicio de sus funciones, los miembros del Ministerio Fiscal actúen de conformidad con los principios que rigen la normativa de protección de datos, en este caso, con el principio de minimización, ya que en el supuesto de producirse una difusión ilícita de datos personales las consecuencias serían menos lesivas para sus titulares.

Por otro lado, se considera necesaria la incorporación de una cláusula de cumplimiento normativo en las notificaciones de las resoluciones, decretos o acuerdos dictados la cual, aunque no evite totalmente el riesgo, constituye una medida adecuada para reducir un posible tratamiento ilícito.

En consecuencia, se instó a la implementación de las siguientes pautas:

Primera. En el contenido de los decretos que se dicten en diligencias de investigación, diligencias preprocesales y expedientes gubernativos se habrá de procurar limitar, en la medida de lo posible, la consignación de aquellos datos personales que no sean precisos para pronunciarse o resolver sobre la cuestión planteada.

Por datos personales se ha de entender toda información sobre una persona física identificada o identificable (el interesado). Se considerará persona física identificable a toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, unos datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona (art. 4.1 RGPD).

Segunda. En la tramitación de las diligencias de investigación, diligencias preprocesales y expedientes gubernativos se procurará evitar el traslado de copia íntegra de los escritos de denuncia y/o queja cuando contengan datos personales que no precisen ser conocidos por el resto de las partes o por otros intervinientes en las mismas.

Tercera. En cada supuesto deberá examinarse, con el mayor rigor, la pertinencia de dar a conocer al resto de los intervinientes, en las diligencias de investigación, diligencias preprocesales y expedientes, datos personales o determinados datos personales de las otras partes (mereciendo singular cautela la comunicación de datos especialmente protegidos) procediendo, siempre que no sea imprescindible para garantizar el derecho a la tutela judicial efectiva o indispensable para los fines de las propias diligencias o expedientes, a la eliminación de determinados datos (por ej. datos relativos a la salud, domicilio, documento de identidad, teléfono, etc.) o a la disociación de los datos personales de las resoluciones y documentos que se notifiquen evitando, de este modo, su comunicación.

El proceso de disociación permite que la información no pueda asociarse a una persona concreta, identificada o identificable.

Se indicó que las anteriores pautas han de aplicarse de manera razonable y ponderada, teniendo siempre presente que el derecho de los interesados a la protección de datos no puede prevalecer sobre el derecho a la tutela judicial efectiva ni impedir el ejercicio de las funciones que el Ministerio Fiscal tiene encomendadas y que la aplicación del principio de minimización de datos no puede exacerbarse de tal modo que llegue a convertir en crípticas o incomprensibles las resoluciones que se dicten.

Cuarta. A fin de recordar el obligado cumplimiento del deber de confidencialidad, en los correspondientes oficios de remisión y/o notificación, así como en los correos electrónicos que tengan dicha finalidad, se habrá de incluir como pie de página la siguiente cláusula:

«La comunicación de los datos de carácter personal que pudieran figurar en el documento adjunto, no previamente disociados, se realiza en cumplimiento de las funciones legales y estatutarias encomendadas al Ministerio Fiscal y al amparo de la vigente normativa de protección de datos.

La referida normativa también es de aplicación al destinatario o destinatarios de esos datos personales los cuales no podrán ser objeto de tratamiento ulterior con una finalidad distinta a la que ha motivado su actual comunicación. En todo caso deberán adoptarse las medidas necesarias para evitar cualquier tratamiento no autorizado o ilícito.»

c) En relación a la información de derechos a los interesados se emitió Nota Interior a todas la unidades, órganos y fiscalías adjuntando impreso de información de derechos actualizado al que se le añadió la referencia a la LO 7/2021, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales como consecuencia de su entrada en vigor, así como la nota al pie «Puede consultar información adicional sobre el derecho a la protección de datos en la dirección web fiscal.es» y ello a raíz de la entrada en producción la sección de protección de datos del portal fiscal.es.

Dicha entrada en producción ha permitido al Ministerio Fiscal cumplir con el deber de informar sobre el ejercicio de los derechos de protección de datos de conformidad con el art. 11.1 de la LO 3/2018 el cual establece que «cuando los datos personales sean obtenidos del afectado el responsable del tratamiento podrá dar cumplimiento al deber de información establecido en el artículo 13 del Reglamento (UE) 2016/679 facilitando al afectado la información básica a la que se refiere el apartado siguiente e indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información». Dicha previsión también es aplicable para el tratamiento de naturaleza penal en base al art. 20 de la LO 7/2021.

De igual modo, en relación al deber de informar, y al haberse observado que, en gran parte de los correos electrónicos remitidos por un número significativo de fiscalías, y con independencia de a quien se dirijan, se incorpora como pie de firma genérico la información de derechos al interesado, se recordó que el deber de informar se ha de realizar únicamente a la primera comunicación que se establezca a raíz de la obtención de datos personales por parte del interesado. Se sugirió que, en los sucesivos correos, basta la inclusión de un pie de firma relativo al deber de confidencialidad del destinatario[6].

d) Por medio de una fiscal adjunta al DPD, que realizaba tutoría de fiscales en prácticas, se tuvo conocimiento de que en el Protocolo de Actuación para los Coordinadores de Tutorías y Fiscales Tutores de la Fase de Prácticas Tuteladas de la 59.ª Promoción de la Carrera Fiscal se establecía que al informe elaborado por el/la Fiscal Coordinador/a se debía acompañar informes, dictámenes o calificaciones con sus respectivos extractos elaborados por los fiscales en prácticas. Dicha circunstancia dio lugar a la incoación del correspondiente expediente y a la emisión de las siguientes consideraciones y recomendaciones dirigidas a la Secretaría Técnica a fin de que por esta se arbitrasen los medios para su implementación:

En base a los parámetros establecidos en el art. 6.4 RGPD, la comunicación al CEJ de esos informes conteniendo datos personales, no es compatible con el fin para el que los datos personales fueron inicialmente recogidos ya que:

– La remisión de dichos documentos, que se prevé a efectos de evaluación de los aspirantes en prácticas, supone un tratamiento de datos personales absolutamente desvinculado de las razones que motivaron su recopilación inicial que no se encuentra amparado en el consentimiento de los respectivos titulares ni en disposiciones legales pudiendo suponer la comunicación por transmisión de datos de naturaleza reservada, por formar de procedimientos judiciales, a un tercero que no es parte interviniente en los mismos.

– No existe relación alguna entre el tratamiento inicial (actividad jurisdiccional) y el ulterior (evaluación del desempeño), ni entre los titulares de los datos personales y el CEJ como responsable de este ulterior tratamiento.

– La habitual existencia, en los escritos y dictámenes de los fiscales, de datos relativos a condenas e infracciones penales y de categorías especiales datos, a los cuales se les ha de dispensar una especial protección.

En este aspecto, aunque el curso selectivo teórico-práctico de formación inicial de los aspirantes al ingreso en la Carrera Fiscal se desarrolle con sujeción al contenido y duración que se especifiquen en el plan de estudios elaborado por la Fiscalía General del Estado y exista un Director de Formación de la Carrera Fiscal, el responsable del tratamiento sería el Centro de Estudios Jurídicos al que el Real Decreto 312/2019, define como un organismo autónomo de los previstos en el artículo 98 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, adscrito al Ministerio de Justicia, el cual tiene personalidad jurídica diferenciada, patrimonio y tesorería propios, así como autonomía de gestión y plena capacidad jurídica y de obrar y, dentro de su esfera de competencias, le corresponden las potestades administrativas precisas para el cumplimiento de sus fines, en los términos establecidos en dicho Estatuto (art. 1.1, 1.2 y 1.4).

En consecuencia, de mantenerse la exigencia de remisión al CEJ de informes, dictámenes y calificaciones con sus respectivos extractos, y al ser absolutamente inviable recabar el consentimiento de los titulares de los datos que figuren los mismos (el cual, de obtenerse, dotaría de legitimidad a ese tratamiento), la única alternativa posible es proceder a la efectiva anonimización de los datos personales que figuren en las copias de los documentos que vayan a ser remitidos a dicho organismo, proceso que, debidamente supervisado por los respectivos fiscales tutores y coordinadores, se recomienda sea llevado a cabo por los aspirantes a fiscales, lo que permitiría, a su vez, poner en práctica el objetivo formativo relativo al conocimiento del derecho a la protección de datos.

A la vista de todo ello y de cara a la futura elaboración de planes de formación o de protocolos de actuación en la fase de prácticas dirigidos a los coordinadores de tutorías y fiscales tutores, se recomendó suprimir la exigencia de remisión al CEJ de informes, dictámenes o calificaciones con sus respectivos extractos, ya que, por otro lado, resulta cuestionable la necesidad de su envío con la finalidad de su evaluación dado que los mismos habrán sido oportunamente corregidos y valorados por los respectivos tutores y visados por los fiscales encargado de ello.

e) En relación a los convenios de cooperación educativa con universidades se difundió Nota Interior a los Adjuntos territoriales facilitándoles un modelo de cláusula para cuando, de conformidad con la Instrucción FGE 2/2019, les correspondiera informar, en materia de protección de datos, los convenios educativos que se firmen entre las fiscalías de los respectivos territorios y las correspondientes universidades.

Se subrayó en dicha nota interna la importancia de que en el dictamen dando respuesta a la solicitud de informe se insistiese en que los fiscales tutores o responsables de la formación, en virtud del principio de minimización, únicamente deberán facilitar a los estudiantes el acceso a aquellos datos estrictamente precisos para el desarrollo de las prácticas universitarias, así como la conveniencia de recordar a los estudiantes su compromiso de confidencialidad el cual habrá de firmarse de manera individualizada. De igual modo, y en este aspecto, se insistió en la conveniencia de que en el entorno de las respectivas fiscalías efectuase una labor de concienciación en este sentido.

En este aspecto, se instó de la Unidad de Apoyo para que dirigiera comunicación a los Fiscales Superiores (la cual se llevó a efecto en noviembre de 2021) con el fin de que por los fiscales tutores se actuase conforme a lo antes expuesto.

8.2.5 Otras actuaciones

1. Habiendo tenido conocimiento de que por la Fiscalía Europea se solicitó formalmente a la Fiscalía General del Estado el acceso de los Fiscales Europeos Delegados, en modo consulta, al Sistema de Información Control y Consultas del Ministerio Fiscal y al de «Cooperación Jurídica Internacional» (en este caso sin mayor concreción), con el fin de disponer de información precisa para cumplir la función de asesoramiento que el DPD tiene encomendada así como a la vista de que el Reglamento (UE) 2017/1939 autoriza a dicha Fiscalía Europea a obtener la información que este conservada en base de datos de las autoridades públicas siempre que esta sea «pertinente» (art. 43):

Se interesó del Fiscal Jefe de la Unidad de Apoyo informe relativo al objeto y finalidad de cada una de las bases de datos cuyo acceso se pretende; las características y exigencias actualmente impuestas para el acceso, en modo consulta, a cada una de las referidas bases de datos debiendo especificarse, en concreto, la identificación del colectivo de usuarios autorizados, así como si los referidos accesos quedan registrados mediante una huella de usuario y tiempo y la naturaleza de los datos contenidos en cada una de ellas (personales, no personales, estadísticos, etc.).

2. A la vista de un Comunicado de la Unión Progresista de Fiscales en el que se pone de manifiesto que, en el Boletín Oficial del Estado (BOE), concretamente en el apartado «A. Nombramientos, situaciones e incidencias» de «II. Autoridades y personal», del Ministerio de Justicia, se publican datos relativos a licencias o excedencias voluntarias con el nombre y apellidos de la persona en cuestión, así como la fiscalía donde está destinada y también, en ocasiones, la fecha de nacimiento de la/el hija/hijo; así como de lo informado en el mismo sentido por el Adjunto al DPD de la Comunidad Autónoma de Andalucía, se dirigió nota interior a la Inspección Fiscal con las siguientes Consideraciones:

– La «gestión administrativa y económica de la plantilla de Fiscales» constituye una actividad de tratamiento de datos personales que se encuentra incluida en Registro de Actividades de Tratamiento del Ministerio Fiscal.

– El referido tratamiento resulta necesario para el cumplimiento de una obligación legal y para el ejercicio de poderes públicos [arts. 6.1. c), 6.1. e) y 9.2 b) Reglamento (UE) 2016/679, en adelante RGPD] y 52 EOMF.

– Los datos personales de las/los fiscales se encuentran a disposición de las distintas Fiscalías y órganos fiscales que integran el Ministerio para el ejercicio de sus funciones y, en su caso, del Ministerio de Justicia para el cumplimiento de las obligaciones derivadas de la finalidad referida y de conformidad con lo dispuesto en el Real Decreto 1765/1994, de 5 de agosto, por el que se adecuan las normas reguladoras de los procedimientos de gestión de personal relativos a los miembros del Ministerio Fiscal y al personal al servicio de la Administración de Justicia a la Ley 30/1992 (en la actualidad Ley 39/2015).

– En el mencionado RD 1765/1994 no se establece la obligación de la publicación en el BOE de las licencias o excedencias voluntarias de las/los fiscales para que las mismas se puedan hacer efectivas por lo que, salvo que exista otra disposición normativa que así lo estableciera, la publicación o difusión de los mencionados datos personales carecería de la base legal legitimadora de dicho tratamiento.

– En cualquier caso, de existir una norma reglamentaria que estableciera la exigencia de la publicación en el BOE de las referidas situaciones, el Delegado de Protección de Datos considera que la misma pudiera ser contraria al principio de minimización en el tratamiento de datos personales el cual exige que los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados [art. 5. 1 c) RGPD].

– El RGPD tiene un alcance general, obligatorio y directamente aplicable en cada Estado miembro (ex art. 288 del Tratado de Funcionamiento de la Unión Europea), A su vez, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en el apartado 3 de la Disposición Derogatoria Única, expresamente dispone que quedan derogadas cuantas disposiciones de igual o inferior rango contradigan, se opongan, o resulten incompatibles con lo dispuesto en el RGPD y en dicha ley orgánica.

En virtud de todo ello, se instó a que por la Inspección Fiscal únicamente se comunique al Ministerio de Justicia aquellos datos personales que sean imprescindibles para el reconocimiento y efectividad de las licencias y excedencias de las/los fiscales, así como para que trasladen a dicho Ministerio las consideraciones antes expuestas a fin de evitar, en el futuro, la difusión por medio del BOE de datos personales de las/los fiscales que, en los términos antes expresados, pudiera ser contraria a la normativa de protección de datos personales.

3. Las actuaciones iniciadas en 2020 con el fin de promover de la Unidad de Apoyo de la Fiscalía General del Estado la actualización de la web fiscal.es a la normativa vigente en materia de protección de datos culminaron, en septiembre de 2021, con la entrada en producción de la correspondiente sección.

Para ello por el DPD se procedió a establecer el diseño y contenido de dicho portal, así como, por estar directamente vinculado, a elaborar el inventario de registro de actividades de tratamiento del Ministerio Fiscal, así como el contenido de todos y cada uno de los registros de conformidad con lo establecido en el art. 31.2 de la LO 3/2018.

Como consecuencia de la promulgación de la LO 7/2021 se añadieron nuevos registros al inventario RAT, concretamente los relativos a gestión procesal penal, diligencias de investigación, menores de reforma y cooperación internacional.

4. En el marco de las funciones de concienciación y formación [ex art. 39.1 b)] por el DDP se asumió la dirección del curso «El derecho a la protección de datos personales y el Ministerio Fiscal» celebrado en diciembre de 2021 y organizado por el Centro de Estudios Jurídicos el cual tuvo como objetivo profundizar en el conocimiento del derecho a la protección de datos personales y su relevancia en las funciones encomendadas al Ministerio Fiscal.

8.2.6 Informe a la Fiscal General del Estado

El año 2021 culminó con la dación de cuentas del DPD a la Excma. Sra. Fiscal General del Estado en la que, en cumplimiento de lo establecido en el artículo 38.3 RGPD y apartado 7.2 de la Instrucción FGE 2/2019, se dio cuenta sobre el grado de implementación de la normativa de protección de datos, así como las exigencias y retos que esta materia impondrá al Ministerio Fiscal.

Dadas las funciones encomendadas (entre las que se encuentran las labores de supervisión de las fiscalías, unidades y órganos fiscales), el notable incremento de la actividad desarrollada el reciente reconocimiento legal en virtud de la LO 7/2021 de la Unidad de Protección de Datos cuya implementación requerirá un profundo estudio a fin de determinar su organización, funcionamiento e integración con la figura del DPD, y por ser el único modo de garantizar que el DPD, de conformidad con la normativa de protección de datos, «participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos» (art. 38.1 RGPD), se trasladó a la Fiscal General del Estado la petición de que se arbitrasen los medios a fin de que, en el menor plazo posible, el DPD pudiera llevar a cabo sus funciones en exclusividad dado que, y hasta la fecha de la elaboración de la presente Memoria, las mismas se compatibilizan con la labor que también ejerce como Fiscal del Tribunal Supremo.