9.3 Consultas elevadas al DPD
9.3.1 Por la Unidad especializada en protección de personas con discapacidad y mayores se formuló consulta respecto de la base legal que legitimase el acceso del Ministerio Fiscal –en aquellos supuestos en los que no es posible recabar el consentimiento de la persona con discapacidad– a la historia clínica e información médico asistencial, a informes y expedientes de servicios sociales e información de relevancia patrimonial y contable en poder de administraciones y entidades privadas así como, en su caso, la comunicación de esa información a terceros.
Por el DPD se realizaron, entre otras, las siguientes consideraciones:
1. La normativa actual otorga al Ministerio Fiscal un papel esencial en defensa de los derechos fundamentales de las personas con discapacidad, lo cual conlleva que cualquier operación o conjunto de operaciones de tratamiento de las descritas en el artículo 4.2 RGPD (p. ej.: recogida, registro, organización, estructuración, conservación, extracción, consulta, utilización, comunicación por transmisión, difusión) efectuada por el Ministerio Fiscal en el seno de las diligencias preprocesales en materia de discapacidad a los efectos previstos en la normativa de aplicación (CC, LEC, Ley de Jurisdicción Voluntaria, EOMF, etc.) constituye un tratamiento de datos licito al fundamentarse en el cumplimiento de obligaciones legales y en actuaciones realizadas en interés público o en el ejercicio de poderes públicos, lo que a su vez conlleva que no sea precisa la existencia de previsión normativa adicional para dotar de legitimidad a dicho tratamiento.
a) En lo que se refiere a las operaciones de tratamiento de recogida y de recopilación de datos, las autoridades, funcionarios u organismos o particulares deberán atender inexcusablemente el requerimiento efectuado dentro de los límites legales por el Ministerio Fiscal (art. 4.5 párrafo segundo EOMF).
Dadas las funciones constitucional y legalmente atribuidas al Ministerio Fiscal en defensa de los derechos de las personas con discapacidad, la expresión «dentro de los límites legales» no debe interpretarse como una facultad de supervisión o control otorgada a las personas o instituciones requeridas, sino como un recordatorio dirigido a los fiscales en el sentido de que los requerimientos que efectúe habrán de realizarse conforme a Derecho (p. ej. la previa autorización judicial para el correspondiente acceso a los datos personales obrantes en la historia clínica) y en el marco de sus competencias.
En este aspecto, si bien el Ministerio Fiscal se encuentra legitimado para tratar datos personales, incluidos las categorías especiales de datos como los relativos a la salud, la normativa nacional exige la previa autorización judicial para acceder a los datos obrantes en la historia clínica, que constituye un límite legal a respetar en los términos contemplados en artículo 4.5 párrafo segundo EOMF. Por ello, los centros sanitarios pueden considerar que ostentan legitimación para oponerse al requerimiento efectuado por los fiscales para la obtención de datos obrantes en la historia clínica y que, en caso de obtenerse los mismos –al ser dicha actuación contraria a la normativa de protección de datos– y pretendieran aportarse como prueba al proceso, esta pudiera llegar a ser inadmitida (arts.11.1 y 236 ter 1 LOPJ).
b) En cuanto a la comunicación de datos personales a órganos judiciales, organismos o servicios colaboradores del MF, necesaria para el correcto ejercicio de las funciones que este tiene encomendadas, dicha operación de tratamiento no se puede considerar incompatible con los fines para los que inicialmente aquellos fueron recabados sino que, por el contrario, la comunicación de dichos datos se lleva a cabo precisamente para el cumplimiento de fines directamente relacionados con las funciones legítimas del Ministerio Fiscal y de aquellas instituciones, órganos y/o personas que contribuyen a garantizar un bien de relevancia constitucional, en este caso, procurar el desarrollo pleno de la personalidad y el desenvolvimiento jurídico en condiciones de igualdad de las personas con discapacidad.
Una muestra de la legitimidad del Ministerio Fiscal para tratar los datos personales (en concreto respecto de la recogida, consulta, utilización y cesión) es el hecho de que el artículo 42 bis b) 1 LJV dispone que cuando haya conocido hechos que puedan ser determinantes de una situación que requiera la adopción judicial de medidas de apoyo deberá iniciar el expediente a fin de requerir la adopción judicial de dichas medidas y habrá de acompañar los documentos que acrediten la necesidad de su adopción (documentación que necesariamente habrá sido obtenida de alguna persona, organismo o institución), así como un dictamen pericial de los profesionales especializados de los ámbitos social y sanitario que aconsejen las medidas de apoyo que resulten idóneas en cada caso (profesionales a los cuales previamente se les habrá trasladado la información y documentación necesaria para el correcto ejercicio de ese cometido), y deberá proponer aquellas pruebas que se considere necesario practicar en la comparecencia (para lo cual, previamente, deberá disponer de la información más completa posible a fin de instar la práctica de aquellas pruebas que sean más pertinentes a las concretas circunstancias de cada supuesto).
En cualquier caso, las personas, servicios o instituciones a los que el Ministerio Fiscal comunique datos personales deberán cumplir con la normativa general de protección de datos (art. 236 quinquies 3 LOPJ), lo cual deberá ser recordado en los términos que se recogió en la Guía Básica de Actuaciones en materia de Protección de Datos difundida por el DPD en junio de 2022 mediante la correspondiente cláusula obrante en el oficio de remisión.
c) Es legítimo el tratamiento de datos personales efectuado por el Ministerio Fiscal con fines de investigación penal, aunque aquellos se obtuvieran o trataran inicialmente con una finalidad distinta, dado que este ulterior tratamiento constituye una medida necesaria y proporcionada en una sociedad democrática para salvaguardar determinados e importantes intereses, en este caso la prevención, investigación, detección o enjuiciamiento de infracciones penales.
2. El tratamiento de datos personales por el Ministerio Fiscal, y en consecuencia todas las actuaciones llevadas a cabo en el marco de las diligencias preprocesales, se ha de guiar por el principio de minimización, el cual exige que cualquier operación de tratamiento que se efectúe sobre datos personales sea adecuada, pertinente y limitada a lo necesario en relación con los fines para los que son tratados.
En ese aspecto, los decretos en los que se acuerden aquellas actuaciones que se estimen precisas para la defensa de los derechos de la persona con discapacidad, únicamente deberán recabar aquella información que sea necesaria para el estricto cumplimiento de las funciones legalmente atribuidas.
Todo ello tal como también se plasmó en uno de los Anexos de la mencionada Guía Básica de Actuaciones en materia de Protección de Datos difundida por el DPD.
3. Íntimamente relacionado con lo anterior se encuentra el deber de motivación que como recoge la Instrucción FGE 1/2005, sobre la forma de los actos del Ministerio Fiscal, es una consecuencia indeclinable del principio de interdicción de la arbitrariedad que vincula a todos los poderes públicos (art. 9.3 CE) que deriva directamente de imperativos constitucionales, vinculados al Estado social y democrático de Derecho (art. 1.1 CE).
La adecuada motivación de los decretos no solo redundará en el incremento del prestigio y la credibilidad de la Institución, sino que cuando se solicite la pertinente colaboración servirá también para vencer las posibles reticencias de las personas e instituciones requeridas derivadas del desconocimiento de la legitimación y facultades del MF en este ámbito, así como, indirectamente, para informar a las mismas que el propio requerimiento efectuado por el Ministerio Fiscal en el ejercicio de sus funciones les dota, a su vez, de base legal para comunicar la información y/o datos solicitados.
4. Finalmente, y con el fin de procurar una seguridad adecuada, los accesos que los fiscales (y/o funcionarios) realicen con motivo de la tramitación de las diligencias preprocesales a bases de datos, tanto internas como externas, que se encuentran a disposición del MF (por ej. por medio del escritorio integrado o del Punto Neutro Judicial) deberán llevarse a cabo cumpliendo las obligaciones y requisitos impuestos para su correcta utilización.
9.3.2 Por una fiscalía provincial se formuló consulta respecto a cómo compatibilizar la protección de las víctimas con el derecho de estas a la protección de sus datos personales, ya que la Oficina de Atención a la Víctima (OAVD), tras no obtener respuesta satisfactoria por parte de determinados juzgados o tribunales, se dirige a dicha fiscalía provincial con el fin de solicitar datos personales de las victimas y se ignora por dicha fiscalía si estas han prestado o no su previo consentimiento.
Tras las correspondientes consideraciones jurídicas se trasladó lo siguiente:
– La Fiscalía antes de comunicar a la OAVD cualquier dato personal de una víctima mayor de edad –ya sea directa o indirecta– debiera cerciorarse de que esta ha prestado su consentimiento con esa específica finalidad. Consentimiento que deberá haber sido expreso, libre e informado.
– En caso de que resulte necesaria su derivación, y no conste el previo consentimiento de la víctima, esta debiera ser citada en Fiscalía a fin de recabar el mismo en los términos antes expresados.
– Una vez se disponga del consentimiento de la víctima se procurará evitar el traslado de copia íntegra de la denuncia a la OAVD o de cualquier otra documentación que pueda contener datos personales que no precisen ser conocidos por dicho servicio para cumplir con su función. En cada supuesto deberá examinarse, con el mayor rigor, la pertinencia de dar a conocer a la OAVD determinados datos personales o datos personales de terceros procediendo, siempre que no sea imprescindible para la protección extraprocesal de la víctima, a su eliminación.
– A fin de recordar a las OAVDs el obligado cumplimiento de la normativa de protección de datos en los correspondientes oficios de remisión se habrá de incluir como pie de página la siguiente cláusula:
«La comunicación de los datos de carácter personal que pudieran figurar en el documento adjunto, no previamente seudonimizados o anonimizados, se realiza en cumplimiento de las funciones legales y estatutarias encomendadas al Ministerio Fiscal y al amparo de la vigente normativa de protección de datos.
La referida normativa también es de aplicación al destinatario o destinatarios de esos datos personales los cuales no podrán ser objeto de tratamiento ulterior con una finalidad distinta a la que ha motivado su actual comunicación. En todo caso deberán adoptarse las medidas necesarias para evitar cualquier tratamiento no autorizado o ilícito.»
A dicho informe se adjuntó un modelo de Diligencia de Consentimiento de las víctimas de delito a prestar en Fiscalía, para la remisión de sus datos personales a las OAVDs.
El referido informe junto con la documentación anexa, fue remitido a la Excma. Sra. Fiscal de Sala Delegada para la Protección de las Víctimas en el proceso penal quien lo difundió por medio de la red de fiscales delegados a los efectos de su debida implementación en todo el ámbito nacional.
9.3.3 Por la Unidad Apoyo se formuló consulta al DPD en relación a la cláusula de protección de datos respecto de un concurso de fotografía convocado por la FGE. Se propuso la cláusula que debía incorporarse a las bases del referido concurso lo que dio lugar a la actualización del Registro de Actividades de Tratamiento (en adelante, RAT) del Ministerio Fiscal incluyendo el relativo a la gestión de certámenes, concurso y premios.
En año 2023 el RAT del Ministerio Fiscal también fue actualizado al incorporarse a instancia del DPD los registros de tratamiento relativos a la actividad de la Comisión Ética del Ministerio Fiscal de conformidad con las Reglas de organización y funcionamiento de la Comisión de Ética Fiscal aprobadas por el Consejo Fiscal el 20 de noviembre de 2020 así como el relativo al Sistema Interno de Información de conformidad con la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
Dichas modificaciones tuvieron su reflejo en el apartado correspondiente del portal web fiscal.es, cuya información también ha sido actualizada en lo que se refiere a la información relativa al ejercicio de los derechos de protección de datos, y respecto de las unidades del Ministerio Fiscal competentes para atender esas solicitudes.
9.3.4 Por una fiscalía provincial se formuló consulta a raíz de que por la correspondiente audiencia provincial no se consideraba valida la citación de los testigos en los escritos de acusación mediante su remisión al «número de acontecimiento» del expediente digital al considerar que se debía hacer constar el domicilio en base al artículo 656 LECrim. A la vista de ello se trasladaron, entre otras, las siguientes consideraciones:
– La LO 7/2021 que regula el tratamiento de datos personales para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, no modificó ni introdujo artículo alguno en la LECrim.
– No obstante, la LO 7/2021 recoge los principios que obligan a las autoridades competentes en el tratamiento de datos con finalidad prevista en dicha norma y en el 236 quinquies 1) LOPJ se exige que las resoluciones y actuaciones procesales se lleven a cabo conforme al principio de minimización, es decir, los datos personales objeto del tratamiento serán los adecuados, pertinentes y limitados a lo necesario en relación con la finalidad para la que son tratados.
– Por tanto, la aplicación de la norma procesal por parte de todos los operadores jurídicos ha de cumplir las exigencias impuestas por los principios que constituyen el fundamento del derecho a la protección de datos.
– A ello se ha de sumar, en este caso concreto, la conveniencia de evitar la consignación del concreto domicilio de víctimas y testigos a fin de velar por su derecho a la protección recogido en el artículo 19 Ley 4/2015, del Estatuto de la Víctima del Delito.
Dicha cuestión, además de tener implicaciones respecto a la admisión de los escritos y/o validez de la prueba propuesta, afecta al principio de exactitud en el tratamiento de datos por lo que se sugirió que, al indicar el domicilio de la víctima/testigo en los escritos de calificación, los fiscales hagan referencia no solo al número de acontecimiento sino también al concreto folio o página en la que dicho domicilio aparece consignado.
9.3.5 En respuesta a la consulta cursada por la Unidad de Apoyo de la FGE relativa a la solicitud de acceso automatizado a los documentos obrantes en las bases de datos del entorno de producción del sistema de información Fortuny con la finalidad de alimentar el motor de búsqueda (en adelante Delfos) efectuada por la Dirección General de Transformación Digital de la Administración de Justicia (DGTDAJ) se trasladaron, entre otras, las siguientes consideraciones:
– Fortuny constituye una herramienta electrónica que documenta el proceso de toma de decisiones del Ministerio Fiscal al incorporarse en ella, no solo los documentos provenientes de los procesos en los que interviene el Ministerio Fiscal sino también, y además de los dictámenes definitivos, aquellos que temporalmente se encuentran en fase de borrador, así como los extractos y los correspondientes visados.
– Según el documento elaborado por la DGTDAJ, Delfos es una herramienta informática que básicamente tiene por objeto facilitar el acceso y consulta a aspectos contenidos en documentos obrantes en Fortuny cuya puesta en marcha no se llevó a cabo a iniciativa de la Fiscalía General del Estado de lo que se infiere que la misma, hasta la fecha, no ha participado en su desarrollo ni en el diseño de sus funcionalidades.
– El Comité Europeo de Protección de Datos en sus Directrices 4/2019 relativas al artículo 25 RGPD indica que los responsables de tratamiento tienen el deber de integrar la PDDD en sus actividades de tratamiento ya que esta disposición fomenta la adopción de los principios de protección de datos, señalando expresamente que, en este sentido, las administraciones públicas deben predicar con el ejemplo.
En este aspecto, en base a lo recogido en dichas Directrices, a lo dispuesto en la Instrucción FGE 2/2019 y en el artículo 236 sexies LOPJ, el Ministerio Fiscal dentro del marco de sus competencias y de sus facultades de actuación, es el responsable del cumplimiento de las obligaciones en materia de PDDD que afectan a las operaciones de tratamiento realizadas por sus encargados.
Por tanto, al desarrollar, diseñar, seleccionar y usar aplicaciones, servicios y productos que están basados en el tratamiento de datos personales o que tratan datos personales para cumplir su función, ha de procurarse el cumplimiento de las obligaciones impuestas por la normativa de protección de datos.
– El artículo 25.2 RGPD enumera las dimensiones de la obligación de minimización de datos para el tratamiento por defecto, cuando establece que la obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad.
En base a lo anteriormente expuesto, el Delegado de Protección de Datos informó en sentido negativo a la autorización de acceso a la BBDD de Fortuny para la ingesta de los documentos con la finalidad de alimentar Delfos hasta que por la Fiscalía General de Estado no se apreciase, a la vista de la singular naturaleza del corpus documental contenido en Fortuny y del acceso indiscriminado que se pretende, la necesidad y/o concreta utilidad práctica que dicha herramienta electrónica puede reportar al Ministerio Fiscal para el ejercicio de su misión –ya sea en su conjunto o a alguna de las unidades u órganos que lo componen–, debiéndose fijar, en caso de que la conclusión fuera afirmativa, los criterios para determinar los privilegios de consulta y acceso.
Finalmente, el FGE a la vista de dicho informe y tras oír a las unidades implicadas no consideró conveniente la implementación de dicha herramienta por lo que no se autorizó el acceso solicitado.
9.3.6 Se colaboró, tras las consultas efectuadas por las distintas unidades de la FGE en aquello que afectaba a la protección de datos personales, en la elaboración de las conclusiones de diversas jornadas de especialistas, concretamente en las de discapacidad y mayores, así como en las de delitos de odio y contra la discriminación.
9.3.7 Respecto del informe emitido por el DPD a raíz de la consulta efectuada por la Unidad especializada de Violencia sobre la Mujer en relación con la posibilidad de que la Policía Judicial pudiera trasladar a las víctimas denunciantes información relativa a los antecedentes por violencia de género de su pareja agresora, y al que se hizo referencia en la Memoria del pasado año, se ha de señalar que en base a los criterios en él marcados se dictó por la Secretaría de Estado de Seguridad la Instrucción 1/2023 por la que desarrolla la obligación de comunicación a la víctima de los antecedentes del agresor en los denominados casos de «agresores persistentes» y otras medidas de protección y seguridad en los casos de violencia de género.