processos judicials

La Dirección de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial (a partir de ahora “la Dirección”) examinó la problemática suscitada respecto a quién es la autoridad de control competente en los tratamientos de datos personales que llevan a cabo los Institutos de Medicina legal (IML) en el ejercicio de sus funciones.

Específicamente, fue la Comunidad Autónoma de Galicia la que elevó la consulta a la Oficina de Gobierno de Ciberseguridad del Comité Técnico Estatal de la Administración Judicial Electrónica (CTEAJE). En dicha consulta, se plantea la duda sobre si la competencia la tiene la Dirección de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial, o, en su caso, la Unidad de Supervisión y Control de Protección de Datos de la Fiscalía General del Estado (FGE).

La Dirección informa de sus competencias y funciones otorgadas por la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial (LOPJ), el Reglamento General de Protección de Datos 2016/679 (RGPD) y la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales. Estas funciones se llevan a cabo sin perjuicio que en el caso concreto sea necesario acudir a un marco de colaboración con autoridades de control como, por ejemplo, la Autoridad Catalana de Protección de Datos (APDCAT), o el Consejo de Transparencia y Protección de Datos de Andalucía (CTPDA), entre otras.

Por otra parte, analiza 2 pronunciamientos:

• El primero, de la APDCAT en el que se declaró incompetente para resolver una solicitud de cancelación de datos personales ante un IML, que había realizado una valoración pericial y social a solicitud de un Juzgado de Primera Instancia, dado que entendía que la adecuación o el exceso del informe pericial, en el contexto de un proceso judicial, excedía su ámbito competencial.
• El segundo, del CTPDA relativo a una reclamación sobre el derecho de acceso a informes forenses y entrevistas de valoración realizados por el IML de Huelva en el marco de varios procesos judiciales que sostiene que los datos personales tratados por los IML en estos casos se incorporan a los ficheros de datos jurisdiccionales de la Administración de Justicia, cuya responsabilidad recae en el órgano jurisdiccional. Además, la resolución enfatiza la función de auxilio judicial de los IML, conforme al artículo 479.1 de la LOPJ, y su papel como encargados del tratamiento, sujetos a las instrucciones del órgano judicial.

Estos ejemplos demuestran la tendencia de las autoridades de control a declinar su competencia en aquellos casos en que los tratamientos de datos de los IML se realizan en el contexto de la función jurisdiccional, reconociendo el papel predominante de los órganos judiciales en la determinación de los fines y medios del tratamiento.

La sentencia del Tribunal de Justicia de la Unión Europea de 24 de marzo de 2022 especifica la definición de los conceptos “tratamientos y fines jurisdiccionales”. Según el TJUE, en el contexto del art. 55.3 del RGPD, deben entenderse estos conceptos no solo como los tratamientos de datos personales llevados a cabo por los órganos jurisdiccionales en el marco de asuntos concretos, si no, de una manera más amplia al “conjunto de operaciones de tratamiento efectuadas por los órganos jurisdiccionales en el marco de su actividad jurisdiccional, de modo que estén excluidas de la competencia de la autoridad de control las operaciones de tratamiento cuyo control por dicha autoridad pudiera tener, directa o indirectamente, influencia sobre la independencia de sus miembros o pesar sobre sus decisiones.”

En lo respectivo a la naturaleza de los IML, basándose en la LOPJ y el Real Decreto 144/2023, de 28 de febrero, por el que se aprueba el Reglamento de los Institutos de Medicina Legal y Ciencias Forenses, se destaca su condición de órganos técnicos al servicio de la Administración de Justicia, cuya función principal es auxiliar a juzgados, tribunales y fiscalías en el ámbito de su disciplina científica y técnica. También se subraya su dependencia funcional de los órganos jurisdiccionales en el ejercicio de estas funciones de auxilio.

Además, en referencia a la protección de datos, el informe concluye que, en el contexto de su relación con los órganos jurisdiccionales, los IML actúan como encargados del tratamiento, mientras que los órganos jurisdiccionales ostentan la condición de responsables del tratamiento. Esta distinción se fundamenta en la naturaleza de las funciones de los IML, su dependencia funcional y el hecho de que son los órganos jurisdiccionales quienes determinan los fines y medios del tratamiento. Asimismo, los ejercicios de derechos deberán realizarse ante el órgano jurisdiccional y no ante el Instituto de Medicina Legal correspondiente, puesto que de lo contrario podría verse afectado el procedimiento judicial.

Finalmente, el informe determina que la Autoridad de Control de Protección de Datos competente para supervisar los tratamientos de datos personales realizados por los IML en el ejercicio de sus funciones de auxilio judicial es la Dirección de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial. Esta conclusión se basa en la consideración de que dichos tratamientos de datos se realizan con fines jurisdiccionales, al estar directamente vinculados a la actividad de los órganos jurisdiccionales en el marco de los procesos judiciales.

Este análisis resulta de gran utilidad para los profesionales del derecho, los operadores jurídicos y las autoridades de control, al proporcionar un marco de referencia claro y fundamentado para la aplicación de la normativa de protección de datos en este ámbito.