Protecció de dades

La Dirección de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial (a partir de ahora “la Dirección”) examinó la problemática suscitada respecto a quién es la autoridad de control competente en los tratamientos de datos personales que llevan a cabo los Institutos de Medicina legal (IML) en el ejercicio de sus funciones.

Específicamente, fue la Comunidad Autónoma de Galicia la que elevó la consulta a la Oficina de Gobierno de Ciberseguridad del Comité Técnico Estatal de la Administración Judicial Electrónica (CTEAJE). En dicha consulta, se plantea la duda sobre si la competencia la tiene la Dirección de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial, o, en su caso, la Unidad de Supervisión y Control de Protección de Datos de la Fiscalía General del Estado (FGE).

La Dirección informa de sus competencias y funciones otorgadas por la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial (LOPJ), el Reglamento General de Protección de Datos 2016/679 (RGPD) y la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales. Estas funciones se llevan a cabo sin perjuicio que en el caso concreto sea necesario acudir a un marco de colaboración con autoridades de control como, por ejemplo, la Autoridad Catalana de Protección de Datos (APDCAT), o el Consejo de Transparencia y Protección de Datos de Andalucía (CTPDA), entre otras.

Por otra parte, analiza 2 pronunciamientos:

• El primero, de la APDCAT en el que se declaró incompetente para resolver una solicitud de cancelación de datos personales ante un IML, que había realizado una valoración pericial y social a solicitud de un Juzgado de Primera Instancia, dado que entendía que la adecuación o el exceso del informe pericial, en el contexto de un proceso judicial, excedía su ámbito competencial.
• El segundo, del CTPDA relativo a una reclamación sobre el derecho de acceso a informes forenses y entrevistas de valoración realizados por el IML de Huelva en el marco de varios procesos judiciales que sostiene que los datos personales tratados por los IML en estos casos se incorporan a los ficheros de datos jurisdiccionales de la Administración de Justicia, cuya responsabilidad recae en el órgano jurisdiccional. Además, la resolución enfatiza la función de auxilio judicial de los IML, conforme al artículo 479.1 de la LOPJ, y su papel como encargados del tratamiento, sujetos a las instrucciones del órgano judicial.

Estos ejemplos demuestran la tendencia de las autoridades de control a declinar su competencia en aquellos casos en que los tratamientos de datos de los IML se realizan en el contexto de la función jurisdiccional, reconociendo el papel predominante de los órganos judiciales en la determinación de los fines y medios del tratamiento.

La sentencia del Tribunal de Justicia de la Unión Europea de 24 de marzo de 2022 especifica la definición de los conceptos “tratamientos y fines jurisdiccionales”. Según el TJUE, en el contexto del art. 55.3 del RGPD, deben entenderse estos conceptos no solo como los tratamientos de datos personales llevados a cabo por los órganos jurisdiccionales en el marco de asuntos concretos, si no, de una manera más amplia al “conjunto de operaciones de tratamiento efectuadas por los órganos jurisdiccionales en el marco de su actividad jurisdiccional, de modo que estén excluidas de la competencia de la autoridad de control las operaciones de tratamiento cuyo control por dicha autoridad pudiera tener, directa o indirectamente, influencia sobre la independencia de sus miembros o pesar sobre sus decisiones.”

En lo respectivo a la naturaleza de los IML, basándose en la LOPJ y el Real Decreto 144/2023, de 28 de febrero, por el que se aprueba el Reglamento de los Institutos de Medicina Legal y Ciencias Forenses, se destaca su condición de órganos técnicos al servicio de la Administración de Justicia, cuya función principal es auxiliar a juzgados, tribunales y fiscalías en el ámbito de su disciplina científica y técnica. También se subraya su dependencia funcional de los órganos jurisdiccionales en el ejercicio de estas funciones de auxilio.

Además, en referencia a la protección de datos, el informe concluye que, en el contexto de su relación con los órganos jurisdiccionales, los IML actúan como encargados del tratamiento, mientras que los órganos jurisdiccionales ostentan la condición de responsables del tratamiento. Esta distinción se fundamenta en la naturaleza de las funciones de los IML, su dependencia funcional y el hecho de que son los órganos jurisdiccionales quienes determinan los fines y medios del tratamiento. Asimismo, los ejercicios de derechos deberán realizarse ante el órgano jurisdiccional y no ante el Instituto de Medicina Legal correspondiente, puesto que de lo contrario podría verse afectado el procedimiento judicial.

Finalmente, el informe determina que la Autoridad de Control de Protección de Datos competente para supervisar los tratamientos de datos personales realizados por los IML en el ejercicio de sus funciones de auxilio judicial es la Dirección de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial. Esta conclusión se basa en la consideración de que dichos tratamientos de datos se realizan con fines jurisdiccionales, al estar directamente vinculados a la actividad de los órganos jurisdiccionales en el marco de los procesos judiciales.

Este análisis resulta de gran utilidad para los profesionales del derecho, los operadores jurídicos y las autoridades de control, al proporcionar un marco de referencia claro y fundamentado para la aplicación de la normativa de protección de datos en este ámbito.

Los que hablamos de protección de datos, en realidad, siempre nos referimos a la protección de las personas, ya que los datos personales son la expresión de la persona en todos los ámbitos de su vida. Por otro lado, tanto la elaboración como la interpretación del derecho son siempre una cuestión de sentido común. Teniendo en cuenta ambas premisas, es como debemos interpretar la multa de 120.000 euros que la Agencia Española de Protección de Datos (AEPD), en el expediente EXP202411409, ha terminado imponiendo a una empresa por el incumplimiento del artículo 5.1.f) del Reglamento General de Protección de Datos. ¿Y qué dice el artículo 5.1.f)? Pues algo tan sencillo como que los datos personales deben ser tratados aplicando una “seguridad adecuada”. (más…)

El Ministerio de Trabajo de la República Francesa ha publicado los resultados del estudio anual de la profesión de delegado de Protección de Datos (DPD), realizado con el apoyo de la CNIL Commission nationale del informatique et des libertés (Comisión nacional de informática y libertades de Francia), que es la autoridad de control en materia de protección de datos en Francia. El estudio se ha realizado mediante encuestas a los mismos DPDs entre los años 2019-2021.

Destaca el resultado de la formación de los DPDs consultados que un tercio de los mismos responden que no ha realizado ninguna formación en tecnologías de la información, así como tampoco del Reglamento General de Protección de Datos (RGPD) desde el año 2016, lo que supone más de 7 puntos respecto al citado año. Se señala que la CNIL lo estudiará particularmente porque los responsables y encargados del tratamiento que hayan designado un DPD deben proporcionarle los recursos necesarios para mantener los conocimientos especialidades conforme al artículo 38.2 del RGPD. (más…)

Se ha publicado el informe jurídico de la Agencia Española de Protección de Datos número de referencia 0037/2022 en el cual se da respuesta a aspectos cruciales de la figura del delegado de protección de datos (en adelante, DPD), como son los criterios de formación técnica y práctica para la correcta designación de DPD, o las dudas acerca de la validez legal de designar personas vinculadas con la propia organización como DPD o designar DPD externo.

En efecto, la figura del DPD se incorpora a nuestro ordenamiento jurídico en virtud de lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos por el que se deroga la Directiva 95/46/CE (RGPD), concretamente en los artículos 37 a 39, en los que se define esta figura, así como su posición y funciones. Por su parte, en la Ley orgánica 3/2018, de 5 de diciembre, de protección de datos y garantía de derechos digitales (LOPDGDD) se desarrollan algunos aspectos en los artículos 34 a 37, de los cuales se destaca la concreción de las entidades que en todo caso tienen que designar un DPD. También, en cuanto al régimen sancionador, ya que en el artículo 73 se tipifica como infracción grave “El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento”, o “No posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones”, así como una infracción leve, según el artículo 74, en “No publicar los datos de contacto del delegado de protección de datos, o no comunicarlos a la autoridad de protección de datos, cuando su nombramiento sea exigible”. (más…)

Coincidiendo con el día de la Protección de Datos en Europa, el pasado 28 de enero, la Agencia Española de Protección de datos (AEPD) publicó a los ganadores de los premios Protección de datos 2021.

Los premios pretenden ser un reconocimiento a los trabajos que promueven la difusión y conocimiento del derecho fundamental a la protección de datos y su aplicación práctica en diferentes entornos. Este año los premiados según categorías han sido los siguientes:

En la categoría de comunicación se ha premiado a Atresmedia por la difusión de campañas e iniciativas comprometidas con la protección de datos. Puede consultar el Pacto Digital para la Protección de las Personas, I Foro de Privacidad, Innovación y sostenibilidad, un solo clic puede arruinarte la vida, lo padres o lo pasas, así como la difusión de contenidos específicos del canal prioritario de la AEPD. (más…)

Hemos iniciado el año con la presentación de los Servicios de Protección de Datos del curso 2022 en la Unión Catalana de Hospitales. Los pasados días ​​11 y 14 de enero se realizaron las sesiones dirigidas a las entidades adheridas y se explicó el programa previsto, servicios que se ofrecen y los retos de futuro. Las sesiones fueron moderadas por Vanessa Massó, Josep Maria Bosch y Caterina Bartrons, gerente de los Servicios Jurídicos de Faura-Casas, y reunieron a más de 80 representantes de entidades del sector sanitario y social.

Ha quedado aprobada en Andorra la Ley 29/2021, de 28 de octubre, calificada de protección de datos personales, que entrará en vigor en mayo de 2022.

Esta Ley tiene por objeto actualizar la normativa relativa al tratamiento que, tanto personas o entidades privadas como la Administración pública andorrana, realizan de los datos correspondientes a personas físicas acogiéndose a la nueva regulación europea, contenida en el Reglamento general de protección de datos y modernizando el marco jurídico existente basado en la Ley 15/2003, de 18 de diciembre, calificada de protección de datos personales. En efecto, han transcurrido dieciocho años desde que el Consejo General aprobó la primera Ley calificada de protección de datos personales y su revisión era necesaria. (más…)

Fruto del acuerdo entre PSOE y PP, el pasado viernes 21 de octubre se dieron a conocer los nombres de las personas que relevarán a la dirección de la Agencia Española de Protección de Datos (AEPD), así como la nueva composición de organismos como el Tribunal de Cuentas, el Tribunal Constitucional y el Defensor del Pueblo.

La nueva directora de la AEPD será Belén Cardona Rubert que relevará en el cargo a Mar España Martí, que lideraba la entidad desde julio de 2015. (más…)

Ya de pleno en el 2021, llega el momento en que la Agencia Española de Protección de Datos publica su memoria anual sobre el año anterior, un año -no hay que decirlo- marcado por una pandemia sin precedentes que lo ha condicionado todo. Como no podía ser de otro modo, la actividad de la AEPD durante el año 2020 se ha centrado en buena parte a garantizar y compatibilizar el derecho a la protección de datos con las medidas destinadas a minimizar los estragos de la COVID-19. (más…)

El pasado día 27 de enero y 9 de febrero, Caterina Bartrons, nuestra gerente de Servicios Jurídicos participó en las correspondientes presentaciones de la FUCH (Fundación Unión Catalana de Hospitales) sobre el proceso de acreditación del Nuevo Código de Conducta y los servicios de Protección de datos para entidades adheridas dentro y también fuera de Catalunya. Coincidiendo así con el Día Europeo de la Protección de datos acompaña seleccionados la gestión ética de los datos sanitarios y sociales con el Código Tipo y el nuevo Código de Conducta.

Infografía: http://bit.ly/PdD2021