Agencia Estatal Boletín Oficial del Estado
La Comisión Permanente del Consejo de Estado, en sesión celebrada el día 28 de enero de 2021, , emitió, por unanimidad, el siguiente dictamen: El Consejo de Estado ha examinado el expediente relativo al anteproyecto de Ley Orgánica de protección de datos personales tratados para fines de prevención, detección, investigación o enjuiciamiento de infracciones penales y de ejecución de sanciones penales, así como de protección y prevención frente a las amenazas contra la seguridad pública, remitido por Orden comunicada de V. E. de fecha 3 de noviembre de 2020 (con registro de entrada el día 10 de noviembre de 2020 y completado ulteriormente el día 5 de diciembre siguiente).
A N T E C E D E N T E S
De antecedentes resulta:
PRIMERO.- Sobre el contenido del anteproyecto de Ley Orgánica
El anteproyecto de Ley Orgánica sometido a consulta consta de una exposición de motivos, sesenta y un artículos, dos disposiciones adicionales, una disposición derogatoria y once disposiciones finales. I.- El anteproyecto se inicia con una exposición de motivos que comienza por recordar el marco normativo de la protección de datos en el seno de la Unión Europea y, en particular, la nueva perspectiva que ofrece la Comunicación de la Comisión Europea, de fecha 4 de noviembre de 2010, denominada, "Un enfoque global de la protección de los datos personales en la Unión Europea", que establece las bases de una nueva regulación europea en materia de protección de datos, acorde a las necesidades derivadas del rápido desarrollo tecnológico y de la creciente globalización de la economía mundial y europea. A tal fin se adoptó: el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (que dio lugar en el ámbito interno a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales); y la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (de cuya transposición al ordenamiento jurídico interno ahora se trata).
La exposición de motivos destaca que la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, se aprobó con la finalidad de dar respuesta a las crecientes amenazas para la seguridad en el orden nacional e internacional en el contexto de la lucha contra el terrorismo, cuyo carácter transfronterizo demanda, como objetivo ineludible, el reforzamiento de la cooperación internacional y la transmisión de información de carácter personal entre los servicios policiales y judiciales de los países implicados, para compartir la información operativa precisa y estar así en mejor disposición para afrontar con eficacia la lucha contra este tipo de amenazas; sin perjuicio de que ese intercambio de información deba producirse, en todo caso, con la debida protección de las personas en lo que respecta al tratamiento de los datos personales.
A estos efectos, la Directiva obliga a los Estados miembros a aprobar disposiciones relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales por parte de las autoridades competentes, con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos. Su transposición al ordenamiento jurídico interno por los Estados miembros supone el establecimiento de un nuevo marco jurídico, que proporciona la seguridad jurídica necesaria para facilitar la cooperación policial y judicial penal y, por tanto, una mayor eficacia en el desempeño de sus funciones por las Fuerzas y Cuerpos de Seguridad y del sistema judicial penal en su conjunto, incluido el penitenciario. A continuación, el preámbulo describe la estructura y contenido del anteproyecto de Ley Orgánica.
Por último, la parte expositiva destaca varios aspectos: que en la elaboración del anteproyecto se han observado los principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia, recogidos en el artículo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas; que se trata de una norma necesaria para la transposición de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016; y que la transposición se lleva a cabo mediante norma con carácter de ley orgánica por suponer un desarrollo de derechos fundamentales de los ciudadanos.
II.- La parte articulada del anteproyecto de Ley Orgánica consta de sesenta y un artículos, distribuidos a lo largo de ocho capítulos, cuya estructura y contenido ofrecen el siguiente detalle:
1.- Capítulo I.- Disposiciones generales.
2.- Capitulo II.- Principios, licitud del tratamiento y videovigilancia.
- Sección 1.ª.- Principios y licitud del tratamiento. - Sección 2.ª.- Tratamiento de datos personales en el ámbito de la videovigilancia por Fuerzas y Cuerpos de Seguridad. 3.- Capítulo III.- Derechos de las personas.
- Sección 1ª.- Régimen general. - Sección 2ª.- Régimen especial.
4.- Capítulo IV.- Responsable y encargado de tratamiento.
- Sección 1ª.- Obligaciones generales. - Sección 2ª.- Seguridad de los datos personales. - Sección 3ª.- Delegado de Protección de Datos.
5.- Capítulo V.- Transferencias de datos personales a terceros países que no sean miembros de la Unión Europea u organizaciones internacionales.
6.- Capítulo VI.- Autoridades de Protección de Datos Independientes.
7.- Capítulo VII.- Reclamaciones.
8.- Capítulo VIII.- Régimen sancionador.
1.- El capítulo I, "Disposiciones generales" (artículos 1 a 3), define el "objeto" de la ley orgánica (artículo 1), entendido como la regulación de la protección de los datos de carácter personal tratados por los órganos que a efectos de esta tengan la consideración de autoridades competentes. Asimismo, se exige que el tratamiento tenga fines de prevención, detección, investigación o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública. También se prevé que el intercambio de datos personales por parte de las autoridades competentes españolas en el interior de la Unión Europea, cuando el Derecho de la Unión Europea o la legislación española exijan dicho intercambio, no estará limitado ni prohibido por motivos relacionados con la protección de las personas físicas respecto al tratamiento de sus datos personales. Por otra parte, se delimita el "ámbito de aplicación" de la norma (artículo 2) por referencia a los tratamientos de datos personales a que se refiere el artículo 1, ya se trate de un tratamiento total o parcialmente automatizado, ya de un tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. También se prevé su aplicación al tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad y por los órganos competentes para la vigilancia y control en los centros penitenciarios, así como para el control, regulación, vigilancia y disciplina del tráfico con los fines del artículo 1. Se determina, a su vez, qué se entiende por autoridades competentes a los efectos de la ley orgánica, definiéndolas como las autoridades públicas con competencias legalmente encomendadas para la consecución de los fines indicados, y se determina, en particular, quiénes tienen la consideración de autoridades competentes.
Se excluyen expresamente del ámbito de aplicación ciertos tratamientos, como los realizados por las autoridades competentes para fines distintos de los previstos en la ley orgánica; los llevados a cabo por los órganos de la Administración General del Estado en el marco de las actividades comprendidas en el ámbito del capítulo II del título V del Tratado de la Unión Europea, en relación a la Política Exterior y de Seguridad Común; los derivados de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión Europea; los relativos a la lucha contra el terrorismo y a las formas graves de delincuencia organizada y los sometidos a la normativa sobre materias clasificadas. Por último, se excluye igualmente la aplicación de la ley orgánica a los datos de las personas fallecidas.
Por último, se enuncian las "definiciones" que serán de aplicación a los efectos de la ley orgánica por remisión a la Directiva (UE) 2016/680 (artículo 3); en concreto, las relativas a datos personales, tratamiento, limitación del tratamiento, elaboración de perfiles, seudonimización, fichero, encargado del tratamiento, destinatario, violación de seguridad de los datos personales, datos genéticos, datos biométricos, datos relativos a la salud y organización internacional, en los términos que establece la mencionada directiva. Asimismo, determina que por responsable del tratamiento se entenderá la autoridad competente que, sola o conjuntamente con otras, determine los fines y medios del tratamiento de datos personales.
2.- El capítulo II, "Principios, licitud del tratamiento y videovigilancia" (artículos 4 a 17), se subdivide en dos secciones:
2.1.- La sección 1.ª, "Principios y licitud del tratamiento" (artículos 4 a 12), se refiere a los principios relativos al tratamiento de datos personales cuya garantía corresponde al responsable del tratamiento (artículo 4). Se arbitra un régimen de colaboración con las autoridades competentes, conforme al cual, salvo cuando sea legalmente exigible la autorización judicial u otro tipo de garantías, las Administraciones públicas o cualquier persona física o jurídica deberá proporcionar a las autoridades judiciales, al Ministerio Fiscal o a la Policía Judicial la información que les soliciten y que sea necesaria para la investigación o enjuiciamiento de infracciones penales o la ejecución de las penas y la información necesaria para la protección y prevención frente a un peligro real y grave para la seguridad pública. Todo ello, con la prevención de que el interesado no será informado de la transmisión de sus datos, a fin de garantizar la investigación (artículo 5).
Se regulan también los plazos de conservación y de revisión de los datos de carácter personal tratados. Se determina que la conservación de estos datos tenga lugar solo durante el tiempo necesario para cumplir con los fines previstos en el artículo 1, pudiendo, excepcionalmente, el responsable del tratamiento acordar la necesidad de conservar los datos por más tiempo. De no adoptarse decisión expresa al respecto, los datos serán suprimidos o, en su caso, bloqueados. Además, impone al responsable del tratamiento la obligación de revisar la necesidad de conservar, limitar o suprimir el conjunto de los datos personales contenidos en cada una de las actividades de tratamiento bajo su responsabilidad, si es posible, mediante el tratamiento automatizado apropiado, como máximo cada tres años (artículo 6).
El responsable del tratamiento deberá, en la medida de lo posible, distinguir en su tratamiento de los datos, las diversas categorías de interesados, tales como los sospechosos, los condenados o sancionados, las víctimas o afectados y los terceros involucrados (artículo 7), así como también verificar la calidad de los datos personales, diferenciando si los datos tratados son datos basados en hechos o en apreciaciones (artículo 8).
Se establecen las condiciones que determinan la licitud de todo tratamiento de datos de carácter personal; esto es, que sean tratados por las autoridades competentes; que resulten necesarios para los fines de esta ley orgánica; y que, en caso necesario y en cada ámbito particular, se especifiquen las especialidades por una norma con rango de ley que incluya unos contenidos mínimos (artículo 9).
En caso de transmisión de datos sujetos a condiciones específicas de tratamiento, dichas condiciones deberán ser respetadas por el destinatario de los mismos, en especial la prohibición de transmitirlos o de utilizarlos para fines distintos para los que fueron transmitidos (artículo 10).
De igual modo, se exige que el tratamiento de categorías especiales de datos, como son los que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, así como el tratamiento de datos genéticos o biométricos, y los datos relativos a la salud, la vida sexual o la orientación sexual, solo pueda tener lugar cuando sea estrictamente necesario y se cumplan ciertas condiciones (artículo 11).
Por último, se prohíbe la adopción de decisiones individuales automatizadas, incluida la elaboración de perfiles en este ámbito, salvo que esté autorizado expresamente por una norma con rango de ley del ordenamiento jurídico español o por el Derecho de la Unión Europea (artículo 12).
2.2.- La sección 2.ª, "Tratamiento de datos personales en el ámbito de la videovigilancia por Fuerzas y Cuerpos de Seguridad" (artículos 13 a 17), regula los sistemas de grabación de imágenes y sonido por las Fuerzas y Cuerpos de Seguridad.
Se dispone que la captación, reproducción y tratamiento de datos personales por las Fuerzas y Cuerpos de Seguridad, así como las actividades preparatorias, no se considerarán intromisiones ilegítimas en el derecho al honor, a la intimidad personal y familiar y a la propia imagen, a los efectos de lo prevenido en el artículo 2.2 de la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen. Asimismo, previene que la instalación de sistemas de grabación de imágenes y sonidos deberá ser conforme al principio de proporcionalidad, y ajustarse, en su caso, a lo dispuesto en la Ley de Enjuiciamiento Criminal, así como a la legislación específica en materia de tráfico cuando se trate de un uso destinado al control, regulación, vigilancia y disciplina del tráfico (artículo 13).
Se regula la instalación de videocámaras fijas en las vías o lugares públicos, en cuyo caso el público será informado de manera clara y permanente de la existencia de estas videocámaras fijas, sin especificar su emplazamiento, así como de la autoridad responsable del tratamiento ante la que poder ejercer sus derechos (artículo 14).
Se disciplina también la utilización de dispositivos de toma de imágenes y sonido de carácter móvil, cuyo uso deberá estar autorizado por el Delegado o Subdelegado del Gobierno, y, en su caso, por los Cuerpos de Policía propios de las comunidades autónomas. En tal supuesto, las autorizaciones no se podrán conceder en ningún caso con carácter indefinido o permanente, debiendo otorgarse por el plazo adecuado a la naturaleza y las circunstancias derivadas del peligro o evento concreto, por un periodo máximo de un mes prorrogable por otro. Y se prevé que, en los casos de urgencia o necesidad inaplazable, será el responsable operativo de las Fuerzas y Cuerpos de Seguridad competentes el que podrá determinar su uso, siendo comunicada tal actuación al Delegado o Subdelegado del Gobierno o autoridad competente de las comunidades autónomas (artículo 15).
En caso de que la grabación captara la comisión de hechos que pudieran ser constitutivos de infracciones penales, las Fuerzas y Cuerpos de Seguridad pondrán la cinta o soporte original de las imágenes y sonidos, en su integridad, a disposición judicial, a la mayor brevedad posible y, en todo caso, en el plazo máximo de setenta y dos horas desde su grabación; y si se captaran hechos que pudieran ser constitutivos de infracciones administrativas relacionadas con la seguridad pública, se remitirán al órgano administrativo competente, de inmediato, para el inicio del oportuno procedimiento sancionador. En todo caso, las grabaciones serán destruidas en el plazo máximo de tres meses desde su captación, salvo que estén relacionadas con infracciones penales o administrativas graves o muy graves en materia de seguridad pública, sujetas a una investigación policial en curso o con un procedimiento judicial o administrativo abierto (artículo 16).
Por último, se establece la sujeción de las infracciones a lo dispuesto en la ley orgánica al régimen disciplinario correspondiente, sin perjuicio de las responsabilidades de orden penal a que hubiere lugar (artículo 17).
3.- El capítulo III, "Derechos de las personas" (artículos 18 a 24) se subdivide, a su vez, en dos secciones:
3.1.- La sección 1.ª, "Régimen general" (artículos 18 a 23), se refiere, en primer término, a ciertas condiciones generales del ejercicio de los derechos, tales como la obligación exigible al responsable del tratamiento de facilitar la información correspondiente a los derechos del interesado de forma concisa, con un lenguaje claro y sencillo y de manera gratuita (artículo 18).
Se regula la información que debe ponerse a disposición del interesado, siendo algunos datos obligatorios en todo caso, y otros solo en casos concretos (artículo 19).
Se reconocen los derechos de acceso, rectificación, supresión y limitación, que facultan al interesado a conocer si se están tratando o no sus datos y, en caso afirmativo, acceder a cierta información sobre el tratamiento (artículo 20); a obtener la rectificación de sus datos si estos resultaran inexactos (artículo 21); a suprimirlos cuando fueran contrarios a lo dispuesto por los artículos 4, 9 y 11, o cuando así lo requiera una obligación legal exigible al responsable (artículo 21); y a limitar el tratamiento, cuando el interesado ponga en duda la exactitud de los datos o estos datos deban conservarse únicamente a efectos probatorios o de seguridad (artículo 21).
Tales derechos podrán ser restringidos por causas tasadas, como cuando sea necesario para evitar que se obstaculice una investigación o se ponga en peligro la seguridad pública o la seguridad nacional (artículo 22), y podrán ser ejercidos por el interesado directamente o, en determinados casos (aplazamiento, limitación u omisión de la información que debe ponerse a disposición), a través de la autoridad de protección de datos (artículo 23).
3.2.- La sección 2.ª, "Régimen especial" (artículo 24) establece un régimen especial de derechos de los interesados en el marco de las investigaciones y procesos penales.
4.- El capítulo IV, "Responsable y encargado del tratamiento" (artículos 25 a 40), que regula las obligaciones y responsabilidades del responsable y encargado del tratamiento de protección de datos, se subdivide, a su vez, en tres secciones:
4.1.- La sección 1.ª, "Obligaciones generales" (artículos 25 a 34), se refiere, en primer lugar, a las obligaciones generales que pesan sobre el responsable del tratamiento en orden a la aplicación de las medidas técnicas y organizativas apropiadas para garantizar que el tratamiento se lleve a cabo de conformidad con la ley orgánica y la legislación sectorial aplicable (artículo 25), y que resulten conformes al estado de la técnica y el coste de la aplicación, la naturaleza, el ámbito, el contexto, los fines del tratamiento y los riesgos para los derechos y libertades de las personas físicas, debiendo garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que resulten necesarios para cada uno de los fines específicos del tratamiento (artículo 26).
Se prevé el supuesto en que dos o más responsables del tratamiento determinen conjuntamente los objetivos y los medios de tratamiento (artículo 27).
Se prevé también que una operación de tratamiento pueda ser llevada a cabo por encargados que actúan por cuenta del responsable del tratamiento (denominados encargados del tratamiento), mediante un contrato u otro acto jurídico vinculante que observe las estipulaciones indicadas (artículo 28).
Se obliga a que el encargado del tratamiento, así como a cualquier persona que actúe bajo la autoridad del responsable o del encargado del tratamiento y tenga acceso a datos personales, realice el tratamiento siguiendo únicamente instrucciones del responsable del tratamiento, a menos que esté obligado a hacerlo por disposición de la legislación española o del Derecho de la Unión Europea (artículo 29).
Cada responsable del tratamiento deberá conservar un registro de todas las actividades de tratamiento de datos personales realizadas bajo su responsabilidad, que incluya datos e información, tales como los datos de identificación y contacto del responsable del tratamiento, así como del delegado de protección de datos y, en su caso, del corresponsable, los fines del tratamiento, las categorías de interesados, entre otros datos (artículo 30), y también un registro de operaciones específicas de tratamiento en sistemas de tratamiento automatizado, que comprende la recogida, alteración, consulta, comunicación y transferencias, entre otras operaciones, a los efectos de verificar la legalidad del tratamiento, controlar el cumplimiento de las medidas y de las políticas de protección de datos, y garantizar la integridad y la seguridad de los datos personales en el ámbito de los procesos penales (artículo 31).
De igual modo, se prevén otra serie de obligaciones, como son: la obligación de cooperación de los responsables y encargados del tratamiento con las autoridades de protección de datos (artículo 32); la de evaluación del impacto del tratamiento, con carácter previo a este, cuando suponga un alto riesgo para los derechos y libertades de las personas físicas (artículo 33); y la de consulta previa a la autoridad de protección de datos, antes de proceder al tratamiento de datos personales que vayan a formar parte de un nuevo fichero (artículo 34).
4.2.- La sección 2.ª, "Seguridad de los datos personales" (artículos 35 a 37), se refiere a la seguridad del tratamiento, regulando las medidas técnicas y organizativas que de modo general deben aplicar los responsables y encargados del tratamiento para garantizar un nivel de seguridad adecuado, y las referidas específicamente al tratamiento automatizado, como el control de acceso a los equipamientos, el de los soportes de datos, el del almacenamiento, el de los usuarios y el control de acceso a los datos, entre otros (artículo 35).
A su vez, se impone el deber de notificación a la autoridad de protección de datos de cualquier violación de la seguridad de los datos personales (artículo 36), y, en caso de indicio de violación que implique un alto riesgo para los derechos y libertades de las personas físicas, deberá ser notificada al interesado, salvo en los supuestos expresamente previstos en la ley (artículo 37).
4.3.- La sección 3.ª, "Delegado de protección de datos" (artículos 38 a 40), regula la figura del delegado de protección de datos como el órgano de asesoramiento y supervisión de los responsables de protección de datos, que podrá ser único para varias autoridades competentes y no será obligatorio en relación con los tratamientos de datos con fines jurisdiccionales (artículo 38). Se determina su posición y estatuto (artículo 39), así como las funciones que el responsable del tratamiento deberá encomendar al delegado de protección de datos (artículo 40).
5.- El capítulo V, "Transferencias de datos personales a terceros países que no sean miembros de la Unión Europea u organizaciones internacionales" (artículos 41 a 45), regula estas transferencias de datos personales, así como las condiciones que deberán cumplirse para que estas sean lícitas y se garantice el nivel de protección adecuado (artículo 41).
Así, solo podrán realizarse estas transferencias cuando sean necesarias para los fines de esta ley orgánica, y cuando el responsable del tratamiento en el tercer país o en la organización internacional sea autoridad competente en relación con dichos fines.
Asimismo, la autoridad competente del Estado miembro en el que se obtuvo el dato debe autorizar previamente esta trasferencia y las ulteriores que puedan tener lugar a otro tercer país u organización internacional.
En cuanto al tercer país no miembro de la Unión Europea o la organización internacional destinataria de la trasferencia, deberá ser objeto de evaluación mediante una decisión de adecuación adoptada por la Comisión Europea a la vista de su nivel de protección de datos; o, en caso de ausencia de decisión de adecuación, cuando concurran determinadas garantías adecuadas que aprecie el responsable del tratamiento; y, en ausencia de ambas, cuando concurran algunas de las circunstancias que se especifican (artículos 42, 43 y 44).
Por último, se regulan las transferencias directas de datos personales a destinatarios que, no siendo autoridades competentes, están establecidos en Estados no pertenecientes a la Unión Europea (artículo 45).
6.- El capítulo VI, "Autoridades de Protección de Datos Independientes" (artículos 46 a 49), dispone que dichas autoridades serán la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos, en sus respectivos ámbitos competenciales.
Asimismo, la ley orgánica recoge sus funciones y potestades (artículos 47 y 48), así como la asistencia entre autoridades de protección de datos de los Estados miembros de la Unión Europea (artículo 49). Se remite en lo restante a la legislación específica que les resulte de aplicación.
7.- El capítulo VII, "Reclamaciones" (artículos 50 a 53), prevé que las reclamaciones que se formulen ante las autoridades de protección de datos se regirán por lo dispuesto en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y, en su caso, por la legislación autonómica correspondiente (artículo 50).
Se refiere también a aquellos supuestos en que los responsables o encargados del tratamiento, o de la autoridad de protección de datos, en su caso, incumplan esta ley orgánica y ocasionen un daño o lesión en los bienes o derechos de los interesados, estableciendo el régimen de responsabilidad patrimonial exigible al responsable o encargado del tratamiento por daños sufridos por los interesados en sus bienes y derechos, distinguiendo en función de si el responsable o encargado del tratamiento forma parte del sector público o es ajeno a él (artículos 51 y 52)
Por último, establece el régimen de garantías jurisdiccionales frente a las decisiones adoptadas por una autoridad de protección de datos que pueda entenderse que concierne a los interesados (artículo 53).
8.- El capítulo VIII, "Régimen sancionador" (artículos 54 a 61), regula el régimen sancionador aplicable a los incumplimientos de las obligaciones previstas en la ley orgánica.
Se definen los sujetos sobre los que recae la responsabilidad por las infracciones cometidas (artículo 54). Asimismo, se determinan las normas de conflicto para resolver los casos en los que un hecho pueda ser calificado con arreglo a dos o más normas (artículo 55). Se tipifican las infracciones, que, en función de su gravedad, podrán ser leves, graves o muy graves (artículos 56, 57 y 58). Se determina el régimen jurídico aplicable al ejercicio de la potestad sancionadora (artículo 59). Se establecen las sanciones que se pueden imponer, y que, en función de su gravedad, podrán ser leves, graves o muy graves (artículo 60). Y, por último, se fijan los plazos de prescripción, tanto de las infracciones, como de las sanciones (artículo 61).
III.- La parte final del anteproyecto incluye dos disposiciones adicionales, una disposición derogatoria y once disposiciones finales.
1.- Disposiciones adicionales
a) La disposición adicional primera, "Acuerdos internacionales en el ámbito de la cooperación judicial en materia penal y de la cooperación policial", determina que los acuerdos internacionales en el ámbito de la cooperación judicial en materia penal y de la cooperación policial que impliquen la transferencia de datos personales a Estados que no sean miembros de la Unión Europea u organizaciones internacionales y que hubieran sido celebrados por España antes del 6 de mayo de 2016, cumpliendo lo dispuesto en el Derecho de la Unión Europea aplicable antes de dicha fecha, seguirán en vigor hasta que sean modificados, sustituidos o revocados.
b) La disposición adicional segunda, "Ficheros y Registro de Población de las Administraciones públicas", dispone que las autoridades competentes podrán solicitar al Instituto Nacional de Estadística y a los órganos homólogos de las comunidades autónomas, sin consentimiento del interesado, una copia actualizada del fichero formado con los datos del documento de identidad, nombre, apellidos, domicilio, sexo y fecha de nacimiento que constan en el padrón municipal de habitantes y en el censo electoral correspondiente a los territorios donde ejerzan sus competencias. Añade que la solicitud deberá estar motivada, y los datos obtenidos tener como único propósito el cumplimiento de los fines de prevención, detección, investigación o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, así como de protección y de prevención frente a las amenazas contra la seguridad pública.
2.- Disposición derogatoria
La disposición derogatoria única, "Derogación normativa", prevé la derogación expresa de la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos, y el Real Decreto 596/1999, de 16 de abril, por el que se aprueba el Reglamento de desarrollo y ejecución de la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos, así como de cualesquiera otras disposiciones de igual o inferior rango en lo que contradigan o se opongan a lo dispuesto en la ley orgánica. Asimismo, determina que las referencias contenidas en las normas vigentes a las disposiciones que se derogan expresamente, deberán entenderse efectuadas a las disposiciones de la ley orgánica que regulan la misma materia que aquellas.
3.- Disposiciones finales
a) La disposición final primera, "Naturaleza de la ley", precisa que la ley tiene el carácter de ley orgánica, salvo los capítulos VI, VII y VIII, la disposición transitoria y las disposiciones finales cuarta y quinta, que tienen carácter de ley ordinaria.
b) La disposición final segunda, "Título competencial", señala que la ley orgánica se dicta al amparo de las reglas 1.ª, 6.ª y 29.ª del artículo 149.1 de la Constitución, que atribuyen al Estado las competencias exclusivas, respectivamente, para la regulación de las condiciones básicas que garanticen la igualdad de todos los españoles en el ejercicio de los derechos y en el cumplimiento de los deberes constitucionales, sobre legislación penal, penitenciaria, procesal, y en materia de seguridad pública.
c) La disposición final tercera, "Modificación de la Ley Orgánica 1/1979, de 26 de septiembre, General Penitenciaria", introduce un nuevo artículo 15 bis en la citada ley, por la que adapta el régimen de los tratamientos de datos de carácter personal relativos a las personas internas en centros penitenciarios.
d) La disposición final cuarta, "Modificación de la Ley 19/2007, de 11 de julio, contra la violencia, el racismo, la xenofobia y la intolerancia en el deporte", modifica el artículo 30 de la ley, con el objeto de establecer que el procedimiento sancionador caducará transcurridos seis meses desde su incoación sin que se haya notificado la resolución correspondiente.
e) La disposición final quinta, "Modificación de la Ley 5/2014, de 4 de abril, de Seguridad Privada", modifica el artículo 69 de la ley, para establecer, igualmente, que el procedimiento sancionador en materia de seguridad privada caducará transcurridos seis meses desde su incoación sin que se haya notificado la resolución correspondiente.
f) La disposición final sexta, "Modificación de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas", modifica el artículo 13 de la ley, en lo que concierne a la colaboración de los operadores críticos con las autoridades competentes del Sistema.
g) La disposición final séptima, "Modificación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales", modifica la disposición adicional decimoquinta de la ley orgánica, en lo referido al requerimiento de información por parte de la Comisión Nacional del Mercado de Valores.
h) La disposición final octava, "Modificación del Real Decreto Legislativo 6/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley sobre Tráfico, Circulación de Vehículos a Motor y Seguridad Vial", modifica el artículo 68 del texto refundido, relativo a las matrículas.
i) La disposición final novena, "Modificación de la Ley Orgánica 1/2020, de 16 de septiembre, sobre la utilización de los datos del registro de nombres de pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves", modifica el artículo 10 de la ley orgánica, relativo a la transmisión de los datos PNR por parte de las compañías aéreas a la UIP.
j) La disposición final décima, "Incorporación del Derecho de la Unión Europea", declara que la ley incorpora al ordenamiento jurídico español la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, detección, investigación o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo.
k) La disposición final undécima, "Entrada en vigor", determina que la ley entrará en vigor a los veinte días de su publicación en el Boletín Oficial del Estado; no obstante lo cual, las previsiones contenidas en el capítulo IV producirán efectos a los seis meses de la entrada en vigor de la ley orgánica.
SEGUNDO.- Sobre la memoria del análisis de impacto normativo
Acompaña al texto del anteproyecto de Ley Orgánica sometido a dictamen de este Consejo la memoria del análisis de impacto normativo fechada en octubre de 2020, en la que se defiende la necesidad y oportunidad de la norma proyectada, tomando como punto de partida la necesidad de adoptar medidas para hacer frente al incremento de las amenazas para la seguridad en el contexto nacional e internacional, que tienen en una elevada proporción un componente transfronterizo, por lo que la cooperación internacional y la transmisión de información y datos de carácter personal entre los servicios policiales y las autoridades judiciales constituye un objetivo ineludible. En este contexto, explica, se aprobó la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos, cuya fecha límite de transposición era el 6 de mayo de 2018. El anteproyecto, según expresa la memoria, procede a la transposición de la mencionada directiva al ordenamiento jurídico interno español.
El anteproyecto tiene como objetivos: crear un marco regulador nacional en lo que respecta al tratamiento de los datos personales por parte de las autoridades competentes, con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública; garantizar el pleno respeto de los derechos fundamentales de la persona y, muy especialmente, el derecho a la intimidad en el tratamiento de los datos de carácter personal de acuerdo con el principio de proporcionalidad; asegurar que el intercambio de datos personales por parte de las autoridades competentes españolas y de la Unión Europea, no quede restringido ni prohibido por motivos relacionados con la protección de las personas físicas, en lo que respecta al tratamiento de estos datos personales; y, por último, establecer un régimen sancionador proporcionado a los eventuales incumplimientos.
A continuación, sostiene que el anteproyecto respeta los principios de buena regulación recogidos en el artículo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas; y explica, en cuanto a las alternativas contempladas en su elaboración, que se descartó la transposición de la Directiva de forma conjunta con el entonces anteproyecto de Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (hoy, Ley Orgánica 3/2018, de 5 de diciembre), porque dicha ley orgánica tenía por objeto la adaptación del ordenamiento español al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, siendo este directamente aplicable en nuestro ordenamiento; descartándose también una transposición de manera conjunta con la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo de la delincuencia grave, porque el anteproyecto de Ley Orgánica por el cual se transponía aquella directiva contenía una regulación específica de la protección de datos de carácter personal de un tipo de interesados (pasajeros por vía aérea), que encierra notables diferencias. Con base en lo anterior, señala que la única alternativa posible es la aprobación de una ley específica para esta materia; que el anteproyecto adopta el carácter de ley orgánica debido a que incluye medidas que afectan a derechos fundamentales; y que la iniciativa fue incluida en el Plan Anual Normativo de la Administración General del Estado para 2018, aprobado por Acuerdo del Consejo de Ministros del 7 de diciembre de 2017.
Seguidamente, la memoria lleva a cabo una exposición del contenido del anteproyecto por capítulos, y también incluye una tabla de correspondencia entre los preceptos de la Directiva objeto de transposición y los del anteproyecto, así como un detalle de las obligaciones de transposición, y de actualización y revisión, previstas en el texto de la Directiva.
Asimismo, describe el procedimiento de elaboración seguido por el anteproyecto de Ley Orgánica, con indicación de los trámites cumplimentados y los departamentos y organismos intervinientes, haciendo constar que "en la práctica totalidad de los informes emitidos se formularon observaciones que, en su gran mayoría, han sido aceptadas", y que restaba por recibir el informe solicitado a la Oficina de Coordinación y Calidad Normativa.
En lo tocante al análisis de impactos, la memoria afirma que el anteproyecto de Ley Orgánica se adecua al orden constitucional de distribución de competencias, haciendo constar que se dicta al amparo de las reglas 1.ª, 6.ª y 29.ª del artículo 149.1 de la Constitución, que atribuyen al Estado las competencias exclusivas, respectivamente, para la regulación de las condiciones básicas que garanticen la igualdad de todos los españoles en el ejercicio de los derechos y en el cumplimiento de los deberes constitucionales, sobre legislación penal, penitenciaria y procesal, y en materia de seguridad pública.
En cuanto al impacto económico y presupuestario, se indica que las medidas previstas en el anteproyecto carecen de impacto sobre la economía y no producen efectos sobre la competencia en el mercado. Añade que la aplicación de sus previsiones "no implica un esfuerzo presupuestario, puesto que queda integrado por las previsiones obligatorias desarrolladas en el Reglamento de Protección de Datos y en la Ley Orgánica 3/2018, de 5 de diciembre", y, por consiguiente, desde la perspectiva de los Presupuestos Generales del Estado "se asumirá con la disponibilidad presupuestaria del Departamento". Explica, además, que "los organismos competentes podrán asumir las actuaciones previstas sin aumento de dotaciones, de retribuciones o de otros gastos de personal al servicio del sector público". En lo tocante a la identificación de las cargas administrativas, señala que, en el caso de las empresas, las cargas vienen derivadas de la legislación general en materia de protección de datos de carácter personal, de tal suerte que los costes que las empresas deban soportar para cumplir con las obligaciones de facilitar, conservar o generar información sobre sus actividades o su producción, deben considerarse subsumidos en aquellos; y, al no identificarse nuevas cargas, aprecia que no hay necesidad de evaluar coste alguno.
Por lo que se refiere al resto de impactos, la memoria sostiene que el anteproyecto carece de impacto por razón de género, en la medida en que su contenido no establece medida ni distinción alguna que pueda afectar a la igualdad de género. Indica, no obstante, que el tratamiento de datos específicos por las autoridades competentes permitirá mejorar la atención a las personas que se encuentren en situaciones de violencia sobre la mujer y servirá para aportar nuevas utilidades al Registro Central de Medidas Cautelares, Requisitorias y Sentencias no Firmes, así como al Registro Central para la Protección de las Víctimas de Violencia Doméstica y al fichero del Sistema de Seguimiento Integral en los casos de Violencia de Género.
Tampoco aprecia impacto en materia de igualdad de oportunidades, no discriminación y accesibilidad universal de las personas con discapacidad, ni sobre la familia, ya que no regula nada relacionado con esos ámbitos. Se destaca, sin embargo, que el impacto de la proyectada ley sobre la infancia es favorable, pues si bien cabe el tratamiento de los datos relativos a los menores, se subrayan las mayores posibilidades que brindará para su adecuada protección el incremento de las medidas de seguridad. Además, se facilita la cesión y el tratamiento de datos, sin consentimiento del interesado, como antecedentes policiales, antecedentes penales del Registro Central de Sentencias de Responsabilidad Penal de Menores y antecedentes penales del Registro Central de Delincuentes Sexuales, lo cual proporciona una mayor efectividad en la investigación y persecución de ciertos delitos.
Por último, y en lo que se refiere al impacto en las Administraciones públicas, la memoria se hace eco del estudio elaborado por la Agencia Española de Protección de Datos y que figura en su portal web institucional.
TERCERO.- Sobre el contenido del expediente
Obran en el expediente remitido en consulta, además de la Orden de remisión y el índice numerado de documentos, las siguientes actuaciones:
I.- Textos del anteproyecto de Ley Orgánica y memorias
Constan los textos de la versión inicial (marzo de 2020) y definitiva (octubre de 2020) del anteproyecto de Ley Orgánica, junto con las versiones inicial y definitiva de la memoria del análisis de impacto normativo.
II.- Tabla de correspondencias
Obra también una tabla de correspondencias entre los preceptos de la Directiva objeto de transposición y los del anteproyecto.
III.- Diligencia de toma de razón del anteproyecto
El texto inicial del anteproyecto fue elevado por el Ministro del Interior al Consejo de Ministros, que tomó conocimiento del mismo en su reunión del día 10 de marzo de 2020, según consta en diligencia firmada por la Vicepresidenta Primera del Gobierno y Ministra de la Presidencia, Relaciones con las Cortes y Memoria Democrática, en el ejercicio de sus atribuciones como Ministra-Secretaria del Consejo de Ministros.
IV.- Trámites de participación pública
Se ha realizado un trámite de consulta pública previa por un plazo de quince días naturales, entre el 19 de abril y el 4 de mayo de 2020, en el que no se ha recibido observación alguna, tal como se hace constar en el certificado del Secretario General Técnico del Ministerio del Interior de fecha 6 de octubre de 2020, obrante en el expediente.
A su vez, el anteproyecto ha sido sometido al trámite de audiencia e información públicas, entre el 11 y el 25 de junio de 2020. En este trámite tampoco se ha recibido ninguna observación, como también se hace constar en el meritado certificado.
V.- Informes, dictámenes y aprobaciones previas
Asimismo, consta en el expediente que, durante el procedimiento de elaboración del anteproyecto, se han recabado los siguientes informes, dictámenes y aprobaciones previas:
1.- Informes, dictámenes y aprobaciones previas de la Administración General del Estado
a) Oficio de la Secretaría General Técnica del Ministerio del Interior, de fecha 25 de marzo de 2020, por el que se solicita informe a la Oficina de Coordinación y Calidad Normativa del Ministerio de la Presidencia, Relaciones con las Cortes y Memoria Democrática.
b) Informe de la Secretaría General Técnica del Ministerio de Política Territorial y Función Pública, de fecha 8 de abril de 2020, sin formular observaciones, por el que se limita a dar traslado del informe emitido, a su vez, por la Dirección General de Régimen Jurídico Autonómico y Local, así como de la aprobación previa otorgada por la Ministra de Política Territorial y Función Pública.
c) Informe de la Dirección General de Régimen Jurídico Autonómico y Local del Ministerio de Política Territorial y Función Pública, de fecha 1 de abril de 2020, emitido a los efectos prevenidos en el párrafo sexto artículo 26.5 de la Ley 50/1997, de 27 de noviembre, del Gobierno, en el que se analiza la adecuación del anteproyecto al orden constitucional de distribución de competencias, así como a la Ley 20/2013, de 9 de diciembre, de garantía de la unidad de mercado, concluyendo que el anteproyecto se ajusta al orden constitucional de distribución de competencias, y no se formulan observaciones.
d) Aprobación previa de la Ministra de Política Territorial y Función Pública (firmada por delegación por la Secretaria de Estado de Política Territorial y Función Pública), de conformidad con el artículo 26.5 de la Ley 50/1997, de 27 de noviembre, del Gobierno, concedida en fecha 3 de abril de 2020.
e) Informe de la Secretaría General Técnica del Ministerio de Defensa, de fecha 14 de abril de 2020, en el que no se formulan observaciones.
f) Informe de la Secretaría General Técnica del Ministerio de Inclusión, Seguridad Social y Migraciones, de fecha 17 de abril de 2020, en el que se formulan, entre otras, las siguientes observaciones: a´) en relación con el artículo 2, señala que se incluyen previsiones que exceden de lo que constituye la delimitación del ámbito de aplicación de la norma, como es la definición de autoridad competente, y destaca, en todo caso, que no se incluye entre estas últimas a la Administración de la Seguridad Social; b´) considera que debe incluirse entre las definiciones del artículo 3 la atinente a "autoridad competente"; c´) respecto al artículo 5, relativo a la colaboración con las autoridades competentes, entiende que debe aclararse, en el apartado primero, que la remisión que se hace a la "legislación respectiva" debe entenderse referida únicamente a la Administración tributaria y a la Administración de la Seguridad Social y por consiguiente no a todas las Administraciones públicas; d´) en relación con las condiciones generales de ejercicio de los derechos de los interesados a que se refiere el artículo 13, se indica que el establecimiento, en el apartado cuarto, de efectos negativos al silencio administrativo podría ser contrario a la Directiva; e´) considera que la redacción del apartado quinto del mismo artículo 13 resulta altamente imprecisa, en la medida en que se limita a prever que el responsable de tratamiento podrá percibir una contraprestación económica en el caso de que se establezca sin especificar, por lo que debieran incluirse expresamente las situaciones o causas que pudieran dar lugar a la percepción de esa contraprestación, en aras de una mayor seguridad jurídica; f´) estima que la previsión del apartado sexto del mismo artículo 13 podría ser contrario a lo dispuesto en el artículo 68 de la Ley del Procedimiento Administrativo Común de las Administraciones Públicas, donde se establece la obligación de dictar resolución en caso de desistimiento; g´) en relación con el artículo 23, referido al encargado del tratamiento, considera conveniente precisar cuáles serían los otros "actos jurídicos", además de los contratos, en cuya virtud se pueda articular el tratamiento de datos por medio de un encargado; y h´) por último, considera conveniente determinar cuál es el régimen sancionador aplicable al delegado de protección de datos.
g) Informe de la Secretaría General Técnica del Ministerio de Asuntos Económicos y Transformación Digital, de fecha 22 de abril de 2020, en el que se formulan, entre otras, las siguientes observaciones: a´) propone incluir entre las autoridades competentes a que se refiere el artículo 2.3 a la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias y al Servicio Ejecutivo de la misma Comisión, así como a la Comisión Nacional del Mercado de Valores; b´) en el artículo 3, sugiere eliminar la remisión que se hace al Reglamento (UE) 2016/679 y sustituirlo por la remisión a la Directiva; c´) propone que se clarifique en el apartado quinto del artículo 13 lo que se entiende por una solicitud repetitiva; d´) señala un posible desajuste entre el apartado segundo del artículo 26 referido al uso de los registros de operaciones y el artículo 25 de la Directiva; y e´) por último, se recomienda verificar ciertos ajustes en los artículos 50 y 51 en lo tocante a la determinación de ciertas infracciones tipificadas.
h) Oficio de la Secretaría General Técnica del Ministerio del Interior, de fecha 22 de abril de 2020, por el que se reitera la petición de informe a la Oficina de Coordinación y Calidad Normativa del Ministerio de la Presidencia, Relaciones con las Cortes y Memoria Democrática.
i) Informe del Ministerio de Derechos Sociales y Agenda 2030, sin fecha, en el que, tras recordar que el anteproyecto contiene aspectos que afectan al cumplimiento del Objetivo 16 de Paz y Justicia de la Agenda 2030 para el Desarrollo Sostenible, en concreto la meta 16.10, consistente en "garantizar el acceso público a la información y proteger las libertades fundamentales, de conformidad con las leyes nacionales y los acuerdos internacionales", formula algunas observaciones: a´) en relación con el artículo 2, propone que el apartado primero incorpore al final del párrafo el inciso "incluyendo los procedentes de redes sociales"; b´) considera que debe reformularse el artículo 5 en lo tocante a la facultad de la Policía Judicial de requerir cualquier tipo de datos personales a todas las Administraciones públicas, así como a todas las personas físicas (ciudadanos) o jurídicas, sin mayor motivación que el estar realizando determinadas investigaciones con posible relevancia penal; c´) en lo referente a los plazos para la conservación de los datos por parte de las autoridades competentes a que se refiere el artículo 6, objeta que se haya eliminado, en el apartado segundo, la previsión de unos plazos abiertos pero determinados, no alcanzando a comprender cuál es el motivo de dicha eliminación, que a priori parece redundar en un menoscabo de las garantías de los derechos de la ciudadanía, y añade en lo que se refiere al supuesto excepcional previsto en el mismo precepto, que faculta al responsable del tratamiento a conservar datos una vez finalizados los plazos y parámetros establecidos en el apartado primero del mismo artículo, que se ha introducido un plazo de cinco años para la revisión para el mantenimiento o no de los datos que resulta excesivamente amplio, por lo que se propone su reducción a dos años; y d´) por último, se objeta igualmente la previsión introducida en la disposición final cuarta del anteproyecto, en cuya virtud se modifica la Ley Orgánica General Penitenciaria (introduciendo un nuevo artículo 15 bis), por considerar que permite el tratamiento de ciertos datos personales sensibles de los reclusos que podría implicar una vulneración de los derechos fundamentales de los internos, además de ser contraria al artículo 10 de la Directiva.
j) Informe del Gabinete de la Secretaría de Estado de Derechos Sociales del Ministerio de Derechos Sociales y Agenda 2030, de fecha 24 de abril de 2020, en el que se sugiere una nueva redacción para los artículos 13.1 (condiciones generales de ejercicio de los derechos de los interesados) y 32.2 (comunicación de una violación de seguridad de los datos personales al interesado), para garantizar el derecho a la igualdad de oportunidades y de trato, así como el ejercicio real y efectivo de derechos por parte de las personas con discapacidad en igualdad de condiciones respecto del resto de ciudadanos.
k) Informe del Gabinete Técnico de la Dirección General de la Policía, de fecha 28 de abril de 2020, en el que se formulan, entre otras, las siguientes observaciones: a´) respecto al artículo 2, relativo al ámbito de aplicación, propone unificar los supuestos previstos en los apartados d) y e) del apartado séptimo, además de matizar que la exclusión por razones de terrorismo requiere que afecte a la seguridad nacional, y que deben eliminarse las restricciones previstas al supuesto relacionado con la delincuencia organizada; b´) sugiere matizar en los artículos 4 y 8, relativos a la veracidad de los datos personales, la exigencia de la exactitud; c´) solicita que el incumplimiento de la obligación prevista en el artículo 5, relativa a la colaboración con las autoridades competentes, tenga un tratamiento adecuado en el régimen sancionador; y d´) por último, en cuanto a la distinción en el artículo 7 entre categorías de interesados, propone excluir de forma expresa los datos de los colaboradores.
l) Informe del Gabinete Técnico de la Dirección General de la Guardia Civil, de fecha 29 de abril de 2020, en el que se formulan las siguientes observaciones: a´) en relación con el ámbito de aplicación, propone crear dentro del apartado tercero del artículo 2 un nuevo subapartado en el que se haga referencia a otros órganos con competencias en materia de prevención, detección e investigación de infracciones penales y que colaboran habitualmente con las Fuerzas y Cuerpos de Seguridad, y sugiere ciertas precisiones en relación con las exclusiones del ámbito de aplicación de la norma; b´) en cuanto a las definiciones a que se refiere el artículo 3, considera que no procede trasladar sin más los conceptos que figuran en el artículo 4 del Reglamento (UE) 2016/279 (que incluyen la definición del consentimiento del interesado), sino los que establece expresamente el artículo 3 de la Directiva (UE) 2016/680 (entre las cuales no figura el consentimiento del interesado), por lo que sugiere reformular el precepto y eliminar, en todo caso, la referencia al consentimiento del interesado; c´) sugiere incorporar al texto de artículo 5, sobre el deber de colaboración con las autoridades competentes, una referencia a que si la respuesta a la petición de una autoridad competente incluye el tratamiento de datos a gran escala, se deberá realizar una evaluación del impacto; d´) propone incluir en el artículo 6, sobre los plazos de conservación y revisión, una especificación relativa a las grabaciones de imágenes por videocámaras; e´) considera conveniente incorporar un nuevo apartado en el artículo 7 (distinción entre categorías de interesados) referido a personas relacionadas con actividades policiales de prevención, detección o enjuiciamiento de infracciones penales, con la ejecución de sanciones penales y con informaciones para la protección y prevención de amenazas para la seguridad pública; f´) en relación con la verificación de la calidad de los datos personales a que se refiere el artículo 8, recomienda eliminar el apartado primero sobre la obligación del responsable del tratamiento de establecer una distinción, en la medida de lo posible, entre datos personales basados en hechos y los basados en apreciaciones personales; g´) respecto al tratamiento de categorías especiales de datos personales (artículo 11), propone ampliar las circunstancias que permiten el tratamiento de estos datos cuando el interesado lo manifieste en la denuncia de una presunta infracción penal, o cuando resulte necesario para la protección y prevención de amenazas para la seguridad pública; h´) sugiere incluir un plazo, en el artículo 13, para el ejercicio del derecho de acceso por intervalos, como establece la legislación general en materia de protección de datos, a fin de evitar solicitudes repetitivas, salvo que haya causa legítima para ello; i´) señala que debiera introducirse en el artículo 14 (información que debe ponerse a disposición del interesado) una previsión que, al amparo de la Directiva, permita limitar esa puesta a disposición en determinadas circunstancias; j´) considera que el artículo 15 (derecho de acceso del interesado a sus datos personales) debiera limitarse a ofrecer a los interesados los datos básicos necesarios para que pueda ejercer su derecho; k´) en relación con el artículo 16 (derecho de rectificación o supresión de datos personales y limitación de su tratamiento), sugiere completar el apartado tercero con la incorporación de los supuestos en que la Directiva admite denegar la rectificación o supresión de los datos; l´) propone introducir ciertas precisiones en la redacción de los artículos 34 y 35, relativos a la posición y funciones del delegado de protección de datos; m´) sugiere reconsiderar el plazo de diez días establecido en el apartado tercero del artículo 36, relativo a los principios generales de las transferencias de los datos personales; y n´) formula, por último, ciertas observaciones a los artículos 50 y 51, en relación con las infracciones tipificadas.
m) Informe de la Secretaría General Técnica del Ministerio de Justicia, de fecha 2 de junio de 2020, en el que, tras resumir los antecedentes, objeto y contenido de la norma proyectada, formula determinadas observaciones al texto del anteproyecto de Ley Orgánica y también al texto de la memoria del análisis de impacto normativo. En relación con el texto proyectado, el centro directivo informante formula, en síntesis, las siguientes observaciones: a´) respecto a la determinación del concepto de autoridad competente (artículo 2), propone distinguir entre autoridad y funcionario público, de conformidad con lo dispuesto en el Código Penal, al tratarse en definitiva de una norma referida a investigaciones penales; b´) sugiere también que se reformulen los términos del precepto relativo a las definiciones legales (artículo 3); c´) propone fijar un plazo de revisión de los datos que sea de dos o tres años y, alternativamente, establecer un mecanismo de supresión automática de datos personales, salvo decisión motivada de mantenimiento, para el que sería adecuado el plazo de cinco años o uno superior (artículo 6); d´) solicita que se incluya en la disposición final primera la cita de las disposiciones finales sexta y séptima entre las disposiciones que tienen carácter ordinario; y e´) propone suprimir la disposición final tercera relativa a la modificación de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, sin perjuicio de abordar la necesaria reforma integral de la citada ley y de las leyes procesales en lo que se refiere al tratamiento jurisdiccional de los datos de carácter personal. Se formulan, igualmente, ciertas observaciones formales y de estilo al texto del anteproyecto, así como al texto de la memoria.
n) Oficio de la Secretaría General Técnica del Ministerio del Interior, de fecha 15 de junio de 2020, por el cual se reitera, por segunda vez, la petición de informe a la Oficina de Coordinación y Calidad Normativa del Ministerio de la Presidencia, Relaciones con las Cortes y Memoria Democrática.
ñ) Informe de la Secretaría General de Instituciones Penitenciarias del Ministerio del Interior, de fecha 27 de julio de 2020, en el que se observa en relación con la modificación de la Ley Orgánica 1/1979, de 26 de septiembre, General Penitenciaria, por la que se introduce un nuevo artículo 15 bis, relativo a los tratamientos de datos de carácter personal de los reclusos, que las categorías de datos a que se refiere dicha previsión no cumplen con los principios que prevé el artículo 4.1, apartado c), de la Directiva (UE) 2016/680, en relación con la finalidad especifica de la Administración penitenciaria, para que su tratamiento sea lícito, esto es que sean adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados, siendo así, además, que el cumplimiento de los fines legalmente atribuidos a la Administración penitenciaria no exige tratar los datos especialmente protegidos que se incluyen en el mencionado precepto. En cuanto al resto de previsiones contenidas en el proyectado artículo 15 bis, considera que no son necesarias, pues se encuentran especificadas en los artículos 15 y siguientes del Reglamento Penitenciario.
o) Informe de la Secretaría General Técnica del Ministerio de Hacienda, de fecha 8 de septiembre de 2020, en el que formula observaciones concretas al articulado, limitándose a proponer modificaciones en la redacción de ciertos preceptos del anteproyecto (en concreto, los artículos 1.2, 2.7, apartado e), 3, 5.4, 6.2, 12, 13.4, 13.6, 17, 18.1, 23.5, 37, 38.1, 39.1, 40.1, 42.3, 43, 51 y 52).
p) Informe de la Secretaría General Técnica del Ministerio de Trabajo y Economía Social, de fecha 9 de septiembre de 2020, en el que se formula una observación al artículo 5, relativo al deber de colaboración con las autoridades competentes, advirtiendo sobre la posible colisión de lo previsto en el anteproyecto con las previsiones de la normativa específica aplicable a la Inspección de Trabajo y Seguridad Social, por lo que propone incorporar al tenor del apartado segundo del artículo 5 una salvedad que aluda a que la obligación de colaboración de las Administraciones públicas debe producirse de acuerdo la legislación específica respectiva. Formula también ciertas observaciones de índole formal a la exposición de motivos, así como al texto de la memoria.
2.- Informe del Consejo General del Poder Judicial
El Consejo General del Poder Judicial emite su informe con fecha 26 de junio de 2020, en el que, tras formular una serie de consideraciones preliminares sobre la función consultiva del referido Consejo General y la estructura y contenido del anteproyecto, realiza unas consideraciones generales en las que hace referencia al marco normativo del Derecho de la Unión Europea en materia de protección de datos, al carácter orgánico del anteproyecto, al título competencial en virtud del cual se dicta y a su estructura y a su contenido. Seguidamente realiza un examen detenido y pormenorizado del contenido del anteproyecto, con especial referencia el tratamiento de los datos personales efectuados en el ámbito de aplicación de la Directiva por los órganos jurisdiccionales y el Ministerio Fiscal, el cumplimiento de la correcta transposición de la Directiva y la protección de los derechos fundamentales afectados.
Por último, formula una serie de conclusiones, en las que se resumen las observaciones contenidas en el cuerpo del informe, y entre las cuales, sin ánimo de exhaustividad, se destacan las más significativas: a´) considera que debe reformularse debidamente la determinación del objeto de la ley orgánica; b´) señala que la relación entre la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales y el anteproyecto se articula sobre la base del principio de especialidad; c´) considera que debe aclararse la determinación del conjunto normativo aplicable a la utilización por las Fuerzas y Cuerpos de Seguridad de videocámaras para grabar imágenes y sonidos en lugares públicos, y, en particular, debe establecerse un criterio que permita delimitar claramente cuándo el uso de cámaras en el contexto del control y vigilancia del tráfico queda sujeto a su propia normativa específica y supletoriamente a la legislación general en materia de protección, y cuándo a la Directiva; d´) en relación con la definición de la "autoridad competente" prevista en el artículo 2, considera que dicha definición debe incluirse en la relación de definiciones del artículo 3, que la inclusión genérica de la Agencia Estatal de Administración Tributaria no se ajusta a la definición de "autoridad competente" prevista en la Directiva, y que deben aclararse las referencias a las infraestructuras críticas; e´) destaca la ausencia de mención en el ámbito de aplicación del anteproyecto a los tratamientos efectuados por el Tribunal de Cuentas; f´) señala que la técnica empleada por el artículo 3 del anteproyecto para establecer las definiciones resulta incorrecta, pues la remisión debe hacerse a las definiciones contenidas en la Directiva (UE) 2016/680 y no al Reglamento (UE) 2016/679; g´) en relación con el artículo 4, que regula los principios relativos al tratamiento de datos personales, entiende que el apartado cuarto no incorpora debidamente al ordenamiento interno la previsión establecida en el artículo 4.4 de la Directiva, toda vez que esta exige al responsable del tratamiento ser "capaz de demostrar el cumplimiento" de lo dispuesto en el referido precepto; h´) respecto al artículo 5, referido a la colaboración con las autoridades competentes, consideraba que los términos en que se hacía referencia a la exigencia de autorización judicial en el apartado segundo resultaba inadecuada, y que debía incorporarse una referencia al principio de proporcionalidad como límite que deberá respetar la autorización judicial; i´) señala que se deben precisar en el artículo 6 los plazos apropiados de conservación y establecer las garantías adecuadas para su cumplimiento, tal como exige el artículo 5 de la Directiva; j´) en relación con el tratamiento de categorías especiales de datos personales a que se refiere el artículo 11, considera que supone una vulneración del principio de reserva de ley al no recoger de forma precisa los conceptos y parámetros que legitiman dicho tratamiento; k´) por lo que respecta a los datos genéticos, se sugiere valorar la conveniencia de adaptar la Ley Orgánica 10/2007, de 8 de octubre, reguladora de la base de datos policial sobre identificadores obtenidos a partir del ADN; l´) en relación con el artículo 12.1, entiende que las medidas adecuadas para salvaguardar los derechos y libertades del interesado adolecen de falta de concreción y determinación; m´) en cuanto al artículo 26, relativo al registro de operaciones, considera que debe ajustarse más fielmente al artículo 25.2 de la Directiva; n´) se sugiere modificar y matizar ciertos aspectos del régimen de las reclamaciones, así como del régimen sancionador; ñ´) se revisan las propuestas de modificación de las leyes sectoriales; y o´) por último, se recomienda actualizar la regulación contenida en los artículos 236 bis a 236 decies de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial.
3.- Informe del Consejo Fiscal
El Consejo Fiscal emite con fecha 7 de mayo de 2020 un informe, en el que, tras formular una serie de consideraciones iniciales sobre la función consultiva del Consejo Fiscal, las funciones del Ministerio Fiscal y la estructura y el fundamento del anteproyecto, realiza unas observaciones a diversos preceptos de la versión inicial del anteproyecto.
Se da cuenta resumida de las más importantes: a´) recomienda incidir en el texto del anteproyecto, incluso en la propia denominación de la ley proyectada, que la protección recae sobre las personas físicas en lo que respecta al tratamiento de sus datos personales; b´) considera necesario delimitar con precisión el concepto y alcance de "seguridad pública" a que se refiere el artículo 1 por razones de seguridad jurídica; c´) en relación con la determinación de las autoridades competentes, considera que debe citarse al Ministerio Fiscal en la exposición de motivos del anteproyecto, al igual que se hace expresamente en el apartado sexto de su artículo 2, así como explicar las consecuencias jurídicas de su inclusión, de conformidad con lo establecido en el artículo 45.2 de la Directiva; d´) advierte que el apartado segundo del artículo 2 del anteproyecto no distingue en relación con el uso de cámaras de videovigilancia, cuando el uso de las cámaras tenga como finalidad la prevención, detección e investigación de delitos, en cuyo caso debe de estar incluido en esta ley orgánica, o cuando el uso pueda tener una finalidad puramente administrativa de carácter sancionador, fundamentalmente en materia de tráfico o de funciones de vigilancia o de policía insertos más propiamente en el ámbito de la seguridad ciudadana; e´) sugiere modificar los términos del artículo 2.3 en relación con la determinación del concepto de autoridad competente, proponiendo sustituir el inciso "para la consecución de los fines del artículo 1" por el de "para el tratamiento de datos personales en base a alguno de los fines previstos en el artículo 1"; f´) considera que debe incluirse como autoridad competente para realizar los tratamientos de datos personales referidos en el artículo 1, a la Tesorería General de la Seguridad Social de conformidad con lo dispuesto en el texto refundido de la Ley General de la Seguridad Social; g´) advierte que para cumplir adecuadamente con el mandato contenido en la Directiva, y ante la ausencia en el ordenamiento nacional de disposiciones acordes con la actual normativa europea, debería realizar una adecuada, completa e integrada regulación de esta materia en el ámbito jurisdiccional, ya que compromete no solo el ejercicio de las funciones del Ministerio Fiscal, sino también a un derecho fundamental (artículo 18.4 de la Constitución), en este caso, el de la protección de datos personales de los ciudadanos, del que también es garante el Ministerio Público, siendo así que el régimen general que arbitra el anteproyecto resulta insuficiente; h´) en relación con el artículo 3 del anteproyecto, relativo a las definiciones, observa que se remite al artículo 4 del Reglamento (UE) de Protección de Datos, siendo así que dicha referencia resulta errónea, dado que las definiciones enunciadas en dicho precepto no concuerdan con las previstas en el artículo 3 de la Directiva (UE) 2016/680, por lo que debe modificarse el precepto; i´) observa que el artículo 4.2, apartado b), condiciona el tratamiento por el responsable o por otro, a los fines establecidos en el artículo 1, en la medida en que el tratamiento sea necesario y proporcionado "de acuerdo con el Derecho de la Unión Europea o la legislación española", y no se entiende por qué el apartado a) del mismo artículo no recoge esa salvedad en idénticos términos; j´) considera que debe establecerse una previsión en relación con el bloqueo de datos, o remitirse a la legislación aplicable a la misma para definir con precisión en qué consiste; k´) sugiere hacer constar en relación con los datos personales recogidos en los ficheros jurisdiccionales penales de conformidad con los párrafos 5 y 6 del artículo 2, que en los tratamientos llevados a cabo por las autoridades jurisdiccionales y el Ministerio Fiscal se haga referencia a los plazos específicos de conservación que respecto a tales ficheros establecen las leyes procesales, máxime teniendo en cuenta que son estas leyes procesales las que rigen el tratamiento de los datos en los órganos jurisdiccionales penales y el Ministerio Fiscal; l´) observa que la enunciación de las diferentes categorías de interesados previstas en los apartados a), b) y c) del artículo 7 del anteproyecto adolecen de falta de concreción en su definición, debiendo redefinirse en términos más rigurosos y coincidente con los de la Directiva; m´) advierte que el artículo 16.3, apartado b), al referirse a la limitación del tratamiento de los datos personales por el responsable del tratamiento (en lugar de proceder a la supresión), exige la concurrencia de dos circunstancias, que supone una ampliación de lo dispuesto en el artículo 16.3.b) de la Directiva, sin que se justifique las razones por las que el responsable limite el tratamiento de datos personales por razones de seguridad y no exclusivamente a efectos probatorios; n´) se propone introducir ciertas modificaciones en la redacción de los artículos 18 y 19 en relación con el tratamiento de datos personales realizado con fines jurisdiccionales; ñ´) en cuanto al artículo 28, sobre la evaluación de impacto relativa a la protección de datos, considera más correcto referirse a "riesgos" que a "peligros", conforme al artículo 27 de la Directiva, lo que hace extensivo a los artículos 31 y 52; o´) entiende que deben precisarse en el artículo 36 los conceptos invocados y a que se refiere la propia directiva, tales como "amenaza", "gravedad" y "nivel adecuado", pues su indeterminación no contribuye a la certeza exigible; p´) considera que las competencias y facultades atribuidas a la Agencia de Protección de Datos deben ser ejercidas, respectivamente, por el Consejo General del Poder Judicial y por la Unidad de Protección de Datos del Ministerio Fiscal en relación al tratamiento de datos personales con fines jurisdiccionales, debiendo arbitrase una colaboración mutua entre la Agencia Española de Protección de Datos y los mencionados organismos en aras de un adecuado ejercicio de las respectivas competencias que les atribuye la normativa de protección de datos personales, la Ley Orgánica del Poder Judicial y el Estatuto Orgánico del Ministerio Fiscal; lo cual, se compadece con la limitación a la autoridad de control que, respecto a los órganos jurisdiccionales en el ejercicio de su función judicial, establece la propia Directiva; q´) sugiere incorporar al artículo 46 reglas ciertas que permitan delimitar la responsabilidad entre el responsable y el encargado del tratamiento de los datos; y r´) se propone, por último, la supresión de la disposición adicional tercera por la que se modifica la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial.
4.- Informe de la Agencia Española de Protección de Datos
La Agencia Española de Protección de Datos emite informe con fecha 24 de abril de 2020, en el que, tras abundar sobre el carácter de régimen especial del anteproyecto y de la Directiva que viene a transponer y la consiguiente ordenación del sistema de fuentes aplicable, formula numerosas observaciones, entre las cuales cabe destacar las siguientes: a´) en relación con la determinación de las autoridades competentes, sugiere precisar que la consideración de los jueces y tribunales del orden jurisdicción penal y el Ministerio Fiscal como autoridad competente se ciñe al tratamiento de datos con fines jurisdiccionales en el orden penal; b´) considera que debe suprimirse en el apartado cuarto del artículo 2, la referencia a los tratamientos para la protección y prevención frente a las amenazas contra las infraestructuras críticas; c´) sugiere incluir las referencias a la defensa nacional y a la seguridad nacional en el apartado b) del artículo 2.7 referido a las materias no comprendidas en el Derecho de la Unión, incluir un apartado en el que se determine que los tratamientos que afecten a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea, se regirán por lo dispuesto en su legislación específica si la hubiere y supletoriamente por lo establecido en el Reglamento (UE) 2016/679 y en la Ley Orgánica 3/2018, y suprimir la exclusión específica de los tratamientos relativos a la lucha contra el terrorismo a los que se refiere la letra e) del artículo 2.7, así como el 2.8; d´) en cuanto a las definiciones legales enunciadas en el artículo 3, estima que debe suprimirse la relativa a "autoridad competente" por figurar en el artículo 2.3 y la remisión a la definición del "consentimiento" al no constituir un fundamento jurídico para el tratamiento de los datos personales por las autoridades competentes; e´) propone suprimir el artículo 5 relativo a la "colaboración con las autoridades competentes", en la medida en que no transpone precepto alguno de la Directiva y resulta distorsionador, o, subsidiariamente, establecer unas garantías adicionales y reforzadas; f´) recomienda modificar el artículo 6 para incluir criterios específicos sobre el plazo de conservación de los datos personales, así como reconsiderar el apartado segundo de ese mismo precepto, pues, además de no corresponderse con ninguna previsión de la Directiva, añade incertidumbre al plazo de conservación de los datos; g´) estima que el artículo 7, apartado a) del anteproyecto debe ceñirse a las "infracciones penales"; h´) en relación con el artículo 7 relativo a la verificación de la calidad de los datos, considera que debe reformularse el apartado segundo, a fin de que si la evaluación de los datos determina que los mismos son inexactos, incompletos o no actualizados no se proceda a la comunicación de los mismos a terceros, sin que sea posible dicha comunicación por el mero hecho de que se aporte el análisis al que se refiere el precepto; i´) propone que el artículo 9.2 relativo a la licitud del tratamiento de datos, así como el artículo 10.1 sobre las condiciones específicas de tratamiento, se ajusten más fielmente al contenido de la Directiva; j´) sugiere eliminar del artículo 13 relativo a las condiciones generales para el ejercicio de los derechos de los interesados, la previsión según la cual se le tendrá por desistido si no proporciona una determinada información; k´) propone, además, ciertos ajustes y modificaciones en la redacción de los artículos 14.2, 15.3, 16.3, 18, 21.1, 28.1, 30.1, 31.1 y 40.1, así como de ciertas previsiones del capítulo VI relativo a las autoridades de protección de datos independientes y del capítulo VIII referido al régimen sancionador; y l´) por último, considera que debe modificarse el apartado 3 del artículo 15 bis que pretende introducirse en Ley Orgánica 1/1979, de 26 de septiembre, General Penitenciaria, en virtud de la disposición final tercera del anteproyecto, de modo que se especifique que los tratamientos de datos personales que se realicen por las instituciones penitenciarias para fines distintos de los previstos en el anteproyecto, se regirán por su legislación específica y, supletoriamente, por el Reglamento (UE) 2016/679 y la Ley Orgánica 3/2018, de 5 de diciembre, así como también el apartado 2 para incorporar las garantías que se estimen adecuadas para salvaguardar el derecho a la protección de datos personales de los internos, atendiendo al tipo de datos que se tratan y a las finalidades de los distintos tratamientos.
5.- Informes de las Agencias Vasca y Catalana de Protección de Datos
a) Informe de la Autoridad Catalana de Protección de Datos, de fecha 24 de abril de 2020, en el que se formulan numerosas observaciones al texto del anteproyecto, entre las cuales cabe destacar las siguientes: a´) objeto de la ley (sobre la determinación de la legislación aplicable): b´) ámbito de aplicación (sobre el régimen de la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad y la consideración de la Agencia Estatal de la Administración Tributaria como autoridad competente, así como sobre ciertas exclusiones del ámbito de aplicación): c´) principios relativos al tratamiento de datos personales (estar en condiciones de demostrar el cumplimiento); d´) plazos de conservación y revisión (sobre los plazos específicos y el régimen de bloqueo de datos): e´) distinción entre categorías de interesados (propone incluir a los cómplices y distinguirlos de las personas que no han participado en la comisión del delito); f´) licitud de tratamiento de datos, condiciones específicas de tratamiento y tratamiento de categorías especiales (propone su revisión en aras de una mayor comprensión y sistemática); g´) mecanismo de decisión individual automatizada (propone su revisión y un mayor ajuste a la Directiva); h´) información que debe ponerse a disposición del interesado (propone reducir el margen de actuación del responsable y un mayor ajuste a la Directiva), i´) derecho de acceso del interesado a sus datos (propone ciertos ajustes en los apartados 1.g), 3 y 4); j´) obligaciones del responsable de tratamiento (propone un mayor ajuste a la Directiva); k´) encargado del tratamiento (sugiere precisar la naturaleza del acto jurídico vinculante y la posibilidad de subcontratación y régimen aplicable); l´) registro de las actividades de tratamiento (propone ciertos ajustes para evitar duplicidades con otros registros); m´) registro de operaciones (propone un mayor ajuste a la Directiva); n´) consulta previa a la autoridad de protección de datos (propone un mayor ajuste a la Directiva); ñ´) transferencias internacionales (propone simplificar la redacción de ciertos preceptos); o´) autoridades de protección de datos (propone algunas matizaciones en cuanto al régimen de potestades y funciones de control); p´) reclamaciones (propone un mayor ajuste a la Directiva en cuanto al establecimiento de mecanismos eficaces que fomenten la notificación confidencial de infracciones, someter las reclamaciones ante las autoridades de control, mejorar la sistemática de los preceptos tocantes al régimen de indemnización por entes del sector público y del sector privado e introducir el régimen de tutela judicial contra una autoridad de control), y q´) régimen sancionador (propone diversos ajustes en el régimen de las infracciones tipificadas). Por último, sugiere que se derogue de forma expresa la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y se clarifique la derogación de la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos).
b) Informe de la Agencia Vasca de Protección de Datos, de fecha 29 de abril de 2020, formulando igualmente numerosas observaciones, destacándose las referidas al: a´) objeto de la ley (propone anteponer el derecho fundamental al fin perseguido y mencionar la finalidad de transposición de la norma europea); b´) ámbito de aplicación (propone eliminar la mención al fichero, por resultar obsoleto, así como la consideración de la Agencia Estatal de la Administración Tributaria como autoridad competente, y, subsidiariamente, incluir a las Haciendas Forales); c´) definiciones (propone reconsiderar la remisión al Reglamento (UE) 2016/679 por resultar errónea); d´) colaboración con las autoridades competentes (propone reforzar las cautelas); e´) plazos de conservación y revisión (propone incluir criterios que permitan determinar el plazo de conservación); f´) distinción entre categorías de interesados (señala que no obsta el derecho a la presunción de inocencia); g´) derecho de acceso del interesado a sus datos (propone incluir los derechos a conocer la existencia de decisiones automatizadas y a la obtención de copia de los datos); h´) ejercicio de los derechos del interesado a través de la autoridad de protección de datos (propone precisar su alcance); i´) consulta a la autoridad de protección de datos (propone reconsiderar el sentido del silencio administrativo, proponiendo que sea positivo); j´) autoridades de protección de datos independientes (se refiere a la cooperación entre la agencia española de protección de datos y las autoridades autonómicas); k´) reclamaciones (objeta la posible responsabilidad patrimonial de las autoridades de protección de datos cuando su función es precisamente velar porque el derecho fundamental de las personas sea respetado, tutelando el mismo, y corrigiendo las conductas infractoras cometidas por los responsables o encargados del tratamiento de los datos); y l´) régimen sancionador (propone diversos ajustes en el régimen de las infracciones tipificadas). Formula también ciertas observaciones a la parte final del texto proyectado: a´) disposición adicional segunda (objeta que las autoridades competentes pueden solicitar al Instituto Nacional de Estadística, sin consentimiento del interesado, una copia actualizada del fichero formado con los datos que constan en los padrones municipales de habitantes y en el censo electoral correspondientes a los territorios donde ejerzan sus competencias, alegando que una previsión idéntica contenida en la disposición adicional segunda de la Ley Orgánica 15/1999 de 15 de diciembre, de Protección de Datos de Carácter Personal fue derogada por la Ley Orgánica 3/2018, y sin embargo se mantiene en el ámbito de la Directiva (UE) 2016/680, para las denominadas autoridades competentes); b´) disposición derogatoria (sobre la derogación de la legislación específica sobre videovigilancia policial); c´) disposición final primera (sobre la necesaria previsión de las previsiones de la ley que tienen carácter de ley orgánica; d´) disposición final segunda (no se especifican los preceptos que se dictan al amparo de cada uno de los títulos competenciales invocados y cuestiona el alcance del título previsto en el artículo 149.1.1.ª de la Constitución; y e´) disposición final tercera (propone reformular el régimen de tratamiento de los datos de internos en centros penitenciarios).
6.- Informes de las Comunidades Autónomas del País Vasco y de Cataluña
a) Informe del Departamento de Seguridad del Gobierno Vasco, de fecha 12 de junio de 2020. El informe, suscrito por el Director General de Régimen Jurídico, Servicios y Procesos Electorales, contiene, entre otras, las siguientes observaciones: a´) en relación con la inclusión del "tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad" en el ámbito de aplicación de anteproyecto (artículo 2.2), reclama que se precise si todo tratamiento de imágenes y sonidos por los cuerpos policiales se encuentra comprendido dentro del ámbito de aplicación de la ley proyectada, o si existe algún ámbito de actuación que quede al margen; b´) observa que no se incluye a las Haciendas Forales como autoridad competente (art. 2.3); c´) advierte, también, que el artículo 2.7 excluye del ámbito de aplicación de la ley orgánica a los tratamientos realizados por "las autoridades competentes para fines distintos de los establecidos en el artículo 1, incluidos los fines de archivo por razones de interés público, investigación científica e histórica o estadísticos", siendo así que el artículo 4, por el que se regulan los principios relativos al tratamiento de datos personales, recoge, en su apartado 3, como principio rector que "el tratamiento por el mismo responsable o por otro podrá incluir el archivo por razones de interés público, el uso científico, estadístico o histórico para los fines establecidos en el artículo 1, con sujeción a las garantías adecuadas para los derechos y libertades de los interesados"; d´) solicita que se aclare si quedan fuera del ámbito de aplicación de la ley orgánica los relativos a la lucha contra el terrorismo que afecten a la Seguridad Nacional y los relativos a las formas graves de delincuencia organizada dirigida a desestabilizar, gravemente, el normal funcionamiento del Estado y de las instituciones (artículo 2.7.e); e´) se sugiere incluir en el apartado primero del artículo 4, sobre los principios relativos al tratamiento de datos personales, que los datos personales deben ser adecuados, pertinentes y también limitados para fines establecidos en el artículo 1 distintos de aquel para el que hayan sido recogidos, y en el apartado segundo del mismo precepto, la obligación de información al interesado cuando los datos personales sean tratados por el mismo responsable o por otro, para fines distintos de aquellos para los que fueron cedidos; f´) se propone incluir en el apartado segundo del artículo 9, relativo a la licitud del tratamiento de datos, el deber de información sobre la identidad del responsable; g´) se sugiere que el texto del anteproyecto recoja en su artículo 13, y demás disposiciones concordantes, que la información al interesado con carácter general se debe llevar a efecto sin dilación indebida y, en todo caso, en el plazo máximo de un mes, independientemente de que se haga referencia a este plazo cuando se hace referencia a la desestimación de la solicitud, y que se le tenga por desistido de su petición en caso de no atender los requerimientos de información que le fuesen formulados; h´) propone incluir en el artículo 18, relativo al ejercicio de los derechos de los interesados a través de la autoridad de protección de datos, los derechos de supresión y de limitación del tratamiento de datos; e i´) pPor último, solicita que se reconsideren los términos de la disposición derogatoria en lo que se refiere a la derogación de la Ley Orgánica 4/1997, de 4 de agosto, y el Real Decreto 596/1999, de 16 de abril, a fin de evitar que se produzca un vacío legal.
b) Informe del Departamento de Interior de la Generalidad de Cataluña, de fecha 18 de junio de 2018. Entre las observaciones formuladas en el informe elaborado por la Secretaría General del departamento, cabe destacar las siguientes: a´) se recomienda aclarar si el tratamiento de datos relativos a las infracciones relativas a la protección y prevención ante las amenazas contra la seguridad pública se incluyen dentro del ámbito de aplicación de la ley orgánica; b´) se propone hacer referencia, en el apartado tercero del artículo 2, al órgano administrativo superior que por orden jerárquico corresponda y que tenga la consideración de autoridad pública requerida; c´) sugiere que el artículo 3, relativo a las definiciones, haga una mención expresa a la Directiva; d´) en relación con el artículo 20, relativo a las obligaciones del responsable del tratamiento, se plantea que la aplicación de las medidas previstas no se limiten a "garantizar que el tratamiento se lleve a cabo de acuerdo con esta ley", sino que también se haga extensiva a estar en condiciones de demostrarlo; e´) sugiere, a su vez, que se hagan ciertas precisiones en lo tocante al régimen sancionador; f´) respecto a la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos, se considera conveniente separar del ámbito de control de las autoridades de protección de datos, los tratamientos de datos personales procedentes de imágenes y sonidos obtenidos de cámaras y videocámaras utilizadas por las Fuerzas y Cuerpos de Seguridad (independientemente de cual fuera su finalidad inicial), cuando los mismos hayan sido puestos a disposición de la autoridad judicial o del Ministerio Fiscal, por haber sido incorporados en atestados policiales, pues en estos casos se considera que los datos de esas imágenes pasan a formar parte de un procedimiento judicial o de fiscalía y, por tanto, deben regirse conforme lo que disponen los apartados 5 y 6 del artículo 2 del anteproyecto; g´) propone incluir de forma expresa la derogación de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, dado que con la transposición de la Directiva (UE) 2016/680 deja de tener efecto su contenido, conforme lo dispuesto en la disposición transitoria cuarta de la Ley Orgánica 3/2018, de 5 diciembre; h´) sugiere la posibilidad de añadir una disposición transitoria cuyo contenido determine un período suficiente para la adaptación técnica y material a las exigencias normativas del anteproyecto por parte de las Administraciones públicas; i´) advierte que no se regula en el texto del anteproyecto el tratamiento que se ha de dar a la cesión de datos entre cuerpos policiales de otros países que no estén previstos en un tratado o convenio suscrito por España, y que el único régimen que se prevé es respecto a la transferencia de datos personales a terceros países que no sean miembros de la Unión Europea u organización internacional, pero no se prevé qué régimen debe aplicarse cuando la cesión es entre autoridades, en este caso policiales; j´) señala, por último, que el texto del anteproyecto no establece previsión alguna acerca de los supuestos en que no resulta necesario el consentimiento del interesado, siendo las únicas referencias las relativas al régimen sancionador. Concluye sus alegaciones haciendo ciertas observaciones a las modificaciones de las leyes sectoriales.
7.- Texto definitivo del anteproyecto
A la vista de las observaciones recibidas, el Ministerio del Interior, en su condición de departamento ministerial proponente, elaboró una nueva versión del anteproyecto, fechada en el mes de octubre de 2020, en la que se han introducido numerosos cambios con respecto a la versión inicial. No se acompaña un informe de valoración de las observaciones recibidas.
8.- Informe de la Secretaría General Técnica del Ministerio del Interior
Por último, emitió informe la Secretaría General Técnica del Ministerio del Interior, en fecha 6 de octubre de 2020. El informe se limita a exponer que la Secretaría General Técnica ha participado de forma activa, junto con la Secretaría de Estado de Seguridad, en el procedimiento de elaboración del anteproyecto, razón por la cual no formula observaciones.
CUARTO.- Sobre la remisión del expediente al Consejo de Estado y la documentación complementaria ulteriormente incorporada
I.- En tal estado de tramitación, V. E. dispuso la remisión del expediente al Consejo de Estado para consulta, donde fue registrado de entrada el día 10 de noviembre de 2020, haciéndose constar en la Orden de remisión que la consulta se formula al amparo de lo prevenido en el artículo 21.2 de la Ley Orgánica 3/1980, de 22 de abril, del Consejo de Estado.
II.- Una vez entrado el expediente en el Consejo de Estado, en virtud de un oficio de la Secretaría General Técnica del Ministerio del Interior de 4 de diciembre de 2020 (con registro de entrada en esa misma fecha), se remitió a este Consejo, para su incorporación al expediente anteriormente remitido en consulta, una documentación complementaria integrada por los siguientes documentos y actuaciones:
(i) Carta de Emplazamiento 2018/0164 emitida por la Comisión Europea con fecha 20 de julio de 2018 y dirigida al Reino de España, por falta de transposición, entre otras, de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. La carta indica que el plazo de transposición de la directiva mencionada había expirado el 6 de mayo de 2018 y que la Comisión no había recibido la notificación de las medidas necesarias para su transposición. Por ello, la Comisión considera que España no ha cumplido con las obligaciones que le incumben en virtud de lo dispuesto en la citada directiva, e invita al Gobierno español a comunicarle las medidas de transposición que se estén tramitando, o que se hayan tramitado, y que sean necesarias para garantizar la ejecución de la Directiva. La carta termina recordando las sanciones financieras que, en su caso, podrá imponer el Tribunal de Justicia de la Unión Europea ante la falta de transposición.
(ii) Contestación del Reino de España a la Carta de Emplazamiento 2018/0164, de fecha 26 de septiembre de 2018, formulada por la Secretaría General Técnica del Ministerio del Interior. El escrito indica que la transposición de la Directiva requiere formular un texto de anteproyecto de ley orgánica que "encierra gran complejidad por su carácter transversal y novedoso", y cuya elaboración implica "la necesaria participación de un mayor número de actores a fin de consensuar un texto que responda a las obligaciones de transposición". Añade que el procedimiento de elaboración de la ley orgánica "se encuentra en un estadio menos avanzado" debido a las circunstancias expresadas, y expone un cronograma orientativo de la tramitación del anteproyecto en su fase prelegislativa y también en su fase de tramitación parlamentaria. El escrito termina señalando, en cuanto a la tramitación del proyecto legislativo ante las Cortes Generales, que "dada la actual coyuntura parlamentaria, cualquier cálculo de plazo de tramitación resulta meramente aproximativo".
(iii) Dictamen motivado emitido por la Comisión Europea con fecha 24 de enero de 2019 y dirigido al Reino de España, de conformidad con lo prevenido en el artículo 258 del Tratado de Funcionamiento de la Unión Europea, por la falta de comunicación de las medidas de transposición al ordenamiento jurídico interno de la Directiva (UE) 2016/680. El dictamen, tras resumir los términos de la carta de emplazamiento emitida y las observaciones formuladas por el Gobierno del Reino de España, considera que "por los datos de que dispone la Comisión, dichas medidas siguen sin haberse adoptado, ya que la Comisión no ha recibido comunicación alguna a este respecto". La Comisión entiende que "corresponde a las autoridades de España aplicar a su debido tiempo los procedimientos necesarios para transponer la mencionada Directiva al Derecho interno sin demora, de manera que dicha transposición se efectúe dentro del plazo previsto a tal efecto, e informar de ello a la Comisión", siendo así "que España no ha adoptado todavía las medidas que debía aplicar a más tardar el 6 de mayo de 2018 en relación con la Directiva antes citada, y que, en cualquier caso, no le ha comunicado dichas medidas". Termina la Comisión requiriendo a España "a que adopte las medidas necesarias para ajustarse a presente dictamen motivado en el plazo de dos meses a partir de la recepción del mismo".
(iv) Contestación del Reino de España al dictamen motivado formulada con fecha 25 de marzo de 2019 por la Dirección General de Coordinación del Mercado Interior y otras Políticas Comunitarias del Ministerio de Asuntos Exteriores, Unión Europea y Cooperación, en la que, tras reiterar algunas de las consideraciones formuladas previamente, se indica que no cabe alternativa a la transposición de la Directiva mediante ley orgánica que deben aprobar las Cortes Generales, pues "a diferencia de otras transposiciones que se han llevado a cabo mediante decretos-leyes que habilitan al Gobierno en situaciones de extraordinaria y urgente necesidad, en el caso que nos ocupa la utilización de este instrumento normativo que agilizaría la transposición resulta imposible", por lo que "no cabe sortear la transposición de ambas directivas con una figura normativa distinta a la ley orgánica". El escrito de contestación concluye afirmando "el decidido compromiso de cumplimiento de las Directivas europeas, y por tanto de seguir avanzando en su pronta incorporación a nuestro derecho".
(v) Demanda formulada por la Comisión Europea ante el Tribunal de Justicia de la Unión Europea, de fecha 4 de septiembre de 2019, en la que, tras describir el marco jurídico aplicable y los antecedentes del caso, concluye que "el Reino de España no ha transpuesto la Directiva (UE) 2016/680 más de un año después de la expiración del plazo de transposición"; y que, "al no haber adoptado las medidas necesarias para adaptar su legislación a la Directiva (UE) 2016/680 o, en todo caso, al no haber comunicado esas disposiciones a la Comisión, ha incumplido las obligaciones que le incumben en virtud del artículo 63, apartado 1, de la Directiva". Termina la demanda formulada por la Comisión solicitando al Tribunal de Justicia que: a) declare que el Reino de España ha incumplido las obligaciones que le incumben en virtud del artículo 63, apartado primero, de la Directiva (UE) 2016/680; b) imponga al Reino de España, de conformidad, con arreglo al artículo 260, apartado 3, del Tratado de Funcionamiento de la Unión Europea, una multa coercitiva diaria de 89.548,20 euros, con efecto a partir de la fecha del pronunciamiento de la sentencia por la que se declara el incumplimiento de la obligación de adoptar o, en todo caso, comunicar a la Comisión, las disposiciones necesarias para el cumplimiento de la Directiva; c) imponga al Reino de España, con arreglo al mismo precepto antes citado, una suma a tanto alzado cuyo importe corresponde al importe diario de 21.321,00 euros multiplicado por el número de días de persistencia de la infracción, siempre y cuando este importe supere la suma a tanto alzado mínima de 5.290.000 euros; y d) condene al Reino de España al pago de las costas del procedimiento.
(vi) Contestación a la demanda del Reino de España, de fecha 20 de noviembre de 2019, formulada por la Abogacía del Estado ante el Tribunal de Justicia de la Unión Europea, en la que, sin perjuicio de manifestar su conformidad con la descripción de los hechos que invoca la Comisión como fundamento de su demanda, aduce ciertas consideraciones acerca de las particulares circunstancias institucionales que han afectado al Reino de España y condicionado, en consecuencia, el ejercicio de la potestad legislativa por parte de las Cortes Generales durante el periodo de transposición (desde octubre de 2015 y hasta noviembre de 2019); circunstancias que se pormenorizan con detalle en el escrito de contestación a la demanda. También precisa en cuanto hace al relato fáctico de la demanda, que no cabe apreciar que haya existido inacción o completa ausencia de actuación por parte de las autoridades españolas, y que, además, durante el período de referencia, estas han permanecido en contacto permanente con la Comisión. Añade, también, que se da la circunstancia de que, por impedimento constitucional, no es posible la incorporación de la Directiva mediante un decreto-ley, como se ha podido hacer con otras directivas de la Unión, debido al carácter orgánico que la Constitución Española impone a las normas que desarrollen o afecten al régimen de los derechos fundamentales. Indica, a su vez, que, si bien las circunstancias institucionales alegadas no son adecuadas para justificar el incumplimiento, entiende que son particularmente inusuales y de singular relevancia a la hora de valorar la proporcionalidad de la multa coercitiva y sanción solicitadas por la Comisión, que considera improcedentes por resultar desproporcionadas. Concluye su contestación a la demanda, la representación procesal del Reino de España, solicitando del Tribunal de Justicia que desestime en su integridad la demanda deducida por la Comisión o, subsidiariamente, reduzca el importe de la multa coercitiva y de la sanción solicitadas en atención a los criterios expuestos, y condene en costas a la institución demandante.
C O N S I D E R A C I O N E S
A la vista de los anteriores antecedentes, se formulan las siguientes consideraciones:
PRIMERA.- Sobre el objeto y carácter de la consulta
I.- Se somete a la consideración de este Alto Cuerpo Consultivo un anteproyecto de Ley Orgánica que tiene por objeto regular el sistema de protección de datos personales tratados para fines de prevención, detección, investigación o enjuiciamiento de infracciones penales y de ejecución de sanciones penales, así como para la protección y prevención frente a las amenazas contra la seguridad pública.
Según resulta de la disposición final décima del anteproyecto, mediante la proyectada ley orgánica se incorpora al ordenamiento jurídico interno español la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos, cuyo plazo de transposición finalizó el día 6 de mayo de 2018 (artículo 63.1).
La disposición adicional primera de la Ley 8/1994, de 19 de mayo, por la que se regula la Comisión Mixta para la Unión Europea, prevé que "el Consejo de Estado deberá ser consultado sobre las normas que se dicten en ejecución, cumplimiento y desarrollo del derecho comunitario europeo, de conformidad y en los términos establecidos en su propia Ley Orgánica".
Por su parte, el artículo 21.2 de la Ley Orgánica 3/1980, de 22 de abril, del Consejo de Estado, en su redacción dada por la Ley Orgánica 3/2004, de 28 de diciembre, dispone que "el Consejo de Estado en Pleno deberá ser consultado en los siguientes asuntos: [...] Anteproyectos de leyes que hayan de dictarse en ejecución, cumplimiento o desarrollo de tratados, convenios o acuerdos internacionales y del derecho comunitario europeo".
En consecuencia, el Consejo de Estado en Pleno dictamina el presente expediente con carácter preceptivo, en cumplimiento de lo dispuesto en el artículo 21.2 de la Ley Orgánica reguladora de este Alto Cuerpo Consultivo y la disposición adicional primera de la Ley 8/1994, de 19 de mayo, por tratarse la proyectada de una ley que se propone como finalidad primordial el cumplimiento del Derecho europeo, mediante la incorporación al ordenamiento jurídico español de la Directiva antes mencionada; correspondiendo la ponencia del asunto a la Comisión Permanente, atendiendo a lo dispuesto en el artículo 17.1 de la mencionada ley orgánica.
II.- En cuanto al plazo para el despacho de la consulta formulada, conviene señalar que si bien el expediente remitido en consulta tuvo entrada inicialmente en el Registro General de este Consejo el día 10 de noviembre de 2020, lo cierto es, como se ha dejado debida constancia en el extracto de antecedentes (apartado cuarto, subapartado II), que el expediente fue posteriormente completado por el departamento consultante el día 4 de diciembre siguiente, con la remisión de una documentación complementaria en la que se incluían el conjunto de las actuaciones relacionadas con el procedimiento de infracción abierto por la Comisión Europea contra el Reino de España, que no figuraban en el expediente remitido inicialmente en consulta, de tal suerte que el plazo de dos meses para su despacho fijado en el artículo 19 de la Ley Orgánica del Consejo de Estado debe computarse a partir de la fecha en que el referido expediente fue completado y tuvo entrada en este Consejo la documentación complementaria aportada (en este caso, el día 4 de diciembre de 2020).
III.- Por último, debe este Consejo insistir en la necesidad, ya puesta de manifiesto en numerosos dictámenes, de que la remisión de cualquier documentación complementaria para ser unida al expediente remitido en consulta, requiere de una nueva Orden de remisión firmada por el Ministro o la Ministra titular del departamento consultante, y no la mera remisión de la documentación complementaria acompañada de un oficio firmado por el titular de un órgano administrativo departamental inferior en rango, lo que no se ha cumplido en el caso presente.
SEGUNDA.- Sobre el procedimiento de elaboración del anteproyecto
I.- Desde el punto de vista del procedimiento de elaboración de las normas con rango de ley, el expediente ha seguido, en líneas generales, la tramitación prevista, para las iniciativas de esta índole, en el artículo 26 de la Ley 50/1997, de 27 de noviembre, del Gobierno.
a) Así, se ha incorporado al expediente la primera versión del texto del anteproyecto de Ley Orgánica formulado por el Ministerio del Interior, así como la versión definitiva sometida a dictamen de este Consejo, a la que se acompaña una memoria del análisis de impacto normativo en los términos legalmente requeridos por el artículo 26.3 de la mencionada Ley del Gobierno, en relación con el Real Decreto 931/2017, de 27 de octubre, por la que se regula la Memoria del Análisis de Impacto Normativo, y en la que se analizan la necesidad y oportunidad de la propuesta, y alternativas de regulación ponderadas, su contenido y análisis jurídico, el análisis sobre la adecuación de la ley proyectada al orden constitucional de distribución de competencias y los trámites seguidos en el procedimiento de elaboración, así como la evaluación de los impactos normativos en los diversos órdenes legalmente establecidos.
b) Consta también que, previamente a la formulación del texto del anteproyecto, se sustanció por el departamento actuante un trámite de consulta pública previa, de conformidad con lo previsto en el artículo 133.1 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas y en el artículo 26.2 de la Ley 50/1997, de 27 de noviembre, del Gobierno, mediante la publicación del correspondiente anuncio en el portal web del departamento consultante, haciéndose constar en el certificado expedido por el Secretario General Técnico, y obrante en el expediente, que durante dicho trámite no se recibieron observaciones.
c) A los efectos del artículo 26.4 de la Ley 50/1997, de 27 de noviembre, el texto inicial del anteproyecto de ley orgánica formulado fue elevado por el Ministro del Interior al Consejo de Ministros, que tomó conocimiento del mismo en su reunión del día 10 de marzo de 2020, según consta en diligencia de toma de razón firmada por la Vicepresidenta Primera del Gobierno y Ministra de la Presidencia, Relaciones con las Cortes y Memoria Democrática, en el ejercicio de sus atribuciones como Ministra- Secretaria del Consejo de Ministros.
d) Consta también que, a lo largo del procedimiento de elaboración de la norma proyectada, se han recabado los informes, dictámenes y aprobaciones previas que resultan preceptivos.
En particular, constan en el expediente los informes emitidos por las Secretarías Generales Técnicas de los Ministerios del Interior y de Justicia en su calidad de departamentos ministeriales coproponentes de la iniciativa prelegislativa, cuya preceptividad establece el artículo 26.5, párrafo cuarto, de la Ley 50/1997, de 27 de noviembre.
También se ha recabado el informe del Ministerio de Política Territorial y Función Pública, a los efectos prevenidos en el artículo 26.5, párrafo sexto, de la citada Ley 50/1997, de 27 de noviembre, dado que el anteproyecto afecta a la distribución de las competencias entre el Estado y las comunidades autónomas. Y se ha solicitado -y otorgado- también la aprobación previa de la Ministra de Política Territorial y Función Pública, conforme establece el artículo 26.5, párrafo quinto, de la misma Ley 50/1997, de 27 de noviembre.
Constan, a su vez, en el expediente los siguientes informes sectoriales, igualmente preceptivos: a) informe del Consejo General del Poder Judicial, en cumplimiento de lo previsto en el artículo 561.1, apartados 6.º y 8.º, de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial; b) informe del Consejo Fiscal, en cumplimiento de lo previsto en el artículo 14.4, apartado j) de la Ley 50/1981, de 30 de diciembre, reguladora del Estatuto Orgánico del Ministerio Fiscal; c) informe de la Agencia Española de Protección de Datos, en cumplimiento de lo dispuesto en el artículo 57.1, apartado c), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, en relación con el artículo 47 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y el artículo 5, apartado b), del Estatuto de la Agencia Española de Protección de Datos, aprobado por el Real Decreto 428/1993, de 26 de marzo); y d) informes de las autoridades autonómicas de protección de datos correspondientes a las Comunidades Autónomas de Cataluña (Autoridad Catalana de Protección de Datos) y País Vasco (Agencia Vasca de Protección de Datos), en cumplimiento de lo dispuesto en el artículo 57 de la citada Ley Orgánica 3/2018, de 5 de diciembre).
e) Asimismo, se han cumplimentado por el departamento otras consultas necesarias o convenientes para garantizar la legalidad, acierto y oportunidad del texto proyectado, de conformidad con lo dispuesto en el artículo 26.5, párrafo primero, de la Ley 50/1997, de 27 de noviembre, como es el caso de las evacuadas en el seno de la Administración General del Estado por los Ministerios de Hacienda, Asuntos Económicos y Transformación Digital, Defensa, Trabajo y Economía Social, Derechos Sociales y Agenda 2030, y de Inclusión, Seguridad Social y Migraciones; así como por la Secretaría General de Instituciones Penitenciarias, la Dirección General de la Policía y la Dirección General de la Guardia Civil, y las evacuadas por las Comunidades Autónomas de Cataluña y del País Vasco.
f) Por último, consta que se ha cumplimentado un trámite de audiencia e información públicas, de conformidad con lo prevenido en los artículos 133.2 de la de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas y 26.6 de la Ley 50/1997, de 27 de noviembre, del Gobierno, a través de la publicación del texto elaborado en el portal web del Ministerio del Interior, sin que tampoco en este trámite de participación pública se haya recibido observación alguna, tal como se hace constar en el certificado aportado por el departamento consultante. II.- Sin perjuicio de lo anteriormente expresado, y en relación con la tramitación del anteproyecto en su fase prelegislativa, procede formular las siguientes observaciones:
a) En primer lugar, no puede este Consejo dejar de formular una observación en relación con la demora excesiva que se ha producido en la elaboración y posterior tramitación del anteproyecto de Ley Orgánica ahora sometido a consulta (cuyo plazo finalizó el 6 de mayo de 2018, conforme al artículo 63 de la Directiva (UE) 2016/680) y que ha terminado dando lugar a la interposición de una demanda de la Comisión contra España ante el Tribunal de Justicia de la Unión Europea. En efecto, la Comisión Europea remitió a las autoridades españolas una carta de emplazamiento el 20 de julio de 2018, seguida de un dictamen motivado el 24 de enero de 2019, para que en el plazo de dos meses adoptase las medidas necesarias para la transposición de la directiva. En la contestación a la Comisión de fecha 25 de marzo de 2019, aunque se manifestó el decidido compromiso de seguir avanzando en su pronta incorporación al derecho interno, se alegaron dificultades derivadas de la complejidad de la norma, la amplia participación en su elaboración, así como la coyuntura parlamentaria, pese a lo cual la Comisión presentó demanda contra España ante el Tribunal de Justicia con fecha 4 de septiembre de 2019.
Al respecto, debe este Consejo observar que, más allá de las concretas circunstancias alegadas en descargo de la falta de transposición de la norma europea en tiempo hábil, no cabe desconocer que la Directiva lleva fecha 26 de abril de 2016 y que el plazo de transposición finalizaba el 6 de mayo de 2018, siendo así que, según resulta de la propia memoria (apartado 4.3), el anteproyecto ahora formulado fue incluido en su día en el Plan Anual Normativo de la Administración General del Estado para 2018, por Acuerdo del Consejo de Ministros adoptado en la sesión celebrada el 7 de diciembre de 2017. Además, la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave, cuya fecha de transposición vencía el 25 de mayo de 2018 (artículo 18), también se encontraba pendiente de transposición y fue incluida en la misma Carta de Emplazamiento, formulándose el anteproyecto de Ley Orgánica de transposición de esa Directiva con mayor prontitud, que fue dictaminado por este Consejo el 13 de septiembre de 2018 (dictamen número 736/2018, de 13 de septiembre), aprobado seguidamente como proyecto de ley por el Consejo de Ministros, y remitido a las Cortes Generales para su tramitación, aprobándose finalmente como Ley Orgánica 1/2020, de 16 de septiembre.
A la vista de todo ello, este Consejo se siente en la obligación de trasladar a la autoridad consultante la importancia de extremar el rigor y el celo en lo que se refiere a los tiempos de transposición de las directivas de la Unión al ordenamiento interno, a fin de abordar esta importante y necesaria función sin precipitación, de manera ordenada y con el sosiego deseable para obtener el mejor resultado posible, máxime cuando, como en el presente caso, la norma reviste una indudable trascendencia y repercusión, por no aludir a las graves consecuencias económicas que se derivan de la imposición de las multas coercitivas y sanciones solicitadas en este caso por la Comisión en la demanda deducida ante el Tribunal de Justicia de la Unión Europea.
b) En segundo término, se advierte que el texto final del anteproyecto ha sufrido cambios significativos respecto a la versión inicial, como resultado de las abundantes y variadas observaciones que han sido formuladas durante la tramitación del expediente, buena parte de las cuales han sido aceptadas, como indica la propia memoria, especialmente las contenidas en los informes del Consejo General del Poder Judicial, del Consejo Fiscal y de la Agencia Española de Protección de Datos, entre otras.
Sin embargo, a pesar de las numerosas observaciones formuladas, y de que entre las versiones del texto inicial y final del anteproyecto se aprecian modificaciones de alcance significativo, en el expediente no consta, como suele ser práctica administrativa habitual, un informe en el que se analicen de manera individualizada dichas observaciones y se expliquen los motivos que han llevado al ministerio proponente a aceptar o a rechazar estas observaciones.
El Consejo de Estado considera que, en un expediente como el sometido ahora a consulta, este informe reviste una capital importancia para la mejor explicación, justificación, motivación y comprensión de la norma proyectada y, por tanto, debe recordar, como ha hecho en otras numerosas ocasiones, la necesidad de elaborarlo una vez agotadas las intervenciones en el procedimiento e incorporarlo al expediente, pues la información que reporta no solo es útil para este Consejo de Estado en trance de formular su dictamen, sino también para el buen gobierno del propio ministro titular del departamento y de los demás miembros del Gobierno de la Nación, responsables solidariamente de la aprobación del anteproyecto en el seno del Consejo de Ministros, e incluso para las propias Cortes Generales en el ejercicio de la potestad legislativa que les es propia.
c) Por otra parte, también se echa en falta que la memoria no deje constancia de numerosas cuestiones de relevancia en relación con el anteproyecto, a las que ni siquiera alude.
En primer término, no se analiza de forma suficientemente detenida y fundamentada el contenido normativo del proyecto, más allá de la descripción formal que se contiene en el apartado 3 de la memoria, ni se aborda su incidencia sobre los derechos fundamentales. Tampoco se explican ciertas opciones del prelegislador, como la de integrar el régimen de videovigilancia o grabación de imágenes y sonido por las Fuerzas y Cuerpos de Seguridad en la regulación proyectada, o la de aprovechar el texto del anteproyecto para introducir ciertas modificaciones legislativas en leyes sectoriales, entre otras, que además han suscitado numerosas observaciones durante la tramitación.
No parece tampoco adecuado que la memoria no haga la menor alusión a las razones del retraso experimentado en la transposición de la Directiva (UE) 2018/60, ni se mencionen tampoco las actuaciones que se han sucedido en el seno de la Unión Europea con respecto a dicha transposición, pues, habiéndose incoado por la Comisión Europea un procedimiento por infracción contra el Reino de España debido a la falta de transposición de la mencionada directiva e incluso formulado demanda ante el Tribunal de Justicia de la Unión Europea, sorprende que no se aluda a la Carta de Emplazamiento ni al Dictamen motivado, emitidos por la Comisión Europea, ni a la existencia de un procedimiento entablado por esta ante el Tribunal de Justicia, siendo así que se trata de cuestiones de indudable relevancia en relación con el anteproyecto, que ni tan siquiera son mencionadas.
Por último, se echa en falta que la memoria no haga una referencia exigible, siquiera sea sucintamente, a las numerosas observaciones formuladas durante la elaboración del anteproyecto, ni se haga constar una valoración de las observaciones formuladas, máxime cuando, como indica la propia memoria, han sido acogidas en su gran mayoría e incorporadas al texto final del anteproyecto, y sobre todo, teniendo en cuenta, como se advertía, que no obra en el expediente un informe de valoración elaborado ad hoc con esa finalidad.
A juicio del Consejo de Estado, la memoria no es completa en este sentido y adolece, además, de una cierta parquedad en el análisis sobre el contenido del anteproyecto y sobre ciertas opciones del prelegislador, que, indudablemente, no favorece la debida comprensión del texto sometido a consulta y de algunos criterios y opciones decantadas.
d) En cuanto a la participación en el procedimiento de elaboración del anteproyecto, este Consejo aprecia que hubiere sido aconsejable oír a las comunidades autónomas en su conjunto y a las ciudades de Ceuta y Melilla, así como a la Federación Española de Municipios y Provincias como organización más representativa de la Administración local, y también a las organizaciones representativas de los intereses afectados por el anteproyecto en elaboración, más allá del trámite de participación pública genéricamente sustanciado.
e) Por otra parte, se echa en falta en el expediente el informe sobre coordinación y calidad normativa a que se refiere el artículo 26.9 de la Ley 50/1997, de 27 de noviembre, del Gobierno, pues, si bien consta la petición formulada al Ministerio de la Presidencia, Relaciones con las Cortes y Memoria Democrática, y hasta la reiteración por dos veces de esa misma petición, lo cierto es que no parece que dicho informe haya sido emitido, o al menos no consta en el expediente, siendo así que se trata de un parecer de indudable relevancia desde la perspectiva del examen de la calidad técnica del proyecto normativo, la congruencia de la iniciativa con el resto del ordenamiento jurídico nacional y supranacional y con otras iniciativas que puedan encontrarse en elaboración, así como su correcta inserción en el ordenamiento jurídico, entre otros factores.
f) En cuanto al informe de la Secretaría General Técnica, el artículo 26.5, párrafo cuarto, de la Ley del Gobierno establece que "en todo caso, los anteproyectos de ley, los proyectos de real decreto legislativo y los proyectos de disposiciones reglamentarias, deberán ser informados por la Secretaría General Técnica del Ministerio o Ministerios proponentes". Lo habitual en expedientes de esta naturaleza es que figuren dos informes de la Secretaría General Técnica del ministerio proponente: el primero, un informe inicial, previo a cualquier otro informe que se integre en el expediente, que describe el objeto y la motivación de la norma proyectada, resume sus antecedentes normativos y su contenido, analiza su adecuación al orden constitucional de competencias y realiza observaciones y sugerencias; y el segundo, un informe final, que, en general, es el último que se emite antes de que el expediente sea remitido al Consejo de Estado, en el que se realiza el mismo análisis que en el inicial, pero en el que se introducen modificaciones y matices a la luz de los informes que se han emitido y trámites que se han cumplimentado a lo largo de la tramitación del expediente y de las modificaciones introducidas en la norma proyectada.
En el presente expediente, sin embargo, solo figura un informe de la Secretaría General Técnica del Ministerio del Interior, de fecha 6 de octubre de 2020, que se ha emitido como informe final de la tramitación del expediente, y que se limita a señalar que la Secretaría General Técnica ha participado de forma activa en la fase de elaboración del anteproyecto, por lo que no formula observaciones. Pues bien, aunque el artículo 26.5 de la Ley del Gobierno no precisa el contenido que debe tener el informe de la Secretaría General Técnica, no parece que pueda admitirse que dicho parecer se limite a indicar que la Secretaría General Técnica ha participado en la tramitación. A juicio del Consejo de Estado, el informe debería haber realizado un análisis sistemático del anteproyecto, analizando sus antecedentes, su objeto, motivación y contenido, la adecuación del anteproyecto al orden de distribución de competencias y debería haber realizado las observaciones que hubiese considerado pertinentes. Este informe debe ser un informe final sobre el anteproyecto y la memoria que le acompaña, una vez que la tramitación del expediente ha terminado, en el que se haga una especial consideración de las observaciones contenidas en los informes emitidos, que, en este caso, además, han sido muy numerosas.
g) Por último, considera este Consejo que, habida cuenta de la naturaleza, contenido y alcance del anteproyecto, hubiere sido deseable recabar el parecer del Ministerio de Asuntos Exteriores, Unión Europea y Cooperación, así como también el de ciertos organismos públicos especializados, cuyas funciones guardan relación directa o indirecta con la materia que es objeto de regulación, como es el caso del Centro Nacional de Inteligencia (CNI) y del Instituto Nacional de Ciberseguridad (INCIBE).
III.- A la vista de lo anteriormente expresado, y sin perjuicio de que sea posible considerar suficientemente atendidas las exigencias básicas de índole procedimental para elaborar el anteproyecto de que se trata, el Consejo de Estado no puede por menos que trasladar a la autoridad consultante la necesidad de que se observen con mayor rigor las pautas legales de procedimiento y se reconozca la trascendencia que tiene esta fase de elaboración prelegislativa, puesto que el procedimiento de elaboración de normas no es solo un requisito de carácter formal, sino que, como ha venido destacando el Consejo de Estado, "constituye una garantía para el acierto y oportunidad de la disposición de que se trate" (Memoria elevada por el Consejo de Estado al Gobierno de la Nación en el año 1999, y numerosos dictámenes, entre los que cabe citar el número 1.116/95, de 28 de septiembre).
Todo ello con el evidente propósito de garantizar la observancia de la Constitución y del resto del ordenamiento jurídico, el acierto y oportunidad del proyecto, así como su correcta integración en el ordenamiento jurídico, aspectos que, por lo demás, se corresponden con aquellos por los que debe velar el Consejo de Estado en el ejercicio de su función consultiva, conforme a lo dispuesto en el artículo 2.1 de la Ley Orgánica 3/1980, de 22 de abril, para estar en disposición de ilustrar a la autoridad consultante en condiciones tales que le permitan adoptar la decisión procedente en ejercicio de su responsabilidad.
TERCERA.- Sobre los títulos competenciales del Estado
El anteproyecto de Ley Orgánica sometido a consulta se ampara en los títulos competenciales que se enuncian en su disposición final segunda:
- En primer lugar, se hace referencia al artículo 149.1.1.ª de la Constitución, que atribuye al Estado, en términos de exclusividad, la competencia para "la regulación de las condiciones básicas que garanticen la igualdad de todos los españoles en el ejercicio de los derechos y en el cumplimiento de los deberes constitucionales", que sería el título prevalente y general en el que se funda el anteproyecto.
- Por otra parte, se invoca, igualmente, el artículo 149.1.29.ª de la Constitución, que reconoce al Estado, también con carácter exclusivo, la competencia en materia de "seguridad pública", que sería también, junto con el anterior, título prevalente y general en el que se ampara el anteproyecto.
- Por último, se alude al artículo 149.1.6.ª, que atribuye al Estado competencias exclusivas sobre la "legislación (...) penal y penitenciaria" y sobre la "legislación procesal", que deben entenderse referidas a ciertas previsiones en particular.
El Consejo de Estado estima que no puede ponerse en duda la competencia del Estado para dictar esta ley orgánica, siendo así, además, que los títulos competenciales invocados por la disposición final segunda del anteproyecto se consideran adecuados al contenido normativo del texto proyectado.
En lo que hace al primero de los títulos competenciales invocados (artículo 149.1.1.ª de la Constitución), resulta coherente y por completo pertinente su cita, de conformidad con la jurisprudencia constitucional. Procede, a este respecto, recordar lo dicho por el Tribunal Constitucional en la Sentencia 290/2000, de 30 de noviembre, dictada en los recursos de inconstitucionalidad acumulados contra diversos preceptos y disposiciones de la entonces Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, conforme a la cual, la materia relativa a la protección de datos personales se encuadra a efectos competenciales en el título del artículo 149.1.1.ª de la Constitución, que debe ponerse en relación con el artículo 18.4 de la Constitución, el cual establece que "la Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos".
En particular, las conclusiones alcanzadas por el Tribunal Constitucional en los fundamentos jurídicos de dicho pronunciamiento fueron las siguientes:
- Primera: Que los límites establecidos por el legislador al uso de la informática en cumplimiento del mandato del artículo 18.4 de la Constitución han de ser los mismos en todo el territorio nacional, siendo los derechos fundamentales y las libertades públicas "fundamento del orden político" (artículo 10.1 de la Constitución) y contenido del estatuto jurídico básico de los ciudadanos, por lo que "sólo mediante esa proyección general es posible garantizar la protección de los derechos a que se refiere el artículo 18.4 de la Constitución, con independencia de que tales límites a la informática también contribuyen a la salvaguardia del específico derecho fundamental a la protección de datos personales".
- Segunda: Que la cláusula del artículo 149.1.1.ª de la Constitución apodera al Estado para la regulación de las condiciones básicas que garanticen la igualdad de todos los españoles en el ejercicio de los derechos y en el cumplimiento de los deberes constitucionales, imponiendo "un límite a las potestades de las Comunidades Autónomas en aquellas materias donde éstas ostenten un título competencial". Y aunque el alcance del mencionado artículo 149.1.1.ª de la Constitución es "esencialmente normativo" (Sentencia 208/1999, de 11 de noviembre) "ninguna calificación adicional se ha agregado por el constituyente respecto a la naturaleza de tales condiciones que pueda restringir su alcance". De modo que las regulaciones estatales amparadas en el artículo 149.1.1.ª de la Constitución, "junto a la normación", "también pueden contener, cuando sea imprescindible para garantizar la eficacia del derecho fundamental o la igualdad de todos los españoles en su disfrute, una dimensión institucional".
- Y tercera: Que "la exigencia constitucional de protección de los derechos fundamentales en todo el territorio nacional requiere que éstos, en correspondencia con la función que poseen en nuestro ordenamiento (art. 10.1 CE), tengan una proyección directa sobre el reparto competencial entre el Estado y las Comunidades Autónomas ex art. 149.1.1 CE para asegurar la igualdad de todos los españoles en su disfrute", exigencia que "faculta al Estado para adoptar garantías normativas y, en su caso, garantías institucionales".
De igual modo, resulta pertinente la cita del segundo título correspondiente a la competencia del Estado en materia de "seguridad pública" (artículo 149.1.29.ª de la Constitución), pues el objeto del anteproyecto es regular la protección de los datos personales en el contexto de su tratamiento para fines de prevención, detección, investigación o enjuiciamiento de infracciones penales y de ejecución de sanciones penales, así como para la protección y prevención frente a las amenazas contra la seguridad pública, por lo que también resulta afectada la competencia atribuida al Estado, con carácter igualmente exclusivo, en materia de "seguridad pública", que, como ha declarado el Tribunal Constitucional en la Sentencia de 142/2018, de 20 de diciembre, dictada en el recurso de inconstitucionalidad interpuesto contra la Ley 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña, comprende hasta la ciberseguridad, que, concebida como expresión de seguridad en la red, es una actividad que se integra en el ámbito competencial de la seguridad pública, en tanto el uso cotidiano de las tecnologías de la información y la comunicación ha provocado que se conviertan en un elemento esencial para el desarrollo económico y las relaciones sociales, concluyendo que "la ciberseguridad se incluye en materias de competencia estatal en cuanto, al referirse a las necesarias acciones de prevención, detección y respuesta frente a las ciberamenazas, afecta a cuestiones relacionadas con la seguridad pública y la defensa, infraestructuras, redes y sistemas y el régimen general de telecomunicaciones" (fundamento jurídico cuarto).
Y, por último, tampoco plantea dudas, a juicio del Consejo de Estado, la invocación de los títulos correspondientes a la competencia del Estado en materia de "legislación procesal" y "penal y penitenciaria" (artículo 149.1.6.ª de la Constitución). Pues, de una parte, la regulación del régimen de tutela y garantías jurisdiccionales frente a las decisiones adoptadas por una autoridad de protección de datos que pueda entenderse que concierne a los interesados (artículo 53 del anteproyecto), se hace al amparo de la competencia del Estado en materia de "legislación procesal", de conformidad con el título competencial recogido en el artículo 149.1.6.ª de la Constitución. Y, por otra parte, en la medida en que la norma proyectada se refiere a la ejecución de sanciones penales, y que, además, se propone la modificación de la Ley Orgánica 1/1979, de 26 de septiembre, General Penitenciaria, en lo que se refiere al tratamiento de datos de carácter personal relativos a los internos en centros penitenciarios (disposición final tercera del anteproyecto), también incide sobre la competencia del Estado en materia de "legislación penal y penitenciaria" reconocida en el mismo artículo 149.1.6.ª de la Constitución.
En definitiva, el Consejo de Estado considera que el anteproyecto sometido a consulta respeta adecuadamente el orden constitucional de distribución de competencias entre el Estado y las comunidades autónomas, siendo adecuados y conformes al contenido normativo propuesto los títulos competenciales invocados en la disposición final segunda del texto consultado, y sin que, por consiguiente, suscite objeción alguna la competencia del Estado para ejercer la iniciativa normativa propuesta.
Finalmente, y sin perjuicio de lo anteriormente expresado, resultaría aconsejable incluir una referencia a las competencias, también exclusivas del Estado, sobre "las bases del régimen jurídico de las Administraciones Públicas", "el procedimiento administrativo común" y sobre "el sistema de responsabilidad de todas las Administraciones públicas" previstas en el artículo 149.1.18.ª de la Constitución, a propósito de algunos preceptos del anteproyecto, como son: a) el artículo 18, que establece las condiciones generales de ejercicio de los derechos del interesado, contemplándose ciertas previsiones que afectan a las bases del régimen jurídico de las Administraciones públicas y al régimen del procedimiento administrativo común, como las relativas al efecto atribuido al silencio administrativo, la inadmisión a trámite de una solicitud o el requerimiento de información para subsanar una solicitud, o se remiten expresamente a la legislación reguladora sobre el procedimiento administrativo común, como la que se refiere a la actuación de los interesados en nombre propio o por medio de representantes; b) el artículo 34, relativo a la consulta previa a la autoridad de protección de datos, que regula los efectos de la falta de emisión de un informe en plazo e incide, igualmente, sobre el régimen del procedimiento administrativo común; y c) el artículo 51, que establece el derecho de los interesados a ser indemnizados por el responsable o encargado del tratamiento cuando formen parte del sector público, que afecta al régimen de la responsabilidad patrimonial de las Administraciones públicas por el funcionamiento de los servicios públicos y al régimen de responsabilidad del Estado por el funcionamiento de la Administración de Justicia.
CUARTA.- Sobre la naturaleza de ley orgánica del anteproyecto
Según establece la disposición final primera, la Ley proyectada tiene el carácter de ley orgánica, salvo los capítulos VI, VII y VIII, la disposición transitoria y las disposiciones finales cuarta y quinta, que tienen carácter de ley ordinaria. Partiendo del dato de que no todos los preceptos del anteproyecto son orgánicos, cabe plantearse si a los artículos y disposiciones considerados orgánicos les corresponde verdaderamente esa naturaleza de acuerdo con el artículo 81.1 de la Constitución y si ese carácter orgánico puede predicarse de la ley en su conjunto.
1.- No existen dudas acerca del carácter orgánico de las disposiciones contenidas en los capítulos I ("Disposiciones generales"), II ("Principios, licitud del tratamiento y videovigilancia"), III ("Derechos de las Personas"), IV ("Responsable y Encargado de tratamiento") y V ("Transferencias de datos personales a terceros países que no sean miembros de la Unión Europea u organizaciones internacionales"), pues abordan el tratamiento de datos personales para fines de prevención, detección, investigación o enjuiciamiento de infracciones penales y de ejecución de sanciones penales, así como para la protección y prevención frente a las amenazas contra la seguridad pública, lo cual afecta directamente a los derechos fundamentales a la intimidad y a la protección de datos personales reconocidos en el artículo 18.1 y 4 de la Constitución. Por el contrario, los capítulos VI ("Autoridades de Protección de Datos Independientes"), VII ("Reclamaciones") y VIII ("Régimen sancionador") se refieren a materias que no afectan directamente al régimen de los derechos fundamentales.
En cuanto al carácter de la disposición transitoria y las disposiciones finales cuarta y quinta, lo primero que debe observarse es que el tenor de la disposición final primera no se compadece con el contenido del texto proyectado en su versión definitiva, puesto que en esta última no existe ninguna disposición transitoria y además la correlación de disposiciones finales ha variado.
En atención a lo expuesto, el Consejo de Estado entiende que debe suprimirse la mención a la disposición transitoria y reformularse la referencia a las disposiciones finales, debiendo incluirse, a estos efectos, entre las disposiciones que tienen carácter orgánico, las disposiciones finales tercera (por la que se modifica la Ley Orgánica 1/1979, de 26 de septiembre, General Penitenciaria), séptima (por la que se modifica la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales) y novena (por la que se modifica la Ley Orgánica 1/2020, de 16 de septiembre, sobre la utilización de los datos del registro de nombres de pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves).
Por el contrario, las disposiciones finales cuarta (por la que se modifica la Ley 19/2007, de 11 de julio, contra la violencia, el racismo, la xenofobia y la intolerancia en el deporte), quinta (por la que se modifica la Ley 5/2014, de 4 de abril, de Seguridad Privada), sexta (por la que se modifica la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas) y octava (por la que se modifica el Real Decreto Legislativo 6/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley sobre Tráfico, Circulación de Vehículos a Motor y Seguridad Vial), deben incluirse entre las disposiciones que tienen carácter ordinario.
2.- Respecto de la segunda de las cuestiones apuntadas, cabe recordar que el Consejo de Estado, en su Memoria elevada al Gobierno de la Nación en el año 1985, examinó las condiciones en que una ley orgánica podía contener, junto a sus preceptos de carácter orgánico, otros con naturaleza de ley ordinaria. Se admitió entonces la posibilidad de que una ley orgánica "comprenda y discipline materias conexas, aunque éstas no requieran por sí la cobertura de Ley Orgánica", siempre y cuando la propia norma verifique "una identificación singularizada de los preceptos en ella contenidos, según les convenga o no el carácter orgánico". De esta manera, "surgen las Leyes Orgánicas con incrustaciones de Ley ordinaria". En estos casos -proseguía la citada memoria-, "la calificación originaria del instrumento normativo como Ley Orgánica se asienta en la valoración directa y primaria de la materia que constituye su contenido nuclear", mientras que "las previsiones conexas, necesarias para la corrección técnica de la norma, pero que no requieren per se una ley orgánica, quedan insertas en ésta y, en cuanto forman parte de ella como prescripciones coherentes para la adecuada expresión y articulación del mandato normativo, se someten, en fase de aprobación, a la votación final sobre el conjunto del proyecto, con mayoría absoluta" (artículo 81.2 de la Constitución).
En sus dictámenes números 2.268/98, de 18 de junio, 2.486/98, de 20 de julio, 1.045/2001, de 9 de mayo y 172/2013, de 18 de abril, el Consejo de Estado reiteró esta doctrina, estimando que "cuando una Ley Orgánica incluye como complemento necesario (rectius, desarrollo natural) previsiones que, en principio, no se corresponden con la materia propia de dicha Ley, o exceden de la misma, conforme a la jurisprudencia del Tribunal Constitucional (entre otras, Sentencias 15/1981, de 13 de febrero, y 76/1983, de 15 de agosto), puede admitirse que regule materias que caen fueran el ámbito diseñado por el artículo 81 de la Constitución, aunque en términos estrictos y, en todo caso, especificando el carácter no orgánico de tales preceptos".
En el anteproyecto sometido a consulta, los preceptos de carácter ordinario constituyen, en principio, un desarrollo natural del núcleo orgánico de la regulación y, en consecuencia, aun cuando hubiera sido posible, como se ha hecho en otras ocasiones, la aprobación paralela de una ley ordinaria para parte del contenido del anteproyecto y una ley orgánica para los preceptos contenidos en ella que así se califican, el Consejo de Estado nada tiene que oponer a la opción elegida por el anteproyecto (ley orgánica en la que parte de sus preceptos carecen de carácter orgánico y que, por tanto, podrán ser modificados por ley ordinaria).
Sin perjuicio de todo ello, entiende este Consejo que la disposición final segunda del anteproyecto deberá ser reformulada en los términos anteriormente indicados en este apartado.
QUINTA.- Sobre el marco normativo del anteproyecto
Con carácter previo al examen y valoración del anteproyecto de Ley Orgánica sometido a consulta, considera este Consejo de Estado de interés situar la iniciativa normativa propuesta en el marco normativo europeo y nacional sobre el régimen de protección de los datos personales.
1.- Debe comenzar señalándose que el régimen jurídico de la protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, así como su posible transferencia a terceros Estados en virtud de convenios internacionales concluidos por la Unión Europea, ha sido objeto de un largo debate en el seno de las instituciones de la Unión, así como en el marco de la actividad de las autoridades de protección de datos a lo largo de los últimos quince años.
Este debate ha estado presidido por la preocupación del legislador europeo de salvaguardar la protección de las personas físicas en relación con el tratamiento de los datos de carácter personal, concebida como un derecho fundamental ("derecho a la protección de los datos de carácter personal que le conciernan", artículo 8.1 de la Carta de los Derechos Fundamentales de la Unión Europea, en relación con el artículo 16.1, del Tratado de Funcionamiento de la Unión Europea, y el artículo 8 del Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales, y las Constituciones de los Estados miembros, entre ellas, el artículo 18.1 y 4, de la Constitución Española), pero de forma compatible con la necesidad de adoptar las medidas necesarias para prevenir y perseguir la comisión de delitos y para hacer frente al incremento de las amenazas para la seguridad en el contexto nacional e internacional, que tienen en una elevada proporción un componente transfronterizo, por lo que la cooperación internacional y la transmisión de información y datos de carácter personal entre los servicios policiales y las autoridades judiciales constituye un objetivo ineludible, tal como se plasma en la "Declaración relativa a la protección de los datos de carácter personal en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial", Declaración n.º 21 que figura aneja al Acta Final de la Conferencia Intergubernamental que adoptó el Tratado de Lisboa, firmado el 13 de diciembre de 2007, y en la que se reconoce que "podrían requerirse normas específicas para la protección de datos de carácter personal y la libre circulación de dichos datos en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial que se basen en el artículo 16 del Tratado de Funcionamiento de la Unión Europea, en razón de la naturaleza específica de dichos ámbitos". Todo ello en aras de contribuir a la consecución de "un espacio de libertad, seguridad y justicia".
En esta línea se inscribe la nueva perspectiva que ofrece la Comunicación de la Comisión Europea al Parlamento Europeo, al Consejo, al Comité Económico y Social y al Comité de las Regiones, de fecha 4 de noviembre de 2010, denominada "Un enfoque global de la protección de los datos personales en la Unión Europea", que aborda los nuevos retos en materia de protección de los datos personales (entre los que cabe citar, la mejora de la coherencia del marco jurídico y de la transferencia internacional de datos), así como los objetivos esenciales del enfoque global de la protección de datos (destacando, entre ellos, el reforzamiento de los derechos de las personas y la revisión de las normas de protección de datos en los ámbitos de la cooperación policial y judicial en materia penal), y establece, en definitiva, las bases de una nueva regulación europea en materia de protección de datos, acorde a las necesidades derivadas del rápido desarrollo tecnológico y de la creciente globalización de la economía mundial y europea.
2.- Esa preocupación dio lugar a la aprobación en la misma fecha, el 27 de abril de 2016, de lo que se ha denominado "paquete normativo" en materia de protección de datos, en el que se inserta precisamente la Directiva que es objeto de transposición por el anteproyecto consultado.
Así, en la fecha citada se aprobaron:
- Por una parte, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en lo sucesivo, Reglamento General (UE) de Protección de Datos).
- Por otra parte, la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (en lo sucesivo, Directiva (UE) 2016/680).
- Y, por último, la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave (en lo sucesivo, Directiva (UE) 2016/681).
a) El Reglamento (UE) de Protección de Datos establece la regulación general en materia de protección de datos de carácter personal. Por su parte, las Directivas (UE) 2016/680 y (UE) 2016/681 establecen la regulación específica en la materia cuando se refieren al tratamiento de datos para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave, respectivamente. Por tanto, el Reglamento y las Directivas tratan dimensiones distintas de un mismo derecho fundamental (como es el derecho a la protección de los datos de carácter personal) que goza de la máxima protección del Derecho de la Unión y del Derecho interno.
A su vez, el Reglamento (UE) de Protección de Datos contiene la regulación general de aplicación directa de la protección de las personas físicas en lo que respecta al tratamiento total o parcialmente automatizado de datos personales y de la libre circulación de tales datos, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero, y establece que los Estados miembros adaptarán su regulación interna en materia de protección de datos a lo establecido en el mencionado reglamento. Para adaptar el contenido del citado reglamento al ordenamiento jurídico interno español y completar sus disposiciones, se aprobó la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en relación con la cual el Consejo de Estado emitió el dictamen número 757/2017, de 26 de octubre.
b) Por su parte, la Directiva (UE) 2016/680 tiene por objeto la protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal por parte de las autoridades competentes a efectos de la prevención, investigación, detección o enjuiciamiento de infracciones penales o de la ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad pública y la libre circulación de estos datos y su prevención.
El Reglamento (UE) de Protección de Datos y la Directiva (UE) 2016/680 delimitan dos ámbitos subjetivos de aplicación claramente diferenciados y, por tanto, el Reglamento no se aplica supletoriamente a los supuestos regulados por las normas que transpongan la citada directiva. De acuerdo con el considerando 19 del Reglamento (UE) de Protección de Datos y la letra d) del artículo 2.2, dicho reglamento no debe aplicarse a las actividades de tratamiento destinadas a los fines previstos en la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
c) Por último, completa el conjunto normativo expuesto, la Directiva (UE) 2016/681 antes citada, cuyo contenido fue incorporado al ordenamiento jurídico interno por virtud de la Ley Orgánica 1/2020, de 16 de septiembre, sobre la utilización de los datos del Registro de Nombres de Pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves, en relación con la cual el Consejo de Estado emitió el dictamen número 736/2018, de 13 de septiembre.
3.- Es en este complejo marco normativo, delimitado, por un lado, por el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea, el Reglamento (UE) 2016/679 de Protección de Datos, las Directivas específicas (UE) 2016/680 y 2016/681 y la jurisprudencia del Tribunal de Justicia de la Unión Europea; y por otro, por el artículo 18.1 y 4 de la Constitución, la jurisprudencia del Tribunal Constitucional y la legislación interna en materia de protección de datos, donde debe situarse el análisis y valoración del anteproyecto, debiendo tenerse en cuenta, en todo momento, el respeto de los derechos fundamentales afectados.
SEXTA.- Sobre la valoración general del anteproyecto
Sentado lo anterior, procede seguidamente entrar en el examen y valoración del anteproyecto de Ley Orgánica desde una doble perspectiva general, a saber: la conformidad con el derecho de la Unión Europea, de una parte; y la incidencia sobre determinados derechos fundamentales, de otra.
I.- Sobre la conformidad con el derecho de la Unión Europea
En los anteproyectos de ley que, como el presente, vienen a transponer al ordenamiento jurídico interno las previsiones de una directiva europea, resulta imprescindible analizar la conformidad del texto proyectado con el derecho de la Unión Europea, así como la técnica o el método seguido por el anteproyecto en la labor de transposición de la norma europea.
En primer lugar, cabe destacar que el anteproyecto de Ley Orgánica sometido a consulta lleva a cabo la transposición al ordenamiento jurídico interno del contenido normativo de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales por parte de las autoridades competentes con fines de prevención, detección, investigación o enjuiciamiento de infracciones penales y de ejecución de sanciones penales, y a la libre circulación de dichos datos, cuyo plazo de transposición venció el día 6 de mayo de 2018 (artículo 63.1 de la Directiva). De esta forma, la transposición de la Directiva (UE) 2016/680 viene a completar la integración, desde una perspectiva interna, del grupo normativo relativo a la regulación en materia de protección de datos, constituido por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (aprobada en aplicación del Reglamento (UE) de Protección de Datos) y la Ley Orgánica 1/2020, de 16 de septiembre, sobre la utilización de los datos del Registro de Nombres de Pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves (aprobada en orden a la transposición de la Directiva (UE) 2016/681).
Examinado el anteproyecto, y sin perjuicio de las diversas observaciones que se formularán en los apartados subsiguientes del presente dictamen, el Consejo de Estado considera que su contenido se ajusta, con carácter general, a la norma europea.
Ahora bien, sin perjuicio de ese juicio favorable, este Cuerpo Consultivo no puede dejar de advertir sobre el hecho de que la técnica seguida por el anteproyecto para la transposición de la norma europea no es la más adecuada.
Cabe observar, en este sentido, que la incorporación de las previsiones de la Directiva se ha realizado, en muy buena medida y en una proporción muy significativa (mayoritaria cabría decir) de preceptos, de forma estrictamente literal y mimética.
Pues bien, como ha señalado el Consejo de Estado en numerosas ocasiones (por todas, cabe citar el dictamen número 1.504/2007, de 19 de julio), la reproducción literal del contenido de las directivas no es la técnica más adecuada, dado que "este tipo de normas se caracteriza por su flexibilidad en cuanto a los medios a utilizar". Es cierto que hay ocasiones en las que "cabe optar, dado el carácter técnico de la materia o cuando la redacción sea muy detallada, por la transcripción literal para evitar que la utilización de otra terminología sea semillero de conflictos y eventual fundamento de alguna imputación de infracción del contenido de la norma comunitaria", máxime cuando "la Comisión vigila de cerca que se recojan con la mayor fidelidad posible los preceptos comunitarios que se incorporan y, aunque ello no implica necesariamente su copia literal, lo cierto es que en la práctica se tiende a ello".
Pero no es menos cierto que la incorporación literal de las directivas europeas no debe ser la regla general, dado que la transposición obliga al legislador interno a establecer una regulación nacional coherente con sus instituciones jurídicas y con los cánones de un buen orden normativo, integrándola adecuadamente en el ordenamiento jurídico interno, y en la que la terminología y el contenido de los preceptos sean claros, inteligibles y de fácil comprensión, así como fácilmente aplicables por quienes han de intervenir directa o indirectamente en su aplicación o son sus destinarios y, por tanto, responsables de su adecuado cumplimiento.
En el presente caso, el anteproyecto ha optado de modo general por una transposición literal, y, en muy menor medida, ha verificado una adaptación de las disposiciones de la Directiva a nuestro ordenamiento. De ahí que sea posible apreciar un recurso excesivo a la utilización del método de la transposición literal, como es el caso de numerosos preceptos distribuidos a lo largo de los ocho capítulos del anteproyecto, lo cual, en ocasiones, redunda en una menor claridad y más difícil comprensión del texto elaborado, además de ciertas dudas en cuanto a la significación de ciertos conceptos, como es, entre otros, y a título de puro ejemplo, el caso de los llamados "actos jurídicos vinculantes", en cuya virtud el tratamiento de los datos que incumbe al responsable del tratamiento puede encomendarse a un encargado del tratamiento (artículo 28.3 del anteproyecto y artículo 23.3 de la Directiva).
Así las cosas, el Consejo de Estado considera que debe procederse a una revisión de ciertas previsiones del anteproyecto, a fin de verificar una mayor adaptación del texto elaborado a las exigencias del ordenamiento interno en los términos que resultan de las observaciones específicas que se formulan en tal sentido en los apartados subsiguientes del presente dictamen.
II.- Sobre los derechos fundamentales afectados
La segunda cuestión de carácter general que suscita el anteproyecto remitido en consulta, es la relativa a la incidencia que la regulación proyectada tiene sobre determinados derechos fundamentales, en particular el derecho a la intimidad y el derecho a la protección de los datos personales de los ciudadanos; derechos ambos protegidos tanto en el marco de la Unión Europea, fundamentalmente en la Carta de los Derechos Fundamentales de la Unión Europea (artículos 7 y 8), como en las Constituciones de los Estados miembros y, en particular, en la Constitución Española (artículo 18.1 y 4).
En efecto, el anteproyecto de Ley Orgánica sometido a consulta tiene por objeto establecer, de acuerdo con la norma europea que viene a transponer, un régimen jurídico especial en materia de tratamiento de datos personales que permita conciliar la exigible protección y efectividad de ciertos derechos fundamentales, como son la intimidad personal y la protección de datos de carácter personal, garantizados, respectivamente, por lo dispuesto en los números 1 y 4 del artículo 18 de la Constitución, con las exigencias propias de la seguridad pública, que también son cometidos propios que se imponen en una sociedad democrática al Estado de Derecho. Ello obliga, sin menoscabo de la finalidad evidentemente loable que inspira el anteproyecto, a valorar debidamente la constitucionalidad del mismo desde la perspectiva de los derechos fundamentales.
1.- Al respecto, conviene comenzar poniendo de manifiesto que, como ha declarado el Tribunal Constitucional, "el canon de control que debemos aplicar para enjuiciar la constitucionalidad [...] ha de ser integrado a partir, entre otras, de las normas de Derecho de la Unión Europea que protegen los correspondientes derechos fundamentales..." y, en consecuencia, esa es la perspectiva que se ha de adoptar en relación con los derechos fundamentales recogidos en el artículo 18, apartados 1 y 4, de la Constitución, que contemplan el derecho a la intimidad personal y el derecho a la protección de datos de carácter personal (Sentencia del Tribunal Constitucional 26/2014, de 13 de febrero).
Ello sentado, conviene recordar los aspectos más relevantes del cuerpo de doctrina que resulta de las sentencias del Tribunal Constitucional sobre el contenido y límites de los derechos fundamentales afectados.
a) De la doctrina del Tribunal Constitucional se desprende, primeramente, que los derechos fundamentales a la intimidad y a la protección de datos personales no son absolutos ni ilimitados, como no lo son ninguno de los derechos fundamentales, pudiendo ceder ante intereses constitucionales relevantes, siempre que la restricción que aquellos hayan de experimentar se revele como necesaria para lograr el fin legítimo previsto, sea proporcionada para alcanzarlo y, en todo caso, respetuosa con el contenido esencial del derecho (Sentencias del Tribunal Constitucional 57/1994, de 28 de febrero y 143/1994, de 9 de mayo).
En otros términos, la Constitución no impide al Estado proteger derechos o bienes jurídicos a costa del sacrificio de otros igualmente reconocidos y, por tanto, que el legislador pueda imponer limitaciones al contenido de los derechos fundamentales o a su ejercicio, si bien el Tribunal Constitucional ha precisado que, en tales supuestos, esas limitaciones han de estar justificadas en la protección de otros derechos o bienes constitucionales (Sentencia del Tribunal Constitucional 104/2000, de 13 de abril) y, además, han de estar fundadas en una previsión legal que tenga justificación constitucional y ser proporcionadas al fin perseguido con ellas (Sentencias del Tribunal Constitucional 11/1981, de 8 de abril y 196/1987, de 11 de diciembre). Pues, en otro caso, incurrirían en la arbitrariedad proscrita por el artículo 9.3 de la Constitución.
b) En cuanto al derecho a la intimidad personal reconocido en el artículo 18.1, de la Constitución, la jurisprudencia constitucional lo deriva de la dignidad de la persona (artículo 10.1 de la Constitución) como derecho inherente a esa dignidad; y, en cuanto derivación de esa dignidad de la persona, ha entendido que implica la existencia de un ámbito propio y reservado a la acción y conocimiento de los demás, y confiere a la persona el poder jurídico de imponer el deber de abstenerse de toda intromisión en la esfera íntima y la prohibición de hacer uso de lo así conocido (Sentencias del Tribunal Constitucional 196/2004, de 15 de noviembre, 206/2007, de 24 de septiembre y 70/2009, de 23 de marzo).
c) Por lo que se refiere específicamente al artículo 18.4 ("La ley limitará el uso de la informática para garantizar (...) la intimidad personal (...) de los ciudadanos y el pleno ejercicio de sus derechos"), la jurisprudencia constitucional ha considerado que constituye un instituto de garantía frente a los riesgos y amenazas que puede entrañar el uso de la informática para la dignidad y los derechos de las personas, pero que es también "en sí mismo un derecho o libertad fundamental" (Sentencia del Tribunal Constitucional 254/1993, de 20 de julio), que no es otro que el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos, lo que la Constitución llama "la informática", que se ha dado en llamar "libertad informática" (Sentencias del Tribunal Constitucional 254/1993, de 20 de julio, 143/1994, de 9 de mayo, 11/1998, de 13 de enero, 94/1998, de 4 de mayo y 202/1999, de 8 de noviembre), concebida inicialmente como el reconocimiento de "un derecho a controlar el uso de los mismos datos insertos en un programa informático (habeas data) y comprende, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención" (Sentencias del Tribunal Constitucional 11/1998, de 13 de enero, 94/1998, de 4 de mayo y 202/1999, de 8 de noviembre), y, más tarde, con toda nitidez, como un nuevo "derecho fundamental a la protección de datos de carácter personal", dotado de plena autonomía y contenido propio respecto del derecho a la intimidad (Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre).
d) Este derecho fundamental a la protección de datos, a diferencia del derecho a la intimidad del artículo 18.1 de la Constitución, con el que comparte el objetivo de ofrecer una eficaz protección constitucional de la vida privada personal y familiar, atribuye a su titular un haz de facultades que consiste, en su mayor parte, en el poder jurídico de imponer a terceros la realización u omisión de determinados comportamientos, cuya concreta regulación debe establecer la ley, aquella que conforme al artículo 18.4 de la Constitución debe limitar el uso de la informática, bien desarrollando el derecho fundamental a la protección de datos (artículo 81.1), bien regulando su ejercicio (artículo 53.1) (Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre).
De este derecho fundamental así concebido, ha derivado el Tribunal Constitucional una doble singularidad. De una parte, por razón del objeto de protección del derecho, que alcanza "a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está la protección que el art. 18.1 CE otorga, sino los datos de carácter personal" y, por consiguiente, "también alcanza a aquellos datos personales públicos, que por el hecho de serlo, de ser accesibles al conocimiento de cualquiera, no escapan al poder de disposición del afectado porque así lo garantiza su derecho a la protección de datos. También por ello, el que los datos sean de carácter personal no significa que sólo tengan protección los relativos a la vida privada o íntima de la persona, sino que los datos amparados son todos aquellos que identifiquen o permitan la identificación de la persona, pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para el individuo" (Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre).
Y, de otra parte, por razón de su contenido, ya que, a diferencia del derecho a la intimidad, que confiere a la persona "el poder jurídico de imponer a terceros el deber de abstenerse de toda intromisión en la esfera íntima de la persona y la prohibición de hacer uso de lo así conocido" (Sentencias del Tribunal Constitucional 73/1982, de 2 de diciembre, 110/1984, de 26 de noviembre, 89/1987, de 3 de junio, 231/1988, de 2 de diciembre, 197/1991, de 17 de octubre, y en general las Sentencias 134/1999, de 15 de julio, 144/1999, de 22 de julio, y 115/2000, de 5 de mayo), el derecho a la protección de datos atribuye a su titular un haz de facultades consistente en "diversos poderes jurídicos cuyo ejercicio impone a terceros deberes jurídicos", que no se contienen en el derecho fundamental a la intimidad, y que sirven a la capital función que desempeña este derecho fundamental: "garantizar a la persona un poder de control sobre sus datos personales", lo que solo es posible y efectivo imponiendo a terceros los mencionados deberes de hacer. A saber: a) el "derecho a que se requiera el previo consentimiento para la recogida y uso de los datos personales"; b) el "derecho a saber y ser informado sobre el destino y uso de esos datos", con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado; y c) el "derecho a acceder, rectificar y cancelar dichos datos" (Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre).
En definitiva, "estos poderes de disposición y de control sobre los datos personales que, constituyen parte del contenido del derecho fundamental a la protección de datos, se concreta jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular". Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, "la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo", y, por otro lado, "el poder oponerse a esa posesión y usos" (Sentencias del Tribunal Constitucional 134/1999, de 15 de julio, 144/1999, de 22 de julio, 98/2000, de 10 de abril, 115/2000, de 5 de mayo y 292/2000, de 30 de noviembre).
e) En cuanto a los límites legítimos que este derecho fundamental a la protección de datos soporta, el Tribunal Constitucional ha declarado que no es un derecho ilimitado, y aunque la Constitución no le imponga expresamente límites específicos ni remita a los poderes públicos para su determinación, como hace con otros derechos fundamentales, no cabe duda de que han de encontrarlos en los restantes derechos fundamentales y bienes jurídicos constitucionalmente protegidos, pues así lo exige el principio de unidad de la Constitución (Sentencias del Tribunal Constitucional 11/1981, de 8 de abril y 196/1987, de 11 de diciembre).
En este sentido, no resulta ocioso recordar que el artículo 105, apartado b), de la Constitución menciona en relación con el acceso a los archivos y registros administrativos, como bienes constitucionales legítimos y capaces de limitar los derechos fundamentales del artículo 18.1 y 4 de la Constitución, la "seguridad y defensa del Estado" y la "averiguación de los delitos", a través de los cuales se defienden otros como la "paz social" y la "seguridad ciudadana", reconocidos en los artículos 10.1 y 104.1, respectivamente, de la Constitución (Sentencias del Tribunal Constitucional 166/1999, de 27 de septiembre y 127/2000, de 16 de mayo).
En esta misma línea argumental, el artículo 8.2 del Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales establece como requisito para la injerencia de la autoridad pública en el ejercicio del derecho a la intimidad, aplicable al tratamiento de datos de carácter personal, que "esta injerencia esté prevista por la ley y constituya una medida que, en una sociedad democrática, sea necesaria para la seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención de las infracciones penales, la protección de la salud o de la moral, o la protección de los derechos y las libertades de los demás".
Y refiriéndose a dicha garantía de la intimidad individual reconocida en el artículo 8 del Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales, el Tribunal Europeo de Derechos Humanos ha declarado expresamente que puede tener límites como la seguridad del Estado (Sentencia del Tribunal Europeo de Derechos Humanos de 26 de marzo de 1987, caso Leander), o la persecución de infracciones penales (Sentencia del Tribunal Europeo de Derechos Humanos de 25 de febrero de 1993, caso Funke).
Más concretamente, el Tribunal Constitucional ha señalado que el derecho a la protección de datos de carácter personal puede ceder ante intereses constitucionales relevantes, "siempre que la restricción que aquéllos hayan de experimentar se revele como necesaria para lograr el fin legítimo previsto, sea proporcionada para alcanzarlo y, en todo caso, respetuosa con el contenido esencial del derecho" (Sentencias del Tribunal Constitucional 57/1994, de 28 de febrero y 143/1994, de 9 de mayo); en lo que sigue también el parecer del Tribunal Europeo de Derechos Humanos, que ha declarado en numerosos pronunciamientos que el derecho fundamental a la protección de datos de carácter personal puede limitarse en virtud de otros derechos y bienes constitucionalmente protegidos, fijados por ley con calidad democrática, esto es, una ley accesible al individuo, previsible en sus consecuencias, que responda a necesidades sociales imperiosas, y observen la necesaria adecuación y proporcionalidad para la satisfacción de sus fines (Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, en relación con las Sentencias del Tribunal Europeo de Derechos Humanos de 26 de marzo de 1985, caso X e Y; 26 de marzo de 1987, caso Leander; 7 de julio de 1989, caso Gaskin; 25 de febrero de 1993, caso Funke; y 25 de febrero de 1997, caso Z).
El Tribunal Europeo de Derechos Humanos, al referirse a la justificación de la injerencia en el derecho a la protección de los datos personales, ha recordado en su Sentencia de 4 de diciembre de 2008, caso S. y Marper c. Reino Unido, que "la protección de datos de carácter personal juega un papel fundamental para el ejercicio del derecho al respeto de la vida privada y familiar consagrado por el artículo 8 del Convenio", por lo que "la legislación interna debe pues establecer las garantías apropiadas para impedir todo utilización de datos de carácter personal que no sea conforme a las garantías previstas en este artículo (...). La necesidad de disponer de tales garantías se hace sentir aún más cuando se trata de proteger los datos de carácter personal sometidos a un tratamiento automático, en particular cuando estos datos se utilizan con fines policiales". Y añadió que "el interés de las personas afectadas y de la colectividad en su conjunto en ver protegido los datos de carácter personal (...) pueden verse superados ante el interés legítimo que constituye la prevención de las infracciones penales (artículo 9 de la Convención sobre protección de datos). No obstante, teniendo en cuenta el carácter intrínsecamente privado de esas informaciones, el Tribunal debe proceder a un examen riguroso de toda medida tomada por un Estado para autorizar su conservación y su utilización por las autoridades", teniendo en cuenta en particular si "tal conservación es proporcionada y refleja un equilibrio justo entre los intereses públicos y privados en presencia" (apartados 103,104 y 118 de la sentencia). Más recientemente, el Tribunal ha reiterado estas consideraciones en las Sentencias de 22 de junio de 2017 en el asunto Aycaguer c. Francia y de 13 de febrero de 2020 en el asunto Gaughran c. Reino Unido.
Por último, también se ha señalado que la recogida y posterior tratamiento de los datos de carácter personal se ha de fundamentar en el consentimiento de su titular, facultad que solo cabe limitar en atención a derechos y bienes de relevancia constitucional, de modo que esa limitación esté justificada, sea proporcionada y, además, se establezca por ley (Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre).
2.- De la síntesis de la jurisprudencia constitucional expuesta, deriva que la limitación de los derechos fundamentales a la intimidad y a la protección de los datos de carácter personal solo puede entenderse constitucionalmente legítima desde la perspectiva de ambos derechos fundamentales si, en primer lugar, las medidas se autorizan por existir un interés constitucional relevante que justifique esa restricción y se revelen como necesarias para alcanzar un fin constitucionalmente legítimo; si, en segundo lugar, dichas medidas están legalmente previstas con suficiente precisión desde las exigencias del principio de reserva de ley formal y material; si, en tercer lugar, las medidas de restricción propuestas observan la necesaria adecuación y proporcionalidad para la satisfacción de sus fines y, en todo caso, son respetuosas con el contenido esencial de los derechos; y si, en último término, se arbitran las garantías adecuadas frente a las potenciales intromisiones sobre los derechos a la intimidad y a la protección de los datos de carácter personal.
Pues bien, la aplicación de la doctrina expuesta al caso sometido a consulta, permite apreciar, a juicio del Consejo de Estado, que la norma proyectada se ajusta, con carácter general, a los requisitos de legitimidad constitucional que se acaban de reseñar.
En primer término, el anteproyecto autoriza el tratamiento de datos personales (incluido categorías especiales de datos considerados sensibles o de alta protección) por parte de las autoridades consideradas competentes para los fines de "prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales", así como de "protección y prevención frente a las amenazas contra la seguridad pública" (artículo 1), siendo así que la limitación de los derechos constitucionales (a la intimidad personal y a la protección de los datos de carácter personal) que dicho tratamiento de datos comporta está excepcionalmente justificada en aras de un objetivo de interés general (garantizar la seguridad pública en el marco de la persecución y castigo de los delitos) y, desde una perspectiva constitucional, encuentra justificación, objetivamente, en la necesidad de salvaguardar los bienes constitucionales reconocidos en los artículos 10.1 y 104.1 de la Constitución, cuales son la "paz social" y la "seguridad ciudadana", en cuya defensa constituye pieza esencial la persecución y castigo de los delitos y, por tanto, también su prevención; todo ello, en el ejercicio de la función que legalmente tienen encomendadas los Juzgados y Tribunales del orden jurisdiccional penal, el Ministerio Fiscal, las Fuerzas y Cuerpos de Seguridad y ciertos organismos administrativos especializados.
Por lo que respecta a las exigencias establecidas por la doctrina del Tribunal Constitucional, este Consejo aprecia: que la incidencia sobre los derechos fundamentales afectados se revela como necesaria para lograr los fines legítimos previstos de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluyendo la protección y la prevención frente a las amenazas contra la seguridad pública; que se da la necesaria adecuación y proporcionalidad para la satisfacción de sus fines, a la vista de los principios a que se somete el tratamiento de los datos personales (artículos 4 y siguientes del anteproyecto); y, en todo caso, es respetuosa con el contenido esencial del derecho. Por otra parte, aun cuando, como se ha indicado anteriormente, la recogida y el tratamiento de los datos de carácter personal se ha de fundamentar, con carácter general, en el previo consentimiento de su titular, no cabe desconocer que la regulación proyectada establece un régimen especial de protección de datos, de acuerdo con la Directiva europea que viene a transponer, que se justifica excepcionalmente por razón de los fines específicos de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales. Por lo demás, la propia doctrina del Tribunal Constitucional ha reconocido la posibilidad excepcional de limitar la exigencia del consentimiento del titular de los datos en atención a derechos y bienes de relevancia constitucional cuya protección se persigue, lo que, en el caso del anteproyecto sometido a consulta, cabe entender justificado en consideración a los fines específicos de la ley proyectada.
Ello, además, se ve compensado con la articulación de un conjunto de garantías frente al uso potencialmente invasor del derecho a la protección de los datos personales del ciudadano, que encuentran reflejo en el capítulo II, relativo a los principios que deben inspirar el tratamiento de datos y su licitud (como son los plazos de conservación y de revisión, y su consiguiente supresión o bloqueo, artículo 6; o la verificación de la necesidad de los datos para los fines específicos de la ley orgánica, artículos 9 y 10), así como en la sección 2.ª del capítulo III, referida a los derechos de las personas (como la información que debe ponerse obligatoriamente a disposición de los interesados, artículo 19; el reconocimiento de los derechos de acceso, rectificación, supresión y limitación, que facultan al interesado a conocer si se están tratando o no sus datos y, en caso afirmativo, acceder a cierta información sobre el tratamiento, artículo 20, así como a obtener la rectificación de sus datos si estos resultaran inexactos, a suprimirlos cuando fueran contrarios a lo dispuesto por los artículos 4, 9 y 11, o cuando así lo requiera una obligación legal exigible al responsable, y a limitar el tratamiento, cuando el interesado ponga en duda la exactitud de los datos, artículo 21); y, todo ello, sin perjuicio de las obligaciones (generales y específicas) que pesan sobre los responsables (y, en su caso, también sobre los encargados) del tratamiento de los datos personales (capítulo IV, artículos 25 y siguientes), así como de los poderes y facultades de actuación reconocidas a las autoridades independientes de control, en nuestro caso, las autoridades de protección de datos (capítulo VI, artículos 46 y siguientes).
Garantías todas ellas indispensables para legitimar la medida y garantizar que el tratamiento de los datos y el acceso a los mismos se produce solo cuando sea necesario, de forma proporcional y respetando, en todo momento, las garantías establecidas en el ordenamiento jurídico, así como para evitar el uso desviado de la información que los nuevos métodos permiten obtener, y que se ajustan a los compromisos derivados de los tratados y acuerdos internacionales sobre la materia ratificados por España y conforme a los cuales se interpretarán las normas relativas a los derechos y libertades fundamentales, atendiendo al mandato establecido en el artículo 10.2 de la Constitución, en particular el Convenio para la Protección de las Personas respecto al Tratamiento Automatizado de Datos de Carácter Personal, hecho en Estrasburgo el 28 de enero de 1981, y ratificado por instrumento de 27 de enero de 1984, del cual el propio Tribunal Constitucional en su Sentencia 254/1993, de 20 de julio, ha señalado que no se limita "a establecer los principios básicos para la protección de los datos tratados automáticamente, especialmente en sus artículos 5, 6, 7 y 11", sino que los completa "con unas garantías para las personas concernidas, que formula detalladamente su artículo 8", y al que han seguido diversas recomendaciones aprobadas por la Asamblea Parlamentaria del Consejo de Europa. Convenio, además, cuyo artículo 9 prevé una excepción en sus disposiciones, siempre que tal excepción, prevista por una ley del Estado parte, constituya "una medida necesaria en una sociedad democrática" para, entre otros fines, "la protección de la seguridad del Estado, de la seguridad pública, (...) o para la represión de infracciones penales", o "para la protección (...) de los derechos y libertades de otras personas".
Ello no obsta, para que ante esas posibilidades de tratamiento de los datos de carácter personal en consideración a los fines antedichos, deba tomarse conciencia de la excepcionalidad de esa intromisión, que solo puede reputarse legítima en aras de preservar bienes e intereses constitucionalmente relevantes y dignos de protección, y que exige un fortalecimiento de los derechos de los interesados y de las obligaciones de quienes tratan dichos datos personales, así como el debido fortalecimiento también de los poderes equivalentes en orden a la supervisión y garantía del cumplimiento de las normas relativas a la protección de los datos personales en los Estados miembros, que se dan en el anteproyecto sometido a consulta.
Por todo lo expuesto, este Consejo aprecia que la incidencia sobre los derechos fundamentales a la intimidad y a la protección de datos personales constituye una intervención que cabe reputarse legítima desde una perspectiva constitucional, razón por la cual no formula reparo de constitucionalidad alguno al anteproyecto remitido en consulta.
SÉPTIMA.- Sobre las observaciones de carácter general
Sentadas las precedentes consideraciones, el Consejo de Estado considera en lo tocante al contenido normativo del anteproyecto de Ley Orgánica sometido a consulta, que procede formular las siguientes observaciones de carácter general: I.- Sobre la delimitación del ámbito de aplicación (artículo 2 del anteproyecto)
La primera observación de carácter general se refiere al ámbito de aplicación de la norma proyectada; cuestión esta que ha sido objeto de numerosas observaciones en el expediente.
1.- El anteproyecto delimita, en el capítulo I (artículo 2), el ámbito de aplicación de la norma de acuerdo en lo sustancial con la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (artículo 2), pero lo hace en términos sumamente confusos en su formulación y observando una muy deficiente sistemática, especialmente en lo que se refiere a la inclusión del tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad, por los órganos competentes para la vigilancia y control de los centros penitenciarios, y para el control, regulación y vigilancia del tráfico, así como la determinación de los supuestos excluidos del ámbito de la norma (apartados sexto y séptimo), y la inclusión también de aspectos que exceden en rigor de lo que constituye el ámbito de aplicación de la norma, como es la definición de qué se entiende por autoridad competente a los efectos de la ley orgánica (apartado tercero), o la determinación, también, de los diversos regímenes jurídicos aplicables, cuya inclusión en el artículo 2 del anteproyecto resulta a todas luces improcedente.
Con carácter previo a cualquier otra consideración, no puede dejar de señalarse que sorprende constatar que ni la memoria del análisis de impacto normativo, ni tampoco la exposición de motivos, explican las razones que han llevado a delimitar el ámbito de aplicación en los términos propuestos, máxime teniendo en cuenta que constituye un aspecto del anteproyecto que ha suscitado numerosas observaciones por parte de quienes han informado su versión inicial. Y aunque, en general, los informes que obran en el expediente no han objetado la delimitación del ámbito de aplicación, sino que se han limitado a sugerir determinadas modificaciones para mejorarla y que se detallen las razones que las justifican, lo cierto es que no consta documento alguno que analice dichas observaciones y que aporte las razones que expliquen y justifiquen los términos de la opción propuesta.
Por lo demás, es importante subrayar que la transposición de esta Directiva en el conjunto de Estados que componen la Unión Europea, supone "el establecimiento de un sistema homogéneo encaminado a facilitar un intercambio ágil y dinámico de esta información entre los Estados miembros, terceros Estados y organizaciones internacionales", de resultas de lo cual "se mejorará la cooperación y colaboración internacional, así como la protección de los datos personales". A la vista de esta finalidad, y con el objeto de contribuir al buen fin de la Directiva, la delimitación del ámbito de aplicación de las normas de transposición debe hacerse en términos que faciliten la creación de un sistema homogéneo y un correcto funcionamiento del mismo.
No cabe olvidar que la propia Directiva ha previsto en su artículo 62 su revisión, tomando como base la información que le faciliten los Estados miembros acerca de la aplicación de las normas que la hayan transpuesto, y que, a más tardar el 6 de mayo de 2022, y posteriormente cada cuatro años, la Comisión "presentará al Parlamento Europeo y al Consejo un informe sobre la evaluación y revisión de la presente Directiva".
En el presente caso, se echa en falta haber incluido en el expediente unas consideraciones en las que se explicara detenidamente cada una de las opciones introducidas y en las que se analizaran las razones de introducirlas, y sus ventajas e inconvenientes, al afectar muy directamente a derechos fundamentales de los titulares de los datos, pero también al incidir en la pretendida homogeneidad de tratamiento que persigue la Directiva que se transpone. Además, la exposición de motivos debería incluir esta explicación de una manera más concreta y precisa en la descripción del contenido del capítulo I.
2.- Sentado lo anterior, el artículo 2 del anteproyecto, relativo al ámbito de aplicación, suscita las siguientes cuestiones:
2.1.- Primero, la relativa a la determinación de los tratamientos de datos personales incluidos en el ámbito de aplicación de la norma.
a) Con carácter previo a la consideración de las observaciones concretas al contenido del precepto, debe observar este Consejo, en coincidencia con el parecer expresado por diversos órganos preinformantes, que el artículo 2 del anteproyecto resulta excesivamente extenso y adolece de una cierta falta de claridad, agravada por el hecho de la inclusión de aspectos o materias que exceden de lo que constituye en rigor la delimitación del ámbito de aplicación norma, lo que, por sí mismo -y haciendo abstracción de otras consideraciones-, obligaría a una revisión en profundidad de su contenido.
b) Sentado lo anterior, el apartado primero del artículo 2 del anteproyecto determina que la ley orgánica "se aplicará a los tratamientos de datos personales referidos en el artículo 1, ya se trate de un tratamiento total o parcialmente automatizado, ya de un tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero".
Tal formulación se compadece con lo dispuesto en el artículo 2, apartados primero y segundo, de la Directiva; no obstante lo cual, es importante observar que la Directiva (UE) 2016/680 en su título se refiere a "la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales", y en sus diversos preceptos y considerandos a los "fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública", al igual que el propio artículo 1 del anteproyecto. De ahí que, a juicio del Consejo de Estado, el artículo 2, bien directamente, bien por remisión al artículo 1, deba ajustarse más fielmente a los términos de la norma europea y referirse a los fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, sin perjuicio de añadir el inciso "incluidas la protección y la prevención frente a las amenazas contra la seguridad pública" en dichos términos, y no como un fin específico distinto de los anteriores. En atención a lo expuesto, este Consejo propone una redacción más completa y con la precisión indicada en su contenido:
"Esta ley orgánica será de aplicación al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero, realizado por las autoridades competentes, con fines de prevención, detección, investigación o enjuiciamiento de infracciones penales y de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública".
c) En cuanto a los tratamientos de datos personales que quedan fuera del ámbito de aplicación del anteproyecto, el apartado sexto excluye expresamente: los realizados por las autoridades competentes para fines distintos de los previstos en el artículo 1 de la ley proyectada; los llevados a cabo por los órganos de la Administración General del Estado en el marco de las actividades comprendidas en el ámbito del capítulo II del título V del Tratado de la Unión Europea (en relación a la Política Exterior y de Seguridad Común); los que afecten a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea; los sometidos a la normativa sobre materias clasificadas; y los relativos a la lucha contra el terrorismo y a las formas graves de delincuencia organizada. Además, el apartado séptimo excluye también el tratamiento de los datos de las personas fallecidas.
A juicio del Consejo de Estado, el apartado sexto del artículo 2 del anteproyecto se compadece, en líneas generales, con el contenido de la Directiva, la cual se limita a excluir de su ámbito de aplicación al tratamiento de datos personales realizados "en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión", y "por parte de las instituciones, órganos u organismos de la Unión" (artículo 2.3).
Desde esta perspectiva, no suscita objeción la exclusión de los tratamientos realizados por las autoridades competentes para fines distintos de los previstos en el artículo 1 de la ley proyectada (artículo 2.6, apartado a), que, al tratarse de fines distintos a los que constituyen el objeto de la norma interna y de la Directiva, quedarían obviamente excluidos. Tampoco la de los que afecten a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea (artículo 2.6, apartado c), pues ello se corresponde con el artículo 2.3 de la Directiva.
Se justifica igualmente la exclusión de los tratamientos llevados a cabo por los órganos de la Administración General del Estado en el marco de las actividades comprendidas en el ámbito del capítulo 2 del título V del Tratado de la Unión Europea (en relación a la Política Exterior y de Seguridad Común) (artículo 2.6, apartado b), cuya exclusión se infiere expresamente del considerando n.º 14 de la Directiva objeto de transposición, siendo además excluidos, de igual modo, por el artículo 2, apartado b), del Reglamento (UE) del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
En cuanto a los tratamientos sometidos a la legislación específica sobre materias clasificadas (artículo 2.6, apartado d), así como los relativos a la lucha contra el terrorismo y a las formas graves de delincuencia organizada (artículo 2.6, apartado e), debe este Consejo comenzar por señalar que la formulación de tales supuestos resulta formalmente defectuosa, puesto que el apartado d) alude a los tratamientos sometidos a "la normativa sobre materias clasificadas", indicando sin embargo, a continuación, que, entre tales supuestos, "se encuentran los tratamientos incluidos en la letra e) (esto es, "los relativos a la lucha contra el terrorismo y los relativos a las formas graves de delincuencia organizada")", insertándose, a renglón seguido, este último supuesto como un apartado independiente, lo que provoca un solapamiento innecesario entre ambos supuestos.
Por lo demás, este Cuerpo Consultivo aprecia, en cuanto al contenido sustantivo de dichas previsiones, que no se justifica la exclusión sin más de los tratamientos relativos a la "lucha contra el terrorismo", que requerirían, en su caso, que afectasen a actividades relacionadas con la seguridad nacional, y considera también que debe eliminarse la exclusión prevista relativa a los tratamientos relacionados con "las formas graves de delincuencia organizada".
Por todo ello, procede, a juicio de este Consejo de Estado, reformular los términos del anteproyecto en este punto, debiendo mantenerse exclusivamente un apartado d) referido a "a los tratamientos sometidos a la normativa sobre protección de materias clasificadas", cuya exclusión del ámbito de aplicación se justifica en la medida en que la propia Directiva objeto de transposición, en su considerando n.º 14, determina que no deben considerarse comprendidas en el ámbito de aplicación de la norma europea "las actividades relacionadas con la seguridad nacional"; y siendo así, además, que el artículo 2.2, apartado c) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, excluye igualmente dichos tratamientos del ámbito de aplicación de esta última.
En consecuencia, procede mantener en el texto del anteproyecto un apartado d) referido exclusivamente a "a los tratamientos sometidos a la normativa sobre protección de materias clasificadas", sin incluir mención alguna a ninguna materia, y suprimir, por consiguiente, el apartado e).
Se propone la siguiente redacción alternativa para el apartado d):
"d) A los tratamientos sometidos a la normativa sobre protección de materias clasificadas".
d) En lo tocante al tratamiento de los datos de las personas fallecidas, parece lógica su exclusión, habida cuenta de que el tratamiento de datos que autoriza el anteproyecto tiene como único y exclusivo fin específico la prevención, detección, investigación o enjuiciamiento de infracciones penales y de ejecución de sanciones penales, siendo así que la muerte extingue la responsabilidad penal (artículo 130.1, apartado 1.º, del Código Penal), y siendo este, además, el criterio adoptado por la propia Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, cuyo artículo 2, apartado c), los excluye, igualmente, de su ámbito de aplicación.
Ello no obsta para que deba regularse, como hace el anteproyecto en el artículo 2.7, y también la citada Ley Orgánica 3/2018, de 5 de diciembre (artículo 3), el régimen de acceso a los datos personales del fallecido y, en su caso, para su rectificación y supresión.
En este orden de consideraciones, la redacción propuesta le suscita la duda a este Consejo de si cabe o no el acceso a los datos de la persona fallecida en todo caso, así como el sentido de la inserción en el primer párrafo del apartado séptimo del inciso "cuando corresponda" en relación con la posibilidad de rectificación o supresión de los datos de la persona fallecida a instancias de las personas vinculadas por razones familiares o de hecho o de sus herederos, pues deja en la más absoluta indeterminación cuándo procedería instar dicha rectificación o supresión y cuándo no.
A juicio de este Consejo, deben establecerse expresamente los casos en los que las personas a que se refiere el primer párrafo del artículo 2.7 del anteproyecto no puedan en su caso, como excepción a la regla general, acceder a los datos del causante ni solicitar su rectificación o supresión, al modo en cómo lo formula el artículo 3.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, por ejemplo, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley. Lo cual no debe obstar el derecho de los herederos a acceder a los datos de carácter patrimonial del causante.
De igual modo, cabría prever el supuesto en que el fallecido hubiera designado a personas o instituciones expresamente, en orden a proceder al acceso a los datos o a instar su rectificación o supresión.
Por lo demás, y a los efectos de que el contenido del artículo 2 pueda ser más conciso y sistemático, cabría ponderar la conveniencia de que el artículo se ciñese a determinar en uno de sus apartados que la ley orgánica no se aplicará a los tratamientos de datos de las personas fallecidas, sin perjuicio de remitir a otro precepto específico e individualmente considerado para insertar el régimen jurídico específico del tratamiento de los datos de las personas fallecidas. En este sentido, se propone la siguiente redacción para el apartado correspondiente del artículo 2:
"... A los tratamientos de datos de personas fallecidas, sin perjuicio de lo establecido en el artículo...".
2.2.- En otro orden de consideraciones, se observa que en el artículo 2 del anteproyecto se introducen diversas previsiones en las que, de manera entreverada con la delimitación del ámbito de aplicación, se establece la sujeción de ciertos tratamientos de datos a sus respectivas legislaciones, de forma poco clara y con una deficiente sistemática, con el resultado de un texto del precepto de más difícil comprensión. Es el caso de los tratamientos realizados por los órganos jurisdiccionales y por el Ministerio Fiscal y la remisión a sus respectivas legislaciones específicas (apartados cuarto y quinto); también el caso del tratamiento procedente de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad y por los órganos competentes para la vigilancia y control en los centros penitenciarios, así como para el control, regulación, vigilancia y disciplina del tráfico con los fines del artículo 1 (apartado segundo).
A los efectos anteriormente señalados, este Consejo es de la opinión que debe distinguirse claramente en el contenido del artículo 2 entre lo que constituye en rigor la delimitación del ámbito de aplicación de la norma, y las referencias a los regímenes jurídicos aplicables a ciertos tratamientos.
A su vez, y desde esta última perspectiva, debe establecerse con mayor precisión y claridad el régimen aplicable a los diversos tratamientos.
A tal fin, y para mayor claridad, conviene subrayar, en la línea de lo ya expresado anteriormente, que el Reglamento (UE) de Protección de Datos y la Directiva (UE) 2016/680 delimitan dos ámbitos subjetivos de aplicación claramente diferenciados, de tal suerte que el Reglamento no se aplica al tratamiento de datos personales por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluida la de protección frente a las amenazas contra la seguridad pública, por tratarse de una materia sujeta a la Directiva (UE) 2016/680. Así resulta del considerando 19 del Reglamento (UE) de Protección de Datos, cuando señala que "la protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal por parte de las autoridades competentes a efectos de la prevención, investigación, detección o enjuiciamiento de infracciones penales o de la ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad pública y la libre circulación de estos datos y su prevención, es objeto de un acto jurídico específico a nivel de la Unión", por lo que "el presente Reglamento no debe, por lo tanto, aplicarse a las actividades de tratamiento destinadas a tales fines. No obstante, los datos personales tratados por las autoridades públicas en aplicación del presente Reglamento deben, si se destinan a tales fines, regirse por un acto jurídico de la Unión más específico, concretamente la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo". Y, de acuerdo con ello, el artículo 2.2, apartado e) del propio Reglamento (UE) de Protección de Datos dispone que dicho reglamento no se aplica al tratamiento de datos personales por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención, previstos en la Directiva (UE) 2016/680.
Desde esta perspectiva, cabe distinguir entre: a) los tratamientos a los que les es aplicable la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y que se regirán por lo dispuesto en la ley orgánica de transposición como fuente directamente aplicable, sin perjuicio de las normas internas complementarias que, estando referidas a ciertos ámbitos específicos, puedan ser igualmente de aplicación, en conformidad con la norma europea y la interna de transposición; y b) los tratamientos a los que no les es aplicable la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, que se regirán por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 y por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y, en su caso, por directivas y normas internas de transposición específicas. Por otra parte, no cabe olvidar que hay también tratamientos a los que no les es aplicable la Directiva 2016/680, ni tampoco el Reglamento (UE) 2016/679, por afectar a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea, y que se regirán por lo dispuesto en su legislación específica si la hubiere y, solo supletoriamente, por lo establecido en el Reglamento (UE) 2016/679.
Es por ello que, a juicio de este Cuerpo Consultivo, deben reformularse, con carácter general, los términos del artículo 2 del anteproyecto, de tal suerte que la sujeción al régimen aplicable en cada caso, con determinación de las normas aplicables directamente y las que lo sean supletoriamente, sea suficientemente clara y precisa, así como coherente con el grupo normativo europeo e interno en materia de protección de datos personales.
En particular, cabe observar que en el apartado cuarto del artículo 2 se determina que los tratamientos de datos realizados por los órganos jurisdiccionales en el ámbito del artículo 1 "se regirán por lo dispuesto en la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, por las leyes procesales penales y, subsidiariamente, por lo dispuesto en el capítulo III de esta ley orgánica"; y, por su parte, el apartado quinto del mismo precepto, establece que los realizados por el Ministerio Fiscal en el mismo ámbito, "se regirán por lo dispuesto en el apartado anterior y por la Ley 50/1981, de 30 de diciembre, por la que se regula el Estatuto Orgánico del Ministerio Fiscal".
Pues bien, a juicio de este Cuerpo Consultivo, tales previsiones no resultan procedentes, en la medida en que relegan la aplicación de la propia ley orgánica respecto a tratamientos de datos comprendidos dentro del ámbito de aplicación de la ley, resultando así de aplicación supletoria respecto de la Ley Orgánica del Poder Judicial y las leyes procesales penales (en el caso de los tratamientos realizados por los órganos jurisdiccionales), y de la Ley por la que se regula el Estatuto Orgánico del Ministerio Fiscal (en el caso de los tratamientos realizados por el Ministerio Fiscal), lo que debe ser objeto de reconsideración.
Esta observación tiene carácter esencial en el concreto sentido previsto por el artículo 2, apartado 2, de la Ley Orgánica 3/1980, de 22 de abril, del Consejo de Estado, en relación con el artículo 130, apartado 3, del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.
Por otra parte, el mismo apartado cuarto del artículo 2 determina respecto de los tratamientos realizados por los órganos jurisdiccionales que "las autoridades de protección de datos a que se refiere el capítulo VI de esta ley orgánica no serán competentes para controlar estas operaciones de tratamiento"; y lo mismo determina el apartado quinto del mismo precepto en relación con los tratamientos llevados a cabo por el Ministerio Fiscal.
Tales previsiones no suscitan objeción desde la perspectiva de su conformidad con el derecho europeo, pues en relación con el control de las operaciones de tratamiento efectuadas por los órganos jurisdiccionales, la Directiva objeto de transposición establece expresamente en su artículo 45.2 que "los Estados miembros dispondrán que cada autoridad de control no sea competente para controlar las operaciones de tratamiento efectuadas por los órganos jurisdiccionales en el ejercicio de su función judicial"; y, en cuanto al control de estas mismas operaciones realizadas por el Ministerio Fiscal, el inciso final del mismo artículo 45.2 de la norma europea faculta expresamente a los Estados miembros para que "su autoridad de control no sea competente para controlar las operaciones de tratamiento efectuadas por otras autoridades judiciales independientes en el ejercicio de su función judicial"; lo que reafirma el considerando 80 en su párrafo tercero, que menciona expresamente a la "la fiscalía" entre las otras posibles autoridades judiciales independientes. Lo cual no obsta para que el cumplimiento de las normas de la ley orgánica tanto por los órganos jurisdiccionales como por el Ministerio Fiscal, deba estar sujeto siempre a una supervisión independiente de conformidad con el artículo 8, apartado 3, de la Carta de los Derechos Fundamentales de la Unión Europea y el mencionado considerando de la Directiva.
Por último, este Consejo estima que la determinación del régimen jurídico aplicable debe ser objeto de un precepto específico, independiente del artículo 2.
II.- Sobre el tratamiento de datos personales en el ámbito de la videovigilancia por las Fuerzas y Cuerpos de Seguridad (artículo 2, apartado segundo, en relación con la sección 2.ª del capítulo II y la disposición derogatoria del anteproyecto)
La siguiente cuestión significativa que suscita el artículo 2 del anteproyecto (relativo al ámbito de aplicación de la norma) es la tocante a la previsión de su aplicación al tratamiento de datos personales en el ámbito de la videovigilancia por las Fuerzas y Cuerpos de Seguridad, que ha suscitado, igualmente, numerosas observaciones en el expediente.
1.- La cuestión planteada ha de analizarse a la luz de lo dispuesto en el apartado segundo del artículo 2 del anteproyecto, puesto en conexión con la sección 2.ª del capítulo II y la disposición derogatoria.
El apartado segundo del artículo 2 dispone: "Asimismo, sin menoscabo de los requisitos establecidos en regímenes legales especiales que regulan otros ámbitos concretos como el proceso penal, la regulación del tráfico o la protección de instalaciones propias, esta ley orgánica se aplicará al tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad y por los órganos competentes para la vigilancia y control en los centros penitenciarios, así como para el control, regulación, vigilancia y disciplina del tráfico con los fines del artículo 1".
Por otra parte, la sección 2.ª del capítulo II del anteproyecto (artículos 13 a 17) se dedica, como indica su propia rúbrica, al "Tratamiento de datos personales en el ámbito de la videovigilancia por las Fuerzas y Cuerpos de Seguridad".
Por último, la disposición derogatoria única prevé la derogación expresa de la "Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos", así como del "Real Decreto 596/1999, de 16 de abril, por el que se aprueba el Reglamento de desarrollo y ejecución de la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos".
2.- Como consideración previa, entiende este Consejo que deben distinguirse dos ámbitos claramente diferenciados: de una parte, el tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y de videocámaras en los términos anteriormente indicados para los fines específicos a que se refiere la Directiva y el anteproyecto; y de otra, la regulación del régimen jurídico aplicable a la obtención de esas imágenes y sonidos obtenidos mediante la utilización de cámaras y de videocámaras con carácter general.
Tal distinción resulta relevante a los efectos ahora considerados, toda vez que el anteproyecto consultado incluye dentro del ámbito de la aplicación de la ley orgánica el "tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad y por los órganos competentes para la vigilancia y control en los centros penitenciarios, así como para el control, regulación, vigilancia y disciplina del tráfico con los fines del artículo 1" (apartado segundo del artículo 2). Y, sin embargo, la sección 2.ª del capítulo II (artículos 13 a 17), a pesar de la rúbrica de la sección ("Tratamiento de datos personales en el ámbito de la videovigilancia..."), regula el sistema de grabación de imágenes y sonidos por las Fuerzas y Cuerpos de Seguridad (artículo 13), la instalación de sistemas fijos y de dispositivos móviles (artículos 14 y 15), el tratamiento y conservación de las imágenes (artículo 16) y el régimen disciplinario (artículo 17); hasta el punto de prever el anteproyecto, en su disposición derogatoria, la derogación expresa de la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos, y el Real Decreto 596/1999, de 16 de abril, por el que se aprueba el Reglamento de desarrollo y ejecución de la citada ley orgánica, es decir del bloque normativo íntegro regulador del régimen de la videovigilancia.
Pues bien, a juicio de este Consejo de Estado, es correcto que el anteproyecto someta al régimen del anteproyecto el tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras para cumplir con los fines específicos a que se refiere el artículo 1, y desde esta perspectiva los términos del artículo 2.2 no suscitarían objeción.
Cuestión distinta es, sin embargo, la opción del prelegislador de incorporar la regulación material sobre el sistema de grabación de imágenes y sonidos por las Fuerzas y Cuerpos de Seguridad. Tal opción no resulta adecuada desde la perspectiva de las exigencias de una buena técnica normativa, pues la inserción en el texto proyectado de la referida regulación quiebra la coherencia y la homogeneidad del contenido normativo del anteproyecto, apareciendo así dicha regulación como un cuerpo extraño insertado en el articulado. Además, en la medida en que los fines específicos de la ley orgánica son, como prescribe el artículo 1, la prevención, detección, investigación o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, así como la protección y prevención frente a las amenazas contra la seguridad pública, no resulta apropiado insertar como parte del contenido normativo del anteproyecto una regulación cuyos fines son más amplios que el tratamiento de datos personales en el ámbito de la videovigilancia por las Fuerzas y Cuerpos de Seguridad, como es el propio caso de "la vigilancia y control en los centros penitenciarios", así como "el control, regulación, vigilancia y disciplina del tráfico", entre otros; y, menos aún, derogar en bloque la Ley Orgánica 4/1997, de 4 de agosto en su integridad, y, además, el Reglamento dictado en ejecución y desarrollo de la citada ley, creando un vacío normativo a todos luces contraindicado, como se indicará ulteriormente en las observaciones a la disposición derogatoria.
Por lo demás, el apartado segundo del artículo 2 del anteproyecto no distingue, en relación con el uso de cámaras de videovigilancia, cuándo el uso de las cámaras tenga como finalidad la prevención, detección e investigación de delitos, en cuyo caso debe de estar incluido en el ámbito de aplicación de la ley orgánica, o cuándo el uso pueda tener una finalidad puramente administrativa de carácter sancionador, fundamentalmente en materia de tráfico o de funciones de vigilancia o de policía, insertos más propiamente en el ámbito de la seguridad ciudadana.
Así las cosas, el Consejo de Estado entiende que la inclusión del tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras para cumplir con los fines específicos a que se refiere el artículo 1 no suscita objeción y es conforme al objeto de la norma, pero debe reconsiderarse la opción de incluir en el texto del anteproyecto la regulación sustantiva en materia de videovigilancia, manteniendo, en su caso, la legislación específica al respecto (Ley y Reglamento), sin perjuicio de insertar en el texto del anteproyecto las previsiones específicas a que hubiere lugar (como hace el artículo 22 del Reglamento (UE) 2016/679), así como también de modificar, en su caso, si es que fuera preciso y en los términos que resultaren pertinentes, su contenido, mediante la inserción en la parte final del anteproyecto de una disposición (final) por la que se modifique la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos.
Esta observación tiene carácter esencial en el concreto sentido previsto por el artículo 2, apartado 2, de la Ley Orgánica 3/1980, de 22 de abril, del Consejo de Estado, en relación con el artículo 130, apartado 3, del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.
III.- Sobre la determinación de las autoridades competentes (artículo 2, apartado tercero, del anteproyecto)
En otro orden de consideraciones, el artículo 2 del anteproyecto determina en su apartado tercero qué se entiende por autoridades competentes a los efectos de la ley orgánica.
Al respecto, dispone que se tiene por autoridad competente a "toda autoridad pública que tenga competencias encomendadas legalmente para el tratamiento de datos personales con alguno de los fines previstos en el artículo 1"; y, en particular, determina que tendrán esa consideración en el ámbito de sus respectivas competencias: "a) Las Fuerzas y Cuerpos de Seguridad. b) Las Autoridades judiciales del orden jurisdiccional penal y el Ministerio Fiscal. c) Las Administraciones Penitenciarias. d) La Dirección Adjunta de Vigilancia Aduanera. e) El Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias. f) La Comisión de Vigilancia de Actividades de Financiación del Terrorismo".
Como consideración de carácter preliminar, el Consejo de Estado aprecia que la definición de autoridad competente a los efectos de la ley orgánica y la determinación de quienes tienen esa consideración debería ser objeto de un precepto independiente, y, por consiguiente, fuera del contenido propio del artículo 2 referido al ámbito de aplicación de la norma.
En cuanto a la previsión específica acerca de las autoridades a las que se atribuye tal consideración (cuestión esta sobre la que se han suscitado numerosas observaciones durante la tramitación del anteproyecto), este Consejo no formula objeción al menos con carácter general, al considerarlas adecuadas a los fines específicos del artículo 1, pues la propia Directiva en su artículo 3 se refiere a la "autoridad competente" como "toda autoridad pública competente para la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública" (artículo 3, apartado 7), subapartado a), así como también a "cualquier otro órgano o entidad a quien el Derecho del Estado miembro haya confiado el ejercicio de la autoridad pública y las competencias públicas a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública" (artículo 3, apartado 7), subapartado b).
Desde esta perspectiva, el Consejo de Estado aprecia que las autoridades a las que el artículo 2.3 del anteproyecto otorga la consideración de autoridades competentes se adecúan a las exigencias de la regulación europea. Lo cual no obsta para que otras Administraciones públicas u organismos públicos, como puede ser, entre otros, el caso de las Administraciones tributarias o de la Administración de la Seguridad Social, sin tomar la consideración de autoridades competentes a estos efectos, tal como postulaban ciertos órganos preinformantes en el expediente, deban cumplir con el deber de colaboración que, en el ámbito de los fines específicos de la Directiva y del anteproyecto, establece el artículo 5 del texto proyectado.
Al margen de lo anterior, este Consejo considera que la inclusión de "los jueces y tribunales del orden jurisdicción penal" en la misma relación que el resto de autoridades competentes, que tienen un carácter netamente administrativo, excepto el Ministerio Fiscal, no es respetuosa con el principio constitucional de independencia judicial, como ya señaló este Cuerpo Consultivo en su anterior dictamen número 736/2018, de 13 de septiembre, emitido con relación al anteproyecto de Ley Orgánica sobre la utilización de los datos del registro de nombres de pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves (cuya observación fue acogida en el texto del artículo 14.4 de la Ley Orgánica 1/2020, de 16 de septiembre, sobre la utilización de los datos del registro de nombres de pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves), por lo que deberá introducirse un apartado específico en el mismo precepto para los jueces y tribunales del orden jurisdicción penal.
Esta observación tiene carácter esencial en el concreto sentido previsto por el artículo 2, apartado 2 de la Ley Orgánica 3/1980, de 22 de abril, del Consejo de Estado, en relación con el artículo 130, apartado 3, del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.
Por otra parte, este Consejo entiende que debe identificarse específicamente a las Fuerzas y Cuerpos de Seguridad que tienen la consideración de autoridades competentes a los efectos de la ley orgánica, pues, aunque la mención genérica propuesta en la letra a) del artículo 2, apartado tercero ("a) Las Fuerzas y Cuerpos de Seguridad") no es necesariamente incorrecta en sí misma, lo cierto es que dicha formulación no se corresponde con la adoptada por la Ley Orgánica 1/2020, de 16 de septiembre, sobre la utilización de los datos del Registro de Nombres de Pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves, cuyo artículo 14.1 menciona, entre las autoridades competentes para solicitar o recibir de la datos PNR o el resultado del tratamiento de dichos datos a fin de seguir examinando esa información o de adoptar las medidas adecuadas para prevenir, detectar, investigar y enjuiciar delitos de terrorismo y delitos graves, a "la Dirección General de la Policía" (artículo 14.1., apartado a), así como a "la Dirección General de la Guardia Civil" (artículo 14.1., apartado b), además de incluir expresamente a las autoridades "correspondientes de las Comunidades Autónomas que hayan asumido estatutariamente competencias para la protección de personas y bienes y para el mantenimiento de la seguridad ciudadana, y cuenten con un cuerpo de policía propio" (artículo 14.1., apartado f); siendo así que nada se explica en el expediente sobre la disparidad de tratamiento adoptado por el anteproyecto. Por lo demás, la fórmula utilizada por la letra a) del artículo 2, apartado tercero de mencionar genéricamente a las Fuerzas y Cuerpos de Seguridad, tiene la contraindicación de que es altamente imprecisa, en la medida en que suscita la duda acerca de qué Fuerzas y Cuerpos de Seguridad comprende y cuáles de ellas tienen por consiguiente la consideración de autoridades competentes a los efectos de la ley orgánica.
Finalmente, cabría identificar con mayor precisión a algunas de las autoridades enunciadas, como es el caso de la referencia a las Administraciones penitenciarias, acaso demasiado genérica, y la Dirección Adjunta de Vigilancia Aduanera, como unidad específica integrada y dependiente de Departamento de Aduanas e Impuestos Especiales de la Agencia Estatal de Administración Tributaria; así como también ponderar la conveniencia de considerar autoridad competente al Centro Nacional de Inteligencia, incluido, como tal, por la citada Ley Orgánica 1/2020, de 16 de septiembre en el artículo 14.1, apartado c), sin que conste tampoco, en este caso, explicación alguna que justifique el tratamiento diferenciado. IV.- Sobre las definiciones legales (artículo 3 del anteproyecto)
El artículo 3 del anteproyecto se refiere a las definiciones.
Cabe observar que, en su versión definitiva, la norma proyectada reformula los términos del precepto en atención a las numerosas observaciones formuladas durante su tramitación, que coinciden en objetar sus concretos términos por determinar las definiciones aplicables por remisión al artículo 4 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y no al artículo 3 de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
El Consejo de Estado comparte las objeciones formuladas en este punto por los órganos preinformantes y considera, por consiguiente, adecuados los términos del texto sometido a dictamen en los que se corrige el texto inicial, adoptando por remisión las definiciones de la Directiva (UE) 2016/680.
Sin perjuicio de ello, este Consejo considera que debiera ponderarse la conveniencia de introducir en el artículo 3 del anteproyecto la relación de definiciones que contiene el precepto concordante de la Directiva para una mayor certeza y un mejor manejo del texto normativo proyectado (artículo 3); en concreto, las relativas a datos personales, tratamiento, limitación del tratamiento, elaboración de perfiles, seudonimización, fichero, responsable del tratamiento, encargado del tratamiento, destinatario, violación de la seguridad de los datos personales, datos genéticos, datos biométricos, datos relativos a la salud y organización internacional, en los términos que establece la mencionada directiva. No debe incluirse en esta relación la definición de "autoridad competente" por encontrarse ubicada en otro precepto, debiendo incluirse, por el contrario, la de "responsable del tratamiento", que figura en el apartado segundo del artículo 3 como única definición explícita en la versión actual del texto del anteproyecto.
V.- Sobre la regulación del tratamiento de datos personales en el ámbito de la videovigilancia (sección 2.ª del capítulo II del anteproyecto)
Sin perjuicio de lo señalado anteriormente (apartado II) acerca de la inclusión del tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y de videocámaras para los fines específicos a que se refiere la Directiva y el anteproyecto, así como la regulación del régimen jurídico aplicable a la obtención de esas imágenes y sonidos obtenidos mediante la utilización de cámaras y de videocámaras con carácter general, el contenido normativo de la sección 2.ª del capítulo II del anteproyecto (artículos 13 a 17) suscita las siguientes observaciones:
a) En primer término, la regulación proyectada se ciñe a la captación, reproducción y tratamiento de datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad (artículo 13), pero no distingue claramente en relación con el uso de cámaras de videovigilancia, cuándo el uso de las cámaras tenga como finalidad la prevención, detección e investigación de delitos, en cuyo caso debe de estar incluido en esta ley orgánica, o cuando el uso pueda tener una finalidad ajena puramente administrativa de carácter sancionador, fundamentalmente en materia de tráfico, o de funciones de vigilancia o de policía, inserto más propiamente en el ámbito de la seguridad ciudadana. Por otra parte, no se alude al tratamiento de datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por parte de otras personas (públicas o privadas) que incidan sobre los mismos fines específicos del anteproyecto.
Además, es imprescindible establecer con claridad la determinación del régimen jurídico aplicable a la utilización de videocámaras para grabar imágenes y sonidos por las Fuerzas y Cuerpos de Seguridad en lugares públicos, y por los órganos competentes para la vigilancia y control en los centros penitenciarios y para el control, regulación, vigilancia y disciplina del tráfico, o remitirse expresamente a la legislación que lo determine, distinguiendo cuándo el tratamiento tenga fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública, o cuándo tenga otros fines, debiendo tener presente, a estos efectos, lo dispuesto en el artículo 22 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
b) Por otro lado, se advierte una disparidad en cuanto al contenido del régimen jurídico previsto en el bloque normativo integrado por la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos y el Real Decreto 596/1999, de 16 de abril, por el que se aprueba el Reglamento de desarrollo y ejecución de la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos, y la regulación proyectada en la sección 2.ª del capítulo II del anteproyecto, que requiere de una profunda revisión, especialmente en lo tocante al régimen de autorización de las instalaciones fijas, principios de actuación y procedimiento a seguir.
c) En definitiva, debe fijarse criterio, en primer lugar, acerca de si la regulación proyectada se ciñe a la regulación del tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad, introduciendo las especialidades necesarias, bien directamente en el anteproyecto, bien modificando la citada Ley Orgánica 4/1997, de 4 de agosto, o combinando ambas técnicas; o si, por el contrario, se pretende incluir la regulación material del sistema de videovigilancia, más allá del mero tratamiento de datos, para lo cual deberán tenerse presentes las observaciones formuladas con anterioridad acerca del buen orden normativo que debe preservarse. Y en función del criterio adoptado por el prelegislador, el contenido normativo propuesto deberá ser uno u otro, pero, en todo caso, adecuado, completo y coherente.
Por todo ello, este Consejo coincide con el parecer expresado por el Consejo General del Poder Judicial, en el sentido de que deben reconsiderarse los términos de la regulación propuesta, y, en particular, debe aclararse la determinación del conjunto normativo aplicable a la utilización por las Fuerzas y Cuerpos de Seguridad, así como por los demás órganos competentes, de cámaras y videocámaras para la grabación de imágenes y sonidos en lugares públicos en función de los usos y fines específicos.
VI.- Sobre el régimen de tratamiento de los datos personales y los sujetos intervinientes: responsable del tratamiento, encargado del tratamiento y delegado de protección de datos (capítulo IV del anteproyecto)
El capítulo IV del anteproyecto, bajo la rúbrica "Responsable y encargado del tratamiento" (artículos 25 a 40), regula, entre otras cuestiones, las figuras del responsable del tratamiento de los datos, el encargado del tratamiento y el delegado de protección de datos, concretando ciertos aspectos del régimen jurídico de cada uno.
Según previene la Directiva (UE) 2016/680, el "responsable del tratamiento" es la autoridad competente que, sola o conjuntamente con otras, determina los fines y medios del tratamiento de los datos personales (artículo 3, apartado 8, de la Directiva, en relación con los artículos 19, 20 y 21 de la misma). Por su parte, el "encargado del tratamiento" es la persona física o jurídica, autoridad pública, servicio u otro organismo que realice operaciones de tratamiento de datos personales por cuenta del responsable del tratamiento (artículo 3, apartado 9, en relación con el artículo 28 de la citada Directiva). Y, en fin, el "delegado de protección de datos", que es la persona designada por el responsable del tratamiento en consideración a sus cualidades profesionales y, en particular, a sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos, para ejercer funciones de consulta y asesoramiento, supervisión del cumplimiento de la legislación, así como de cooperación y relación con la autoridad de control (artículos 32, 33 y 34 de la misma Directiva).
El anteproyecto se ajusta en lo sustancial a los términos de la Directiva en la regulación de los diversos sujetos intervinientes en el proceso de tratamiento de los datos personales. Pero lo cierto es que se ha optado por una transposición excesivamente literal, que no atiende suficientemente a las exigencias de una regulación coherente y sistemática que se integre adecuadamente en el ordenamiento jurídico interno y en la que la terminología empleada y el contenido de los preceptos sean claros y de fácil comprensión.
Desde esta perspectiva, se formulan las siguientes observaciones:
1.- En cuanto al responsable del tratamiento (artículo 25 del anteproyecto), constituye este un elemento esencial para garantizar que el tratamiento de los datos y el acceso a los mismos se produzca solo cuando sea necesario, de forma proporcional y respetando, en todo momento, las garantías establecidas en el ordenamiento jurídico.
Al respecto, el Consejo de Estado considera, de conformidad con lo ya expresado en su anterior dictamen número 736/2018, de 13 de septiembre antes citado, en cuanto a la posición y el estatus del responsable del tratamiento, que debe armonizarse el contenido del artículo 25 del anteproyecto con el régimen establecido en el artículo 8 de la Ley Orgánica 1/2020, de 16 de septiembre, sobre la utilización de los datos del Registro de Nombres de Pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves. En particular, lo prevenido en su apartado segundo, según el cual "la persona designada lo será atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos personales, y a su capacidad para desempeñar las funciones contempladas en esta ley orgánica. Deberá contar con los medios necesarios para el desempeño de sus funciones de manera eficaz e independiente"; y también lo prevenido en su apartado cuarto, que prevé que, supletoriamente, "en lo no previsto en esta ley orgánica se regirá por lo regulado para los delegados de protección de datos en la legislación que transponga la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, y hasta ese momento por las normas que regulen en Derecho español el tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección y enjuiciamiento de infracciones penales o de ejecución de sanciones penales".
2.- Por lo que se refiere al régimen de corresponsables del tratamiento previsto en el artículo 27 del anteproyecto, no se precisa en qué supuestos el tratamiento de los datos personales puede requerir del concurso de dos o más responsables del tratamiento, ni se arbitra una regulación que pueda considerarse suficiente sobre el sistema de corresponsabilidad en el tratamiento de datos, más allá de la virtualidad del contenido a que se refiere el artículo 27.2 del anteproyecto (formulado en términos coincidentes con el artículo 21.1 de la Directiva).
Por otra parte, aun cuando se trata de una previsión cuyo contenido es reproducción literal de la norma europea, no resulta fácilmente comprensible desde la perspectiva interna el inciso del segundo párrafo del citado artículo 27.2 del anteproyecto cuando dice que "el citado acuerdo designará el punto de contacto para los interesados, a menos que venga ya determinado legalmente".
Por último, cabría modificar la rúbrica del precepto y titularlo "Supuestos de corresponsabilidad en el tratamiento" en vez de "Corresponsables del tratamiento".
3.- En lo tocante a la regulación de la figura del encargado del tratamiento, el artículo 28 del anteproyecto no precisa en qué supuestos procedería que una operación de tratamiento de datos pueda requerir de la intervención de un encargado que actúe por cuenta del responsable del tratamiento y al margen de las funciones propias del delegado de protección de datos, siendo así que del artículo 22.1 de la Directiva cabe inferir que los Estados miembros deben establecer cuándo una operación de tratamiento es asumida o puede ser asumida por un encargado que actúe por cuenta del responsable. Se trata de una cuestión de indudable relevancia, que requiere de un tratamiento más concreto, preciso y garantista.
En esta misma línea, cabe observar que el anteproyecto no determina en su artículo 28, al menos no lo hace expresamente, la posibilidad de que el encargado del tratamiento puede ser una persona o poder público y también una persona privada. Ello se infiere del artículo 3, apartado 9), de la Directiva, que define al "encargado del tratamiento" o "encargado" como "la persona física o jurídica, autoridad pública, servicio u otro organismo que realice operaciones de tratamiento de datos personales por cuenta del responsable del tratamiento" (artículo 3, apartado 9), en relación con el artículo 28), y también del propio artículo 52 del anteproyecto, que se refiere al "derecho a indemnización por encargados del tratamiento del sector privado". A juicio del Consejo de Estado, el anteproyecto debe contemplar expresamente esta posibilidad para eliminar cualquier duda al respecto, y prever una regulación que contemple las debidas garantías.
Esta observación tiene carácter esencial en el concreto sentido previsto por el artículo 2, apartado 2 de la Ley Orgánica 3/1980, de 22 de abril, del Consejo de Estado, en relación con el artículo 130, apartado 3, del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.
Por otro lado, el apartado tercero del artículo 28 del anteproyecto establece, de acuerdo con lo dispuesto en el artículo 22.3 de la Directiva, que el tratamiento por medio de un encargado "se regirá por un contrato u otro acto jurídico vinculante..."; que "el contrato o acto jurídico vinculará al encargado con el responsable y fijará el objeto y la duración del tratamiento, su naturaleza y finalidad, el tipo de datos personales y categorías de interesados, así como las obligaciones y derechos del responsable"; y que "dicho contrato o acto jurídico estipulará, en particular, que el encargado del tratamiento deberá" realizar las funciones a que se refiere el párrafo segundo del citado precepto del texto proyectado.
A juicio del Consejo de Estado, no se alcanza a comprender la razón por la que el anteproyecto, reproduciendo literalmente, de nuevo, el contenido de la Directiva, se refiere a "un contrato u otro acto jurídico vinculante", cuando no se precisa cuál puede ser el supuesto de "acto jurídico vinculante" por el que el responsable del tratamiento encomiende a un encargado las operaciones de tratamiento de datos personales. Tal previsión cobra todo el sentido desde la perspectiva de la regulación europea, en consideración a la diversidad de los ordenamientos nacionales de los Estados miembros y la disparidad de regulaciones, pero no tanto en trance de proceder a la transposición al ordenamiento interno español de la norma europea, para lo cual deben tenerse presentes las instituciones y las categorías jurídicas propias, verificándose de este modo una regulación interna coherente y sistemática en la línea indicada anteriormente, y conforme siempre a la norma europea. En consecuencia, deberán reconsiderarse los términos del artículo 28.3 del anteproyecto y disposiciones concordantes (artículo 52.2.), bien determinando expresamente los actos jurídicos vinculantes por los que, además del contrato, puede articularse esa encomienda de servicios, y distinguiendo, además, los supuestos de encomienda a personas públicas o a personas privadas, o bien alternativamente suprimiendo, en su caso, la referencia a los actos jurídicos vinculantes.
Por lo demás, deberá, igualmente, determinarse el fuero legal y procesal y, en particular, el régimen aplicable a los contratos en cuya virtud se formalice la encomienda de servicios entre el responsable y el encargado del tratamiento, debiendo distinguirse, a estos efectos, en función de si el encargado del tratamiento es una persona pública, o, por el contrario, una persona privada, como sería posible, según se desprende del artículo 3, apartado 9), de la Directiva.
Finalmente, tampoco se indica nada acerca de si cabe o no la subcontratación por parte del encargado del tratamiento, siendo este un aspecto de indudable relevancia sobre el que debiera fijar criterio el anteproyecto, bien prohibiéndolo, bien autorizándolo con sujeción a los requisitos y condiciones que resulten pertinentes, sin perder de vista en momento alguno la dimensión eminentemente garantista que debe inspirar la regulación proyectada.
4.- Por otra parte, no se alude en ninguno de los preceptos que integran el capítulo IV a los representantes de los responsables o encargados del tratamiento no establecidos en la Unión Europea, siendo así que el artículo 54.1 del anteproyecto, relativo a la determinación de los sujetos responsables que están sujetos al régimen sancionador (capítulo VIII), incluye a "los representantes de los encargados no establecidos en el territorio de la Unión Europea" (artículo 54.1, letra c). Este Consejo llama la atención sobre esta concreta circunstancia, a fin de que se aclare este extremo.
5.- Por último, en cuanto al régimen del delegado de protección de datos (artículos 38, 39 y 40 del anteproyecto), considera este Consejo que deberá precisarse con claridad, en el artículo 38.1, que los responsables del tratamiento deberán designar, en todo caso, un delegado de protección de datos, como se infiere del artículo 32.1 de la Directiva.
Respecto de la posibilidad de exención o dispensa de la obligación de designar un delegado de protección de datos a "los órganos jurisdiccionales o el Ministerio Fiscal cuando el tratamiento de datos personales se realice con fines jurisdiccionales" (artículo 38.1 in fine), constituye esta una opción que está expresamente prevista en la Directiva (artículo 32.1 in fine), si bien, a juicio de este Cuerpo Consultivo, debe sustituirse el inciso "cuando el tratamiento de datos personales se realice con fines jurisdiccionales" por el de "cuando el tratamiento de datos personales se realice en el ejercicio de sus funciones jurisdiccionales".
Finalmente, debe precisarse el régimen sancionador al que queda sujeto el delegado de protección de datos, pues el artículo 54.2 los excluye expresamente del régimen sancionador establecido en el capítulo VIII.
A la vista de lo expuesto, entiende el Consejo de Estado que debe procederse a una revisión del capítulo IV en los términos que se han indicado en las consideraciones precedentes. VII.- Sobre el régimen de las transferencias de datos personales a terceros países que no sean miembros de la Unión Europea o a organizaciones internacionales (capítulo V del anteproyecto)
El capítulo V del anteproyecto (artículos 41 a 45) regula las transferencias de datos personales a terceros países que no sean miembros de la Unión Europea o a organizaciones internacionales; y, en particular, las condiciones que deberán cumplirse para que estas sean lícitas y se garantice el nivel de protección adecuado de las personas físicas (artículo 41).
1.- Conforme a dicha regulación, estas transferencias solo podrán realizarse cuando sean necesarias para los fines de esta ley orgánica, y cuando el responsable del tratamiento en el tercer país u organización internacional sea autoridad competente en relación con dichos fines. A su vez, la autoridad competente del Estado miembro en el que se obtuvo el dato debe autorizar previamente esta trasferencia y las ulteriores que puedan tener lugar a otro tercer país u organización internacional. En cuanto al tercer país no miembro de la Unión Europea u organización internacional destinatario de la trasferencia, deberá ser objeto de evaluación mediante una decisión de adecuación adoptada por la Comisión Europea a la vista de su nivel de protección de datos; o, en caso de ausencia de decisión de adecuación, cuando concurran determinadas garantías adecuadas que aprecie el responsable del tratamiento; y, en ausencia de ambas, cuando concurran algunas de las circunstancias que se especifican (artículos 42, 43 y 44). Por último, se regulan las transferencias directas de datos personales a destinatarios que, no siendo autoridades competentes, están establecidos en Estados no pertenecientes a la Unión Europea (artículo 45).
2.- Pues bien, a juicio del Consejo de Estado, la regulación proyectada en el artículo 41 se ajusta al contenido de la Directiva en sus artículos 35 a 40.
a) No obstante, y sin perjuicio del carácter específico de la Directiva (UE) 2016/680 respecto del Reglamento (UE) de Protección de Datos, conviene tener presente, a los efectos de las transferencias de datos personales a terceros países o a organizaciones internacionales, la reciente Sentencia del Tribunal de Justicia de la Unión Europea (Gran Sala), de 16 de julio de 2020 (Data Protection Commissioner c. Facebook Ireland Limited y Maximilian Schrems, asunto C-311/18), que interpreta diversas previsiones del Reglamento (UE) de Protección de Datos en el siguiente sentido:
- Primero, el artículo 2, apartados 1 y 2, en el sentido de que está comprendida dentro del ámbito de aplicación de ese Reglamento "una transferencia de datos personales realizada con fines comerciales por un operador económico establecido en un Estado miembro a otro operador económico establecido en un país tercero, a pesar de que, en el transcurso de esa transferencia o tras ella, esos datos puedan ser tratados por las autoridades del país tercero en cuestión con fines de seguridad nacional, defensa y seguridad del Estado".
- Segundo, el artículo 46, apartados 1 y 2, letra c), en el sentido de que "las garantías adecuadas, los derechos exigibles y las acciones legales efectivas requeridas por dichas disposiciones deben garantizar que los derechos de las personas cuyos datos personales se transfieren a un país tercero sobre la base de cláusulas tipo de protección de datos gozan de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión Europea por el referido Reglamento, interpretado a la luz de la Carta de los Derechos Fundamentales de la Unión Europea"; siendo así que la evaluación del nivel de protección garantizado en el contexto de una transferencia de esas características "debe, en particular, tomar en consideración tanto las estipulaciones contractuales acordadas entre el responsable o el encargado del tratamiento establecidos en la Unión Europea y el destinatario de la transferencia establecido en el país tercero de que se trate como, por lo que atañe a un eventual acceso de las autoridades públicas de ese país tercero a los datos personales de ese modo transferidos, los elementos pertinentes del sistema jurídico de dicho país y, en particular, los mencionados en el artículo 45, apartado 2, del referido Reglamento".
- Y tercero, el artículo 58, apartado 2, letras f) y j), en el sentido de que, a no ser que exista una decisión de adecuación válidamente adoptada por la Comisión Europea, "la autoridad de control competente está obligada a suspender o prohibir una transferencia de datos a un país tercero basada en cláusulas tipo de protección de datos adoptadas por la Comisión, cuando esa autoridad de control considera, a la luz de todas las circunstancias específicas de la referida transferencia, que dichas cláusulas no se respetan o no pueden respetarse en ese país tercero y que la protección de los datos transferidos exigida por el Derecho de la Unión, en particular, por los artículos 45 y 46 del mencionado Reglamento y por la Carta de los Derechos Fundamentales, no puede garantizarse mediante otros medios, si el responsable o el encargado del tratamiento establecidos en la Unión no han suspendido la transferencia o puesto fin a esta por sí mismos".
b) También es conveniente tener presente el Dictamen 1/2015 del Tribunal de Justicia (Gran Sala) de 26 de julio de 2017, referido al Acuerdo suscrito entre la Unión Europea y Canadá sobre el tratamiento y la transferencia de datos del registro de nombres de los pasajeros (Acuerdo sobre el PNR) que se firmó en 2014, y que el Consejo de la Unión Europea decidió someterlo al dictamen del Tribunal de Justicia para determinar si el Acuerdo previsto se ajustaba al Derecho de la Unión y, en particular, a las disposiciones relativas al respeto de la vida privada y a la protección de los datos de carácter personal.
Es de señalar que se trata de la primera ocasión en que el Tribunal de Justicia ha de pronunciarse sobre la compatibilidad de un proyecto de acuerdo internacional con la Carta de los Derechos Fundamentales de la UE. En su dictamen, el Tribunal de Justicia respondió que el Acuerdo sobre el PNR no podía celebrarse en la formulación adoptada, dada la incompatibilidad de varias de sus disposiciones con los derechos fundamentales reconocidos por la Unión. El Acuerdo previsto permitía la transferencia sistemática y continuada de los datos del PNR de la totalidad de los pasajeros aéreos a una autoridad canadiense con vistas a su utilización y conservación, así como su eventual transferencia posterior a otras autoridades y otros países terceros, con el fin de luchar contra el terrorismo y otros delitos graves de carácter transnacional. A tal efecto, el Acuerdo previsto contemplaba, entre otros aspectos, un período de conservación de los datos de cinco años y una serie de requisitos en materia de seguridad y de integridad de los datos del PNR, el enmascaramiento inmediato de los datos sensibles, derechos de acceso a los datos, de rectificación y de supresión y la posibilidad de interponer recursos administrativos o judiciales. Conjuntamente considerados, los datos del PNR podían revelar, entre otros extremos, un itinerario de viaje completo, hábitos de viaje, relaciones existentes entre dos o varias personas, así como información sobre la situación económica de los pasajeros aéreos, sus hábitos alimentarios o su estado de salud, e incluso proporcionar información sensible sobre dichos pasajeros. Además, los datos del PNR transferidos estaban destinados a ser analizados de forma sistemática antes de la llegada de los pasajeros a Canadá mediante procedimientos automatizados, basados en modelos y criterios preestablecidos. Tales análisis pueden proporcionar información adicional sobre la vida privada de los pasajeros. Por último, dado que el período de conservación de los datos del PNR podía extenderse hasta cinco años, dicho Acuerdo permitía disponer de información sobre la vida privada de los pasajeros durante un período particularmente prolongado. El Tribunal de Justicia ponía así de manifiesto que la transferencia de datos del PNR de la Unión a Canadá, así como las normas del Acuerdo previsto sobre la conservación de los datos, su utilización y su eventual transferencia posterior a autoridades públicas canadienses, europeas o extranjeras implicaban una injerencia en el derecho fundamental al respeto de la vida privada, razón por la cual concluyó en su dictamen que procedía su reconsideración.
c) Por otra parte, en el apartado segundo del artículo 41 se establece, de acuerdo con el contenido de la Directiva, que las transferencias de datos personales por las autoridades españolas sin autorización previa de otro Estado miembro, conforme al apartado 1, letra c), solo se permitirán si la transferencia de datos personales resulta necesaria para prevenir una amenaza inmediata y grave para la seguridad pública, tanto de un Estado miembro de la Unión Europea como no perteneciente a la misma, o para los intereses fundamentales de un Estado miembro de la Unión Europea, y cuando la autorización previa no pueda conseguirse a su debido tiempo. A tal fin, el párrafo segundo de ese mismo apartado previene que "las autoridades españolas informarán sin dilación a la autoridad responsable de conceder la autorización previa, y en todo caso en el plazo máximo de diez días, salvo que se justifique la imposibilidad de informar en dicho plazo".
A juicio del Consejo de Estado, este último inciso ("y en todo caso en el plazo máximo de diez días, salvo que se justifique la imposibilidad de informar en dicho plazo") añadido por el prelegislador y que no se corresponde con previsión alguna de la Directiva, resulta altamente impreciso, pues tras establecer un plazo perentorio de diez días, adecuado a la exigencia de la norma europea de que se informe a la autoridad competente "sin dilación", se prevé que pueda no ser posible informar, y que esa imposibilidad se justifique, dejando en una situación de indeterminación la previsión sobre qué ocurre en tal supuesto. Por lo demás, la Directiva en el último inciso del artículo 35.2 establece un mandato claro y terminante de que "se informará sin dilación a la autoridad responsable de conceder la autorización previa", sin que se prevea excepción alguna, ni tampoco dispensa o circunstancia alguna que permita dejar de informar a la autoridad responsable. En consecuencia, este Consejo entiende que deben reconsiderarse en el párrafo segundo del artículo 41 los términos del inciso final o, en su caso, proceder a su supresión, en la medida en que desvirtúa por completo las exigencias del plazo precedente.
Esta observación tiene carácter esencial en el concreto sentido previsto por el artículo 2, apartado 2 de la Ley Orgánica 3/1980, de 22 de abril, del Consejo de Estado, en relación con el artículo 130, apartado 3, del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.
Por lo demás, el artículo 45 del anteproyecto regula, de acuerdo con el artículo 39 de la Directiva, las transferencias directas de datos personales a destinatarios, que no sean autoridades competentes, establecidos en Estados no pertenecientes a la Unión Europea. Tal previsión es conforme a la regulación europea, aunque el precepto adolece de una cierta imprecisión, al igual que la Directiva, en lo que se refiere a los supuestos en que procede ("En casos particulares y específicos...", pues se trataría, en principio, de supuestos al margen de las condiciones establecidas en el artículo 41.1 del anteproyecto, y sin perjuicio, además, de lo dispuesto en tratados internacionales (bilaterales o multilaterales) suscritos entre España y terceros países en materia de cooperación judicial en el orden penal o de cooperación policial; de ahí que quizás pueda resultar conveniente enfatizar el carácter excepcional de dichas transferencias directas de datos personales.
Finalmente, este Consejo sugiere que la formulación "transferencia de datos personales a terceros países que no sean miembros de la Unión Europea u organizaciones internacionales", adoptada por el anteproyecto, tanto en el título del capítulo V, como en los preceptos que integran su contenido, pueda sustituirse por la de "transferencia de datos personales a terceros países que no sean miembros de la Unión Europea o a organizaciones internacionales", por ser más correcto desde un punto de vista gramatical.
VIII.- Sobre las autoridades de protección de datos independientes (capítulo VI del anteproyecto)
El capítulo VI del anteproyecto (artículos 46 a 49) regula el régimen de las autoridades de protección de datos.
En el párrafo segundo del artículo 46, apartado b) convendría determinar con mayor precisión el régimen jurídico aplicable a las autoridades de protección de datos independientes.
Por lo demás, en el párrafo tercero de la misma previsión anterior, se designa a la Agencia Española de Protección de Datos como representante de las autoridades de protección de datos independientes en el Comité Europeo de Protección de Datos, lo cual se compadece plenamente con el contenido del artículo 41.4 de la Directiva.
En el apartado primero del artículo 47 del anteproyecto se enuncian las funciones de las autoridades de protección de datos en términos que se ajustan fielmente al contenido del artículo 46.1 de la Directiva, No obstante, debiera distinguirse en el apartado c) entre las Cortes Generales, el Gobierno de la Nación y los organismos públicos dependientes o vinculados a la Administración General del Estado, por un lado, y las Asambleas Legislativas de las Comunidades Autónomas, los Consejos de Gobierno y los organismos públicos dependientes o vinculados a la Administración de las Comunidades Autónomas, por otro.
En el apartado segundo del mismo precepto debe añadirse al final del apartado el inciso "de comunicación".
Por su parte, el apartado cuarto del mismo artículo 47 prevé que "cuando las solicitudes (reclamaciones) sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, la autoridad de protección de datos podrá cobrar una tasa razonable basada en los costes administrativos, o negarse a actuar respecto de la solicitud". Tal previsión es reproducción literal del artículo 46.4 de la Directiva; no obstante, este Consejo se remite a la observación que se formulará más adelante al artículo 18.5 del anteproyecto, en cuanto a la posible inadmisión de solicitudes manifiestamente infundadas o excesivas, siendo así, además, que el cobro de la tasa constituye una mera posibilidad que otorga la norma europea y cuya adopción no resulta aconsejable, en la medida en que no tiene fácil encaje en los esquemas y categorías propias de la regulación interna del procedimiento administrativo ni se compadece con la tradición jurídica propia la instauración de un mecanismo que emula, en sede administrativa, el sistema de imposición de las costas en los procesos judiciales.
Por lo demás, en caso de mantenerse eventualmente la opción de establecer el cobro de una tasa para el supuesto de que las solicitudes puedan reputarse infundadas o excesivas, deben observarse las exigencias constitucionales y legales en orden a la creación ex novo de un tributo, y proceder, consiguientemente, a la determinación de sus elementos esenciales. Llama la atención, no obstante, que el mismo texto del anteproyecto se refiera ante supuestos análogos (solicitudes que puedan reputarse infundadas o excesivas), en un caso (artículo 18.5) a una "contraprestación económica", y en otro (artículo 47.4) a una "tasa".
Por todo ello, el Consejo de Estado considera que debe fijarse criterio, en primer lugar, acerca de la posible opción de la inadmisión de la solicitud en los términos señalados en la observación formulada al artículo 18.5, o en su caso de cobrar una tasa, debiendo cumplir en tal supuesto con las exigencias constitucional y legalmente establecidas para la creación de un tributo, y, en todo caso, unificar criterio en cuanto al criterio adoptado en los artículos 18.5 y 47.4.
Esta observación se formula con carácter esencial en el concreto sentido previsto por el artículo 2, apartado 2 de la Ley Orgánica 3/1980, de 22 de abril, del Consejo de Estado, en relación con el artículo 130, apartado 3, del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.
IX.- Sobre el régimen de las reclamaciones (capítulo VII del anteproyecto)
El capítulo VII del anteproyecto (artículos 50 a 53) regula el régimen de las garantías jurídicas y patrimoniales de los interesados a que se refiere el anteproyecto en su calidad de titulares de los datos personales; en concreto, se determina el régimen aplicable a las reclamaciones ante las autoridades de protección de datos, el régimen de exigencia de la responsabilidad patrimonial frente a los responsables y encargados del tratamiento (distinguiendo expresamente en el caso de los encargados del tratamiento cuando se trate de personas públicas o de personas privadas) y, por último, el régimen de tutela judicial o de garantías jurisdiccionales.
1.- En cuanto al régimen relativo a las reclamaciones ante las autoridades de protección de datos, el Consejo de Estado entiende que el artículo 50 del anteproyecto debe distinguir claramente entre la reclamación a que tienen derecho los interesados que entienden que se ha producido una infracción en el tratamiento de los datos personales, de conformidad con lo dispuesto en el artículo 52 de la Directiva, y que ha de formularse ante la autoridad de control (en nuestro caso, las autoridades de protección de datos), y el procedimiento establecido para tramitar y resolver dicha reclamación.
Desde esta perspectiva, el anteproyecto debe recoger en el citado precepto con mayor claridad, en primer lugar, que, en el caso de que se aprecie que el tratamiento de los datos personales haya infringido las disposiciones de la ley orgánica o no haya sido atendida su solicitud de ejercicio de los derechos reconocidos en los artículos 19, 20 y 21 de la ley orgánica, los interesados tendrán derecho a presentar una reclamación ante la autoridad de protección de datos.
Por otra parte, debe también establecerse que dichas reclamaciones serán tramitadas por la autoridad de protección de datos que resulte competente (esto es, la Agencia Española de Protección de Datos o, en su caso, las autoridades autonómicas de protección de datos) con sujeción al procedimiento establecido en el título VIII de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y, en su caso, a la legislación de las comunidades autónomas que resulte de aplicación. Debe tenerse igualmente presente que tales procedimientos tramitados por la autoridad de protección de datos se regirán por lo dispuesto en el Reglamento (UE) de Protección de Datos, la Ley Orgánica 3/2018, de 5 de diciembre, y las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos (esto es, la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas y las leyes correspondientes de las comunidades autónomas).
2.- Por lo que se refiere al régimen de exigencia de responsabilidad patrimonial que asiste a los interesados frente a los responsables y encargados del tratamiento, cabe formular las siguientes observaciones:
a) En primer término, es importante subrayar que el derecho a ser indemnizados que asiste a los interesados (titulares de datos personales) por los daños sufridos en sus bienes y derechos como consecuencia de la actuación del responsable del tratamiento o del encargado del tratamiento, cuando estos sean una autoridad pública en los términos previstos en el anteproyecto, constituye un supuesto de responsabilidad patrimonial de los poderes públicos.
Pues bien, en el caso de que la actuación provenga de un responsable del tratamiento o de un encargado del tratamiento que tenga la consideración de Administración pública, debe hacerse constar expresamente que la reclamación se regirá por las disposiciones relativas al régimen de la responsabilidad patrimonial de las Administraciones públicas previstas en el artículo 32 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, en lo tocante a su regulación sustantiva, y que la tramitación seguida por la reclamación debe ajustarse a las exigencias legalmente establecidas en los artículos 67, 81 y 91 y concordantes de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
En el caso de que la actuación provenga de un órgano jurisdiccional o del Ministerio Fiscal, la responsabilidad se regirá por lo dispuesto en el título V del libro III de la Ley Orgánica 6/1985, de 1 de julio del Poder Judicial (artículos 292 y siguientes), pues en el Estatuto Orgánico del Ministerio Fiscal no se establece régimen específico alguno.
Así debe hacerse constar con claridad en el artículo 51 del anteproyecto.
b) En cuanto al derecho a ser indemnizados por los daños sufridos en sus bienes y derechos como consecuencia de la actuación de un encargado del tratamiento que no tenga la consideración de autoridad pública, el artículo 52 del anteproyecto debe reflejar de forma más precisa el régimen específico de responsabilidad a que queda sujeto, toda vez que la encomienda de servicios al encargado del tratamiento se articula, en principio, mediante un contrato (o, en su caso, también mediante un acto jurídico vinculante), tal como prevé el artículo 28.3 del anteproyecto, sujeto a la Ley de Contratos del Sector Público, resultando, por consiguiente, de aplicación el régimen de responsabilidad del contratista por los daños causados a terceros como consecuencia de la ejecución del contrato.
Desde esta perspectiva, este Consejo considera adecuado el planteamiento que resulta de lo dispuesto en el apartado tercero respecto de los daños causados a terceros cuando actúa un encargado del tratamiento actuando por cuenta del responsable, según el cual cuando los daños y perjuicios hayan sido ocasionados como consecuencia inmediata y directa de una orden de la autoridad competente responsable del tratamiento, será esta, y no el encargado del tratamiento, la responsable. Falta, sin embargo, indicar que, en tal caso, la responsabilidad será exigible al responsable del tratamiento de conformidad con lo prevenido en el artículo 51.
Por lo demás, no se entiende el significado del último inciso del apartado tercero cuando señala que responderá "dentro de los límites establecidos en las leyes", el cual, a juicio de este Cuerpo Consultivo, debe ser suprimido, por resultar improcedente.
Por último, deben reformularse los apartados quinto y sexto en los términos indicados, distinguiendo claramente entre la responsabilidad exigible al encargado del tratamiento cuando es una persona privada y los daños son imputables a las operaciones de tratamiento realizadas por el encargado por su propia iniciativa, y la responsabilidad exigible al responsable del tratamiento cuando los daños son imputables a una orden suya.
En definitiva, el Consejo de Estado estima que, siendo adecuado el régimen de responsabilidad patrimonial que contempla el anteproyecto en sus artículos 51 y 52, debe reformularse en términos más claros, precisos y sistemáticos, en conformidad con lo anteriormente expresado.
3.- Finalmente, en lo que se refiere al régimen de tutela judicial o de garantías jurisdiccionales previsto en el artículo 53 del anteproyecto, este Consejo considera que debe ser igualmente aclarado, distinguiendo de una forma más nítida entre el régimen de recursos (administrativos o jurisdiccionales) que asisten a los interesados frente a los actos y resoluciones adoptados por la autoridad de protección de datos, y las acciones a que hubiere lugar en sede jurisdiccional en caso de reclamaciones formuladas ante la misma autoridad, incluido las reclamaciones de indemnización.
Desde esta perspectiva, el anteproyecto debe precisar en el apartado primero la posibilidad de interponer recurso contencioso- administrativo contra los actos y resoluciones dictadas por la autoridad de protección de datos, conforme a lo dispuesto en la Ley 29/1998, de 13 de julio, Reguladora de la Jurisdicción Contencioso-Administrativa.
Además, no se entiende bien la alusión que hace el párrafo primero del artículo 53.1 a un recurso "extrajudicial", más allá de que responde a una transcripción literal del artículo 54 de la Directiva, pues los recursos que, conforme al ordenamiento interno, cabe interponer ante la Administración previamente a acceder a la vía jurisdiccional contencioso- administrativa, son los recursos administrativos y en este ámbito específico de la materia de protección de datos la "reclamación", conforme a lo dispuesto en el artículo 112 de la Ley 39/2015,de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Debe, pues, eliminarse el término "extrajudicial" y mantener la referencia al "recurso administrativo", o aludir en su caso a los "recursos y reclamaciones".
Por lo demás, el mismo precepto incorpora un segundo párrafo en el que se hace referencia a un plazo de tres meses para resolver las reclamaciones que formulen los interesados. Tal previsión resulta confusa, dado que, según parece deducirse del tenor del precepto, la referencia a dicho plazo se corresponde con el procedimiento de reclamación a que se refiere el artículo 50, no a un recurso contra actos y resoluciones; pero además, el mismo artículo 50 se remite en lo tocante al procedimiento a la regulación contenida en el título VIII de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y, en su caso, a la legislación de las comunidades autónomas que resulte de aplicación, sin establecer previsión específica alguna en cuanto al plazo para resolver y notificar la resolución correspondiente. Y, además, en caso de pretender establecer un plazo específico, la previsión que establezca ese plazo debería ubicarse sistemáticamente en el artículo 50 y no en el artículo 53. A juicio de este Consejo, debe aclararse tal previsión.
Finalmente, el apartado tercero del mismo artículo 53, transcribiendo literalmente el artículo 55 de la Directiva, establece que "el interesado tendrá derecho a dar mandato a una entidad, organización o asociación sin ánimo de lucro que haya sido correctamente constituida, cuyos objetivos estatutarios sean de interés público y que actúe en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales, para que presente la reclamación, y ejerza los derechos contemplados en los apartados 1 y 2 en su nombre". A juicio de este Consejo, la previsión antedicha debe reformularse en términos que, más allá de observar el contenido de la norma europea en su literalidad, implique una adaptación adecuada y sistemática a las categorías propias del derecho interno y en particular a la facultad que asiste a todo interesado de poder actuar por medio de un representante (artículo 5 de la Ley 39/2015,de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas); y ello, además, sin perjuicio de que "asociaciones y organizaciones representativas de intereses económicos y sociales" puedan ser "titulares de intereses legítimos colectivos en los términos que la Ley reconozca" (artículo 5 de la Ley 39/2015,de 1 de octubre). X.- Sobre el régimen sancionador (capítulo VIII)
El artículo 57 de la Directiva, "Sanciones", se limita a establecer lo siguiente:
"Los Estados miembros establecerán las normas en materia de sanciones aplicables a las infracciones de las disposiciones adoptadas con arreglo a la presente Directiva y tomarán todas las medidas necesarias para garantizar su cumplimiento. Las sanciones establecidas serán efectivas, proporcionadas y disuasorias".
El capítulo VIII del anteproyecto (artículos 54 a 61), cuyo contenido viene a transponer el citado artículo 57 de la Directiva, regula el régimen sancionador aplicable a la materia que es objeto de regulación.
1.- Con carácter previo a cualquier otra consideración, este Consejo ha venido recordando en sus dictámenes que el régimen sancionador previsto en una norma sectorial como la sometida a consulta, debería limitarse a incluir las especialidades que, por razón de la materia, es necesario regular con respecto al régimen sancionador establecido con carácter general.
Pues bien, el anteproyecto sometido a consulta atiende razonablemente a este criterio, pues evita la configuración de un régimen sancionador paralelo, al igual que incidir sobre previsiones contenidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, remitiéndose con carácter general al régimen sancionador previsto en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
2.- Sin perjuicio de ello, este Consejo de Estado considera pertinente formular las siguientes observaciones:
a) En cuanto a los sujetos responsables (artículo 54), convendría incorporar al contenido del precepto un primer párrafo, previamente a la enunciación de los sujetos responsables en particular, del siguiente tenor: "La responsabilidad por las infracciones cometidas recaerá directamente en los sujetos obligados que, por acción u omisión, realizaran la conducta en que consista la infracción".
Respecto a la enunciación de los sujetos obligados y sujetos al régimen sancionador en particular, este Cuerpo Consultivo llama la atención sobre el hecho de que no se aluda a los representantes de los responsables de los tratamientos no establecidos en el territorio de la Unión Europea, a diferencia de lo que hace el artículo 70.1, apartado c), de la mencionada Ley Orgánica 3/2018, de 5 de diciembre, que se refiere a los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea, sin que conste una justificación al respecto.
Por otra parte, se incluyen como sujetos responsables a "las personas físicas o jurídicas obligadas por el contenido del deber de colaboración establecido en el artículo 5", lo que se explica en aras de procurar el debido reforzamiento al deber de colaboración en la línea de algunas observaciones formuladas durante el procedimiento de elaboración del anteproyecto. Sorprende, sin embargo, que se adopte este criterio cuando el artículo 70.1 de la misma Ley Orgánica 3/2018, de 5 de diciembre, no los incluye, sin que tampoco se justifique esa disparidad de criterio, máxime teniendo en cuenta que el régimen sancionador aplicable es, con carácter general, el previsto en dicha ley orgánica.
Por lo demás, el anteproyecto establece que no será de aplicación el régimen sancionador establecido en el capítulo VIII a los delegados de protección de datos, por lo que se sugiere, en los términos indicados anteriormente, que se pondere la conveniencia de determinar el régimen sancionador que les resulte aplicable.
b) Por lo que se refiere al artículo 55, que lleva por rúbrica "Normas de conflicto", alude al supuesto en que unos mismos hechos son "susceptibles de ser calificados con arreglo a dos o más preceptos de esta u otra ley", este Cuerpo Consultivo estima que debiera sustituirse el título del precepto por el de "Concurso de normas", más conforme y adecuado técnicamente a su contenido.
Por otro lado, en la letra b) del apartado primero, deberá sustituirse la expresión "consumidas" por la de "subsumidas", de tal manera que el texto resultante sea del siguiente tenor: "b) El precepto más amplio o complejo absorberá el que sancione las infracciones subsumidas en aquel".
Y, a su vez, en letra c) del mismo apartado, deberá establecerse el criterio de que, "en defecto de los criterios anteriores, se aplicará el precepto que sancione los hechos con la sanción mayor".
c) En lo tocante al "régimen jurídico", el artículo 59 establece que, sin perjuicio de las especialidades que se regulan en el capítulo VIII de la ley orgánica, el ejercicio de la potestad sancionadora se regirá por lo dispuesto en los títulos VII y IX de la Ley Orgánica 3/2018, de 5 de diciembre y las disposiciones que lo desarrollan.
A juicio del Consejo de Estado, el precepto debe formularse con una redacción más adecuada y precisa. Se propone la siguiente redacción alternativa:
"El ejercicio de la potestad sancionadora se regirá por lo dispuesto en el presente capítulo, por los títulos VII y IX de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y, en cuanto no las contradigan, con carácter supletorio, por la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y por el capítulo III del título preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público".
d) El capítulo VIII no contiene previsión alguna en relación con la atribución de la competencia para el ejercicio de la potestad sancionadora. La remisión que hace el artículo 59 del anteproyecto al título VII de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, hace razonablemente presumir que se atribuye a las autoridades de protección de datos, pero deberá determinarse expresamente.
e) Tampoco se contiene en el texto del anteproyecto previsión alguna relativa al plazo de caducidad del procedimiento; y, dado que la Ley 39/2015, de 1 de octubre, no contiene un plazo máximo para la notificación de la resolución del procedimiento sancionador, transcurrido el cual se produciría la caducidad del mismo, este Consejo aprecia que, de no regularse nada al respecto en el anteproyecto, sería de aplicación el plazo supletorio de tres meses previsto, con carácter general, para los procedimientos administrativos que no fijen plazo máximo, en el artículo 21.3 de la mencionada ley, siendo así que la experiencia demuestra que dicho plazo pudiera no ser suficiente para la tramitación y resolución de un procedimiento sancionador, siendo preferible establecer plazos de caducidad mayores y evitar así el riesgo de la caducidad de los procedimientos, con el consiguiente riesgo añadido de prescripción de las infracciones.
Así se observó, igualmente, por parte de este Cuerpo Consultivo en su anterior dictamen número 736/2018, de 13 de septiembre, emitido en relación con el anteproyecto de Ley Orgánica sobre la utilización de los datos del Registro de Nombres de Pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves, observación que fue acogida por la autoridad consultante en el texto de la Ley Orgánica 1/2000, de 16 de septiembre, cuyo artículo 33 prevé un plazo de caducidad de un año.
Por todo ello, este Consejo sugiere a la autoridad consultante que pondere seriamente la conveniencia de fijar expresamente un plazo de caducidad mayor, así como las reglas del cómputo de dicha caducidad y ciertas previsiones procedimentales respecto a la misma, como el valor y los efectos de dicha caducidad, como es habitual en las previsiones de esta índole.
f) En cuanto al régimen de prescripción de las infracciones y sanciones, el artículo 61 establece en el párrafo primero de su apartado primero que las infracciones tipificadas en la ley orgánica prescribirán al año en el caso de las leves; a los dos años, en el de las graves; y a los tres años, en el de las muy graves.
Por su parte, el apartado segundo de ese mismo precepto dispone, en su párrafo primero, que las sanciones impuestas por la comisión de infracciones prescribirán al año en el caso de las leves; a los dos años, en el de las graves; y a los tres años, en el de las muy graves.
Pues bien, el apartado 1 del artículo 30 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, dispone: "1. Las infracciones y sanciones prescribirán según lo dispuesto en las leyes que las establezcan. Si éstas no fijan plazos de prescripción, las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves a los seis meses; las sanciones impuestas por faltas muy graves prescribirán a los tres años, las impuestas por faltas graves a los dos años y las impuestas por faltas leves al año".
Como puede observarse, el anteproyecto establece un plazo de prescripción distinto que en la legislación general en lo tocante a la prescripción de las infracciones leves; y, a falta de una explicación en el expediente que pudiera justificar la introducción de una especialidad en esta materia, no conviene, a juicio del Consejo de Estado, alterar el régimen general. En consecuencia, procede reconsiderar los términos del apartado primero del artículo 61, estableciendo un plazo de prescripción de seis meses para las infracciones leves.
Por lo demás, deben armonizarse ambas previsiones en lo que se refiere al orden en que se enuncian las categorías de las infracciones y de las sanciones.
Además, en lo que respecta al régimen de la prescripción de infracciones y sanciones, este Consejo considera que deberá ajustarse fielmente al régimen establecido en los apartados 2 y 3 del artículo 30 de la citada Ley 40/2015, de 1 de octubre. En particular, en lo que concierne al cómputo de los plazos de prescripción en los casos de infracciones continuadas o permanentes (en cuyo caso el plazo comienza a computarse "desde que finalizó la conducta infractora"), y en el caso de la prescripción de las sanciones (cuyo plazo comenzará a contarse "desde el día siguiente a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla"). También las causas de interrupción de la prescripción deberán acomodarse al régimen general establecido en el precepto legal antes citado.
g) Por último, debe incorporarse al contenido del capítulo VIII una previsión en la que se determine que la responsabilidad sancionadora será exigible, sin perjuicio de las responsabilidades de otra índole que pudieran serlo igualmente, incluida la de orden penal, por la eventual comisión de infracciones tipificadas como delito en el Código Penal.
XI.- Sobre la modificación de ciertas leyes sectoriales
Finalmente, el anteproyecto prevé en sus disposiciones finales tercera a novena la modificación de diversas leyes sectoriales.
1.- Del conjunto de modificaciones legislativas proyectadas, resulta con claridad que unas guardan claramente relación directa con el objeto del texto proyectado, como son las siguientes:
- La disposición final tercera, en cuya virtud se introduce en la Ley Orgánica 1/1979, de 26 de septiembre, General Penitenciaria, un nuevo artículo 15 bis, relativo al tratamiento de datos de carácter personal de los internos.
- La disposición final sexta, por la que se modifica el artículo 13 de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas, en lo que concierne al régimen de colaboración de los operadores críticos con las autoridades competentes del Sistema.
- La disposición final séptima, por la que se modifica la disposición adicional decimoquinta de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en lo referido al requerimiento de información por parte de la Comisión Nacional del Mercado de Valores.
- Y la disposición final novena, por la que se modifica el artículo 10 de la Ley Orgánica 1/2020, de 16 de septiembre, sobre la utilización de los datos del registro de nombres de pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves, en lo relativo a la transmisión de los datos PNR por parte de las compañías aéreas a la UIP.
Por el contrario, el anteproyecto contempla otras modificaciones legislativas que no parece que guarden relación directa con el objeto de la norma. Es el caso de:
- La disposición final cuarta, por la que se modifica el artículo 30 de la Ley 19/2007, de 11 de julio, contra la violencia, el racismo, la xenofobia y la intolerancia en el deporte, con el objeto de establecer que el procedimiento sancionador caducará transcurridos seis meses desde su incoación sin que se haya notificado la resolución correspondiente.
- La disposición final quinta, por la que se modifica el artículo 69 de la Ley 5/2014, de 4 de abril, de Seguridad Privada, para establecer, igualmente, que el procedimiento sancionador en materia de seguridad privada caducará transcurridos seis meses desde su incoación sin que se haya notificado la resolución correspondiente.
- Y la disposición final octava, por la que se modifica el artículo 68 del Real Decreto Legislativo 6/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley sobre Tráfico, Circulación de Vehículos a Motor y Seguridad Vial, relativo a las matrículas.
Sin cuestionar la procedencia del contenido de estas últimas modificaciones, este Consejo debe llamar la atención de la autoridad consultante acerca de la improcedencia de utilizar un anteproyecto de ley en curso de elaboración como instrumento para modificar otras disposiciones legislativas que no se derivan necesariamente de la estricta necesidad de verificar una adaptación del ordenamiento sectorial vigente a la nueva regulación propuesta.
2.- En cuanto a la modificación de la Ley Orgánica 1/1979, de 26 de septiembre, General Penitenciaria, la disposición final tercera introduce un nuevo artículo 15 bis referido al régimen de los tratamientos de datos de carácter personal relativos a las personas internas en centros penitenciarios, que ha suscitado numerosas observaciones en el expediente.
A juicio del Consejo de Estado, el proyectado artículo 15 bis debiera ceñirse, en su apartado segundo, a remitirse a la ley orgánica en lo que se refiere al tratamiento de datos personales realizado para fines de prevención, detección, investigación o enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
Además, debiera especificarse que los tratamientos de datos personales que se realicen por los centros penitenciarios para fines distintos de los previstos en el anteproyecto, se regirán por su legislación específica y, supletoriamente, por el Reglamento (UE) de Protección de Datos y la Ley Orgánica 3/2018, de 5 de diciembre, así como también establecerse las garantías que se estimen adecuadas para salvaguardar el derecho a la protección de datos personales de los internos, atendiendo al tipo de datos que se tratan y a las finalidades de los distintos tratamientos. Por otra parte, el último inciso del apartado primero, cuando prevé que el derecho de acceso al expediente personal "sólo se verá limitado de forma individualizada y fundamentada en concretas razones de seguridad o tratamiento", resulta altamente impreciso.
En cuanto a los apartados tercero (relativo a los cacheos y registros) y cuarto (sobre las medidas de higiene), resulta con evidencia que el contenido de ambas previsiones no guarda relación con el tratamiento de los datos personales, solapándose, además, con otras previsiones de la propia Ley Orgánica General Penitenciaria y del Reglamento Penitenciario, en donde tales previsiones tienen su sede adecuada, por lo que deben ser objeto de reconsideración.
Por lo demás, no debe utilizarse el término "recluso", sino el de "interno", ya tenga este la condición de detenido, preso o penado.
3.- Por último, este Consejo no puede dejar de observar que el anteproyecto en su versión inicial contemplaba la modificación de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, en lo que se refería al tratamiento jurisdiccional de los datos de carácter personal (artículos 236 bis a 236 decies); previsión que, sin embargo, ha desaparecido del texto definitivo sometido a dictamen de este Consejo, acogiendo, presumiblemente, la observación formulada en tal sentido por el Ministerio de Justicia y el Consejo Fiscal.
Sin perjuicio de la opción de no introducir en el texto del anteproyecto una modificación de la Ley Orgánica del Poder Judicial, lo cierto es, como reconoce el propio Ministerio de Justicia en su informe, que resulta necesario actualizar la regulación contenida en la citada ley orgánica y en las leyes procesales en lo que se refiere al tratamiento jurisdiccional de los datos de carácter personal, a la vista de la nueva regulación en materia de protección de datos.
OCTAVA.- Sobre las observaciones al articulado
1.- Artículo 1 ("Objeto")
Este Consejo sugiere una redacción alternativa para determinar el objeto de la norma:
"Esta ley orgánica tiene por objeto establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos de carácter personal por parte de las autoridades competentes, con fines de prevención, detección, investigación o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública".
En cuanto a la previsión contenida en el apartado segundo, debiera ponderarse la conveniencia de su reubicación sistemática en otro precepto más adecuado por razón de la materia.
2.- Artículo 2 ("Ámbito de aplicación")
Se reiteran aquí las diversas observaciones formuladas en el apartado séptimo, subapartados I, II y III de las presentes consideraciones.
3.- Artículo 3 ("Definiciones")
Se reiteran aquí las observaciones formuladas en el apartado séptimo, subapartado IV, de las presentes consideraciones.
4.- Artículo 4 ("Principios relativos al tratamiento de datos personales")
El apartado segundo establece, de conformidad con lo dispuesto en el artículo 4.2 de la Directiva, que los datos personales podrán ser tratados por el mismo responsable de tratamiento o por otro, "para fines establecidos en el artículo 1 distintos de aquel para el que hayan sido recogidos", pero supedita dicha posibilidad al cumplimiento de dos requisitos.
Pues bien, en lo que se refiere al primero de ellos (artículo 4.2, apartado a), entiende este Consejo que debe formularse en los términos que indica la Directiva, esto es, que el responsable del tratamiento "esté autorizado a tratar dichos datos para dicho fin", y no, como establece el anteproyecto, que "sea competente para tratar los datos para ese otro fin", pues no es lo mismo que "esté autorizado" a que "sea competente", debiendo optarse por el término más conforme a la letra y al espíritu de la Directiva.
Por su parte, en el apartado b) del mismo artículo 4.2 del anteproyecto, debe precisarse la referencia al "fin" a que se alude. Se sugiere sustituir el inciso "para la consecución del fin" por el de "para la consecución de ese otro fin".
Por último, debería invertirse el orden de los apartados segundo y tercero, estableciendo primero la regla general de que los datos personales recogidos por las autoridades competentes no serán tratados para fines distintos de los establecidos en el artículo 1, para luego determinar la excepción a dicha regla general y el régimen jurídico aplicable a tales casos (apartado tercero), y, seguidamente, la posibilidad de que los datos personales puedan ser tratados para fines establecidos en el artículo 1, pero distintos de aquel para el que hubieren sido recogidos.
5.- Artículo 5 ("Colaboración con las autoridades competentes")
El artículo 5 del anteproyecto recoge en su contenido un deber de colaboración con las autoridades competentes para cumplir con las finalidades recogidas en el anteproyecto de Ley Orgánica.
De acuerdo con este precepto, las Administraciones públicas, incluidas la tributaria y la de la seguridad social, de acuerdo con su legislación respectiva, así como cualquier persona física o jurídica, proporcionarán a las autoridades judiciales, al Ministerio Fiscal o a la Policía Judicial los datos, informes, antecedentes y justificantes que les soliciten y que sean necesarios para la investigación o enjuiciamiento de infracciones penales o para la ejecución de las penas (apartado primero); y, en los restantes casos, las Administraciones públicas, así como cualquier persona física o jurídica, proporcionarán los datos, informes, antecedentes y justificantes a las autoridades competentes que los soliciten, siempre que estos sean necesarios para el desarrollo específico de sus misiones para la prevención, detección e investigación de infracciones penales y para la prevención y protección frente a un peligro real y grave para la seguridad pública (apartado segundo). Indica también el precepto: a) que no será de aplicación lo dispuesto en los apartados anteriores cuando legalmente sea exigible la autorización judicial u otro tipo de garantías para recabar los datos necesarios para el cumplimiento de los fines a que se refiere el artículo 1 del anteproyecto (apartado tercero); y b) que, en tales supuestos, el interesado no será informado de la transmisión de sus datos a las autoridades competentes ni de haber facilitado el acceso a los mismos por dichas autoridades de cualquier otra forma, a fin de garantizar la actividad investigadora (apartado cuarto).
Lo primero que debe observarse es que el contenido de este precepto no es transposición de ninguna previsión de la Directiva (el único que no lo es, junto con los artículos 14 a 17 relativos al sistema de grabación de imágenes y sonido por las Fuerzas y Cuerpos de Seguridad), y que parece inspirado en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, cuyo artículo 52 también establece un deber de colaboración con la Agencia Española de Protección de Datos.
A juicio del Consejo de Estado, nada cabe objetar a que pueda introducirse en el texto del anteproyecto una previsión de salvaguarda que refuerce, más allá de lo prevenido en la Ley de Enjuiciamiento Criminal y otras disposiciones concordantes, el deber que pesa sobre las Administraciones públicas, así como sobre las personas físicas y jurídicas, de prestar la debida colaboración con las autoridades competentes, proporcionando los datos, informes, antecedentes y justificantes que sean necesarios para los fines propios y específicos de la ley orgánica. Ahora bien, este Consejo considera que la formulación del artículo 5 debe ajustarse en la mayor medida posible a los términos del artículo 52 de la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, por una razón de simple coherencia con las disposiciones que integran el grupo normativo sobre protección de datos de carácter personal. Desde esta perspectiva, debe suprimirse en el apartado primero el inciso "de acuerdo con su legislación respectiva". Debe subrayarse que el deber de colaboración ha de referirse a los datos, informes, antecedentes y justificantes necesarios para los fines previstos en el artículo 1 de la ley orgánica, debiendo armonizar en este sentido el contenido de los apartados primero y segundo del precepto.
Por otra parte, la exigencia en el apartado primero del artículo 5 de que la petición de los datos, informes, antecedentes y justificantes necesarios sea "concreta y específica", debe entenderse referida a todas las autoridades competentes enunciadas en el apartado primero, como hace el inciso del apartado segundo in fine, y no solo a la petición formulada por la Policía Judicial, por lo que deben armonizarse ambas previsiones. De igual modo, debe recogerse expresamente la exigencia de la debida motivación.
En el apartado tercero, se considera que podría especificarse en qué casos es necesaria la "autorización judicial" a los efectos del artículo 5, y a qué se refiere dicho apartado cuando alude a "otro tipo de garantías".
Por último, este Consejo considera más adecuado que el título del precepto sea "Deber de colaboración".
6.- Artículo 6 ("Plazos de conservación y revisión")
El artículo 5 de la Directiva establece que los Estados miembros dispondrán que "se fijen plazos apropiados para la supresión de los datos personales o para una revisión periódica de la necesidad de conservación de los datos personales", agregando que "las normas de procedimiento garantizarán el cumplimiento de dichos plazos".
La misma Directiva, en el apartado e) del artículo 4.1, dispone que los Estados miembros dispondrán que los datos personales sean "conservados de forma que permita identificar al interesado durante un período no superior al necesario para los fines para los que son tratados".
Por su parte, el artículo 6 del texto proyectado dispone, en su apartado primero, que "el responsable del tratamiento determinará que la conservación de los datos personales tenga lugar sólo durante el tiempo necesario para cumplir con los fines previstos en el artículo 1" (artículo 6.1); y añade el apartado segundo: "Excepcionalmente, cumplidos los plazos a que se refiere el apartado anterior, el responsable del tratamiento podrá acordar motivadamente la necesidad de conservar los datos por más tiempo", de tal suerte que, "de no adoptarse decisión expresa al respecto, los datos serán suprimidos o, en su caso, bloqueados" (artículo 6.2, párrafo primero). Y termina diciendo: "El responsable del tratamiento deberá revisar la necesidad de conservar, limitar o suprimir el conjunto de los datos personales contenidos en cada una de las actividades de tratamiento bajo su responsabilidad, si es posible, mediante el tratamiento automatizado apropiado, como máximo cada tres años".
A juicio del Consejo de Estado, el anteproyecto adopta una formulación sobre el régimen de los plazos de conservación de los datos que no resulta conforme al contenido de la Directiva. En efecto, la norma de transposición no fija un plazo apropiado, tal como prescribe la norma europea y han objetado numerosos órganos preinformantes, sino que apodera al responsable del tratamiento para que sea él quien determine el tiempo durante el cual deban conservarse los datos, y ello, aunque se diga expresamente que dicha conservación "tenga lugar sólo durante el tiempo necesario para cumplir con los fines previstos en el artículo 1" (artículo 6.1). Ello, es claro, no supone fijar un plazo. Pero, no solo eso, el precepto permite además, aunque sea excepcionalmente, que una vez cumplido el tiempo que determine el responsable del tratamiento, este pueda "acordar motivadamente la necesidad de conservar los datos por más tiempo", sin especificar límite o condicionamiento algunos, más allá de la exigencia de motivación del acuerdo que se adopte. Por consiguiente, ni se fijan plazos adecuados para la supresión o revisión de la necesidad de conservación de los datos personales, ni se arbitran tampoco garantías suficientes para su adecuado cumplimiento, siendo así que no fijar un plazo máximo para la conservación de los datos puede implicar de facto el mantenimiento indefinido de los datos en contra del espíritu y también de la letra de la Directiva, por lo que resulta, con evidencia, que el anteproyecto infringe en este punto el artículo 5 de la Directiva, razón por la cual el artículo 6 del anteproyecto debe ser objeto de reconsideración en los términos prescritos por la norma europea, fijándose un plazo cierto, con posibilidad excepcional de una prórroga por un plazo igualmente cierto, y arbitrando las garantías necesarias para su cumplimiento; máxime teniendo en cuanta que, entre los datos a que tienen derecho a acceder los interesados titulares de los mismos, está el "plazo de conservación de los datos personales" (artículo 20, apartado d), del anteproyecto y artículo 14, apartado d) de la Directiva) .
Esta observación tiene carácter esencial en el concreto sentido previsto por el artículo 2, apartado 2 de la Ley Orgánica 3/1980, de 22 de abril, del Consejo de Estado, en relación con el artículo 130, apartado 3, del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.
En este mismo orden de consideraciones, este Consejo estima adecuada la previsión del anteproyecto, según la cual, en caso de que el responsable del tratamiento no adopte una decisión expresa sobre la conservación de los datos, estos "serán suprimidos o, en su caso, bloqueados" (artículo 6.2 in fine). Ello no obstante, importa subrayar que los efectos de la supresión o, en su caso, del bloqueo de los datos, debe referirse, no solo a la posible prórroga, como parece inferirse del tenor del inciso final del artículo 6.2 por su ubicación sistemática, sino al vencimiento del plazo inicial.
Además, debe exigirse que la decisión expresa sobre la posible conservación de los datos se adopte de forma suficientemente motivada.
Por otra parte, la formulación del inciso final de ese precepto suscita la duda acerca de cuándo los datos serán "suprimidos" y cuándo serán "bloqueados", pues la utilización sin más de la expresión "en su caso" resulta muy imprecisa. En consecuencia, este Cuerpo Consultivo entiende que dicho inciso debe ser necesariamente aclarado.
Por lo demás, debe llamarse la atención sobre el hecho de que el texto del anteproyecto no contiene precepto alguno relativo al bloqueo de datos, a diferencia de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que sí lo regula en su artículo 32, por lo cual no resultaría ocioso incorporar una previsión en tal sentido, bien regulando específicamente el bloqueo de datos, bien por remisión, en su caso, a la citada Ley Orgánica 3/2018, de 5 de diciembre.
Finalmente, el párrafo segundo del artículo 6.2 debe ser más preciso y categórico en lo que se refiere a la revisión periódica de la necesidad de conservación de los datos personales, que es, igualmente, una exigencia del contenido del artículo 5 de la Directiva, razón por la cual, a juicio del Consejo de Estado, debe eliminarse el inciso "si es posible", que relativiza la propia exigencia de la revisión periódica, hasta el punto de supeditarla a que sea posible, siendo así, además, que la apreciación de si es o no posible queda en manos del responsable del tratamiento. En consecuencia, deben reformularse los términos del párrafo segundo del artículo 6.2 de la Directiva.
Esta observación tiene igualmente carácter esencial en el concreto sentido previsto por el artículo 2, apartado 2 de la Ley Orgánica 3/1980, de 22 de abril, del Consejo de Estado, en relación con el artículo 130, apartado 3, del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.
7.- Artículo 7 ("Distinción entre categorías de interesados")
El artículo 7 establece, en conformidad con el artículo 6 de la Directiva, la distinción entre los datos personales de las diferentes categorías de interesados.
Del tenor del citado precepto, resultan algunas observaciones:
a) En el inciso final del apartado a) se incluye a las personas que puedan "colaborar en la comisión de una infracción penal", así como a aquellas "personas vinculadas con una investigación relativa a la protección y prevención frente a las amenazas contra la seguridad pública".
Conviene observar que el artículo 6, apartado a), de la Directiva, se refiere únicamente a "las personas respecto de las cuales existan motivos fundados para presumir que han cometido o van a cometer una infracción penal", más ello no obsta para que la norma de transposición pueda legítimamente ampliar las categorías. Sin embargo, a juicio de este Consejo, la determinación de las categorías incluidas adolece de un alto grado de indeterminación, especialmente la relativa a las "personas vinculadas con una investigación relativa a la protección y prevención frente a las amenazas contra la seguridad pública", máxime cuando no se refiere a la comisión de una infracción penal, sino a "las amenazas contra la seguridad pública", siendo así que este Consejo coincide con el parecer expresado por la Agencia Española de Protección de Datos, en el sentido de que dicha previsión debiera ceñirse fundamentalmente a las "infracciones penales".
Esta observación se formula con carácter esencial en el concreto sentido previsto por el artículo 2, apartado 2 de la Ley Orgánica 3/1980, de 22 de abril, del Consejo de Estado, en relación con el artículo 130, apartado 3, del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.
También la inclusión de los "colaboradores" resulta formulada en términos muy imprecisos, por lo que debe ponderarse la necesidad de su reformulación en términos más precisos y rigurosos.
b) Por su parte, en el apartado b) se incluye a las "personas condenadas o sancionadas por una infracción penal o un tratamiento comprendido en la letra a)".
La inclusión de las personas condenadas por una infracción penal se corresponde con el supuesto contemplado en el artículo 6, apartado b), de la Directiva y no suscita objeción. Sin embargo, la categoría referida a personas sancionadas (no condenadas) por "un tratamiento comprendido en la letra a)", no se entiende bien, por lo que debe aclararse.
Idéntica observación cabe formular en lo que se refiere a los apartados c) y d). Y, en relación con este último apartado, en el inciso "o procesos ulteriores" debe añadirse el término "penales" y referirse por consiguiente a los "procesos penales ulteriores".
8.- Artículo 8 ("Verificación de la calidad de los datos personales")
En el apartado segundo in fine, el texto del anteproyecto debe ajustarse con mayor fidelidad al contenido del artículo 7.2 de la Directiva, en el sentido de que la autoridad competente, en la medida en que sea factible, "controlará la calidad de los datos personales antes de transmitirlos o ponerlos a disposición de terceros".
9.- Artículo 10 ("Condiciones específicas de tratamiento")
En el apartado primero deberá completarse la frase a partir de "destinatario" con el inciso "al que se transmitan los datos".
10.- Artículo 11 ("Tratamiento de categorías especiales de datos personales")
Particular consideración merece el artículo 11 del anteproyecto, relativo al tratamiento de las "categorías especiales de datos personales", que, por su naturaleza y significación, merecen ser considerados datos sensibles o especialmente protegidos en relación con los derechos y libertades fundamentales, y cuyo tratamiento puede entrañar ciertos riesgos para tales derechos y libertades.
Con arreglo a lo dispuesto en el apartado primero del referido precepto:
"1. El tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical, así como el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, los datos relativos a la salud o a la vida sexual o a la orientación sexual de una persona física, se permitirá cuando sea estrictamente necesario, con sujeción a las garantías adecuadas para los derechos y libertades del interesado y cuando se cumplan alguna de las siguientes circunstancias:
a) Se encuentre previsto por una norma con rango de ley o por el Derecho de la Unión Europea.
b) Resulte necesario para proteger los intereses vitales, así como los derechos y libertades fundamentales del interesado o de otra persona física.
c) Dicho tratamiento se refiera a datos que el interesado haya hecho manifiestamente públicos".
Tal previsión es reproducción prácticamente literal del contenido del artículo 10 de la Directiva, por lo que su adecuación a la regulación europea no suscita objeción.
Sin embargo, no puede perderse de vista que se trata de una regulación especialísima, que se aparta del régimen general previsto en el artículo 9 del Reglamento (UE) de Protección de Datos, que prohíbe, con carácter general, el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física, excepto cuando concurra alguna de las circunstancias que enuncia taxativamente el apartado segundo del citado precepto, a saber: a) que el interesado exprese su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición no puede ser levantada por el interesado; b) que el tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho del Trabajo y de la Seguridad Social; c) que el tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento; d) que el tratamiento sea efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, y en ciertas condiciones; e) Que el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos; f) que el tratamiento sea necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial; g) que el tratamiento sea necesario por razones de un interés público esencial; h) que el tratamiento sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social; i) que el tratamiento sea necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios; y j) que el tratamiento sea necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1. Por lo demás, el apartado cuarto reconoce en tal supuesto, que los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud.
Así las cosas, el Reglamento (UE) de Protección de Datos establece la regla general de la prohibición de tratamiento de esas categorías especiales de datos personales, y ciertas excepciones en las que dicho tratamiento se permita en situaciones específicas contempladas en el propio reglamento.
Pues bien, la Directiva (UE) 2016/680, en cuanto norma específica frente a la prohibición general con excepciones que entraña el Reglamento (UE) de Protección de Datos, establece, a este respecto, otra excepción a dicha prohibición general, que permite el tratamiento de categorías especiales de datos cuando sea necesario para fines específicos de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluido la protección y prevención de amenazas contra la seguridad pública.
Desde esta perspectiva, y como ya se indicó anteriormente, el anteproyecto se compadece con los términos de la Directiva (UE) 2016/680 que viene a transponer. Ahora bien, este Cuerpo Consultivo aprecia, desde una perspectiva interna, que el artículo 11 del anteproyecto no es suficientemente preciso en cuanto a las concretas circunstancias que puedan legitimar el tratamiento de estas categorías especiales de datos, que debe ser concebida como una verdadera excepción a la prohibición general, y como tal, deba ceñirse a los supuestos en los que su tratamiento sea estrictamente necesario para los fines específicos objeto de la norma y observando las debidas garantías en orden a la protección de los derechos y libertades fundamentales de las personas.
En este sentido, en el apartado primero del artículo 11 deberá introducirse el adjetivo "solo" antes de la frase que comienza por "se permitirá cuando sea estrictamente necesario", lo que viene a reafirmar el carácter excepcional del tratamiento en los términos indicados, además de corresponderse con la literalidad del contenido del artículo 10, párrafo primero, de la Directiva.
A su vez, se sugiere, de conformidad con la Directiva, que en la letra a) de mismo apartado se aluda a que "se encuentre autorizado", en vez de que "se encuentre previsto".
Por otra parte, el apartado segundo es redundante y, por consiguiente, innecesario, pues el primer apartado ya se refiere al posible tratamiento de los datos biométricos en los términos previstos por la Directiva y con los fines a que se refiere el artículo 1 del anteproyecto, por lo que debiera suprimirse.
11.- Artículos 13 a 17 ("Tratamiento de datos personales en el ámbito de la videovigilancia por Fuerzas y Cuerpos de Seguridad")
Se reiteran aquí las diversas observaciones formuladas en el apartado séptimo, subapartados II y V de las presentes consideraciones.
12.- Artículo 18 ("Condiciones generales de ejercicio de los derechos de los interesados")
El artículo 18 del anteproyecto viene a transponer el contenido del artículo 12 de la Directiva en lo que se refiere a las condiciones generales del ejercicio de los derechos de los interesados.
En relación con tal precepto, se formulan las siguientes observaciones:
a) El apartado segundo se refiere a la posibilidad de que los interesados puedan actuar directamente, en su propio nombre y representación, o también por medio de representante. Conviene observar que la posibilidad de actuar por medio de representante se refiere en el artículo 5.1 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, a los interesados "con capacidad de obrar"; de lo contrario, actuarán por medio de sus representantes legales (titulares de la patria potestad o tutores).
b) Por otra parte, el mismo precepto del anteproyecto dispone en su apartado cuarto, reproduciendo literalmente el contenido del artículo 12.3 de la Directiva, que: "El responsable del tratamiento informará por escrito al interesado, sin dilación indebida, sobre el curso dado a su solicitud". No obstante, a continuación, se añade: "La solicitud se entenderá desestimada si transcurrido un mes desde su presentación no ha sido resuelta expresamente". Ello significa que el anteproyecto anuda efectos negativos al silencio administrativo, de tal suerte que, transcurrido el plazo de un mes, la solicitud formulada por el interesado deberá entenderse desestimada.
Tal previsión constituye una opción que cabe reputar legítima desde la perspectiva de la regulación interna, toda vez que, si bien la atribución de un efecto desestimatorio al silencio administrativo puede no compadecerse en el caso ahora considerado con el régimen establecido en el artículo 24.1 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (pues no cabría, en principio, subsumirlo en ninguno de los supuestos reservados al silencio negativo), la propia ley dispone que, en los procedimientos iniciados a solicitud del interesado, el vencimiento del plazo máximo sin haberse notificado resolución expresa legitima al interesado o interesados para entenderla estimada por silencio administrativo, "excepto en los supuestos en los que una norma con rango de ley o una norma de Derecho de la Unión Europea o de Derecho internacional aplicable en España establezcan lo contrario". Por tanto, desde la perspectiva de la regulación interna, no cabría formular objeción a que el anteproyecto (por su consideración de norma con rango de ley) pueda eventualmente atribuir efectos negativos al silencio administrativo.
Tampoco desde la perspectiva de la regulación europea cabría apreciar que la atribución de efectos negativos al silencio administrativo infringe lo dispuesto en la Directiva (UE) 2016/680, que se limita a imponer a los Estados miembros la obligación de facilitar el ejercicio del derecho del interesado a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen.
Sin perjuicio del carácter negativo del silencio administrativo, el inciso debe ser reformulado desde la perspectiva de que el efecto jurídico del silencio administrativo no se produce por el hecho de que transcurrido el plazo establecido no se haya resuelto expresamente la solicitud, sino por el hecho de que no se haya resuelto y notificado en plazo la resolución correspondiente, de conformidad con lo dispuesto en el artículo 21 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. En consecuencia, debe modificarse el tenor de dicho inciso en los términos indicados.
Esta observación tiene carácter esencial en el concreto sentido previsto por el artículo 2, apartado 2 de la Ley Orgánica 3/1980, de 22 de abril, del Consejo de Estado, en relación con el artículo 130, apartado 3, del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.
c) En el apartado quinto del artículo 18, se prevé que la información a que se refiere el apartado primero "se facilitará gratuitamente", y que "cuando las solicitudes de un interesado sean manifiestamente infundadas o excesivas, en particular debido a su carácter repetitivo, el responsable del tratamiento podrá inadmitirlas a trámite o, en el caso de que se establezca, percibir una retribución económica". Añade que "el responsable del tratamiento deberá demostrar el carácter manifiestamente infundado o excesivo de la solicitud".
La primera cuestión que suscita dicha previsión es la atinente a la idoneidad procedimental del trámite de inadmisión tanto desde el punto de vista de la regulación europea como desde la perspectiva de ordenamiento jurídico interno.
Como es bien sabido, en los procedimientos administrativos, a diferencia de lo que ocurre en los procesos judiciales, la previsión de un trámite de inadmisión no ha sido tradicionalmente práctica usual, habiéndose insertado con el tiempo en ciertos procedimientos específicos, nunca de manera generalizada, y siempre en orden a verificar, al menos con carácter general, la concurrencia de las circunstancias relativas a la admisibilidad formal de la acción ejercitada en vía administrativa, como la competencia del órgano administrativo, la legitimación del solicitante o recurrente, la idoneidad del objeto del procedimiento o el plazo. Así ha ocurrido, por ejemplo, en los procedimientos de revisión de oficio (artículo 106.3 de la Ley 39/2015, de 1 de octubre) o los que se siguen en vía de recurso (artículo 116 de la misma Ley 39/2015, de 1 de octubre). En tales casos, sin embargo, se han introducido, más recientemente, causas legales de inadmisión a trámite referidas, no solo a su admisibilidad formal, sino también relativas al fondo de la pretensión deducida. Así, por ejemplo, en materia de revisión de oficio, el órgano competente para la tramitación del procedimiento revisor "podrá acordar motivadamente la inadmisión a trámite de las solicitudes formuladas por los interesados (...), cuando las mismas no se basen en alguna de las causas de nulidad del artículo 47.1 o carezcan manifiestamente de fundamento, así como en el supuesto de que se hubieran desestimado en cuanto al fondo otras solicitudes sustancialmente iguales" (artículo 106.3 de la Ley 39/2015). Y de igual modo, en materia de recursos, cabe la inadmisión por "carecer el recurso manifiestamente de fundamento" (artículo 106, apartado e), de la Ley 39/2015). También cabria citar, a este respecto, la regulación de la admisión a trámite del recurso de amparo constitucional (artículo 50.1, apartado b), de la Ley Orgánica 2/1979, de 3 de octubre, del Tribunal Constitucional).
A juicio del Consejo de Estado, la opción decantada por el anteproyecto de incorporar un trámite de inadmisión al procedimiento para verificar el carácter manifiestamente infundado o excesivo de las solicitudes que se formulen, no resulta disconforme a la Directiva, pues el artículo 12.4, apartado b), establece que cuando las solicitudes de un interesado sean manifiestamente infundadas o excesivas, el responsable del tratamiento podrá "negarse a actuar según lo solicitado". Es verdad que, así formulados los concretos términos de la norma europea, cabría igualmente una desestimación, pero ello exige la previa instrucción de un expediente conducente a verificar la procedencia de la solicitud, lo que no requiere la inadmisión. En todo caso, la inadmisión a limine de la solicitud de información dirigida al responsable del tratamiento por ser manifiestamente infundada o excesiva, no cabe ser reputada contraria a la regulación europea, aunque debe ser objeto de una utilización muy restrictiva y hasta considerarse excepcional, habida cuenta del carácter fundamental del derecho concernido.
Cuestión distinta es que, en tal caso, deba exigirse al responsable del tratamiento que la inadmisión se acuerde motivadamente, y por consiguiente exteriorizando las razones que han llevado a formar la convicción de la inadmisibilidad de la solicitud, máxime teniendo en cuenta que, en tales supuestos, el acuerdo de inadmisión, aun siendo un acto de trámite, es un acto impugnable tanto en vía administrativa como en vía jurisdiccional, en la medida en que determina la imposibilidad de continuar el procedimiento (artículo 112.1 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y artículo 25.1 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa).
Por ello, el Consejo de Estado considera que la inadmisión, caso de mantenerse como opción procedimental, debe reputarse excepcional y concebirse en términos eminentemente restrictivos, debiendo introducirse en el artículo 18.4 del anteproyecto la exigencia de que la inadmisión en el supuesto a que se refiera dicho precepto se acuerde motivadamente.
Esta observación se formula con carácter esencial en el concreto sentido previsto por el artículo 2, apartado 2 de la Ley Orgánica 3/1980, de 22 de abril, del Consejo de Estado, en relación con el artículo 130, apartado 3, del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.
d) Por otra parte, el mismo apartado quinto del artículo 18 del anteproyecto prevé que en el supuesto a que se ha hecho referencia en el apartado anterior, "el responsable del tratamiento podrá inadmitirlas a trámite (las solicitudes) o, en el caso de que se establezca, percibir una contraprestación económica".
A este respecto, se considera que la redacción del apartado en este punto resulta imprecisa, quizás porque de nuevo el anteproyecto opta por transcribir literalmente el contenido de la Directiva, puesto que no se atisba si constituye realmente una opción frente a la inadmisión a trámite y, en todo caso, sea para que lo sea, debe establecerse expresamente.
A juicio del Consejo de Estado, la solución adoptada no resulta satisfactoria, siendo así que lo procedente, de acuerdo con lo que prescribe la Directiva, es decantarse por una de las opciones que permite la norma europea. En opinión de este Consejo, la solución que debe adoptarse frente a una solicitud infundada o excesiva debe ser propiamente la inadmisión, por coherencia con la regulación interna de los procedimientos administrativos.
Por lo demás, la previsión que introduce el anteproyecto acerca de la posibilidad de que el responsable del tratamiento pueda percibir una contraprestación económica está formulado en términos acaso inadecuados, toda vez que la Directiva en su artículo 14.2, apartado a), lo que prevé es la posibilidad de "cobrar un canon razonable, teniendo en cuenta los costes administrativos afrontados para facilitar la información o la comunicación o realizar la acción solicitada", que, por su configuración, se aproxima a la figura tributaria de la tasa.
Como ya se ha indicado, a juicio de este Consejo, el cobro de ese canon constituye una mera posibilidad que otorga la norma europea y cuya adopción no resulta aconsejable, en la medida en que no tiene fácil encaje en los esquemas y categorías propias de la regulación interna del procedimiento administrativo, ni se compadece con la tradición jurídica propia la instauración de un mecanismo que emula, en sede administrativa, el sistema de imposición de las costas en los procesos judiciales.
En caso de mantenerse la opción de cobrar un canon para el supuesto de que las solicitudes puedan reputarse infundadas o excesivas, lo que este Consejo no considera adecuado, debe establecerse la naturaleza de esa contraprestación económica desde el punto de vista de las categorías acuñadas en el Derecho financiero y tributario, así como la determinación de las situaciones o causas que dan lugar a la percepción de esta contraprestación económica, y cuál sería el montante al que puede ascender dicha contraprestación, y, sobre todo, y muy especialmente, si es o no una alternativa a la inadmisión.
Por todo lo expuesto, el Consejo de Estado considera que debe reformularse el artículo 18.5 del anteproyecto en los términos indicados anteriormente.
Esta observación tiene igualmente carácter esencial en el concreto sentido previsto por el artículo 2.2 de la Ley Orgánica 3/1980, de 22 de abril, del Consejo de Estado, en relación con el artículo 130, apartado 3, del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.
Por lo demás, y de conformidad con lo indicado en el apartado séptimo, subapartado VIII, de las presentes consideraciones en relación con el apartado cuarto del artículo 47 del anteproyecto, debe unificarse criterio entre el artículo 18.5 y este último precepto.
Esta observación tiene igualmente carácter esencial en el concreto sentido previsto por el artículo 2.2 de la Ley Orgánica 3/1980, de 22 de abril, del Consejo de Estado, en relación con el artículo 130, apartado 3, del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.
e) Asimismo, en este apartado se establece: "en todo caso se considerará que la solicitud es repetitiva cuando se realicen varias solicitudes sobre el mismo supuesto durante el plazo de seis meses, salvo que exista causa legítima para ello".
A este respecto, este Consejo aprecia que el término "varias" puede dar lugar a equívocos, por lo que se cabría considerar la conveniencia de concretar cuál es el número de solicitudes que deben presentarse en el plazo de seis meses para que la solicitud se considere repetitiva.
f) Finalmente, el apartado sexto dispone: "Cuando el responsable del tratamiento tenga dudas razonables acerca de la identidad de la persona física que formule la solicitud a la que se refieren los artículos 20 y 21, podrá solicitar que se facilite la información complementaria que resulte necesaria para confirmar la identidad del interesado". Y añade: "El plazo del que dispone el responsable del tratamiento para proporcionar la información solicitada por el interesado no comenzará a computarse sino desde que el interesado le facilite dicha información adicional".
En opinión de este Cuerpo Consultivo, la redacción dada al inciso final del apartado sexto en el texto definitivo sometido a dictamen no resulta satisfactoria si se contrasta con la formulación del texto inicial tanto desde la perspectiva de la seguridad jurídica como desde el punto de vista de la coherencia con las normas reguladoras del procedimiento administrativo.
Cuando el responsable del tratamiento tenga dudas razonables acerca de la identidad de la persona física que formule la solicitud a que se refieren los artículos 20 y 21, deberá requerir al interesado, de conformidad con lo prevenido en el artículo 68 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, para que proporcione la información complementaria que resulte necesaria para confirmar la identidad del interesado, concediéndole, a tal fin, un plazo (de diez días) para que cumpla con ese requerimiento de información y aporte la información o documentación necesaria, con la advertencia de que, si así no lo hiciera, de tal suerte que si no se proporciona esa información en el plazo concedido, se le tendrá por desistido de su petición, previa resolución que deberá ser dictada en los términos previstos en las normas de procedimiento.
Por ello, el Consejo de Estado considera que debe modificarse el inciso final del artículo 18.6 del anteproyecto en los términos indicados.
Esta observación tiene también carácter esencial en el concreto sentido previsto por el artículo 2, apartado 2 de la Ley Orgánica 3/1980, de 22 de abril, del Consejo de Estado, en relación con el artículo 130, apartado 3, del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.
13.- Artículo 22 ("Restricciones a los derechos de información, acceso, rectificación, supresión de datos personales y a la limitación de su tratamiento")
En el apartado segundo, debe precisarse con mayor claridad la exigencia de indicar el régimen de recursos o acciones que asisten a los interesados. Asimismo, debe aclararse el texto del párrafo segundo.
El contenido del apartado tercero puede integrarse sin dificultad en el segundo, dándole una redacción clara y coherente.
14.- Artículo 24 ("Derechos de los interesados como consecuencia de investigaciones y procesos penales")
En el apartado primero, cabría citar expresamente la Ley Orgánica del Poder Judicial y la Ley de Enjuiciamiento Criminal, al tiempo que determinar con claridad las normas que resultan de aplicación directa y las que lo son supletoriamente.
15.- Artículos 25 y 26 ("Responsable del tratamiento")
Se reiteran aquí las observaciones formuladas en el apartado séptimo, subapartado VI, de las presentes consideraciones.
16.- Artículo 27 ("Corresponsables del tratamiento")
Se reiteran aquí las observaciones formuladas en el apartado séptimo, subapartado VI, de las presentes consideraciones.
17.- Artículo 28 ("Encargado del tratamiento")
Se reiteran aquí las observaciones formuladas en el apartado séptimo, subapartado VI, de las presentes consideraciones.
18.- Artículo 30 ("Registro de las actividades del tratamiento")
En el apartado primero la cita del corresponsable del tratamiento debe preceder a la del delegado de protección de datos.
Por su parte, en el apartado tercero debe precisarse que la llevanza de los registros a que se refieren los apartados primero y segundo debe ser por escrito, incluido en formato electrónico, tal como prescribe la Directiva.
19.- Artículo 33 ("Evaluación del impacto relativo a la protección de datos")
En el apartado segundo in fine debe incluirse al final del párrafo el término "afectadas", de manera que el inciso final diga: "Esta evaluación tendrá en cuenta los derechos e intereses legítimos de los interesados y de las demás personas afectadas".
El apartado tercero prevé que las autoridades de protección de datos "podrán establecer una lista de tratamientos que estén sujetos a la realización de una evaluación de impacto" con arreglo a lo dispuesto en el apartado segundo y, del mismo modo, "podrán establecer una lista de tratamientos que no estén sujetos a esta obligación". A juicio de este Cuerpo Consultivo, nada cabe objetar a que las autoridades de protección de datos puedan proceder en el sentido indicado, pero es importante subrayar que dichas listas de tratamientos tienen un carácter meramente orientativo y no determinante. Cabría ponderar la conveniencia de introducir en el precepto una previsión en tal sentido.
20.- Artículo 34 ("Consulta previa a la autoridad de protección de datos")
Idéntica observación cabe formular al apartado segundo del artículo 34, en cuanto al carácter meramente orientativo de las listas de operaciones de tratamientos.
Respecto a la previsión contenida en el último párrafo del apartado cuarto, según la cual "en caso de no contestar a la consulta en el plazo previsto, se entenderá que el tratamiento no infringe lo dispuesto en esta ley orgánica", resulta inadecuada a juicio del Consejo de Estado. Conviene precisar que el supuesto a que se refiere el artículo 34 se inscribe en el marco de una actuación de tratamiento de datos personales que van a formar parte de un fichero, y que, debido a su alto nivel de riesgo, se prevé que el responsable o el encargado del tratamiento "consultará a la autoridad de protección de datos, antes de proceder al tratamiento de los datos personales...". Se trata, pues, de una intervención de la autoridad de protección de datos en el ejercicio de una función consultiva, que ejerce por medio de la emisión de un informe que debe evacuar en un plazo de seis semanas desde que le es solicitado y que puede prorrogarse un mes.
Así las cosas, considera este Consejo que la cuestión relativa a los efectos derivados de la falta de emisión del informe en el plazo señalado, no puede prescindir del criterio establecido en las normas generales que regulan el procedimiento administrativo común. En efecto, el artículo 80 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, previene en su apartado tercero que "de no emitirse el informe en el plazo señalado, y sin perjuicio de la responsabilidad en que incurra el responsable de la demora, se podrán proseguir las actuaciones salvo cuando se trate de un informe preceptivo, en cuyo caso se podrá suspender el transcurso del plazo máximo legal para resolver el procedimiento en los términos establecidos en la letra d) del apartado 1 del artículo 22".
Desde esta perspectiva, no resulta procedente que el anteproyecto anude a la falta de emisión de la consulta por parte de la autoridad de protección de datos una manifestación presunta de que el tratamiento que constituye su objeto no infringe lo dispuesto en la ley orgánica. A juicio del Consejo, tal previsión debe ser eliminada y reformular el precepto a la luz de lo dispuesto en el artículo 80 de la Ley del Procedimiento Administrativo Común de las Administraciones Públicas.
Esta observación tiene también carácter esencial en el concreto sentido previsto por el artículo 2, apartado 2 de la Ley Orgánica 3/1980, de 22 de abril, del Consejo de Estado, en relación con el artículo 130, apartado 3, del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.
21.- Artículo 36 ("Notificación a la autoridad de protección de datos de una violación de seguridad de los datos personales")
En el párrafo segundo del apartado primero deberá introducirse el inciso "en el plazo" antes de "las setentas y dos horas".
En el apartado segundo deberá introducirse el inciso "sin dilación indebida" después de "notificará" y antes de "al responsable del tratamiento".
22.- Artículo 38 ("Designación del delegado de protección de datos")
Se reiteran aquí las observaciones formuladas en el apartado séptimo, subapartado VI, de las presentes consideraciones.
23.- Artículo 41 ("Transferencias de datos personales a terceros países que no sean miembros de la Unión Europea u organizaciones internacionales")
Se reiteran aquí las observaciones formuladas en el apartado séptimo, subapartado VII, de las presentes consideraciones.
24.- Artículos 46 a 49 ("Autoridades de protección de datos independientes")
Se reiteran aquí las observaciones formuladas en el apartado séptimo, subapartado VIII, de las presentes consideraciones.
25.- Artículos 50 a 53 ("Reclamaciones")
Se reiteran aquí las observaciones formuladas en el apartado séptimo, subapartado IX, de las presentes consideraciones.
26.- Artículos 54 a 61 ("Régimen sancionador")
Se reiteran aquí las observaciones formuladas en el apartado séptimo, subapartado X, de las presentes consideraciones.
27.- Disposición adicional segunda ("Ficheros y Registro de Población de las Administraciones Públicas")
La disposición adicional segunda dispone que las autoridades competentes podrán solicitar al Instituto Nacional de Estadística y a los órganos homólogos de las comunidades autónomas, sin consentimiento del interesado, una copia actualizada del fichero formado con los datos del documento de identidad, nombre, apellidos, domicilio, sexo y fecha de nacimiento que constan en el padrón municipal de habitantes y en el censo electoral correspondiente a los territorios donde ejerzan sus competencias.
A juicio del Consejo de Estado, no puede dejar de subrayarse el carácter eminentemente excepcional de esta facultad reconocida a las autoridades competentes, que solo se justifica en la medida en que los datos obtenidos tengan como único propósito el cumplimiento de los fines de prevención, detección, investigación o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluida la protección y de prevención frente a las amenazas contra la seguridad pública, y que la solicitud formulada debe estar suficientemente motivada.
28.- Disposición final tercera ("Modificación de la Ley Orgánica 1/1979, de 26 de septiembre, General Penitenciaria")
Se reiteran aquí las observaciones formuladas en el apartado séptimo, subapartado XI, de las presentes consideraciones.
NOVENA.- Sobre las observaciones de técnica normativa
El anteproyecto de Ley Orgánica sometido a consulta observa, en líneas generales, las Directrices de Técnica Normativa, aprobadas por Acuerdo del Consejo de Ministros de 22 de julio de 2005.
Sin perjuicio de ello, procede formular las siguientes observaciones:
I.- Sobre la denominación del anteproyecto
El anteproyecto de Ley Orgánica se intitula "de protección de datos personales tratados para fines de prevención, detección, investigación o enjuiciamiento de infracciones penales y de ejecución de sanciones penales, así como de protección y prevención frente a las amenazas contra la seguridad pública".
Sin embargo, como se indicó ya en las observaciones formuladas al ámbito de aplicación de la norma proyectada, la Directiva (UE) 2016/680, en su título, se refiere a "la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales", y en sus diversos preceptos y considerandos a los "fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública", al igual que el propio artículo 1 del anteproyecto.
De ahí que, a juicio del Consejo de Estado, debiera eliminarse del título de la norma el último inciso ("así como de protección y prevención frente a las amenazas contra la seguridad pública"), en congruencia con la denominación de la propia Directiva, así como también introducirse la conjunción "y" entre los términos "investigación" y "enjuiciamiento".
Así, este Consejo propone que el anteproyecto adopte la siguiente denominación: "anteproyecto de Ley Orgánica de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales".
II.- Sobre la exposición de motivos
A juicio del Consejo de Estado, la parte expositiva del anteproyecto debe mejorar la descripción de su contenido, indicando su objeto y finalidad, a fin de lograr una mejor comprensión del texto.
III.- Sobre la disposición adicional primera
La disposición adicional primera determina que los acuerdos internacionales en el ámbito de la cooperación judicial en materia penal y de la cooperación policial que impliquen la transferencia de datos personales a Estados que no sean miembros de la Unión Europea o a organizaciones internacionales y que hubieran sido celebrados por España antes del 6 de mayo de 2016, cumpliendo lo dispuesto en el Derecho de la Unión Europea aplicable antes de dicha fecha, "seguirán en vigor hasta que sean modificados, sustituidos o revocados".
A juicio del Consejo de Estado la formulación de la disposición adicional primera, que no se objeta en cuanto al fondo y que es, además, una transcripción literal del artículo 61 de la Directiva, resulta, sin embargo, técnicamente defectuosa en su inciso final, toda vez que los conceptos de "sustitución" y "revocación" no están contemplados en los Convenios de Viena sobre el Derecho de los Tratados de 1969 y 1986.
Desde esta perspectiva, el Consejo de Estado entiende que deberá reformularse dicha disposición adicional en términos que se adecúen a las categorías establecidas en el Derecho Internacional general y en especial a las previsiones del Convenio de Viena sobre el Derecho de los Tratados.
Este Consejo sugiere la siguiente redacción alternativa:
"Los acuerdos internacionales en el ámbito de la cooperación judicial en materia penal y de la cooperación policial que impliquen la transferencia de datos personales a Estados que no sean miembros de la Unión Europea u organizaciones internacionales y que hubieran sido celebrados por España antes del 6 de mayo de 2016, cumpliendo lo dispuesto en el Derecho de la Unión Europea aplicable antes de dicha fecha, seguirán en vigor hasta que sean objeto de modificación, enmienda o terminación".
IV.- Sobre la disposición derogatoria
La disposición derogatoria única prevé la derogación expresa de la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos, y el Real Decreto 596/1999, de 16 de abril, por el que se aprueba el Reglamento de desarrollo y ejecución de la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos, así como de cualesquiera otras disposiciones de igual o inferior rango en lo que contradigan o se opongan a lo dispuesto en la ley orgánica.
A juicio del Consejo de Estado, la derogación de la Ley Orgánica 4/1997, de 4 de agosto en su integridad, y muy especialmente de su Reglamento de ejecución y desarrollo, sin un desarrollo normativo ad hoc produce el efecto de crear un vacío legal respecto de todo lo actualmente previsto en dicha normativa, por lo que, sin perjuicio de las observaciones formuladas por este Consejo en el apartado séptimo, subapartado II, punto 2.2, de las consideraciones, sobre la opción del prelegislador de incorporar al texto del anteproyecto la regulación contenida en el bloque normativo expuesto, procede reconsiderar la derogación en bloque, tanto de la ley, como del reglamento, ante el riesgo de generar un vacío normativo por completo innecesario.
Esta observación tiene carácter esencial en el concreto sentido previsto por el artículo 2, apartado 2 de la Ley Orgánica 3/1980, de 22 de abril, del Consejo de Estado, en relación con el artículo 130, apartado 3, del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.
Por otra parte, la previsión contenida en el apartado tercero de la disposición derogatoria, en cuya virtud se dispone que las referencias contenidas en las normas vigentes a las disposiciones que se derogan expresamente, deberán entenderse efectuadas a las disposiciones de la ley orgánica que regulan la misma materia que aquellas, debe reubicarse sistemáticamente en una disposición final de nuevo cuño que lleve por rúbrica "Referencias normativas", e insertarse a renglón seguido de la disposición final segunda relativa a los títulos competenciales y antes de las disposiciones finales que tienen por objeto la modificación de las diversas leyes sectoriales.
V.- Sobre la disposición final primera
Se reitera aquí la observación formula en el apartado cuarto de las presentes consideraciones a la disposición final primera sobre la naturaleza de la ley.
VI.- Sobre la entrada en vigor de la norma
En cuanto a la determinación de la entrada en vigor de la norma que contiene la disposición final undécima, este Consejo se limita a llamar la atención sobre el hecho de que no consta en el expediente explicación alguna que justifique el criterio adoptado por el anteproyecto en lo tocante al comienzo de la vigencia y la previsión del plazo de vacatio legis.
VII.- Sobre la memoria del análisis de impacto normativo
A juicio del Consejo de Estado, la memoria del análisis de impacto normativo que acompaña al texto del anteproyecto resulta incompleta en los términos indicados en el apartado segundo de las presentes consideraciones, por lo que deberá ser debidamente completada en los siguientes términos:
a) En primer lugar, debe hacerse un esfuerzo mayor por describir el contenido normativo del anteproyecto y en particular por justificar las soluciones normativas adoptadas, pues lo que se hace en la versión del texto que acompaña al anteproyecto sometido a consideración es, básicamente, explicar o sintetizar el contenido de la regulación proyectada.
b) Por otro lado, debe incluirse una referencia suficiente a la incidencia del contenido normativo del anteproyecto sobre determinados derechos fundamentales y a su examen desde una perspectiva constitucional interna.
c) Debe incorporarse también un resumen de las observaciones y sugerencias formuladas durante el procedimiento de elaboración del anteproyecto, así como una valoración individualizada de las mismas, haciendo constar cuáles han sido aceptadas y cuáles rechazadas, con la debida motivación en cada caso.
d) Y, en fin, debe hacerse una referencia suficiente a las incidencias derivadas de la falta de transposición en plazo de la Directiva, con particular mención a las actuaciones seguidas ante la Unión Europea por causa de la falta de transposición de la Directiva y que resulta de la documentación complementaria remitida a este Consejo de Estado con fecha 4 de diciembre de 2020.
En definitiva, este Consejo estima que es importante llevar a cabo una revisión de la memoria que permita ser completada a la luz de los criterios expuestos.
DÉCIMA.- Sobre las observaciones de estilo y redacción
Por último, el Consejo de Estado considera que deberá procederse a una revisión general del texto del anteproyecto en lo que se refiere a su estilo y redacción, debiendo además citarse correctamente y de forma completa las disposiciones normativas (legislativas y reglamentarias) que se citan a lo largo del texto del anteproyecto (así, por ejemplo, en los artículos 2.6, 5.1, 28.5, 46, 50 y 55, entre otros).
UNDÉCIMA.- Consideración final
A la vista de las precedentes consideraciones, y sin perjuicio del esfuerzo realizado por la autoridad consultante por formular un texto renovado y mejorado con respecto a la versión inicial del anteproyecto, en el que se acogen en buena medida las observaciones formuladas durante su tramitación, el Consejo de Estado aprecia que una materia de tanta trascendencia como la que constituye el objeto del anteproyecto sometido a consulta hubiere merecido una tramitación más rigurosa y sosegada de la que se ha observado, a fin de obtener el mejor resultado posible, y, en todo caso, la adecuada formulación de un texto que debe conciliar adecuadamente los fines que inspiran la regulación proyectada con la debida protección de los derechos fundamentales afectados.
En este sentido, este Consejo no puede dejar de subrayar que las carencias advertidas en relación con la ausencia significativa de información suficiente en la memoria que acompaña al anteproyecto de Ley Orgánica sobre numerosos aspectos analizados en el cuerpo del presente dictamen, así como la ausencia de un informe en el que se analicen y valoren las numerosas observaciones contenidas en los informes emitidos en relación con la versión inicial del anteproyecto, no ha contribuido a favorecer la debida comprensión del texto sometido a consulta y de algunos criterios y opciones decantadas.
Por otra parte, la técnica seguida por el anteproyecto en orden a la transposición de la norma europea no resulta la más adecuada, pues la opción de modo general por una transcripción eminentemente literal, sin adaptar las disposiciones de la Directiva al ordenamiento jurídico interno, dificulta una regulación nacional coherente con las instituciones y categorías jurídicas propias, una adecuada integración en el sistema normativo, y también que la terminología y el contenido de los preceptos sean suficientemente claros, inteligibles y de fácil comprensión, así como fácilmente aplicables por quienes han de intervenir directa o indirectamente en su aplicación o son sus destinarios y, por tanto, responsables de su adecuado cumplimiento.
Todo ello ha merecido que este Consejo haya formulado en su dictamen numerosas observaciones, unas de carácter general y otras más concretas, referidas a numerosas previsiones del texto del anteproyecto, algunas de las cuales (como las referidas a los artículos 2.2, 2.3, 2.4 y 5, 6.1, 6.2 párrafo primero, 6.2 párrafo segundo, 7 apartado a), 18.4, 18.5, 18.6, 28, 34.4 último párrafo, 35.2 párrafo segundo, 41, 47.4 y disposición derogatoria del anteproyecto) revisten carácter esencial en el concreto sentido previsto por el artículo 2, apartado 2 de la Ley Orgánica 3/1980, de 22 de abril, del Consejo de Estado, en relación con el artículo 130, apartado 3, del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.
C O N C L U S I O N
En mérito de lo expuesto, el Consejo de Estado es de dictamen:
Que, una vez tenidas en cuenta las observaciones esenciales formuladas a los artículos 2.2, 2.3, 2.4 y 5, 6.1, 6.2 párrafo primero, 6.2 párrafo segundo, 7 apartado a), 18.4, 18.5, 18.6, 28, 34.4 último párrafo, 35.2 párrafo segundo, 41, 47.4 y disposición derogatoria del anteproyecto, y consideradas las restantes observaciones contenidas en el cuerpo del presente dictamen, puede V. E. elevar a la aprobación del Consejo de Ministros el anteproyecto de Ley Orgánica de protección de datos personales tratados para fines de prevención, detección, investigación o enjuiciamiento de infracciones penales y de ejecución de sanciones penales, así como de protección y prevención frente a las amenazas contra la seguridad pública, para su ulterior remisión, como proyecto de Ley Orgánica, a las Cortes Generales".
V. E., no obstante, resolverá lo que estime más acertado.
Madrid, 28 de enero de 2021
LA SECRETARIA GENERAL,
LA PRESIDENTA,
EXCMO. SR. MINISTRO DEL INTERIOR.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
