ÍNDICE
1. Introducción. 2. Normativa general de protección de datos. 3. La protección de datos en el ámbito de la administración de Justicia. 4.La consideración del Ministerio Fiscal en la normativa de protección de datos. 5. Consideraciones generales sobre el responsable de protección de datos. 5.1. El responsable del tratamiento de datos personales en la normativa comunitaria. 5.2. El responsable en la LOPDGDD. 6. La identificación del responsable del tratamiento de datos en el ámbito del Ministerio Fiscal. 7. Las obligaciones del Ministerio Fiscal en materia de protección de datos. 7.1. Las obligaciones del Ministerio Fiscal como responsable del tratamiento de datos personales. 7.2. Obligaciones de la Fiscalía General del Estado. 7.3. Obligaciones de las fiscalías, unidades y de los demás órganos del MF. 7.4. Obligaciones de todos/as los/as fiscales. 7.5. Régimen sancionador. 8. La figura del Delegado de Protección de Datos. 8.1. Consideraciones generales. 8.2. El Delegado de Protección de Datos en el ámbito del Ministerio Fiscal. 8.2.1. Ámbito de actuación. 8.2.2.Estructura. 8.2.3. El DPD del Ministerio Fiscal. 8.2.4. Adjuntos del DPD del Ministerio Fiscal. 9. Cláusula de vigencia. 10. Conclusiones.
1. Introducción
El derecho a la protección de datos personales es un derecho fundamental implícitamente reconocido en el art. 18.4 de la Constitución Española y consagrado en el art. 8 de la Carta de los Derechos Fundamentales de la Unión Europea (en adelante, UE) y en el art. 16.1 del Tratado de Funcionamiento de la UE. Parte de su contenido reside en la facultad de disposición y control sobre los datos personales, poderes que se concretan jurídicamente en «la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular» (STC 76/2019, de 22 de mayo). Asimismo, los datos han de tratarse de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Este derecho «impone a los poderes públicos la prohibición de que se conviertan en fuentes de información sin las debidas garantías, así como el deber de prevenir los riesgos que puedan derivarse del acceso o divulgación indebidas de dicha información» (STC 292/2000, de 30 de noviembre).
La actuación cotidiana del Ministerio Fiscal (en adelante, MF) implica el necesario tratamiento de datos personales, ejecutando acciones sobre los mismos que deben respetar la normativa aplicable a la materia. Esta actuación se desarrolla fundamentalmente en el contexto de la actividad jurisdiccional o cuasijurisdiccional correspondiente al cumplimiento de su misión «de promover la acción de la justicia en defensa de la legalidad, de los derechos de los ciudadanos y del interés público tutelado por la ley, de oficio o a petición de los interesados, así como velar por la independencia de los Tribunales, y procurar ante éstos la satisfacción del interés social» (arts. 124 CE y 2 EOMF). Junto a ello, el MF efectúa tratamientos de datos personales en los expedientes de naturaleza gubernativa, por ejemplo, al tramitar y/o gestionar las situaciones administrativas derivadas de las relaciones funcionariales o laborales de las personas destinadas en las fiscalías.
En ambos casos, la actuación del MF está sujeta a la normativa de protección de datos, materia de cierta complejidad y que actualmente está en desarrollo, en la que confluye la normativa europea y la propia de los Estados miembros. Resulta preciso un cuidadoso análisis de la legislación aplicable, teniendo en cuenta la naturaleza y funciones del MF, «órgano de relevancia constitucional con personalidad jurídica propia, integrado con autonomía funcional en el Poder Judicial» (art. 2.1 EOMF).
La regulación vigente se basa en el principio de responsabilidad proactiva, que supone la obligación de «aplicar medidas técnicas y organizativas apropiadas, acordes con la naturaleza, ámbito y fines del tratamiento, a fin de garantizar y poder demostrar que el mismo es conforme a la normativa, e implica la necesidad de identificar a los responsables del tratamiento».Y, por otro lado, contempla la figura del Delegado de Protección de Datos (en adelante, DPD), con funciones de asesoramiento y supervisión sobre esta materia, previsión que requiere su concreción en el ámbito específico del MF.
La acomodación de la actuación del MF a la normativa de protección de datos plantea la necesidad de precisar estos aspectos, teniendo en cuenta su misión, estructura, organización y funcionamiento, a la luz de la nueva regulación y sin perjuicio de las adaptaciones que resulten precisas, en su caso, derivadas de la ulterior trasposición de la Directiva (UE) 2016/680 que se reseñará más adelante.
Esta instrucción se ha elaborado con el asesoramiento del Delegado de Protección de Datos del MF (en adelante, DPD del MF) y ha sido sometida a informe del Consejo Fiscal, de acuerdo con el art. 14. cuatro EOMF.
2. Normativa general de protección de datos
Desde la UE se ha pretendido proporcionar un enfoque coherente de la protección de datos, armonizando, en la medida de lo posible, la normativa sobre la materia aplicable a los sectores público y privado de los Estados miembros y el propio tratamiento por las instituciones, órganos y organismos de la Unión.
En primer lugar, y con el fin de garantizar una protección eficaz, completa y homogénea de las personas físicas en lo que respecta al tratamiento de datos personales y las normas relativas a la libre circulación de tales datos e identificar a los sujetos que están obligados a adoptar medidas, se aprobó el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, «relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE» (en adelante, RGPD), aplicable desde el pasado 25 de mayo de 2018, de alcance general, obligatorio y directamente aplicable en cada Estado miembro; y para el «ámbito penal» la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo de 27 de abril de 2016, «relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales y a la libre circulación de dichos datos» (en adelante, Directiva 2016/680), norma esta última pendiente aún de trasposición a nuestro ordenamiento.
Las anteriores normas contienen disposiciones referidas tanto al sector público como al sector privado de los Estados miembros. Para el tratamiento efectuado por las instituciones, órganos y organismos de la Unión, se aplica el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo de 23 de octubre de 2018, «relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE».
En nuestro ordenamiento interno, y con carácter general, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD) se dictó con el objetivo de adaptar nuestro ordenamiento jurídico al RGPD, manteniendo la vigencia de la anterior Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD) exclusivamente para los tratamientos sometidos a la mencionada Directiva 2016/680, en tanto no entre en vigor la norma que trasponga al derecho español lo dispuesto en la misma.
La normativa citada presenta una nueva configuración de la protección de datos que, superado el concepto de los ficheros, se centra en el tratamiento de datos y en las obligaciones que corresponden al responsable del mismo. Para ello, parte de la definición del tratamiento como «cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción» (art. 4.2 RGPD). E identifica al responsable del tratamiento o responsable como «la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento», añadiendo que «si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros» (art. 4.7 RGPD).
3. La protección de datos en el ámbito de la administración de Justicia
Como hemos indicado, la normativa europea mencionada pretende armonizar y unificar la protección de datos en los sectores público y privado. Sin embargo, y a pesar de este planteamiento común, la especial naturaleza de ciertos tratamientos, efectuados con determinados fines, y la necesidad de salvaguardar otros intereses que también exigen una especial protección, ha requerido una mención específica en la normativa y la previsión de ciertas especialidades.
Este es el caso del tratamiento efectuado con ocasión de la actividad de los tribunales y otras autoridades judiciales (considerandos 20 y 97 del RGPD) a los que se aplica el Reglamento –salvo en el ámbito penal citado en el que rige la directiva y en el futuro su norma de trasposición (aún no aprobada)–, con ciertas especialidades. Estas peculiaridades, aplicables a las operaciones de tratamiento efectuadas en el ejercicio de la función judicial, son la admisión del tratamiento de datos especialmente sensibles (art. 9.2.f en relación al 9.1 RGPD); exención del nombramiento obligatorio de un delegado de protección de datos (art. 37.1.a RGPD) y exclusión del ámbito de actuación de las autoridades de control (art. 55.3 RGPD).
Este tratamiento singular también se advierte en la Directiva 2016/680 -que como hemos indicado se aplica al tratamiento efectuado por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública (art. 1.1)–. La directiva incluye en su ámbito el tratamiento efectuado con los fines que enumera por toda autoridad competente, incluyendo a «cualquier otro órgano o entidad a quien el Derecho del Estado miembro haya confiado el ejercicio de la autoridad pública y las competencias públicas» con esos fines. Sin embargo, también contiene especialidades cuando las operaciones sobre los datos se han efectuado por los tribunales y otras autoridades judiciales independientes cuando actúen en ejercicio de sus competencias judiciales [posibilidad de exención de la designación del delegado de protección de datos (art. 32.1 Directiva 2016/680) y delimitación del ámbito de actuación de la autoridad de control (art. 45 Directiva 2016/680)].
En este sentido, resulta igualmente significativo que el Reglamento 2018/1725 aplicable a las instituciones, órganos y organismos de la Unión, prevea una supervisión independiente del Tribunal de Justicia cuando actúe en ejercicio de su función judicial, manteniéndolo fuera del ámbito de competencia del Supervisor Europeo de Protección de Datos (art. 51.1); que se excluya de la aplicación del Reglamento a la Fiscalía Europea hasta que su Reglamento(1) se adapte (art. 2.3); que se exceptúe de la prohibición de tratamiento de los datos especialmente sensibles el realizado cuando sea necesario «para la formulación, el ejercicio o la defensa de reclamaciones o cuando el Tribunal de Justicia actúe en ejercicio de su función judicial» (art. 10.1 y 2.f; o que admita ciertas limitaciones para la protección de la independencia judicial y de los procedimientos judiciales (arts. 25.1.e y 83).
A nivel nacional, la LOPDGDD en su ámbito de aplicación excluye las materias propias de la directiva –el tratamiento efectuado por parte de autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención– y menciona expresamente el tratamiento de datos llevado a cabo con ocasión de la tramitación por los órganos judiciales de los procesos de los que sean competentes, así como el realizado dentro de la gestión de la oficina judicial, que «se regirán por lo dispuesto en el Reglamento (UE) 2016/679 y la presente ley orgánica, sin perjuicio de las disposiciones de la Ley Orgánica 6/1985, de 1 julio, del Poder Judicial, que le sean aplicables» (art. 2.4). Más adelante, al regular el ámbito de la Agencia Española de Protección de Datos (en adelante, AEPD), deja claro que «cuando se trate de órganos judiciales u oficinas judiciales el ejercicio de las facultades de inspección se efectuará a través y por mediación del CGPJ» (art. 53.3).
Esta remisión se refiere al Capítulo I Bis del Título III del Libro III de la LOPJ (arts. 236 bis a 236 decies), dedicado a la «protección de datos de carácter personal en el ámbito de la Administración de Justicia»(2) que distingue entre el tratamiento de datos con fines jurisdiccionales o no jurisdiccionales. En el primer caso, el tratamiento se limitará a los datos en tanto se encuentren incorporados a los procesos de que conozcan y su finalidad se relacione directamente con el ejercicio de la potestad jurisdiccional (art. 236 ter). La diferenciación es relevante, pues afecta a ciertos aspectos, como las medidas para su supresión y cesión (art. 236 quinquies); su responsable (art. 236 sexies); las normas sobre el ejercicio de los derechos de los interesados de acceso, rectificación, cancelación u oposición (art. 236 octies) o la competencia de la autoridad de control (art 236 nonies).
4. La consideración del Ministerio Fiscal en la normativa de protección de datos
Como hemos visto, el RGPD no se refiere expresamente al tratamiento de datos personales realizados por el MF; tampoco, en el ámbito nacional, la parcialmente derogada LOPD ni la actual LOPDGDD mencionan al MF.
No obstante, resulta evidente que se encuentra sujeto a la normativa de protección de datos, ya que el derecho a la protección de datos constituye, sobre la base del art. 18.4 CE, un derecho fundamental autónomo y específico, razón por la que vincula al MF, al igual que a otros poderes públicos (art 53 CE).
Por otro lado, debe partirse de su condición de «autoridad judicial independiente» (considerandos 20 y 97 RGPD) a la vista de la naturaleza del MF y de las funciones que constitucional y estatutariamente tiene encomendadas.
Así, en el marco de la UE no ofrece dudas la consideración del MF como «autoridad judicial». Como ejemplos pueden citarse la consideración de quienes integran el MF como autoridad judicial en el Convenio Europeo de Asistencia Judicial en Materia Penal de 1959 o la Ley 23/2014, de 20 de noviembre, de reconocimiento mutuo de resoluciones penales en la Unión Europea. La propia Directiva 41/2014 del Parlamento Europeo y del Consejo de 3 de abril de 2014, relativa a la orden europea de investigación en materia penal, fija un concepto único de autoridad judicial que se define en el art. 2 c.i como: Juez, órgano jurisdiccional, juez de instrucción competente o fiscal competente en el asunto de que se trate(3).
Resulta también expresivo que la Directiva 2016/680 identifica a esas autoridades judiciales con el MF al establecer que los Estados miembros pueden disponer que la competencia de la autoridad de control no abarque el tratamiento de datos personales realizado por otras autoridades judiciales independientes en el ejercicio de su función jurisdiccional, por ejemplo, la fiscalía (considerando 80 y art. 45.2).
En el mismo sentido, la LO 18/2011, de 5 de julio, reguladora del uso de las tecnologías de la información y la comunicación en la Administración de Justicia, incluyó una disposición adicional novena sobre la «aplicación de la Ley al Ministerio Fiscal» indicando que «las referencias contenidas en el texto y articulado de la presente Ley a las oficinas judiciales, actividad judicial, juzgados y tribunales, sede judicial electrónica, órganos judiciales, expediente judicial electrónico, documento judicial electrónico, registro judicial electrónico y procedimiento judicial, serán de aplicación equivalente y se entenderán referidas igualmente a las oficinas fiscales, actividad fiscal, fiscalías, sedes fiscales electrónicas, expedientes fiscales electrónicos, registros fiscales electrónicos y procedimientos de cualquier tipo que se realicen y tramiten por el Ministerio Fiscal».
Por tanto, al examinar el tratamiento de datos que efectúa el MF debe partirse de una diferenciación entre el tratamiento que se realiza en el ejercicio de su función jurisdiccional o cuasijurisdiccional y el que se lleva a cabo al margen de la anterior.
El tratamiento de datos con fines jurisdiccionales o cuasijurisdiccionales por parte del MF, previsto en la normativa orgánica y procesal, está orientado al cumplimiento de las funciones que el EOMF asigna al MF y se corresponde con su intervención en los correspondientes procesos incoados por los órganos judiciales en las distintas jurisdicciones, así como el ejercicio de determinadas funciones propias del MF y previstas en el EOMF.
Dentro de los tratamientos con fines jurisdiccionales o cuasijurisdiccionales debemos distinguir las actuaciones que se realizan con fines de investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, que incluyen la intervención del MF en los procedimientos judiciales penales incoados, las diligencias de investigación o la tramitación del procedimiento previsto en la Ley 5/2000, de 12 de enero, reguladora de la responsabilidad penal de los menores. Todas estas actuaciones encontrarían su marco en la Directiva (UE) 2016/680 y, hasta que no entre en vigor la norma que trasponga al derecho español la citada directiva, continúan rigiéndose por la LOPD, y en particular el art. 22, y sus disposiciones de desarrollo (D.A.4.ª LOPDGDD).
Todas las demás actuaciones de naturaleza jurisdiccional no comprendidas en el párrafo anterior como, por ejemplo, la gestión procesal en los órdenes jurisdiccionales civil, social o contencioso-administrativo; las actuaciones preprocesales civiles, así como, en su caso, las actuaciones de naturaleza tuitiva (listados de internos en centros y residencias de personas mayores y personas con capacidad disminuida; registro de menores extranjeros no acompañados, control y seguimiento de solicitudes de internamientos en CIEs, etc.), se desarrollan en el marco del RGPD y la LOPDGDD.
El tratamiento de datos con fines no jurisdiccionales que se efectúa en las fiscalías se corresponde con la actuación derivada de expedientes gubernativos, la gestión de personal relativa a la situación administrativa, laboral y económica de fiscales y funcionarios, la agenda de la fiscalía, el registro y control de visitas, etc. Este tratamiento de datos se somete a la regulación del RGPD y la LOPDGDD.
La diferenciación es relevante, pues afecta a cuestiones como la autoridad de control(4) o las normas que rigen los derechos de los interesados (por ejemplo, el acceso o la cancelación de los datos).
5. Consideraciones generales sobre el responsable de protección de datos
Como hemos mencionado, el responsable del tratamiento es un concepto esencial en la actual normativa de protección de datos. Y ello, porque es preciso asignar quién debe asumir la responsabilidad del cumplimiento de las normas sobre protección de datos y cómo se debe facilitar a los interesados el ejercicio de sus derechos. La definición del responsable permite además en ocasiones determinar el alcance del tratamiento, pues el art. 6 RGPD establece que este último sólo será lícito si el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento o una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento (art. 6.1.c y e RGPD). Desde la perspectiva de los objetivos de la regulación de la protección de datos, resulta imprescindible que se defina con claridad la responsabilidad del tratamiento para que la normativa se pueda aplicar de forma eficaz y efectiva.
5.1 El responsable del tratamiento de datos personales en la normativa comunitaria.
El RGPD indica que el responsable del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento (art. 4.7 RGPD). Y añade que «si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros». Referencias similares se contienen en la Directiva 2016/680 y Reglamento 2018/1725 (art. 3.8 de ambas normas).
El Grupo de Trabajo del art. 29 sobre Protección de Datos(5) (en adelante, GT 29), interpretando(6) la definición similar que se contenía en la derogada Directiva 95/46/CE(7), considera que el concepto de responsable del tratamiento es un concepto funcional, destinado a asignar responsabilidades en función de la capacidad de influencia de hecho y, por tanto, está basado en un análisis de hecho más que formal. Para los casos de duda, este GT 29 indica otros elementos que pueden ser de utilidad, como el grado de control real ejercido, la imagen dada a los interesados o las expectativas razonables de los interesados sobre la base de esta visibilidad. En definitiva, indica el GT, lo esencial es que el organismo designado tenga el control efectivo sobre las operaciones de tratamiento.
5.2 El responsable en la LOPDGDD.
La LOPDGDD dispone: «Los responsables y encargados(8), teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del Reglamento (UE) 2016/679, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la presente ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable» (art. 28.1). Además, la LOPDGDD contiene algunas disposiciones que serían aplicables al MF como órgano de relevancia constitucional, como la publicación de un inventario de sus actividades de tratamiento (art. 31.2) o el régimen sancionador aplicable (art. 77).
6. La identificación del responsable del tratamiento de datos en el ámbito del Ministerio Fiscal
La normativa de protección de datos enumera los principios relativos al tratamiento de datos personales, disponiendo que los mismos deberán ser tratados de manera lícita, leal y transparente con el interesado; recogidos con fines determinados, explícitos y legítimos; adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados; exactos y, si fuera necesario, actualizados; mantenidos de forma que se permita la identificación de los interesados únicamente durante el tiempo necesario para los fines del tratamiento de datos personales; y tratados de manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas –integridad y confidencialidad de los datos– (art. 5 RGPD). Y añade que el responsable del tratamiento será responsable del cumplimiento de los anteriores principios y capaz de demostrarlo (responsabilidad proactiva).
En el ámbito del MF, resulta preciso identificar al responsable del tratamiento de forma clara y unívoca, con el fin de que el cumplimiento de las normas de protección de datos y el ejercicio de dicho derecho se vea suficientemente garantizado; debiendo la aplicación de dichas normas, por otro lado, tener en cuenta la naturaleza y estructura del MF.
En nuestra legislación, no hay una asignación explícita de la responsabilidad del tratamiento al MF; sin embargo, esta puede deducirse siguiendo varios criterios.
Como hemos indicado, el RGPD indica que el responsable del tratamiento es el que determina los fines y medios del tratamiento.
En el caso del MF, los fines del tratamiento, es decir, por qué se realiza el mismo, vienen determinados por las misiones constitucional y legalmente asignadas (definidas en el art. 124 CE y en el EOMF) o por las obligaciones que debe cumplimentar por el ejercicio de su actuación (por ejemplo, mantener un registro de los miembros del MF). Precisamente, de esta realidad se deriva que el fundamento del tratamiento que realiza el MF es «el cumplimiento de una función realizada en interés público o en el ejercicio de potestades públicas conferidas a las instituciones y organismos de la Unión» o el «cumplimiento de una obligación legal aplicable al responsable del tratamiento» (arts. 6 RGPD y 8.1 LOPDGDD).
La determinación de los medios supone, siguiendo las consideraciones del GT 29, decidir cómo se realizan las actividades de tratamiento. Los medios «no sólo se refieren a los medios técnicos para tratar los datos personales, sino también al «cómo» del tratamiento, que incluye preguntas como ¿qué datos deben tratarse?, ¿qué terceros deben tener acceso a estos datos? ¿cuándo deben borrarse los datos?, etc.». En la determinación de los medios se incluyen, por tanto, preguntas técnicas y organizativas.
Sin embargo, la determinación de los medios no exige que el responsable asuma la definición de todos los aspectos relativos a los mismos. Es posible que varios agentes participen en ciertos aspectos, manteniendo el responsable su capacidad de organizar e influir en la forma en la que se tratan los datos personales. Ciertas cuestiones pueden delegarse por ejemplo en los encargados del tratamiento, reservándose a la determinación del responsable los aspectos esenciales.
Estas circunstancias están presentes en la actividad del MF, pues la determinación de sus medios está condicionada al corresponder al Ministerio de Justicia o comunidades autónomas (en adelante, CCAA) el suministro de los medios materiales necesarios para su actividad. Además, aunque en la definición de las aplicaciones informáticas y en el diseño y configuración de las mismas (y, por tanto, en la determinación de ciertos aspectos sobre el tratamiento que a través de ellas se realiza) participa la Fiscalía General del Estado, a través de la Unidad de Apoyo, también interviene en la actualidad el Comité Técnico Estatal de la Administración Electrónica (CTEAJE)(9) y está supeditado al mencionado desarrollo y suministro de medios que deben efectuar el Ministerio de Justicia o las CCAA con competencias asumidas en materia de la administración de Justicia. Actualmente, doce CCAA han asumido las competencias en este ámbito.
Como criterio adicional para la identificación del responsable, ya se ha mencionado que el RGPD dispone que «si el Derecho de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros».
Conviene por ello examinar la normativa actual y los antecedentes en materia de determinación de los responsables de protección de datos en el ámbito del MF para identificar quién tiene capacidad de organizar el tratamiento que se efectúa en el ámbito del MF, examinando si la actual normativa indica las personas y/u organismos que deben asumir las responsabilidades, enfocando la cuestión desde el concepto funcional del responsable elaborado por el GT 29. Y en este punto es imprescindible partir de la CE y el EOMF.
Como ya se ha indicado, el derecho a la protección de datos constituye, sobre la base del art. 18.4 CE, un derecho fundamental autónomo y específico, que vincula al MF, al igual que a otros poderes públicos (art 53 CE), al tratarse de un órgano de relevancia constitucional con personalidad jurídica propia y que es único para todo el Estado, correspondiendo a la/el Fiscal General del Estado la jefatura superior, «impartiendo las órdenes e instrucciones convenientes al servicio y al orden interno de la institución y, en general, la dirección e inspección del Ministerio Fiscal» (art. 22.2 EOMF).
Esta capacidad organizativa incide tanto en las operaciones de tratamiento que se efectúan en las fiscalías mediante la confección de carpetillas o expedientes en papel, como en aquellas que se llevan a cabo utilizando determinadas aplicaciones informáticas y el soporte de las nuevas tecnologías.
En sus funciones de dirección y organización, la Fiscalía General imparte instrucciones y circulares indicando pautas de obligado cumplimiento sobre el tratamiento de datos personales necesario para el ejercicio de determinadas funciones del MF. Basta citar como ejemplos la Instrucción 1/2012, de 29 de marzo, sobre la coordinación del registro de menores extranjeros no acompañados, que se refiere a los datos imprescindibles para poder dar de alta a un menor en el registro; la Circular 9/2011, de 16 de noviembre, sobre criterios para la unidad de actuación especializada del Ministerio Fiscal en materia de reforma de menores, que se refiere a la necesidad de consignar con claridad los datos relativos al menor o menores imputados en el parte de incoación del expediente que el fiscal remite al juzgado de menores; al deber de incorporar al expedir requisitorias los datos previstos en los modelos utilizados al efecto o a la prohibición de proporcionar a los medios ningún dato que permita reconocer al menor; la Instrucción 4/2008, de 30 de julio, sobre el control y vigilancia por el Ministerio Fiscal de las tutelas de personas discapaces, que para cumplimentar los deberes específicos de vigilancia y comprobación del estado personal y patrimonial de los tutelados recordaba la necesidad de creación de un sistema informático de almacenamiento de datos, y disponía los datos que se debían registrar en el sistema informático de cada fiscalía al incoar las diligencias preprocesales, observándose lo dispuesto en la legislación sobre protección de datos de carácter personal; la Instrucción 4/2005, de 15 de abril, sobre motivación por el Ministerio Fiscal de las peticiones solicitando la medida cautelar de prisión provisional o su modificación, que recordaba el deber de los fiscales de llevar en todo momento un registro personal de las causas con preso preventivo que les corresponda, así como de mantener las fiscalías un actualizado sistema de control de estas causas, al que se incorporan los datos de presos preventivos; la Instrucción 3/2005, de 7 de abril, sobre las relaciones del Ministerio Fiscal con los medios de comunicación que incide sobre el especial deber de vigilancia en la protección de los datos que permitan la identificación de menores; la Instrucción 1/2003, de 7 de abril, sobre aspectos organizativos de las Fiscalías y sus adscripciones con motivo de la reforma parcial de la Ley de Enjuiciamiento Criminal que recoge los datos que deben registrarse; o la Instrucción 2/2000, de 27 de diciembre, sobre aspectos organizativos de las secciones de menores de las Fiscalías ante la entrada en vigor de la LO 5/2000, de 12 de enero de Responsabilidad Penal de los Menores que indica los datos que deben constar en la carátula de las diligencias preliminares o del expediente.
Por otro lado, y en el ámbito del tratamiento que se realiza a través de las nuevas tecnologías, el art. 230.1 LOPJ, después de disponer la obligación de las fiscalías de utilizar cualesquiera medios técnicos, electrónicos, informáticos y telemáticos, puestos a su disposición para el desarrollo de su actividad y ejercicio de sus funciones (…), añade que las instrucciones generales o singulares de uso de las nuevas tecnologías que (…) la Fiscalía General del Estado dirijan a (…) los fiscales, respectivamente, determinando su utilización, serán de obligado cumplimiento. Una disposición similar se recoge en la Ley 18/2011, de 5 de julio, reguladora del uso de las tecnologías de la información y la comunicación en la Administración de Justicia. Esta Ley dispone en su art. 8 que: «Los sistemas informáticos puestos al servicio de la Administración de Justicia serán de uso obligatorio en el desarrollo de la actividad de (…) las Fiscalías por parte de todos los integrantes de las mismas, conforme a los criterios e instrucciones de uso que dicten, en el ámbito de sus competencias, (…) la Fiscalía General del Estado (…)».
Los antecedentes en el sector de las nuevas tecnologías también conducen a la identificación del MF como responsable. Referida únicamente a ficheros automatizados, la Instrucción 6/2001, de 21 de diciembre, sobre ficheros automatizados de datos personales gestionados por el Ministerio Fiscal, estableció los ficheros de datos personales de los que se servirían los correspondientes órganos y fiscalías que constituyen el MF para el cumplimiento de sus funciones, y respecto al responsable indicaba «el MF, a través de las Fiscalías mencionadas en el Anexo II». El Anexo II indicaba los ficheros que gestionaban cada una de las fiscalías, mencionando la Fiscalía General del Estado (en la que se incluía la Fiscalía del Tribunal Supremo); Fiscalía ante el Tribunal Constitucional; Fiscalía Especial contra la Corrupción y la Criminalidad Organizada; Fiscalía Especial Antidroga; Fiscalía de la AN; Fiscalías Territoriales.
De nuevo para el sector concreto de las nuevas tecnologías, la DA 2.ª EOMF, según redacción de la Ley Orgánica 19/2003(10), dispone que el sistema de información y la red integrada de comunicaciones electrónicas, plenamente integrados con el fin de asegurar su unidad de actuación, del MF «serán definidos y gestionados por los órganos competentes de la Fiscalía General del Estado» que «a estos efectos contarán con el soporte administrativo y tecnológico del Ministerio de Justicia».
Y el Real Decreto 93/2006, de 3 de febrero, por el que se regula el sistema de información del Ministerio Fiscal, indica como responsable de aquel a la/el Fiscal General del Estado y a cada fiscalía respecto del sistema de gestión procesal.
Se identificaba así en esta normativa sectorial al MF como responsable de los ficheros, identificando a los órganos a través de los cuales actúa («a través de las fiscalías»), de acuerdo con el art. 2 EOMF.
Se desprende así de los preceptos citados y estos antecedentes, que corresponde al MF, como órgano con relevancia constitucional, la organización del tratamiento que se efectúa, siempre dentro de su ámbito de actuación y competencias, y sin perjuicio de que otros agentes intervengan en algunos aspectos. Esta asignación de la responsabilidad al organismo, que resulta del análisis de las competencias que al mismo corresponden, es además conforme con los criterios del Dictamen del GT 29, que parte de que en principio un organismo público es responsable de las actividades de tratamiento que tengan lugar dentro de sus actividades y riesgos. Esta determinación proporciona además a los interesados un ente de referencia estable para el ejercicio de sus derechos. Y es además coherente con el EOMF, que dispone que los miembros del MF actuarán siempre en representación de la Institución (art. 23 EOMF).
Por otro lado, la identificación del responsable de tratamiento está interrelacionado con las normas que establecen la atribución de responsabilidades o sanciones a que pueden estar sujetas las personas físicas o jurídicas.
Quien debe responder de la infracción de la protección de datos es siempre el responsable del tratamiento, y en este punto es ilustrativo que el MF está sujeto al régimen sancionatorio especial previsto en el art. 77 LOPDGDD, aplicable a los órganos constitucionales o con relevancia constitucional, que prevé que cuando estos responsables cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 LOPDGDD, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento, diferenciando así entre el responsable del tratamiento (en nuestro caso, el MF) que podría recibir el apercibimiento, el infractor de la normativa de protección de datos, y el cargo responsable, que podría ser amonestado, como más adelante se indica.
7. Las obligaciones del Ministerio Fiscal en materia de protección de datos
7.1 Las obligaciones del Ministerio Fiscal como responsable del tratamiento de datos personales.
Tal y como antes se ha apuntado, el art. 18.4 CE reconoce, como derecho fundamental autónomo y específico, el derecho a la protección de datos personales lo que, al igual que a otros poderes públicos, vincula al MF como órgano de relevancia constitucional con personalidad jurídica propia. El principio de responsabilidad proactiva implica que el MF, como responsable del tratamiento de datos, debe aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD (arts. 5.2 y 24 RGPD).
En consecuencia, el MF, en el estricto ámbito de sus competencias y actuación, estará obligado a tratar los datos personales de las personas físicas de acuerdo con los principios que a continuación se exponen (art. 5, apartados 1 y 2 RGPD) y en condiciones de poder demostrar que se actúa conforme a ellos:
– Licitud, lealtad y transparencia en relación con el interesado.
– Limitación de la finalidad, lo que supone que deberán ser tratados con fines determinados, explícitos y legítimos, y que no podrán ser objeto de un tratamiento ulterior que sea incompatible con dichos fines.
– Minimización de datos, lo que supone que serán tratados de manera adecuada, pertinente y limitada a lo necesario en relación con los fines del tratamiento.
– Exactitud, lo que supone que, exclusivamente en el marco de las competencias propias del MF y en la medida de lo posible, se adopten las medidas razonables para que los datos personales tratados se mantengan actualizados, suprimiendo o rectificando aquellos datos que sean inexactos con respecto a los fines para los que se tratan.
– Limitación del plazo de conservación, lo que supone que, exclusivamente en el marco de las competencias propias del MF y en la medida de lo posible, se adopten medidas razonables para que los datos personales sean mantenidos de forma que se permita la identificación de los interesados durante el tiempo estrictamente necesario para los fines del tratamiento.
– Integridad y confidencialidad, lo que supone, exclusivamente en el marco de las competencias propias del MF, la adopción de medidas técnicas y organizativas apropiadas para garantizar una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento y acceso no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.
7.2 Obligaciones de la Fiscalía General del Estado.
Para el cumplimiento de las obligaciones que dichos principios imponen al MF, la/el Fiscal General del Estado, al ostentar su jefatura superior y la máxima representación del MF (art. 13.1 y 22.2 EOMF), a través de los órganos y unidades competentes de la Fiscalía General del Estado, esencialmente deberá:
a) Adoptar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD; dichas medidas deberán ser revisadas y actualizadas cuando sea necesario (art 24.1 RGPD).
b) Adoptar las medidas técnicas y organizativas apropiadas a fin de proteger los derechos de los interesados (art. 25.1 RGPD).
c) Establecer los mecanismos y procedimientos necesarios para facilitar a los interesados el ejercicio de sus derechos proporcionando a los mismos información concisa, transparente, inteligible y de fácil acceso, para lo cual se elaborarán los correspondientes modelos o guías que se pondrán a disposición de las fiscalías y del resto de órganos y unidades del MF (art. 12 RGPD).
d) Promover, en el marco de las competencias del MF y en el ámbito de las TIC, la implementación de las medidas técnicas precisas para la protección de datos personales desde el diseño y por defecto, tanto en el momento de determinar los medios de tratamiento como durante el propio tratamiento (art. 25.1 RGPD).
e) Designar y cesar en los supuestos previstos al DPD del MF (art. 37.1 RGPD) así como comunicar su nombramiento y cese a la autoridad de control (art. 37.7 RGPD).
f) Adoptar las medidas precisas para que el DPD pueda ejercer sus funciones, y en concreto, facilitar y garantizar (art. 38 RGPD):
– Su participación de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
– Los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, no pudiendo oponerse la existencia de deber de confidencialidad o secreto.
– Los recursos precisos para el mantenimiento de sus conocimientos especializados.
– La ausencia de conflicto de intereses en el supuesto de realizar otras funciones.
– Que no reciba ninguna instrucción de las fiscalías u órganos fiscales en lo que respecta al ejercicio de sus funciones.
–Que no sea destituido ni sancionado por desempeñar sus funciones, salvo en caso de dolo o negligencia grave.
–La rendición de cuentas ante la/el Fiscal General del Estado, a cuyo fin el DPD del MF deberá presentar un plan anual de supervisión de fiscalías y órganos fiscales, de cuyo resultado el DPD habrá de darle oportuna cuenta.
g) Identificar las actividades de tratamiento, así como su finalidad y base jurídica (art. 30 RGPD y art. 31.1 LOPDGDD) para lo cual se elaborarán los correspondientes modelos o guías que se pondrán a disposición de la fiscalías y órganos fiscales.
h) Mantener el registro de actividades de tratamiento del MF; remitirlo al DPD del MF (art. 31.1 LOPDGDD); ponerlo a disposición de la autoridad de control cuando esta lo solicite (art. 30.4 RGPD); y hacer público un inventario de estas actividades accesible por medios electrónicos (art. 31.2 LOPDGDD).
i) Aplicar una política de protección de datos cuando resulte proporcionada en relación con las actividades de tratamiento (art. 24.2 RGPD).
j) En relación al tratamiento que se efectúa a través de las nuevas tecnologías, encomendar al encargado o encargados en el ámbito de sus competencias del tratamiento la realización del correspondiente análisis de riesgo de las actividades de tratamiento del MF y cooperar con los mismos con la finalidad de establecer e implementar un nivel de seguridad adecuado al riesgo (art. 32.1 RGPD).
k) Proceder, antes de realizar un nuevo tratamiento de datos, en particular si utiliza nuevas tecnologías, que, por su naturaleza, alcance, contexto o fines, sea probable que entrañe un alto riesgo para los derechos y libertades de las personas físicas, a realizar una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales o encomendar su realización (art. 35.1 RGPD).
l) Reclamar al encargado o encargados de tratamiento, cuando lo estime oportuno, la información necesaria para comprobar el cumplimiento de las obligaciones que les impone el RGPD, así como, a esos efectos, realizar auditorías, incluidas inspecciones (art. 28 h) RGPD).
m) Recibir la información sobre presuntos incidentes de violación de seguridad, valorar y, en su caso, proceder a comunicar el incidente a la autoridad de control y al interesado (arts. 33.1 y 34.3 RGPD).
n) Cooperar con la autoridad de control en el desempeño de sus funciones (art. 31 RGPD).
o) Documentar en el correspondiente o correspondientes expedientes gubernativos de los órganos o unidades competentes de la Fiscalía General del Estado las medidas y actuaciones realizadas (24.1 RGPD).
p) Promover la concienciación y formación de funcionarios y fiscales en materia de protección de datos personales.
Corresponde a cada una de las unidades y órganos de la Fiscalía General del Estado el cumplimiento de estas obligaciones, de acuerdo con sus propias competencias.
Como consecuencia de las especificas funciones que, en virtud del art. 13.4 EOMF, tiene asignada la Unidad de Apoyo de la Fiscalía General del Estado, de entre las anteriormente mencionadas, particularmente le corresponderá:
a) Promover y participar, en el marco de las competencias del MF, a través de su participación en el Comité Técnico Estatal de la Administración Judicial Electrónica (CTEAJE) y de acuerdo con las previsiones de la Ley 18/2011 y la normativa correspondiente en el ámbito de las TIC, en la implementación de las medidas técnicas precisas para la protección de datos personales desde el diseño y por defecto, tanto en el momento de determinar los medios como en el momento del propio tratamiento (art. 25.1 RGPD).
b) Participar en la adopción de las medidas técnicas apropiadas a fin de proteger los derechos de los interesados (art. 25.1 RGPD).
c) Convenir con el encargado o encargados del tratamiento la adopción de mecanismos visibles accesibles y sencillos, incluidos los electrónicos, para facilitar a los interesados el ejercicio de sus derechos (art. 12 RGPD).
d) Proporcionar a las fiscalías y órganos fiscales los correspondientes modelos o guías de información de derechos a los interesados.
e) Recabar las actividades de tratamiento realizadas por distintas fiscalías y órganos fiscales con el fin de identificar las actividades de tratamiento del MF, facilitando previamente, y a esos efectos, los correspondientes modelos o guías que hayan sido establecidos por la Fiscalía General del Estado.
f) Elaborar e identificar, con asesoramiento del DPD del MF, el registro de actividades de tratamiento del MF, así como su finalidad y base jurídica y remitir al mismo cualquier adición, modificación o exclusión (art. 31.1 LOPDGDD).
g) Mantener actualizado el registro de actividades de tratamiento del MF y ponerlo a disposición de la autoridad de control cuando esta lo solicite (art. 30.4 RGPD).
h) Hacer público por medios electrónicos el inventario de actividades de tratamiento (art. 31.2 LOPDGDD).
i) En el ámbito de las nuevas tecnologías, encomendar al encargado o encargados del tratamiento la realización del correspondiente análisis de riesgo de las actividades de tratamiento del MF y cooperar con los mismos con la finalidad de establecer e implementar un nivel de seguridad adecuado al riesgo (art. 32.1 RGPD).
Para dicha actuación se deberá contar con la participación de la jefatura de la fiscalía u órgano fiscal o un representante del mismo y, en su caso y de afectar a una fiscalía territorial, con la participación de los fiscales responsables del Servicio de Información del Ministerio Fiscal (SIMF) y del fiscal superior de la respectiva comunidad autónoma, comunicando todas las actuaciones al DPD o al adjunto territorialmente competente.
j) Proceder, antes de realizar un nuevo tratamiento de datos, en particular si utiliza nuevas tecnologías, que, por su naturaleza, alcance, contexto o fines, sea probable que entrañe un alto riesgo para los derechos y libertades de las personas físicas, a realizar una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales o encomendar su realización (art. 35.1 RGPD).
k) Reclamar al encargado o encargados de tratamiento, cuando lo estime oportuno, la información necesaria para comprobar el cumplimiento de las obligaciones que les impone el RGPD respecto de los responsables, así como, a esos efectos, realizar auditorías (art. 28.3.h RGPD) para lo cual se deberá recabar, en su caso y de afectar a una fiscalía territorial, la colaboración de los fiscales del SIMF y del fiscal superior de la respectiva comunidad autónoma.
l) Recibir la información sobre presuntos incidentes de violación de seguridad y comunicar los mismos a la autoridad de control, así como al interesado, en el supuesto de que por la/el Fiscal General del Estado así haya sido decidido (arts. 33.1 y 34.3 RGPD).
m) Comunicar a la autoridad de control el nombramiento y cese del DPD del MF (art. 37.7 RGPD y 34.3 LOPDGDD).
n) Cooperar, en el ámbito de sus funciones, con la autoridad de control (art. 31 RGPD).
o) Adoptar las medidas precisas para que el DPD pueda ejercer sus funciones, y en concreto, facilitar y garantizar (art. 38 RGPD):
– Su participación de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
– Los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento no pudiendo oponerse la existencia de deber de confidencialidad o secreto.
– Divulgar en el ámbito del MF el conocimiento de la figura del DPD del MF, posición y funciones.
7.3 Obligaciones de las fiscalías, unidades y de los demás órganos del Ministerio Fiscal.
La determinación del MF como responsable del tratamiento supone que las obligaciones que le impone la normativa de protección de datos se ejercen también a través de las jefaturas de los órganos fiscales, unidades y fiscalías que llevan a cabo actividades de tratamiento (ya sean comunes a todos los órganos y fiscalías o especificas por la especial función que desarrollan) puesto que su dirección y organización se ejerce en representación del MF (arts. 2.1 y 22 EOMF).
Por tanto, estas obligaciones incumben a las unidades que integran la Fiscalía General del Estado (Unidad de Apoyo, Secretaría Técnica, Inspección Fiscal y Unidades Especializadas), a la Fiscalía del Tribunal Supremo, a la Fiscalía ante el Tribunal Constitucional, a la Fiscalía de la Audiencia Nacional, a las Fiscalías Especiales (Fiscalía Antidroga y Fiscalía contra la Corrupción y la Criminalidad Organizada), a la Fiscalía del Tribunal de Cuentas, a la Fiscalía Jurídico Militar, a las Fiscalías de las CCAA, a las Fiscalías Provinciales y a las Fiscalías de Área.
En virtud de ello, corresponde a las jefaturas de las referidas unidades, órganos y fiscalías, dentro del exclusivo ámbito de sus competencias organizativas y de dirección, adoptar las medidas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD, así como la adecuada protección de los derechos de los interesados y de su ejercicio por parte de los mismos, para lo cual podrán contar con el asesoramiento del DPD del MF o el adjunto del DPD que corresponda, debiendo:
a) Documentar en el correspondiente expediente gubernativo todas las actuaciones que se realicen para la implementación de la normativa de protección de datos.
Dicho expediente se iniciará con el correspondiente decreto y al mismo se habrán de incorporar las instrucciones y comunicaciones remitidas por la Fiscalía General del Estado en materia de protección de datos; la descripción de las actividades de tratamiento realizadas por el correspondiente órgano fiscal o fiscalía, así como sus sucesivas modificaciones; las actuaciones acordadas; notas de servicio dirigidas a fiscales y plantilla de funcionarios; comunicaciones al Ministerio de Justicia o a los órganos de las CCAA con competencias transferidas en materia de justicia sobre medios materiales o tecnológicos para salvaguardar la protección de datos; comunicaciones dirigidas a la Fiscalía General del Estado; incidencias y la constancia de las reclamaciones de los interesados, que serán tramitadas en expedientes individualizados y separados; etc.
b) Colaborar en la elaboración del registro de actividades de tratamiento del MF de conformidad con lo dispuesto en el RGPD y siguiendo las pautas marcadas por la Fiscalía General del Estado.
c) Mantener actualizado la descripción del registro de actividades de tratamiento propio del correspondiente órgano fiscal o fiscalía y ponerlo a disposición de la autoridad de control cuando esta lo solicite.
d) Identificar los medios materiales y/o tecnológicos que, en su caso, resulten necesarios para salvaguardar el derecho a la protección de datos (necesidad de armarios con llave, solicitud de memorias USB encriptadas, etc.) y solicitarlos, bien directamente en el caso de las jefaturas territoriales, bien a través de la Unidad de Apoyo de la Fiscalía General del Estado en el caso del resto de unidades y órganos.
e) Comunicar a la plantilla de fiscales y funcionarios las pautas de seguridad que los correspondientes encargados de tratamiento, como proveedores de los medios y aplicaciones informáticas, hayan establecido para su utilización.
f) Dictar instrucciones dirigidas a los fiscales y a la plantilla de funcionarios con el fin de concienciar en la cultura de protección de datos y de instar a su cumplimiento, así como promover medidas básicas a ese fin, entre las que se encuentran las siguientes:
– Utilización en los equipos informáticos de usuario y contraseña de uso personal y no compartido.
– Cerciorarse del bloqueo o cierre de sesión en el equipo informático antes de abandonar el puesto de trabajo.
– Encriptación de los dispositivos de memoria USB que se utilicen.
– No abrir archivos o enlaces adjuntos que puedan acompañar a correos electrónicos remitidos por fuentes desconocidas.
– Cumplimiento de las indicaciones establecidas para el teletrabajo por medio de VPN (Red Privada Virtual).
– Exigencia de la debida custodia de documentos, carpetillas, procedimientos y expedientes.
– Implantación de actuaciones y adopción de medidas dirigidas a impedir que queden a la vista o a disposición de personal no autorizado documentos que contengan datos personales.
–Destrucción de forma segura de documentos y dispositivos en desuso utilizando, para la documentación en soporte papel, las destructoras o contenedores cerrados previstos al efecto.
–Obligación de comunicar a sus superiores jerárquicos cualquier incidente de seguridad con riesgo para datos personales del que hayan tenido conocimiento o hayan sido protagonistas (pérdida de documentación, móviles, memorias USB, ordenador, etc.).
g) Cuando los datos personales hayan sido obtenidos del propio interesado se deberá facilitar el ejercicio de sus derechos proporcionando a los mismos información concisa, transparente, inteligible y de fácil acceso, utilizando el correspondiente impreso que haya sido proporcionado por la Fiscalía General del Estado en el que además de los generales se incluyan los datos singulares de la fiscalía u órgano del MF. Ese impreso podría ser colocado en un lugar visible o, de realizarse en la página web de atención al ciudadano de la Fiscalía General del Estado, mediante un enlace que dé acceso al mismo o, en caso de recibirse por correo electrónico, mediante un pie de firma en el acuse de recibo.
h) Cuando el interesado presente una solicitud para el ejercicio de sus derechos en virtud de la normativa de protección de datos, deberán informar al interesado sobre las actuaciones derivadas de su petición en el plazo de un mes a partir de la recepción de la solicitud (en el caso de solicitudes especialmente complejas, este plazo puede extenderse dos meses más, notificando esta ampliación dentro del primer mes). Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se le facilite de otro modo.
En este aspecto resulta relevante señalar, por un lado, que para el ejercicio de dichos derechos resulta indispensable que el solicitante acredite su identidad, pudiendo utilizarse todas las medidas razonables para verificar la misma, en particular en el contexto de los servicios en línea (considerando 64 RGPD).
Por otro lado, en el supuesto de que se trate de solicitudes de derechos relativos a datos derivados de procedimientos judiciales, estas solicitudes se tramitarán conforme a las normas que resulten de aplicación al correspondiente proceso judicial en el que fueron recabados, razón por la que habrá de indicarse a los interesados que se carece de competencia para ello e informar a los mismos que podrán efectuar la solicitud ante los correspondientes órganos judiciales (art. 236 octies 1 LOPJ). La normativa sobre los procedimientos judiciales se aplicará, por analogía, en el caso de que los datos sean tratados en expedientes o diligencias preprocesales tramitadas por el MF en cuyo seno deberán ejercerse los correspondientes derechos relativos a la protección de datos personales.
Las resoluciones relativas a las solicitudes que se formulen deberán estar siempre debidamente motivadas, debiendo indicarse al interesado, en caso de no dar curso a la misma, que podrá dirigirse al DPD del MF, antes de formular reclamación ante la autoridad de control o de ejercitar acciones judiciales.
i) En caso de que se produzca, en el estricto ámbito de competencias de la jefatura del órgano fiscal o fiscalía, cualquier incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de los datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos, debe notificarlo sin dilación al DPD del MF o adjunto del DPD y a la Fiscalía General del Estado.
j) Respetar las funciones del DPD del MF y de los adjuntos del DPD del MF garantizando su participación de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales; facilitando los medios necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento no pudiendo oponerse la existencia de deber de confidencialidad o secreto, y absteniéndose de dar instrucciones al DPD del MF y a los adjuntos del DPD del MF en el ejercicio de sus funciones.
k) Cooperar con la autoridad de control en el desempeño de sus funciones.
7.4 Obligaciones de todos/as los/las fiscales.
Las exigencias que impone la normativa de protección de datos se extienden tanto a quienes integran el MF como a la plantilla de funcionarios que prestan servicio en las distintas fiscalías y órganos fiscales. En consecuencia, para evitar posibles riesgos y brechas que puedan generar incidentes de seguridad, todos ellos están obligados a conocer y cumplir las normas, procedimientos, e instrucciones impartidas en materia de protección de datos.
Entre estas obligaciones destacan, además de las medidas básicas ya indicadas en la letra f) del apartado anterior, el deber de respetar la confidencialidad de los datos personales tratados, el cumplimiento de la normativa e instrucciones sobre protección de datos recibidas (art. 29 RGPD) y su participación en actividades formativas.
7.5 Régimen sancionador.
Como hemos indicado, el MF, como órgano responsable del tratamiento de datos personales, está sujeto al régimen sancionador especial previsto en el art. 77 LOPDGDD, aplicable a los órganos constitucionales o con relevancia constitucional.
Según dispone este artículo, cuando estos responsables cometiesen alguna de las infracciones a las que se refieren los arts. 72 a 74 LOPDGDD, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. Y ello, sin perjuicio de que «la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello (…) y cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el “Boletín Oficial del Estado” o autonómico que corresponda».
Se parte así de una diferenciación importante entre el responsable del tratamiento (en nuestro caso, el MF) que podría recibir la sanción prevista en la LOPDGDD (el apercibimiento); el infractor de la normativa de protección de datos, sobre el que se podrían iniciar actuaciones disciplinarias; y la autoridad y directivo que, como cargo responsable, cuando las infracciones le sean imputables por la desatención de los informes técnicos o recomendaciones para el tratamiento, podría recibir una amonestación que se publicaría en el BOE o autonómico que corresponda.
Ello sin perjuicio de la aplicación de la normativa general de responsabilidad civil, penal y disciplinaria, prevista en el Capítulo VII del Título III del EOMF.
8. La figura del Delegado de Protección de Datos
8.1 Consideraciones generales.
La actual normativa de protección de datos dedica una especial atención al Delegado de Protección de Datos (DPD)(11), figura que articula con la función de supervisar y asesorar al responsable y empleados; supervisar el cumplimiento del RGPD; actuar como punto de contacto de la autoridad de control y cooperar con ella.
En relación a su designación, el RGPD dispone la obligación del responsable de designar un DPD, siempre que el tratamiento de datos de carácter personal lo lleve a cabo una autoridad u organismo público, «excepto los tribunales que actúen en el ejercicio de su función judicial» (art. 37.1). En este último caso, se puede designar un DPD o se deberá designar si lo exige el derecho de la Unión o de los Estados miembros. Sobre su nombramiento, el art. 37.3 indica que cuando el responsable es una autoridad u organismo público, se puede designar un único DPD para varias autoridades, teniendo en cuenta su organización y tamaño.
Según el art. 32 de la Directiva 2016/680 (aún no transpuesta): «Los Estados miembros dispondrán que el responsable del tratamiento designe un delegado de protección de datos. Los Estados miembros podrán eximir de esa obligación a los tribunales y demás autoridades judiciales independientes cuando actúen en ejercicio de sus competencias judiciales. 2. El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos, y a su capacidad para desempeñar las funciones contempladas en el artículo 34. 3. Podrá designarse a un único delegado de protección de datos para varias autoridades competentes teniendo en cuenta la estructura organizativa y tamaño de estas. (…)».
La LOPDGDD permite que el DPD sea tanto una persona física como una persona jurídica (art. 35 LOPDGDD) y dispone que los responsables deben designar un DPD en los supuestos previstos en el art. 37.1 RGPD, sin incluir al MF ni a los Tribunales cuando actúan en el ejercicio de su función judicial entre las entidades que, en todo caso, deben designar un DPD (art. 34.1 LOPDGDD); y dispone que el resto de entidades no mencionadas podrá designar de manera voluntaria un DPD (art. 34.2 LOPDGDD).
El nombramiento del DPD debe efectuarse en atención a sus conocimientos (art. 37.5 RGPD). El DPD puede formar parte de la plantilla del responsable, aunque no puede ocupar un cargo en la organización que le lleve a determinar los fines y medios del tratamiento. Lo que resulta fundamental es que en todo caso el DPD tenga asegurada su independencia respecto del responsable.
A propósito de este artículo, las Directrices sobre los delegados de protección de datos (DPD) del GT 29(12) indican que se podrá designar un único DPD para varias autoridades y organismos públicos, teniendo en cuenta su estructura organizativa y tamaño y con la ayuda de un equipo si fuera necesario, bajo la responsabilidad de un contacto principal y siempre que se distribuyan de manera clara las tareas dentro del equipo del DPD externo y se asigne una única persona como contacto principal. Por otro lado, y comentando las posibilidades de destitución o sanción por el desempeño de las funciones del DPD, las Directrices valoran positivamente que «cuanto más estable sea el contrato del DPD y más garantías existan contra el despido improcedente, más probabilidades habrá de que el DPD pueda actuar con independencia».
8.2 El Delegado de Protección de Datos en el ámbito del Ministerio Fiscal.
Las anteriores previsiones deben ser examinadas a la luz de las funciones del MF, su organización, su estructura jerarquizada, y los distintos ámbitos en los que se desenvuelve su actividad. En este contexto se plantea la necesidad de una reflexión detenida sobre la mejor forma de articulación de la figura del DPD en el ámbito del MF.
8.2.1 Ámbito de actuación.
La primera cuestión que se plantea es la definición de su ámbito de actuación. De acuerdo con la legislación, únicamente resultaría obligatorio el nombramiento del DPD para el tratamiento de datos efectuado en el ámbito del MF con fines no jurisdiccionales.
Sin embargo, la mayor parte de la actuación del MF se efectúa en el ámbito jurisdiccional o cuasijurisdiccional, por lo que los principios de unidad de actuación y dependencia jerárquica que rigen la actuación del MF, apuntan a la conveniencia de que el DPD en el ámbito del MF incluya en su actuación sus funciones de asesoramiento y supervisión en el ámbito de las funciones jurisdiccionales o cuasijurisdiccionales. Ello permitirá asegurar el mejor asesoramiento en materia de protección de datos en la actividad cotidiana del MF y en las cuestiones que surjan sobre la materia, lo que sin duda redundará en el mejor cumplimiento por el MF de sus obligaciones.
Este planteamiento permitirá, por otro lado, que los afectados puedan, con carácter previo a presentar una reclamación ante la autoridad de control, dirigirse al DPD del MF en relación a todos los tratamientos que efectúa el MF (art. 37.1 LOPDGDD). Y en el caso de que un afectado presente una reclamación ante la autoridad de control, el DPD del MF podrá formular alegaciones si se le da traslado de la misma (art. 37.2 LOPDGDD).
8.2.2 Estructura.
En segundo lugar, conviene analizar las distintas opciones sobre su articulación, cuestión que debe abordarse desde la perspectiva de las funciones asignadas, que han de ser ejercidas garantizando su independencia: supervisar y asesorar sobre el cumplimiento de la normativa de protección de datos y actuar como punto de contacto de la autoridad de control y cooperar con ella, entre otras competencias.
En este contexto se plantea si resultaría conveniente el nombramiento de un solo DPD para todo el MF, una estructura de varios delegados de protección de datos con ámbitos de actuación específicos y diferenciados, o un único DPD para todo el MF asistido de una red de adjuntos del DPD.
Esta última opción resulta la más conveniente a fin de asegurar los principios que rigen la actuación del MF, unidad de actuación y dependencia jerárquica, al mismo tiempo que permite atender con mayor facilidad las singularidades y necesidades de las distintas fiscalías.
Esta configuración resulta además necesaria, porque la unidad de actuación del MF y la debida articulación de sus relaciones con otras entidades exige la definición de una estructura que permita el ejercicio de las funciones del DPD en el ámbito del MF, salvaguardando en todo caso su debida independencia y de acuerdo con la normativa.
Debe tenerse en cuenta que en otras administraciones puede plantearse una distribución del ámbito de actuación entre distintos DPD nombrados, de forma que cada uno de ellos asesore y supervise a distintos responsables que llevan a cabo distintos tratamientos de datos. Sin embargo, en el ámbito del MF, las fiscalías territoriales realizan diversas operaciones que forman parte del tratamiento de datos del MF, por lo que carecería de sentido que distintos DPD pudiesen informar de manera distinta un mismo tratamiento de datos personales.
A ello se une que si el DPD «rinde cuentas directamente al más alto nivel jerárquico del responsable» (art. 38.3 RGPD), tiene entre sus funciones «supervisar el cumplimiento de la normativa de protección de datos y políticas del responsable en materia de protección de datos» (art. 39.1.b) RGPD), y «cuando aprecie la existencia de una vulneración relevante en materia de protección de datos lo documentará y lo comunicará inmediatamente a los órganos de administración y dirección del responsable del tratamiento» (art. 36.1 LOPDGDD), resulta razonable una configuración que sitúe un DPD del MF «general» para toda la actuación del MF y que rinda cuentas ante el/la Fiscal General del Estado, quien ostenta la jefatura del MF, y ello sin perjuicio de configurar un equipo de apoyo al mismo.
Por otro lado, el DPD actúa como interlocutor del responsable ante la autoridad de control (art. 39.1.e RGPD), por lo que resulta conveniente mantener un único punto de contacto ante la misma.
Teniendo en cuenta todo lo anterior, la estructura del MF, su organización, la necesidad de una actuación uniforme (adaptada a las circunstancias de cada fiscalía) y la movilidad entre fiscalías de los miembros de la carrera fiscal, se estima conveniente la designación de un DPD del MF, que ejercerá sus funciones en relación a la actuación del MF.
No obstante, el DPD del MF deberá estar asistido por una red de adjuntos del DPD del MF que, bajo el principio de jerarquía, colaboren con las funciones asignadas al DPD del MF en su correspondiente ámbito. Con el fin de facilitar el cumplimiento de sus funciones, se designará un adjunto territorial del DPD en el ámbito de cada una de las CCAA.
8.2.3 El Delegado de Protección de Datos del Ministerio Fiscal.
8.2.3.1 Ámbito de actuación.
Las funciones del DPD del MF se extenderán a todo el ámbito de actuación del MF que implique tratamiento de datos personales, tanto en el ejercicio de funciones jurisdiccionales o cuasijurisdiccionales, como gubernativas.
8.2.3.2 Requisitos.
De acuerdo con el RGPD, el DPD debe ser designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones previstas en el RGPD (art. 37.5 RGPD).
En relación al nivel de conocimientos requerido, el GT 29 subraya que el mismo no está definido estrictamente, pero debe ser acorde con la sensibilidad, complejidad y cantidad de los datos que una organización trata. Seguidamente añade que, aunque el artículo 37.5 RGPD no especifica las cualidades profesionales que se deben tener en cuenta a la hora de designar al DPD, hay ciertos factores importantes a valorar: que tenga conocimientos sobre la legislación y prácticas nacionales y europeas en materia de protección de datos y una profunda comprensión del RGPD; conocimiento de la organización del responsable del tratamiento; buen conocimiento de las operaciones de tratamiento que se llevan a cabo, así como de los sistemas de información y de las necesidades de seguridad y protección de datos del responsable del tratamiento; y, en el caso de autoridades u organismos públicos, un conocimiento sólido de las normas y procedimientos administrativos de la organización.
El DPD puede formar parte de la plantilla del responsable (art. 37.5 RGPD), pero no puede ocupar un cargo en la organización que le lleve a determinar los fines y medios del tratamiento y debe evitarse el conflicto de intereses (art. 36.2 LOPDGDD).
Es preciso determinar qué cargos en la organización del MF podrían presentar un conflicto de intereses, al participar, en el ámbito de sus competencias, en la organización del tratamiento de datos que se realiza en cada fiscalía, siempre por cuenta del MF como institución. Resulta sobre este aspecto ilustrativo que el documento elaborado por la AEPD sobre el «DPD en las Administraciones Públicas» indica que, si el DPD compagina sus funciones con otras, «debe tenerse en cuenta la necesidad de evitar conflictos de intereses entre las diversas ocupaciones. El DPD actúa como asesor y supervisor interno, por lo que ese puesto no puede ser ocupado por personas que, a la vez, tengan tareas que impliquen decisiones sobre la existencia de tratamientos de datos o sobre el modo en que van a ser tratados los datos (p.ej.: responsables de ITC, o responsables de seguridad de la información)».
Teniendo en cuenta sus funciones de dirección, no podrán presentarse a la convocatoria los/as fiscales jefes. Tampoco podrán ser candidatos los/as tenientes fiscales, a quienes corresponde «asumir las funciones de dirección o coordinación que le delegue el Fiscal Jefe, y sustituir a éste en caso de ausencia, vacante o imposibilidad» (art. 22.6 EOMF). En el caso de otros fiscales que desempeñen funciones organizativas por delegación de la jefatura, deberá examinarse el contenido concreto de la delegación para determinar si podría existir un conflicto de intereses que impediría su nombramiento.
Tampoco podrán presentarse a la convocatoria los fiscales destinados en la Secretaría Técnica o en la Unidad de Apoyo de la Fiscalía General del Estado, teniendo en cuenta respectivamente las funciones de estas unidades en el asesoramiento a la/al Fiscal General del Estado y en la organización del tratamiento de datos, especialmente en el que se efectúa a través de las nuevas tecnologías.
Resultará asimismo incompatible el ejercicio de las funciones de DPD del MF por los miembros del Consejo Fiscal, ante la posibilidad de conflicto de intereses con el desempeño de las funciones previstas en el art. 14.cuatro EOMF.
Tampoco resulta compatible el desempeño de las funciones del DPD del MF por los fiscales responsables SIMF dadas sus atribuciones de control y fomento del buen uso y aprovechamiento de las aplicaciones de gestión procesal y los sistemas de información y comunicaciones electrónicas, impulsando su utilización, transmitiendo a la Unidad de Apoyo las necesidades de formación y posibles deficiencias que detecten o incidencias que se produzcan(13). Por ello, con el fin de salvaguardar la independencia requerida al DPD, y en el caso de que un fiscal SIMF sea designado para desempeñar las funciones del DPD del MF, deberá, con carácter previo a su nombramiento por el/la Fiscal General del Estado, ser relevado de sus funciones SIMF.
En todo caso y con carácter general, con carácter previo al nombramiento del DPD del MF deberán examinarse qué concretas funciones desempeña como fiscal el candidato, las cuales, en su caso, deberá compatibilizar con el cumplimiento de sus atribuciones, a fin de evitar todo posible conflicto de intereses.
8.2.3.3 Convocatoria, procedimiento de selección y nombramiento.
Para la cobertura del DPD del MF, el/la Fiscal General del Estado dirigirá una convocatoria a todos los fiscales de la plantilla, mencionando las incompatibilidades descritas en el apartado anterior.
Los aspirantes deberán presentar en el plazo fijado en la convocatoria su currículum vitae, indicando sus conocimientos y experiencia en protección de datos y acreditando la relación de méritos alegados.
La respectiva jefatura de cada uno de los candidatos emitirá un informe con la relación de funciones asignadas al aspirante, indicando la relevación de las mismas que procedería en caso de que fuese nombrado DPD del MF, a fin de asegurar su dedicación y evitar los posibles conflictos de intereses.
El DPD del MF será nombrado y, en su caso, relevado mediante decreto de la/el Fiscal General del Estado, oído el Consejo Fiscal (art. 14.cuatro EOMF). El nombramiento deberá ser comunicado a la autoridad de control.
El nombramiento del DPD del MF se efectuará por el/la Fiscal General del Estado, que ostenta la jefatura del MF (art. 22.2 EOMF); designación que además resulta coherente con la rendición de cuentas directa del DPD al más alto nivel jerárquico (art. 38.3 RGPD).
8.2.3.4 Funciones del Delegado de Protección de Datos del Ministerio Fiscal.
Son funciones del DPD del MF las previstas en el RGPD y en el resto de normativa que resulte de aplicación, entre las que cabe destacar en particular:
– Informar y asesorar a los órganos y unidades del MF y a los fiscales que realicen operaciones de tratamiento de datos personales de las obligaciones que les incumben en materia de protección de datos. En concreto, corresponde al DPD para el MF el asesoramiento y supervisión directos de las unidades de la Fiscalía General del Estado (Inspección Fiscal, Secretaría Técnica, Unidad de Apoyo y Unidades Especializadas), la Fiscalía del Tribunal Supremo, la Fiscalía ante el Tribunal Constitucional, la Fiscalía de la Audiencia Nacional, las Fiscalías especiales (Fiscalía contra la Corrupción y la Criminalidad Organizada y Fiscalía Antidroga), la Fiscalía del Tribunal de Cuentas y la Fiscalía Jurídico Militar. Ello sin perjuicio de la posibilidad de su asesoramiento y supervisión a las fiscalías territoriales, si resulta necesario.
– Supervisar el cumplimiento de la normativa de protección de datos y de las políticas del MF, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
– Ofrecer el asesoramiento que se le solicite acerca de las evaluaciones de impacto relativas a la protección de datos y supervisar su aplicación.
– Cooperar con la autoridad de control (art. 39.1.d) RGPD).
– Supervisar los procedimientos o expedientes relacionados con la protección de datos y emitir recomendaciones en el ámbito de sus competencias.
– Rendir cuentas ante la/el Fiscal General del Estado (art. 38.3 RGPD).
Además, cuando el DPD del MF aprecie la existencia de una vulneración relevante en materia de protección de datos lo documentará y comunicará inmediatamente a la/al Fiscal General del Estado (art. 36.4 LOPDGDD).
– Intervenir en caso de reclamación (art. 37 LOPDGDD).
– Constituir el punto de contacto del MF en cuestiones relativas al tratamiento de datos personales con respecto a los interesados y terceros.
– Actuar como interlocutor del MF ante la autoridad de control, tanto para las reclamaciones como para la posible formulación de consultas por terceros.
– Coordinar la actuación de los adjuntos del DPD del MF, estableciendo los criterios e instrucciones que considere necesarios para la actuación homogénea y coordinada de los distintos adjuntos del DPD, asegurando la unidad de criterio y dando cuenta a la/al Fiscal General del Estado.
– El DPD podrá dictar las recomendaciones sobre la actuación del MF en sus distintos ámbitos que considere precisas para el debido cumplimiento de las funciones que tiene encomendadas por la normativa de protección de datos.
– Mantener una relación actualizada de los adjuntos del DPD del MF.
– Realizar consultas a la autoridad de control (art. 39.1.e RGPD).
– Informar las candidaturas de los adjuntos del DPD y, en su caso, el cese de los mismos (salvo cuando el cese se produzca por el transcurso del plazo de duración del nombramiento o el cambio de destino).
– Acordar las sustituciones en el ejercicio de las funciones de los adjuntos del DPD, cuando resulte necesario por razones de ausencia, vacante o enfermedad.
– Informar el inventario de actividades antes de su publicación.
Asimismo, el DPD del MF podrá llevar a cabo aquellas otras actividades de información, coordinación, supervisión, formación o consulta que, en materia de protección de datos, considere procedentes para el debido cumplimiento de esta normativa en el ámbito del MF.
En todas sus actuaciones, el DPD está obligado a mantener el secreto o la confidencialidad (art. 38.5 RGPD).
8.2.3.5 Desempeño de sus funciones.
El MF, como responsable del tratamiento de datos personales debe garantizar que el DPD «participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos» (artículo 38.1 RGPD), pudiendo establecer la dedicación completa o a tiempo parcial del delegado en función del volumen de los tratamientos, entre otros criterios (art. 34.5 LOPDGDD).
Por ello, el nombramiento del DPD del MF no supone necesariamente exclusividad. En todo caso, deberá garantizarse la posibilidad efectiva de dedicación para el cumplimiento de sus funciones y contará con los recursos necesarios para el desarrollo de las mismas, el acceso a los datos personales y a las operaciones de tratamiento y el mantenimiento de sus conocimientos especializados.
A fin de garantizar la independencia en el desempeño de sus funciones, la designación del DPD del MF será por un periodo de 5 años. Transcurrido el plazo de duración, o en el caso de cese anticipado por alguna de las causas previstas, se efectuará una nueva convocatoria. El fiscal previamente designado podrá optar a sucesivos nombramientos sin límite de convocatorias.
8.2.3.6 Causas de cese.
De acuerdo con la LOPDGDD, cuando se trate de una persona física integrada en la organización del responsable del tratamiento, el delegado de protección de datos no podrá ser removido ni sancionado por el responsable por desempeñar sus funciones, salvo que incurriera en dolo o negligencia grave en su ejercicio (art. 36.2 LOPDGDD).
La introducción de causas objetivas de cese constituye la garantía de independencia de los DPD. Son causas de cese del DPD del MF:
– La apreciación de dolo o negligencia grave en el ejercicio de sus funciones.
– El nombramiento para un cargo incompatible con el desempeño de las funciones del DPD del MF, por la posible concurrencia de un conflicto de intereses.
– La renuncia voluntaria presentada por el interesado y aceptada por el/la Fiscal General del Estado.
– El transcurso del plazo de nombramiento, salvo que sea designado para un nuevo periodo. En todo caso, deberá permanecer en funciones hasta la renovación o designación de un nuevo DPD del MF.
En el caso de que concurra una causa de cese, el DPD del MF será relevado mediante resolución de la/el Fiscal General del Estado. En todo caso, se garantizará la audiencia del interesado cuyo relevo vaya a ser propuesto.
8.2.3.7 Régimen transitorio.
En el plazo de 3 meses desde la aprobación de esta instrucción deberá procederse a la convocatoria y designación del DPD del MF.
Hasta el nombramiento del DPD del MF por el/la Fiscal General del Estado de acuerdo con la presente instrucción, el actual DPD del MF seguirá ejerciendo sus funciones.
8.2.4 Adjuntos del Delegado de Protección de Datos del MF.
Los adjuntos del DPD del MF actuarán bajo la dirección y coordinación del DPD del MF, dentro del ámbito de competencias que a este último atribuye el RGPD.
8.2.4.1 Ámbito de actuación.
Los adjuntos del DPD desempeñarán sus funciones en relación a la actuación del MF que implique tratamiento de datos personales, tanto en el ejercicio de funciones jurisdiccionales o cuasijurisdiccionales, como gubernativas, en el ámbito de la comunidad autónoma en la que estén destinados, sin perjuicio de la posibilidad de sustituirse entre ellos en los casos de vacante, ausencia o enfermedad y de acuerdo con las instrucciones del DPD del MF.
8.2.4.2 Requisitos.
De forma similar al DPD del MF, los adjuntos del DPD del MF (art. 37.5 RGPD) serán designados atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones (art. 37.5 RGPD). Resultan lógicamente aquí aplicables las consideraciones del GT29 sobre los conocimientos a valorar mencionados en el apartado correspondiente al DPD del MF.
Para evitar la posibilidad de conflicto de intereses (art. 36.2 LOPDGDD), los adjuntos del DPD del MF no pueden ocupar un cargo en la organización que le lleve a determinar los fines y medios del tratamiento.
Por ello, no podrán presentarse a las convocatorias quienes ostenten una jefatura, ni los/las tenientes fiscales, ni los miembros del Consejo Fiscal. En el caso de otros fiscales que desempeñen funciones por delegación de quien ostente la jefatura deberá examinarse el contenido concreto de la delegación para determinar si podría existir un conflicto de intereses que impediría su nombramiento.
De acuerdo con las consideraciones expuestas en relación al DPD del MF, tampoco resultan compatibles el desempeño de funciones de un responsable SIMF y las correspondientes al adjunto del DPD. Por ello, con el fin de salvaguardar la independencia requerida a los adjuntos del DPD, y en el caso de que un fiscal SIMF sea designado para desempeñar las funciones de adjunto del DPD del MF, deberá, con carácter previo a su nombramiento por el/la Fiscal General del Estado, ser relevado de sus funciones SIMF.
En todo caso, con carácter previo al nombramiento de los adjuntos del DPD del MF deberán examinarse las concretas funciones del candidato que deberá compatibilizar con el cumplimiento de sus atribuciones, a fin de evitar todo posible conflicto de intereses.
8.2.4.3 Convocatoria, procedimiento de selección y nombramiento.
Teniendo en cuenta su ámbito de actuación en las CCAA, y con el fin de facilitar el cumplimiento de sus funciones y la compatibilidad con el desempeño de otras tareas, para el nombramiento del adjunto del DPD del MF correspondiente a cada comunidad autónoma, el/la Fiscal General del Estado dirigirá una convocatoria a los fiscales de la plantilla destinados en la comunidad autónoma correspondiente (en la Fiscalía de la Comunidad Autónoma, Provincial, o de Área). Debido a la vocación de estabilidad en el desempeño de las funciones, no podrán presentarse los fiscales que estén en comisión de servicio, salvo que su plaza en propiedad se corresponda con la misma comunidad autónoma.
Los aspirantes deberán presentar en el plazo fijado en la convocatoria su currículum vitae, indicando sus conocimientos y experiencia en protección de datos y acreditando la relación de méritos alegados.
La respectiva jefatura de cada uno de los candidatos emitirá un informe con la relación de funciones asignadas al aspirante, indicando la relevación de las mismas que procedería en caso de que fuese nombrado Adjunto del DPD del MF, a fin de asegurar su dedicación y evitar los posibles conflictos de intereses.
Cada Fiscal Superior emitirá un informe sobre las candidaturas que remitirá a la Fiscalía General del Estado junto con todas las solicitudes y la relación de méritos presentadas en su ámbito territorial.
Los adjuntos del DPD del MF serán nombrados y, en su caso, relevados mediante decreto de la/del Fiscal General del Estado, previo informe del DPD sobre las candidaturas presentadas y oído el Consejo Fiscal (art. 14.cuatro EOMF).
El nombramiento de los adjuntos del DPD del MF, que forman parte de su equipo, se efectuará por el Fiscal General del Estado (art. 22.2 EOMF).
8.2.4.4 Funciones de los Adjuntos del DPD del MF.
Los adjuntos del DPD del MF ejercerán, en su ámbito, bajo la dirección y en coordinación con el DPD del MF, las siguientes funciones de información, asesoramiento y supervisión:
– Informar y asesorar a los órganos del MF y a los fiscales que realicen operaciones de tratamiento de datos personales de las obligaciones que les incumben en materia de protección de datos. Los adjuntos del DPD del MF desempeñarán sus funciones en relación a las fiscalías territoriales de su ámbito de actuación.
– Supervisar el cumplimiento de la normativa de protección de datos y de las políticas del MF en materia de protección de datos personales, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
– Seguir los criterios e instrucciones impartidos por el DPD para una actuación homogénea y coordinada.
– Comunicar al DPD del MF las vulneraciones en materia de protección de datos que aprecien (art. 36.4 LOPDGDD).
– Comunicar al DPD del MF las incidencias que se produzcan en su ámbito territorial.
– Dar cuenta al DPD del MF de las actuaciones que lleven a cabo en relación con el cumplimiento de sus funciones, remitiendo al DPD del MF, con carácter previo a su emisión, las recomendaciones que elaboren.
En caso de que el DPD del MF estuviese disconforme con la recomendación del adjunto del DPD, aquél emitirá las instrucciones o indicaciones que resulten precisas para garantizar la actuación homogénea y coordinada de los distintos adjuntos del DPD y asegurar la unidad de criterio.
– Sustituir al DPD del MF en caso de ausencia, vacante o enfermedad, si así es acordado por el/la Fiscal General del Estado.
– Sustituirse entre los adjuntos en caso de ausencia, vacante o enfermedad, siguiendo instrucciones del DPD del MF.
En todas sus actuaciones, los adjuntos del DPD del MF están obligados a mantener el secreto o la confidencialidad (art. 38.5 RGPD).
8.2.4.5 Desempeño de sus funciones.
El MF, como responsable del tratamiento de datos personales, debe garantizar que el DPD «participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos» (artículo 38.1 RGPD), pudiendo establecer la dedicación completa o a tiempo parcial del delegado en función del volumen de los tratamientos, entre otros criterios (art. 34.5 LOPDGDD).
Esta previsión normativa es aplicable a los adjuntos del DPD del MF. Por lo tanto, el ejercicio de sus funciones deberá compatibilizarse con el desempeño de los cometidos correspondientes al puesto de destino. En todo caso, deberá garantizarse la posibilidad del desarrollo de sus funciones.
La designación de los adjuntos del DPD del MF será por un periodo de 5 años. Transcurrido este plazo, o en el caso de cese anticipado por alguna de las causas de cese previstas, se efectuará una nueva convocatoria, sin perjuicio de la posibilidad de concurrir de los previamente designados, sin límite de convocatorias.
8.2.4.6 Causas de cese.
De acuerdo con la LOPDGDD, cuando se trate de una persona física integrada en la organización del responsable, el delegado de protección de datos no podrá ser removido ni sancionado por el responsable por desempeñar sus funciones, salvo que incurriera en dolo o negligencia grave en su ejercicio (art. 36.2 LOPDGDD).
La introducción de causas objetivas de cese constituye la garantía de independencia de los adjuntos del DPD. Constituyen causas de cese de los adjuntos del DPD del MF:
– La apreciación de dolo o negligencia grave en el ejercicio de sus funciones.
– El nombramiento para un cargo incompatible con el desempeño de las funciones de adjunto del DPD del MF o para un destino en otra comunidad autónoma.
– La renuncia voluntaria presentada por el interesado y aceptada por el/la FGE.
– El transcurso del plazo de nombramiento, salvo que sea nuevamente nombrado.
En el caso de que concurra una causa de cese, los adjuntos del DPD del MF serán relevados mediante resolución de la/el Fiscal General del Estado. En todo caso, se garantizará la audiencia del interesado cuyo relevo vaya a ser propuesto.
8.2.4.7 Régimen transitorio.
Una vez nombrado el DPD del MF de acuerdo con lo previsto en esta instrucción, en el plazo de 2 meses deberá procederse a la convocatoria y designación de los adjuntos del DPD del MF.
Hasta el nombramiento por el FGE de los adjuntos del DPD del MF con arreglo a esta instrucción, los fiscales hasta ahora designados para ejercer funciones en materia de protección de datos en el ámbito de las CCAA seguirán desempeñando las mismas.
9. Cláusula de vigencia
La presente instrucción deroga la Instrucción 6/2001, de 21 de diciembre, sobre Ficheros automatizados de Datos Personales Gestionados por el Ministerio Fiscal.
10. Conclusiones
Primera. El derecho a la protección de datos personales es un derecho fundamental implícitamente reconocido en el art. 18.4 CE y consagrado en el art. 8 de la Carta de los Derechos Fundamentales de la UE y en el art. 16.1 del Tratado de Funcionamiento de la UE.
Segunda. La actuación cotidiana del MF implica el tratamiento de datos personales. Este tratamiento se efectúa en el contexto de la actividad jurisdiccional o cuasijurisdiccional –correspondiente al cumplimiento de su misión de promover la acción de la justicia en defensa de la legalidad, de los derechos de los ciudadanos y del interés público tutelado por la ley, de oficio o a petición de los interesados, así como velar por la independencia de los Tribunales, y procurar ante éstos la satisfacción del interés social (arts. 124 CE y art. 2 EOMF)– y en la tramitación de los expedientes de naturaleza administrativa o gubernativa.
Tercera. Toda la actuación del MF se encuentra sujeta a la normativa de protección de datos, pues el derecho a la protección de datos vincula al MF al igual que a todos los poderes públicos (art 53 CE).
Cuarta. El responsable del tratamiento es un concepto esencial en la actual normativa de protección de datos que identifica quién debe asumir la responsabilidad del cumplimiento de las normas sobre protección de datos y cómo se debe facilitar a los interesados el ejercicio de sus derechos. La definición del responsable permite además en ocasiones determinar el alcance del tratamiento (art. 6 RGPD).
Quinta. En nuestra legislación, no hay una asignación explícita de la responsabilidad del tratamiento al MF; sin embargo, puede deducirse que corresponde al Ministerio Fiscal, como órgano con relevancia constitucional, la organización del tratamiento que se efectúa, siempre dentro de su ámbito de actuación y competencias, y sin perjuicio de que otros agentes intervengan en algunos aspectos.
Sexta. El principio de responsabilidad proactiva supone que se deben aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD (arts. 5.2 y 24 RGPD).
La determinación del MF como responsable del tratamiento implica que las obligaciones que le incumben deben ser asumidas necesariamente por las fiscalías, las unidades y los órganos a través de los cuales ejerce su misión (art. 2.1 EOMF). En todas las fiscalías y unidades organizativas fiscales debe adecuarse el trabajo implementando la normativa de protección de datos. Además, corresponde a todos los fiscales, de acuerdo con sus respectivas competencias, el cumplimiento de determinadas obligaciones en materia de protección de datos en las concretas operaciones de tratamiento que efectúan en nombre del MF. Entre estas obligaciones destacan el deber de respetar la confidencialidad de los datos personales tratados y el cumplimiento de las instrucciones sobre protección de datos recibidas (art. 29 RGPD).
Séptima. El MF, como órgano responsable del tratamiento de datos personales, está sujeto al régimen sancionatorio especial previsto en el art. 77 LOPDGDD, aplicable a los órganos constitucionales o con relevancia constitucional. Ello sin perjuicio de la aplicación de la normativa general de responsabilidad civil, penal y disciplinaria, prevista en el Capítulo VII del Título III del EOMF.
Octava. El DPD del MF estará asistido en sus funciones por una red de adjuntos del DPD del MF que, bajo el principio de jerarquía, colaborarán con las funciones asignadas al DPD del MF en su correspondiente ámbito. Con el fin de facilitar el cumplimiento de sus funciones, se designará un adjunto del DPD del MF en el ámbito de cada una de las CCAA.
Novena. Las funciones del DPD del MF y su equipo de adjuntos del DPD se extenderán a todo el ámbito de actuación del MF que implique tratamiento de datos personales, tanto en el ejercicio de funciones jurisdiccionales o cuasijurisdiccionales, como gubernativas.
Décima. El nombramiento y régimen de actuación del DPD del MF y los adjuntos del DPD del MF se ajustarán a lo dispuesto en la presente instrucción.
En razón de todo lo expuesto, los/las Sres./Sras. Fiscales se atendrán en lo sucesivo a las prescripciones de la presente instrucción.
Madrid, 20 de diciembre de 2019.–La Fiscal General del Estado, María José Segarra Crespo.
(1) Reglamento (UE) 2017/1939 del Consejo, de 12 de octubre de 2017, por el que se establece una cooperación reforzada para la creación de la Fiscalía Europea.
(2) En concreto se refiere al «tratamiento de datos llevado a cabo con ocasión de la tramitación por los Tribunales de los procesos de los que sean competentes, así como realizado dentro de la Oficina judicial» (art. 236 bis LOPJ).
(3) En esta línea la Ley 3/2018, de 11 de junio, por la que se modifica la Ley 23/2014, de 20 de noviembre, de reconocimiento mutuo de resoluciones penales en la Unión Europea, para regular la Orden Europea de Investigación se refiere al fiscal como autoridad de emisión y ejecución (art. 187).
(4) Cuando el tratamiento se ha efectuado en el ejercicio de funciones no jurisdiccionales, se encuentra sometido al control de la Agencia Española de Protección de Datos (AEPD). Para el tratamiento realizado por el MF en cumplimiento de las funciones jurisdiccionales o cuasi jurisdiccionales, actualmente se contempla la posibilidad de creación de un organismo específico en el MF que asuma esta función.
(5) El Grupo del art. 29 sobre Protección de Datos se creó en virtud del artículo 29 de la Directiva 95/46/CE. Se trataba de un órgano consultivo europeo independiente en materia de protección de datos y derecho a la intimidad. Sus cometidos se describían en el artículo 30 de la Directiva 95/46/CE y en el artículo 15 de la Directiva 2002/58/CE. Aunque el citado informe fue emitido en relación a la Directiva 95/46/CE, sus observaciones siguen siendo plenamente válidas a efectos del RGPD.
(6) Dictamen 1/2010 sobre los conceptos de «responsable del tratamiento» y «encargado» del tratamiento, adoptado el 16 de febrero de 2010 [Doc. 264/10/ES WP 169].
(7) Directiva 95 /46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
(8) Encargado del tratamiento o encargado es «la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento» (art. 4.8 RGPD).
(9) El CTEAJE está integrado por una representación del Ministerio de Justicia y de cada una de las CCAA con competencias en la materia y por dos representantes designados por el CGPJ y la FGE (art. 44 de la Ley 18/2011).
(10) LO 19/2003, de 23 de diciembre, de modificación de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial. En desarrollo de esta previsión legal se dictó el Real Decreto 93/2006, de 3 de febrero, por el que se regula el sistema de información del Ministerio Fiscal.
(11) RGPD: arts. 37 a 39; LOPDPGDD: arts. 34 a 37; Directiva 2016/680: arts. 32 a 34.
(12) Directrices del GT 29 sobre los delegados de protección de datos (DPD), adoptadas el 13 de diciembre de 2016 y revisadas por última vez y adoptadas el 5 de abril de 2017 [doc. WP 243 rev.01], ratificadas por el European Data Protection Board (EDPB) en su primera sesión plenaria.
(13) También puede resultar de orientación la consulta de la AEPD 170/2018 que examina la posible compatibilidad de la figura del DPD del RGPD y el responsable de seguridad de la información del Esquema Nacional de Seguridad (RSEG), y concluye que hay una diferenciación sustantiva y competencial entre los dos ámbitos: el RSEG actúa con el fin de garantizar la seguridad de la información con relación a los riesgos de las tecnologías de la información y las comunicaciones, y las funciones del DPD deben encaminarse a garantizar los derechos y libertades de las personas en los tratamientos que lleva a cabo el responsable. Este paralelismo competencial resulta aplicable al aspecto que examinamos (las funciones del SIMF y del DPD) y permite concluir que la protección de datos personales tiene un ámbito mucho más extenso que el apoyo a la jefatura que efectúan los SIMF en la organización, buen uso y aprovechamiento de los sistemas de información y comunicaciones electrónicas. Sin duda, ambos cometidos requieren una formación específica. Sin embargo, debe distinguirse la formación en las TIC precisa para las funciones de los SIMF y el conocimiento jurídico en materia de protección de datos que se requiere a los DPD.
En vigor.
La referencia que se realiza al art. 120 del Decreto 437/1969, de 27 de febrero, por el que se aprueba el Reglamento Orgánico del Estatuto del Ministerio Fiscal debe tenerse por no realizada, fruto de la derogación de dicha norma a raíz de la aprobación del Real Decreto 305/2022, de 3 de mayo, por el que se aprueba el Reglamento del Ministerio Fiscal.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid