Pedro Sánchez convierte a España en un Estado policial
Una nueva ley permitirá a la policía disponer de un registro al que no se ha previsto que los ciudadanos puedan acceder. Es decir, es la ley ideal por el que suspirarían todas las dictaduras, posiblemente porque quienes las redactaron en el Ministerio de Interior eran los hijos del franquismo
11/07/2021
Josep Jover
Abogado especializado en Derechos Humanos de Tercera Generación y gestor de conflictos. Es uno de los juristas más importantes en Derecho de la Unión europea donde ha llevado frente al TJUE novedosos casos
La Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, que ya ha entrado en vigor, crea dos registros obligatorios nuevos para proteger la privacidad de las personas por parte de las policías, locales incluidas, y todas aquellas entidades que traten los mismos. Repetimos, la norma ya ha entrado en vigor y es plenamente exigible.
Así en la exposición de motivos nos encontramos:
«Todo responsable y encargado del tratamiento deberá conservar un registro de actividades de tratamiento, con datos identificativos, tales como los datos de contacto del responsable, los fines o las categorías de interesados, y un registro de operaciones, pieza angular de este sistema e instrumento básico para acreditar el cumplimiento de varios de los principios de tratamiento, que comprenderá la recogida, la alteración, las consultas y las transferencias de los datos personales entre otras operaciones. Asimismo, están obligados a cooperar con la autoridad de protección de datos, en el marco de la legislación vigente.»
«Se presta una atención detallada a la seguridad del tratamiento, regulándose alguna de las medidas de seguridad que se aplicarán, si bien solo se dispone como obligatoria la puesta en marcha del citado registro de operaciones como medida técnica y organizativa, siendo las demás las que el responsable determine como las más adecuadas para lograr el control que se le solicita en virtud del tipo de tratamiento que se esté llevando a cabo y del nivel de riesgo que se estime, tras el correspondiente análisis. Se impone, asimismo, el deber de notificación a la autoridad de protección de datos de cualquier violación de la seguridad que, con carácter general, deberá ser notificada al interesado, salvo en supuestos expresamente previstos en la ley».
Por tanto tenemos que cualquier policia local, autonómica o estatal y cualquier tratante de datos de seguridad pública, debe tener obligatoriamente:
a) Artículo 32. Registros de las actividades de tratamiento.
1. Cada responsable debe conservar un registro de todas las actividades de tratamiento de datos personales efectuadas bajo su responsabilidad. Dicho registro deberá contener la información siguiente:
a) La identificación del responsable del tratamiento y sus datos de contacto, así como, en su caso, del corresponsable y del delegado de protección de datos.
b) Los fines del tratamiento.
c) Las categorías de destinatarios a quienes se hayan comunicado o vayan a comunicarse los datos personales, incluidos los destinatarios en Estados que no sean miembros de la Unión Europea u organizaciones internacionales.
d) La descripción de las categorías de interesados y de las categorías de datos personales.
e) El recurso a la elaboración de perfiles, en su caso.
f) Las categorías de transferencias de datos personales a un Estado que no sea miembro de la Unión Europea o a una organización internacional, en su caso.
g) La indicación de la base jurídica del tratamiento, así como, en su caso, las transferencias internacionales de las que van a ser objeto los datos personales.
h) Los plazos previstos para la supresión de las diferentes categorías de datos personales, cuando sea posible.
i) La descripción general de las medidas técnicas y organizativas de seguridad a las que se refiere el artículo 37.1, cuando sea posible.
2. Cada encargado del tratamiento llevará un registro de todas las actividades de tratamiento de datos personales efectuadas en nombre de un responsable. Este registro contendrá la información siguiente:
a) El nombre y los datos de contacto del encargado o encargados del tratamiento, de cada responsable del tratamiento en cuyo nombre actúe el encargado y, en su caso, del delegado de protección de datos.
b) Las categorías de tratamientos efectuados en nombre de cada responsable.
c) Las transferencias de datos personales a un Estado que no sea miembro de la Unión Europea o a una organización internacional, en su caso, incluida la identificación de dicho Estado o de dicha organización internacional cuando el responsable del tratamiento así lo ordene explícitamente.
d) La descripción general de las medidas técnicas y organizativas de seguridad a las que se refiere el artículo 37.1, cuando sea posible.
3. Los registros referidos en este artículo se establecerán y llevarán por escrito, incluida la posibilidad del formato electrónico.
Estos registros estarán a disposición de la autoridad de protección de datos competente, a solicitud de esta, de conformidad con lo dispuesto legalmente.
4. Los responsables de los tratamientos harán público el registro de sus actividades de tratamiento, accesible por medios electrónicos, en el que constará la información a la que se refiere el apartado 1.
Esto estaría, más o menos, dentro de la normativa que regularía el LOPDGDD, aunque obliga a que se duplique la gestión de la documentación, si el área de seguridad es solo una de las áreas de la institución, pero lo novedoso es el artículo 33:
Artículo 33. Registro de operaciones.
1. Los responsables y encargados del tratamiento deberán mantener registros de, al menos, las siguientes operaciones de tratamiento en sistemas de tratamiento automatizados: recogida, alteración, consulta, comunicación, incluidas las transferencias, y combinación o supresión. Los registros de consulta y comunicación harán posible determinar la justificación, la fecha y la hora de tales operaciones y, en la medida de lo posible, el nombre de la persona que consultó o comunicó los datos personales, así como la identidad de los destinatarios de dichos datos personales.
2. Estos registros se utilizarán únicamente a efectos de verificar la legalidad del tratamiento, controlar el cumplimiento de las medidas y de las políticas de protección de datos y garantizar la integridad y la seguridad de los datos personales en el ámbito de los procesos penales.
Dichos registros estarán a disposición de la autoridad de protección de datos competente a solicitud de esta, de conformidad con lo dispuesto legalmente.
Esto quiere decir que “ahora” cualquier policía, por pequeña que sea, debe de tener en marcha un Registro de operaciones que incluya la recogida, alteración, consulta, comunicación a terceros, transferencias internacionales, y supresión de los datos personales.
El programa de gestión policial deberá enviar cada una de las actividades al registro, quien deberá guardar categorizada si es recogida, alteración, consulta, comunicación a terceros,transferencias internacionales, y
supresión de los datos personales
Y además, aunque la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, no impone plazo alguno, los sistemas de información de seguridad pública de la Unión no acostumbran a superar los cinco años de caducidad de los registros salvo, algunas excepciones tasadas. Pues bien, la duración de la Información para el estado español, será:
Artículo 8. Plazos de conservación y revisión.
3. Con carácter general, el plazo máximo para la supresión de los datos será de veinte años, salvo que concurran factores como la existencia de investigaciones abiertas o delitos que no hayan prescrito, la no conclusión de la ejecución de la pena, reincidencia, necesidad de protección de las víctimas u otras circunstancias motivadas que hagan necesario el tratamiento de los datos para el cumplimiento de los fines del artículo 1.
Veinte años, y además con excepciones con un “otras necesidades motivadas…” que es un cajón de sastre para decirnos que todos estaremos fichados “para siempre”. Además, para más INRI, es un registro al que no se ha previsto que los ciudadanos puedan acceder. Es decir, es la ley ideal por el que suspirarían todas las dictaduras, posiblemente porque quienes las redactaron en el Ministerio de Interior eran los hijos del franquismo.
Pero es que operativamente, es aún más complejo. Es un registro que:
No necesita telefono
No necesita más acceso que el del DPD Y/O el del responsable de tratamiento
No necesita más procedimiento que la búsqueda organizada de registros y exportación de los resultados
No necesita estar abierta a terceros, es una herramienta interna. Solo accedería a la web el DPD, y los usuarios autorizados y para su control las Agencias de protección de Datos, o quien le sustituya a partir de la puesta en marcha de la directiva Whistleblowers.
Esta obsesión del control ciudadano acaba por dañar al mismo sistema. Tomemos por ejemplo que ese registro en una policía local pequeña produciría unos 50-100 anotaciones al día, una mediana, unas 500 y una grande, como Barcelona o Madrid, unas 5.000. Hagamos unos pocos números. ¿Es esto operativo?. Una policía mediana debería tener infraestructura para 500X365X20= 3.650.000 registros, o dicho de otra manera, cualquier ciudadano tendrá permanentemente 36,5 fichas de antecedentes de media.
¿Esto es un perfil,no?. Una locura, ¿no creen?
