La Protección de Datos en la Administración de Justicia: «a través del big data se puede predecir en un 70% el crimen futuro»

• La actuación cotidiana de los Tribunales implica necesariamente el tratamiento de datos personales. La Administración de Justicia es uno de los lugares en donde hay más datos personales de los ciudadanos, y especialmente de datos sensibles. Las consultas del Punto Neutro Judicial (PNJ) y del Servicio Integrado de Registros Judiciales (SIRAJ) son probablemente los lugares en donde la Administración obtiene datos más sensibles

I.- Normativa aplicable 

El derecho a la protección de datos personales es un derecho fundamental implícitamente reconocido en el art.18.4 CE, consagrado en el art.8 de la Carta de los Derechos Fundamentales de la Unión Europea y en el art.16.1 del Carta de los Derechos Fundamentales de la UE.

Desde la Unión Europea se ha pretendido proporcionar un enfoque coherente de la protección de datos. Por un lado, se aprobó el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante RGPD), aplicable desde el 25 de mayo de 2018, de alcance general, obligatorio y directamente aplicable. En el ámbito “penal”, se aprobó la Directiva (UE) 2016/680, del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales y a la libre circulación de datos, norma aún pendiente de trasposición a nuestro ordenamiento.

Por otro lado, cabe destacar el Reglamento (UE) 2018/1725, del Parlamento Europeo y del Consejo de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) nº45/2001 y la Decisión nº1247/2002/CE.

En el ordenamiento interno, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD) vino a armonizar nuestro ordenamiento a la normativa europea en materia de protección de datos. Se mantiene la vigencia de la anterior Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal exclusivamente para los tratamientos sometidos a la Directiva 2016/680, en tanto no entre en vigor la norma que transponga al derecho español lo dispuesto en la misma.

Lo cierto es que el Derecho relativo a la Protección de Datos es un tema complejo, no sólo por el contenido y los derechos en juego, sino por las especialidades con las que nos encontramos. Este es el caso de la Administración de Justicia, en donde el tratamiento es efectuado con fines distintos al resto de Administraciones y organismos, y la necesidad de salvaguardar otros intereses que exigen una especial protección, requiere una mención específica en la normativa. El tratamiento efectuado con ocasión de la actividad de los tribunales y otras autoridades judiciales tiene varias peculiaridades, tales como la admisión del tratamiento de datos especialmente sensibles (art.9.2.f en relación con el art.9.1 RGPD); la exención del nombramiento obligatorio de un delegado de protección de datos (art.37.1.a RGPD) y exclusión del ámbito de actuación de las autoridades de control (art.55.3 RGPD).

Por su parte, la Directiva (UE) 2016/680 incluye también un tratamiento singular en el tratamiento de datos que llevan a cabo los tribunales y otras autoridades judiciales independientes cuando actúen en ejercicio de sus competencias judiciales: la posibilidad de exención de la designación del delegado de protección de datos (art.32.1) y la delimitación del ámbito de actuación de la autoridad de control (art.45).

La LOPDGDD menciona el tratamiento de datos llevado a cabo con ocasión de la tramitación por los órganos judiciales de los procesos de los que sean competentes, así como los realizados dentro de la gestión de la oficina judicial, que se regirán por lo dispuesto en el Reglamento (UE) 2016/679 y la LOPDGDD, sin perjuicio de las disposiciones de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, que le serán aplicables (art.2.4) Además, el art.53.3 señala que cuando se trate de órganos judiciales u oficinas judiciales el ejercicio de las facultades de inspección se efectuarán a través y por mediación del CGPJ.

Pasando a ocuparnos de la normativa concreta sobre protección de datos en el ámbito de la Administración de Justicia, cabe destacar al Capítulo I Bis de la Ley 6/1985, de 1 de julio, del Poder Judicial, añadido por el art. Único.36 de la Ley Orgánica 7/2015, de 21 de julio. En este se recogen las especialidades en materia de protección de datos en la Administración de Justicia. El modelo de protección de datos en la Administración de Justicia distingue entre dos tipos de ficheros: jurisdiccionales y no jurisdiccionales.

La base jurídica que legitima la cesión es la obligación prevista en el art.118 CE de colaborar con los órganos judiciales y la prevista en la letra e del art.6 RGPD, es decir, el cumplimiento de una misión realizada en interés público en el ejercicio de poderes públicos conferidos al responsable de tratamiento. Así lo reconoce el considerando (35) RGPD, al establecer que para que sea lícito, el tratamiento de datos personales en virtud de la presente Directiva debe ser necesario para el desempeño de una función de interés público llevada a cabo por una autoridad competente en virtud del Derecho de la Unión o de un Estado miembro con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública. Entre tales actividades debe incluirse la protección de los intereses vitales del interesado. El ejercicio de las funciones de prevención, investigación, detección o enjuiciamiento de infracciones penales que la legislación atribuye institucionalmente a las autoridades competentes permite a estas exigir u ordenar a las personas físicas que atiendan a las solicitudes que se les dirijan. En este caso, el consentimiento del interesado [según se define en el Reglamento (UE) 2016/679] no constituye un fundamento jurídico para el tratamiento de los datos personales por las autoridades competentes. Cuando se exige al interesado que cumpla una obligación jurídica, este no goza de verdadera libertad de elección, por lo que no puede considerarse que su respuesta constituya una manifestación libre de su voluntad. Ello no debe ser óbice para que los Estados miembros establezcan en su legislación la posibilidad de que el interesado pueda aceptar el tratamiento de sus datos personales a los efectos de la presente Directiva, por ejemplo, para la realización de pruebas de ADN en las investigaciones penales o el control del paradero del interesado mediante dispositivos electrónicos para la ejecución de sanciones penales.

II.- Tratamiento de datos con fines jurisdiccionales

En lo que se refiere al tratamiento con fines jurisdiccionales, el tratamiento se limitará a los datos en tanto se encuentren incorporados a los procesos de que conozcan y su finalidad se relacione directamente con el ejercicio de la potestad jurisdiccional (art.236 ter LOPJ). El tratamiento de datos llevado a cabo con ocasión de la tramitación por los Tribunales de los procesos de los que sean competentes, así como el realizado dentro de la gestión de la Oficina judicial se someterán a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su normativa de desarrollo, sin perjuicio de las especialidades establecidas en el presente Capítulo (art.236 bis LOPJ).

1. a) Medidas para la supresión y cesión (art.236 quinquies LOPJ)

El apartado 1 del art.236 quinquies LOPJ establece que los Jueces y Tribunales, y los Letrados de la Administración de Justicia conforme a sus competencias procesales, podrán adoptar las medidas que sean necesarias para la supresión de los datos personales de los documentos a los que puedan acceder las partes durante la tramitación del proceso siempre que no sean necesarios para garantizar su derecho a la tutela judicial efectiva.

Del mismo modo procederán respecto del acceso por las partes a los datos personales que pudieran contener las sentencias y demás resoluciones dictadas en el seno del proceso, sin perjuicio de la aplicación en los demás supuestos de lo establecido en el artículo 235 bis.

En relación con los datos conocidos por la condición de parte, el apartado 2 del art.236 quinquies LOPJ establece que en todo caso será de aplicación lo dispuesto en la legislación de protección de datos de carácter personal al tratamiento que las partes lleven a cabo de los datos que les hubieran sido revelados en el desarrollo del proceso.

1. b) Responsable (art.236 sexies LOPJ)

Además, el órgano jurisdiccional u Oficina judicial ante el que se tramiten los procesos cuyos datos se incorporen al fichero es el responsable de los ficheros jurisdiccionales, y dentro de él decidirá quien tenga la competencia atribuida por la normativa vigente de acuerdo a la solicitud que se reciba del ciudadano (art.236 sexies LOPJ). En todo caso corresponderá al Letrado de la Administración de Justicia que se indique en el acuerdo de creación velar por la adopción de las medidas que impidan la alteración, pérdida, tratamiento o acceso no deseado a los datos de carácter personal incorporados a los ficheros, tanto jurisdiccionales como no jurisdiccionales, ostentando aquél la condición de responsable de seguridad a los efectos previstos en la legislación de protección de datos de carácter personal.

1. c) Ejercicio de los derechos de los interesados (art.236 octies LOPJ)

Las solicitudes de ejercicio de los derechos de acceso, rectificación, cancelación y oposición en relación con los datos tratados con fines jurisdiccionales se tramitarán conforme a las normas que resulten de aplicación al proceso en que los datos fueron recabados, no siendo de aplicación las disposiciones establecidas al efecto por la legislación vigente en materia de protección de datos de carácter personal.

En todo caso se denegará el acceso a los datos objeto de tratamiento con fines jurisdiccionales cuando las diligencias judiciales en que se haya recabado la información hayan sido declaradas secretas o reservadas.

1. d) Competencia de la autoridad de control (art.236 nonies LOPJ)

La Autoridad de control respecto de los tratamientos efectuados con fines jurisdiccionales y los ficheros de esta naturaleza corresponde al Consejo General del Poder Judicial.

III.- Tratamiento de datos con fines no jurisdiccionales

En lo que se refiere al tratamiento de datos con fines no jurisdiccionales, el apartado 5 del art.236 quinquies LOPJ reconoce que podrán cederse entre los órganos jurisdiccionales o por éstos al Consejo General del Poder Judicial o al Ministerio de Justicia cuando ello esté justificado por la interposición de un recurso o sea necesario para el ejercicio de las competencias que tengan legalmente atribuidas.

Tratándose de datos sometidos a tratamiento con fines no jurisdiccionales, los interesados podrán ejercitar sus derechos de acceso, rectificación, cancelación y oposición en los términos establecidos en la normativa vigente en materia de protección de datos de carácter personal, dirigiendo su solicitud ante el funcionario competente para decidir conforme a la normativa vigente que sea responsable del fichero al que se refiere el párrafo segundo del apartado 1 del artículo 236 sexies.

En todo caso corresponderá al Letrado de la Administración de Justicia que se indique en el acuerdo de creación velar por la adopción de las medidas que impidan la alteración, pérdida, tratamiento o acceso no deseado a los datos de carácter personal incorporados a los ficheros, tanto jurisdiccionales como no jurisdiccionales, ostentando aquél la condición de responsable de seguridad a los efectos previstos en la legislación de protección de datos de carácter personal (art.236 sexies LOPJ).

Los tratamientos de datos llevados a cabo con fines no jurisdiccionales y sus correspondientes ficheros quedarán sometidos a la competencia de la Agencia Española de Protección de Datos, prestando el Consejo General del Poder Judicial a la misma la colaboración que al efecto precise (art.236 nonies LOPJ)

El Consejo General del Poder Judicial podrá adoptar las medidas reglamentarias que estime necesarias para garantizar el cumplimiento, en los tratamientos de datos con fines no jurisdiccionales y los ficheros no jurisdiccionales, de las medidas de seguridad establecidas en la normativa vigente en materia de protección de datos de carácter personal (art.236 nonies LOPJ).

IV.- Big Data

Como ya hemos visto, el volumen de datos es enorme, y eso complica la ejecución de un proceso de calidad de datos dentro de un tiempo razonable. Además, no sólo un uso legítimo sino ordenado de los datos, supondría un doble beneficio para la Administración de Justicia. Estamos en la infancia de Big Data y es fundamental poder rastrear el acceso y reconocer patrones en los datos. Cuando hablamos de Big Data nos estamos refiriendo al proceso de recolección de grandes cantidades de datos y su inmediato análisis para encontrar información oculta, patrones recurrentes, etc.

El Banco Interamericano de Desarrollo (BID) ha desarrollado estudios en América Latina en los que presenta distintos casos del uso de Macrodatos en el diseño e implementación de políticas públicas. Destacando intervenciones en temas de movilidad urbana, ciudades inteligentes y seguridad, entre otras temáticas.

En estrecha relación con la Administración de Justicia y el uso del big data podemos destacar los modelos creados para predecir delitos.

Hemos sido testigos de como a través del big data se puede predecir en un 70% el crimen futuro. Algunos departamentos de Policía en todo el mundo ya aplican el big data para analizar patrones del crimen históricos y detectar delincuentes reincidentes.

V.- Conclusión

En definitiva, la Administración de Justicia contiene y trata millones de datos, y dadas las singularidades y particularidades de los datos ahí tratados, deviene necesario y urgente la transposición de la Directiva 2016/680 y la aprobación de una norma que aborde de forma lo suficientemente amplia, clara, coherente y específica la protección de datos en la Administración de Justicia.