DICTAMEN RELATIVO A LA CESIÓN DE DATOS CON MOTIVO DE UNA PETICIÓN FORMULADA POR LA ERTZAINTZA ANTECEDENTES

Transcripción

1 Exp.: CN DICTAMEN Nº D DICTAMEN RELATIVO A LA CESIÓN DE DATOS CON MOTIVO DE UNA PETICIÓN FORMULADA POR LA ERTZAINTZA ANTECEDENTES PRIMERO: Por el Departamento de Educación, Universidades e Investigación del Gobierno Vasco se ha solicitado dictamen de la Agencia Vasca de Protección de Datos, en relación con la cuestión descrita en el encabezamiento. En el Departamento consultante se ha recibido escrito de solicitud remitido vía por el Área de Delitos contra las personas de la Sección Central de Investigación Criminal y Policía Judicial de la Ertzaintza en el que se expresa lo siguiente: La Delegación Territorial de Educación de Bizkaia nos ha informado que cabe la posibilidad de conocer si una persona se encuentra escolarizada en la Comunidad Autónoma Vasca, debiendo realizar la consulta a esta dirección de correo. La oficina de colaboración policial internacional SIRENE solicita conocer si la siguiente persona o menor desaparecido en su país de origen (Chequia) se encuentra cursando estudios en esta comunidad. Se trata de: XXX con fecha de nacimiento XXX Número de mensaje SIRENE: Sirene remitente: Nº SCHENGEN:. SEGUNDO: El artículo 17.1 de la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, en su apartado n) atribuye a la Agencia Vasca de Protección de Datos la siguiente función: Atender a las consultas que en materia de protección de datos de carácter personal le formulen las administraciones públicas, instituciones y corporaciones a que se refiere el artículo 2.1 de esta Ley, así como otras personas físicas o jurídicas, en relación con los tratamientos de datos de carácter personal incluidos en el ámbito de aplicación de esta Ley. Corresponde a esta Agencia Vasca de Protección de Datos, en virtud de la normativa citada, la emisión del dictamen en respuesta a la presente consulta. c/ Beato Tomás de Zumárraga, 71, 3º Vitoria Gasteiz - Tel Fax avpd@avpd.eus -

2 CONSIDERACIONES I En primer lugar, podemos empezar afirmando que el Departamento consultante recibe una solicitud de datos. En caso de atenderse tal petición estaríamos ante un tratamiento de datos de carácter personal. La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), define en su artículo 3 c) el tratamiento de datos como las operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. La regla general de necesidad del consentimiento para los tratamientos de datos se recoge en el artículo 6.1 de la LOPD: 1.- El tratamiento de datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa. La transmisión de información personal realizada a la Ertzaintza por la Administración consultante debe entenderse, desde la óptica de protección de datos como una comunicación o cesión de datos, definida en el artículo 3.i) de la LOPD como toda revelación de datos realizada a una persona distinta del interesado. La LOPD regula las cesiones de datos en su artículo 11, estableciendo en el punto 1 que los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. Entre las excepciones a la regla general de necesidad de consentimiento recogidas en el artículo 11.2 de la LOPD viene al caso mencionar la recogida en el apartado a): Cuando la cesión está autorizada en una Ley. La comunicación de datos pretendida exige por tanto o bien consentimiento del interesado o amparo en una norma con rango de ley. El artículo 22.2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), contiene una previsión específica dedicada a la cesión de datos a la policía: 2. La recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad. La especialidad de la recogida de datos sin consentimiento del titular por parte de la Policía deriva de la actividad de investigación policial reconocida a las Fuerzas y Cuerpos de Seguridad en la Ley Orgánica 2/1986, sobre Fuerzas y Cuerpos de Seguridad del Estado (artículo 11), plasmación del mandato constitucional de proteger el libre ejercicio 2

3 de los derechos y libertades y garantizar la seguridad ciudadana, recogido en el artículo 104 de la Carta Magna. Por tanto, el artículo 22.2 de la LOPD habilitaría, a nuestro juicio, a los miembros de las Fuerzas y Cuerpos de Seguridad del Estado, a recabar y tratar datos de carácter personal sin consentimiento de los afectados, cuando se cumplan los requisitos mínimos de proporcionalidad exigidos, como así ha sido declarado tanto por esta Agencia de Protección de Datos en sus informes CN o CN09-016, como en reiterados informes de la AEPD, entre ellos en el 0133/2008, en el 0169/2009, o en el más reciente 0086/2010. Reproducimos, por ser de interés y de cara a futuras solicitudes de datos por las Fuerzas y Cuerpos de Seguridad, parte del informe CN de esta Agencia Vasca de Protección de Datos: Si bien es cierto que la investigación policial requiere una intervención rápida, y por lo tanto, el responsable del fichero no debe entrar en un análisis pormenorizado de la petición de datos, sí que al menos debe comprobar que dicha petición cumple unos requisitos mínimos de proporcionalidad. Es la propia Jefatura Provincial de Policía quien en su segundo escrito hace mención al informe jurídico 0133/2008 de la Agencia Española de Protección de Datos, el cual, reitera los criterios señalados en otro informe anterior de 1999, a tener en cuenta a la hora de ceder datos solicitados por la Policía al amparo del artículo 22.2 de la LOPD. Reproducimos a continuación parte de dicho informe: El citado artículo habilita, a nuestro juicio, a los miembros de la Policía Judicial para la obtención y tratamiento de los datos requeridos, lo que llevará aparejada la procedencia de la cesión instada, siempre y cuando la Policía Judicial, cumpla las siguientes condiciones, que han sido reiteradas por la Agencia Española de Protección de Datos: a) Que quede debidamente acreditado que la obtención de los datos resulta necesaria para la prevención de un peligro real y grave para la seguridad pública o para la represión de infracciones penales y que, tratándose de datos especialmente protegidos, sean absolutamente necesarios para los fines de una investigación concreta. b) Que se trate de una petición concreta y específica, al no ser compatible con lo señalado anteriormente el ejercicio de solicitudes masivas de datos. c) Que la petición se efectúe con la debida motivación, que acredite su relación con los supuestos que se han expuesto. d) Que en cumplimiento del artículo 22.4 de la Ley Orgánica 15/1999, los datos sean cancelados cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento. Una vez expuesta la doctrina general mantenida por las Autoridades de Control sobre esta materia, es preciso mencionar la Directiva (UE) 2016/680, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos. 3

4 Esta Directiva, que obliga a los Estados miembros a adoptar y publicar, a más tardar el 6 de mayo de 2018, las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a sus preceptos, expresa en su Considerando 35 lo siguiente: Para que sea lícito, el tratamiento de datos personales en virtud de la presente Directiva, debe ser necesario para el desempeño de una función de interés público llevada a cabo por una autoridad competente en virtud del Derecho de la Unión o de un Estado miembro Derecho de la Unión o de un Estado miembro con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública. Entre tales actividades debe incluirse la protección de intereses vitales del interesado. El ejercicio de las funciones de prevención, investigación, detección o enjuiciamiento de infracciones penales que la legislación atribuye institucionalmente a las autoridades competentes permite a estas exigir u ordenar a las personas físicas que atiendan a las solicitudes que se les dirijan. En este caso, el consentimiento del interesado [según se define en el Reglamento (UE) 2016/679] no constituye un fundamento jurídico para el tratamiento de los datos personales por las autoridades competentes. Por otra parte, el artículo 1.2.b) de la citada Directiva establece la obligación de los Estados miembros de garantizar que el intercambio de datos personales por parte de las autoridades competentes en el interior de la Unión, en caso de que el Derecho de la Unión o del Estado miembro exijan dicho intercambio, no quede restringido ni prohibido por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales. Una vez expuesta la habilitación legal existente para la cesión de datos personales a las fuerzas y cuerpos de seguridad, es conveniente analizara asimismo la solicitud de información recibida por la Ertzaintza. Esta solicitud ha de ponerse en relación con el SIS o Sistema de Información de Schengen. El Sistema de Información de Schengen (SIS o actualmente SIS II de segunda generación) es un sistema de información a gran escala que soporta el control de las fronteras exteriores y la cooperación policial en los Estados Schengen. Se trata de un sistema de información que permite que las autoridades policiales, aduaneras y de control fronterizo nacionales encargadas de realizar los controles pertinentes tanto en la frontera exterior de Schengen como dentro del espacio Schengen hagan circular alertas sobre personas buscadas o desaparecidas y objetos como documentos y vehículos robados. EL SIS II ofrece información sobre personas que no están autorizadas a entrar o a permanecer en el espacio Schengen, o sobre personas en busca y captura por actividades delictivas, así como información sobre personas desaparecidas, especialmente niños u otras personas vulnerables que necesitan protección. También incluye información de algunos bienes, como coches, armas de fuego, embarcaciones o documentos de identidad extraviados, robados o empleados para la comisión de delitos. En esencia, una autoridad aduanera, policial, judicial o administrativa de un país puede generar una alerta donde se describe la persona o el objeto buscado. Así, una de las razones para generar una alerta es la búsqueda y protección de una persona desaparecida. El SIS permite a las autoridades competentes, tales como la policía y los guardias de frontera, entrar y consultar las alertas en ciertas categorías de personas y objetos 4

5 buscados o ausentes. Una alerta SIS no sólo contiene información sobre una persona en particular o un objeto, sino también instrucciones claras sobre qué hacer cuando la persona u objeto ha sido encontrado. El propósito principal del SIS es ayudar a preservar la seguridad interior de los Estados Schengen en la ausencia de controles en las fronteras interiores. El alcance del SIS se define en tres instrumentos jurídicos: Reglamento (CE) n 1987/2006 (cooperación Control de fronteras). Decisión del Consejo 2007/533 / JAI (Cooperación policial). Reglamento (CE) no 1986/2006 (Cooperación en materia de registro del vehículo). Por otra parte, cada Estado miembro es responsable de la creación, la puesta en funcionamiento y el mantenimiento de su propio sistema nacional y de la conexión de éste al sistema central. Cada Estado miembro designa igualmente una autoridad, la oficina SIS II nacional («Oficina N. SIS II»). Por tanto, cada Estado del SIS ha establecido una Oficina nacional denominada SIRENE operativa 24/7, que es responsable de cualquier intercambio de información suplementaria, siendo estas oficinas SIRENE un elemento clave para el funcionamiento eficaz del concepto del SIS La solicitud de los datos remitida por la Ertzaintza la formula la oficina de colaboración policial internacional (SIRENE) de Chequia, demandando información sobre si una persona menor desaparecida en ese país está cursando estudios en la Comunidad Autónoma de Euskadi. Se trata por tanto de una demanda de información que se inserta en el Sistema de Información Schengen, con el que la Ertzaintza pretende colaborar. Por todas las consideraciones anteriores, teniendo en cuenta que la información solicitada es muy concreta, está perfectamente especificada, viene formulada por las Fuerzas y Cuerpos de Seguridad, teniendo su origen en el Sistema de Información Schengen, podemos concluir que la cesión de la información solicitada es acorde con la normativa en materia de protección de datos. En Vitoria-Gasteiz, 20 de junio de