Presentación.
Este libro que el lector tiene entre sus manos recoge los principales resultados y conclusiones del trabajo realizado por un variado grupo de investigadores en el seno de un Proyecto de Excelencia del Ministerio de Economía y Competitividad sobre “Cesión de datos personales entre procesos penales y procedimientos administrativos o tributarios en España y la Unión Europea” (DER 2014-56401-P) (CESDATPENAL).
A modo de proemio es necesario realizar, para una adecuada presentación de la presente obra, un recorrido por la evolución que ha tenido el estudio de la temática relativa al uso y cesión de los datos personales entre procesos y procedimientos hasta llegar a las conclusiones que se contienen en los distintos capítulos de la presente obra.
Comencemos, pues, recordando que en el proceso de construcción del Espacio Europeo de Justicia, Libertad y Seguridad a finales de 2008 se aprobó la trascendental Decisión Marco 2008/977/JAI del Consejo, de 27 de noviembre de 2008, relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal, en la que expresamente y de manera específica se abordaba la problemática del tratamiento y la transmisión de los datos personales en el seno de un procedimiento penal o de una investigación criminal. En concreto, en aquella norma se establecía que las autoridades competentes de los Estados miembros sólo podrían recopilar datos personales con fines determinados, explícitos y legítimos, y sólo podrán tratarlos para el fin para el que fueron recopilados (Principio de disponibilidad). Las autoridades podrían utilizar los datos para otros fines únicamente en determinadas circunstancias o cuando se hayan establecido ciertas garantías. Los datos personales obtenidos de otro Estado miembro serían tratados únicamente para el fin para el cual fueron transmitidos (Principio de finalidad).
La importancia de la Decisión Marco 2008/977/JAI del Consejo, de 27 de noviembre de 2008, así como la gran cantidad de interrogantes que planteaba su interpretación, determinaron que a un grupo de investigadores nos fuera concedido un Proyecto de Investigación del Ministerio de Economía durante los años 2012-2014 cuyo objeto fue el estudio de la “Transmisión de datos personales en la cooperación policial y judicial penal en la Unión Europea: el principio de disponibilidad” (TRANSDATPENAL) (DER 2011/28282).
En el análisis de la materia que era objeto de la investigación se constató que se había producido un cambio de enfoque en la política de la Unión Europea en relación con la obtención, el uso, la cesión y la transmisión de datos personales para fines penales.
Ese cambio vino motivado, entre otras razones, por la Sentencia de 8 de abril de 2014 del Tribunal de Justicia (Gran Sala) sobre la invalidez de la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modificaba la Directiva 2002/58/CE (asuntos C-293/12 y C-594/12).
En dicha Sentencia, el Tribunal de Justicia declaró la invalidez de la Directiva citada por afectar y lesionar los derechos reconocidos en los arts. 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea, es decir, el respeto a la vida privada y la protección de datos personales.
Sin embargo, lo esencial de esa Sentencia, a efectos de poner de manifiesto ese cambio de enfoque de la problemática del tratamiento y cesión de datos personales con relevancia penal, se encontraba en que Tribunal de Justicia consideró que la Directiva no sólo era lesiva de derechos fundamentales, sino que, además, no servía para garantizar un uso y cesión de datos personales a nivel interno de cada Estado. Es decir, el propio TJUE comenzó a distinguir dos ámbitos diferenciados en cuanto a la transmisión y tratamiento de datos personales con relevancia penal, de un lado, el ámbito de la UE respecto a las transmisiones entre Estados miembros, y de otro lado, el tratamiento y cesión de estos datos personales penales dentro de cada Estado miembro.
Adicionalmente, en el plano político legislativo el 25 de enero de 2012 la Comisión aprobó un paquete general de Protección de datos en la UE que incluía dos propuestas normativas que modificaban sustancialmente el enfoque que hasta ese momento se había seguido en esta materia, y que se plasmaron, de una parte, en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), y de otra parte, en la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo.
Lo verdaderamente relevante a los efectos de la investigación que se estaba realizando sobre la transmisión de datos personales penales entre los Estados miembros fue el reconocimiento en la propuesta de Directiva que el ámbito de aplicación de la Decisión Marco 2008/977 JAI se había quedado limitado al tratamiento transfronterizo de los datos y no a las actividades de tratamiento por parte de las autoridades policiales y judiciales a nivel nacional. Por lo que, de facto, se produjo una dualidad de regímenes en cuanto a la protección de datos personales penales para su uso nacional y para su uso transfronterizo.
De manera que se produjo una situación paradójica, la cesión y la transmisión de datos transfronteriza estaba regida bajo las condiciones de la Decisión Marco 2008/977, y en particular, bajo la salvaguarda del principio de disponibilidad de los datos, resultaba más garantista de los derechos que la regulación y praxis nacional española sobre el uso interno de los datos personales de relevancia penal.
Este cambio de enfoque, a la hora de abordar la transmisión y la cesión de los datos penales por parte de la Unión Europea, se plasmó en poner el énfasis en la necesidad de intentar un mayor control sobre la regulación y praxis a nivel nacional de cada uno de los Estados miembros respecto a la cesión y el uso de esta clase de datos. Por ello, el objeto de esta línea de investigación se modificó y se adaptó al cambio de las circunstancias concurrentes. De manera que, el equipo investigador del Proyecto TRANSADATPENAL y yo mismo, pasamos a centrar nuestros esfuerzos en cambiar la perspectiva de un análisis a nivel de la Unión Europea (transmisiones de datos penales entre Estados miembros) a un análisis a nivel de cada Estado miembro en relación con las exigencias y garantías con las que debía operar la cesión y transmisión de datos personales obtenidos en un proceso penal.
Por tanto, se produjo un claro movimiento del punto de análisis a la vista de los cambios producidos en la UE, y sobre todo desde la constatación de ese cambio de perspectiva de las autoridades de la Unión acerca de cómo proceder a controlar la cesión y tratamiento de datos personales penales, al pasar de la perspectiva estrictamente de las transferencias datos entre los Estados miembros de la Decisión Marco 2008/977 JAI a la perspectiva integral de la Directiva 680/2016 que busca el control interno en cada país sobre el tratamiento, uso y cesión de los datos personales para usos penales, obligaron a modificar, en cierto sentido a evolucionar la línea de investigación.
Este cambio en la línea de investigación se vio respaldada por la concesión de un Proyecto de investigación del Ministerio de Economía y Competitividad bajo el título “Cesión de datos personales entre procesos penales y procedimientos sancionadores o tributarios en España y la Unión Europea” (CESDATPENAL) (DER 2014/56401-P).
El nuevo objeto de la investigación se centró, no ya en los requisitos para el tratamiento y transmisión de datos personales penales entre Estados miembros, sino en analizar la dimensión en España del problema, es decir, el tratamiento y la cesión de datos personales con relevancia penal para su uso en distintos procesos penales o en procedimientos administrativos sancionadores o tributarios.
Así, una primera aproximación al ordenamiento jurídico español permitió comprobar que no existía una regulación, ni previsión general alguna, de cómo se debía proceder a realizar la cesión de datos personales obtenidos en el seno de un proceso penal a otros procesos o procedimientos sancionadores o tributarios. No existía, ni existe en tanto no se trasponga la Directiva 680/2016, por tanto, una regulación general que garantice y tutele que esos datos personales obtenidos en el curso de una investigación penal o criminal sean tratados, usados y/o cedidos respetando las garantías esenciales y básicas que este tipo de datos exige.
Por otro lado, también se apreciaban ciertas ineficiencias y faltas de garantías en las relaciones entre procesos penales por delito fiscal y procedimientos tributarios. Y es que en no pocas ocasiones, se producía un trasvase de materiales probatorios del proceso penal hacia el procedimiento de la Agencia Tributaria; cesión de materiales e información en los que con frecuencia se pueden encontrar datos personales del imputado o incluso de terceras personas, que obtenidos mediante diligencias de investigación acababan en el seno del procedimiento sancionador tributario, sin que la autoridad tributaria hubiera podido acceder a los mismos por su propio imperium sin solicitar, en su caso, la autorización a la autoridad judicial competente.
En el desarrollo de la investigación se ha podido comprobar que a nivel del Derecho Español no existe una regulación sobre la cesión y uso de los datos personales que ingresan o se aportan a un proceso penal. Ello contrasta con las garantías, exigencias y requisitos, que sí se regulan en el ordenamiento, y que son requeridos para proceder a ceder o a obtener un dato personal con destino a una investigación criminal (como por ejemplo, la exigencia generalizada de autorización judicial prevista en la LECrim para la realización de diligencias de investigación restrictivas de derechos fundamentales que puedan producir como resultado la obtención de un dato personal que afecte a la intimidad o secreto de las comunicaciones de una persona).
En este sentido, la reforma de 2015 de la LECRIM ha sido demasiada timorata, o incluso insuficiente, dado que el artículo 579 bis LECRIM, cuya rúbrica es “Utilización de la información obtenida en un procedimiento distinto y descubrimientos casuales” se limita a establecer que “se procederá a la deducción de testimonio de los particulares necesarios para acreditar la legitimidad de la injerencia”. Lo que supone que, de hecho, con esa remisión al control de la legitimidad de la injerencia lo que se está imponiendo al juez es que controle el origen legítimo del dato personal obtenido, pero no se le impone un control respecto a su uso en un proceso distinto.
De nuevo, el legislador parece haberse acomodado en la idea de que resulta fácil controlar y verificar el acceso legítimo a los datos personales en un proceso penal, pero rechaza, o, al menos, no se ocupa de regular o establecer condiciones para el uso sucesivo del dato personal obtenido en otros procesos penales distintos de aquel en que se obtuvo. Lo que constituye, sin lugar a dudas, una importante laguna en nuestra regulación a la hora de garantizar un uso o cesión de los datos personales legítimamente adquiridos en un proceso penal en otros procesos de acuerdo a las exigencias derivadas del principio de disponibilidad y del principio de finalidad que están presentes en el seno de la regulación europea sobre esta materia.
La constatación de esta ausencia de regulación genera en la práctica una situación fáctica en la que la cesión de datos personales incorporados a los procesos penales se ceden, en ocasiones, sin respetar las más mínimas garantías de los derechos de los ciudadanos (por ejemplo, cuando los datos médicos de una persona que se han incorporado a unas diligencias previas o a un sumario con autorización judicial acaban en otro proceso penal o incluso en un procedimiento administrativo sancionador, como los de dopaje).
Esta situación de “limbo regulatorio” en la que se encuentra la materia supone que no haya reglas, ni criterios, que disciplinen ese uso de los datos personales obtenidos en un proceso penal. Y por ello, que no exista una forma de actuar homogénea a la hora de traspasar los datos a otros procesos y procedimientos.
De hecho, en el curso de la investigación han surgido importantes interrogantes por la falta de regulación, tales como: ¿Quién debe ceder datos? ¿La cesión de datos es de oficio o a instancia de parte? ¿Puede el juez de instrucción controlar las peticiones de datos que se formulen? Y en su caso, ¿Cuál habrá de ser el criterio de control? ¿Pueden las partes de un proceso penal coger el dato personal que conocen y aportarlo en otro proceso penal? ¿Qué sucede con los datos personales penales que hay en unas diligencias previas o un sumario si la causa se divide? ¿Qué datos personales pueden cederse: solo los del imputado, también los de la parte acusadora; o incluso los de terceros ajenos al delito? ¿Tienen valor probatorio los datos cedidos de un proceso penal a otro en el que no se hubieran podido obtener en atención a la gravedad del delito imputado?…
La inmensa mayoría de estos interrogantes han sido resueltos en el libro colectivo que se publicó en 2017 con el título Cesión de datos personales y evidencias entre procesos penales y procedimientos administrativos sancionadores o tributarios1), y los que no tuvieron respuesta en esa obra la encuentran en la que el lector tiene entre sus manos.
Desde otro punto de vista, también han sido objeto de estudio y análisis aquellos casos en que los datos personales se han obtenido en el seno de una investigación penal por delitos graves2), lo que habría permitido, en su caso y con la debida autorización judicial, la posibilidad de diligencias restrictivas de derechos (como la entrada y registro, la interceptación de comunicaciones, etc), lo que parecería claro que impediría su cesión para su uso por la autoridad administrativa, dado que la Administración no está habilitada a restringir derechos fundamentales para la obtención de datos personales, ni evidencias. Sin embargo, frente a este problema se constata una diferente postura en el legislador y en los órganos jurisdiccionales.
En efecto, en relación con este tema, hay que tener en cuenta la existencia de una clara discrepancia entre, de un lado, la posición de nuestros legisladores, y de otro lado, la posición fijada por los tribunales en orden a la no posibilidad de cesión de datos de procesos penales a procedimientos sancionadores de naturaleza disciplinaria o sancionadora.
El ejemplo paradigmático a favor de la posibilidad de la cesión de datos de un proceso penal a un procedimiento sancionador se encuentra en el art. 33 de la LO 3/2013 de protección de la salud del deportista y lucha contra el dopaje en la actividad deportiva. Ese precepto, cuya rúbrica («Colaboración con las autoridades judiciales») es lo suficientemente ilustrativa sobre su contenido, contiene la regulación con detalle de las relaciones de colaboración que se podrán establecer entre las autoridades administrativas o federativas encargadas de la lucha contra el dopaje y los jueces o tribunales que puedan conocer de las conductas delictivas de dopaje, esto es, de los casos previstos en el artículo 361 bis del Código Penal. Y en concreto, en su apartado 5 recoge expresamente la posibilidad de cesión del resultado de las diligencias de investigación que se hayan llevado a cabo en el seno de un proceso penal.
Frente a esta postura del legislador, de defensa de la posibilidad de cesión de datos penales para los procedimientos administrativo sancionadores, los tribunales, en particular la Sala Tercera del Tribunal Supremo, han tenido que pronunciarse en contra de la posibilidad de uso de los datos obtenidos en proceso penal en el procedimiento sancionador.
En concreto, en la STS de 30 abril 2012 (RJ\2012\4968) la Sala Tercera se pregunta en su Fundamento Jurídico Noveno que: «si es legalmente admisible que el Instructor de un procedimiento disciplinario pueda reclamar al Instructor de un proceso penal, y éste facilitar a aquél, el contenido de conversaciones telefónicas legalmente intervenidas en la instrucción penal. Y si esa reclamación y facilitación de tales pruebas por uno y otro instructor, (del expediente disciplinario y del proceso penal, respectivamente) vulneran o no el derecho fundamental del Art. 18.3 CE». Y frente a ese interrogante, después de una fundamentada argumentación, la Sala termina afirmando que: «conclusión de todo lo expuesto es la de que, si la prueba que el instructor del Expediente disciplinario pretendía extraer del proceso penal en fase de instrucción entraba en colisión con el derecho fundamental al secreto de las comunicaciones del expedientado, tal prueba resultaba ilícita e inconstitucional».
Consecuencia de todo lo señalado se ha producido una evolución natural en la temática de la línea de investigación, pues, se han desdoblado las cuestiones de interés que se plantean en relación con la cesión de datos personales penales, de un lado, ha surgido la necesidad de incardinar la protección de datos personales con carácter general dentro del proceso penal, no sólo la cesión de los mismos, sobre todo a raíz de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo.
De otro lado, la nueva temática que se desprende después del estudio de la cesión de datos personales entre procesos penales y procedimientos sancionadores o tributarios es comprobar que es necesario ampliar el objeto de análisis, superando las restricciones que plantea el estar analizando los datos personales, como elementos de hecho que se incorporan por cesión a otros procesos y procedimientos. Es decir, hay que poner la mirada no solo en los datos personales, sino en general en cualquier clase de evidencias, datos o informaciones que se pasen, cedan o transmitan de un proceso a otro distinto. Esta es, a nuestro juicio, la evolución natural de la investigación sobre esta temática y así lo hemos concretado en la Memoria científica del Proyecto de I+D, que nos ha sido recientemente concedido en la convocatoria de 2018 de Proyectos de Generación de Conocimiento, y cuyo título es «Límites a la utilización de datos, evidencias e información entre procesos y procedimientos diversos en España y la Unión Europea » (LUDEI) (Ref. PGC2018-095735-B-I00).
La presente obra es el resultado de esta evolución de la temática y del punto de vista en su análisis, ya que los trabajos se centran en delimitar y fijar los requisitos necesarios para que pueda tener lugar un uso y cesión de datos personales y evidencias entre distintos procesos y procedimientos que resulta absolutamente respetuoso de los derechos fundamentales de los afectados y de terceras personas.
Para ello, el presente libro se estructura en cuatro partes atendiendo a la temática que se aborda en los capítulos que componen cada una de ellas.
La primera de las partes se dedica a la cesión de datos y evidencias en el seno de los procesos penales. En ella se aborda en seis capítulos las principales cuestiones que se plantean en la actualidad en relación con la cesión y uso de datos y evidencias en la fase de investigación o instrucción.
En concreto, se examina y analiza: la problemática que plantea la obtención transfronteriza de pruebas o evidencias y su cesión para su uso ante otras jurisdicciones; las limitaciones que los tribunales supranacionales y el Tribunal Constitucional han establecido en sus respectivas doctrinas en relación con las cesión y uso de datos personales en los procesos penales; los nuevos instrumentos de prevención y lucha contra el nuevo terrorismo; el régimen jurídico de la cesión de datos PNR (Passenger Name Record) por parte del Centro de Inteligencia contra el Terrorismo y el Crimen Organizado, así como la trascendente utilidad de esta clase de datos PNR como instrumentos para la investigación y predicción delictiva; los límites que existen para el uso y cesión de datos personales derivados de las restricciones que todavía existen para la interoperabilidad de las bases de datos policiales. Y por último, dentro de la fase de investigación encontramos un capítulo dedicado a las denuncias anónimas en los sistemas de compliance de las personas jurídicas y, en particular, al uso de los datos denunciados a la luz de la normativa de protección de datos.
La segunda sección de esta primera parte se dedica a las diligencias tecnológicas como instrumentos o cauces para la obtención de una gran multiplicidad de datos personales, con especial detalle en el análisis de la Sentencia de 2 de octubre de 2018 del Tribunal de Justicia de Unión Europea, dictada en relación con la cuestión prejudicial (Asunto C207/16), planteada por la Audiencia Provincial de Tarragona mediante Auto de 6 de abril de 2016, en la que se solicitaba al TJUE que aclarase y determinase el alcance del umbral de gravedad delictiva que puede permitir la adopción de estas diligencias de investigación restrictivas de derechos fundamentales. Al respecto, el lector puede encontrar en el libro un capítulo en el que se contiene un análisis detallado sobre el nuevo enfoque jurídico del sistema de cesión de datos tras la indicada Sentencia del Tribunal de Justicia de la Unión; otro en el que se aborda la problemática de la cesión al proceso penal de datos personales conservados por los prestadores de servicios de telecomunicación a partir de la STJUE de 21 de diciembre de 2016 y de la STJUE de 2 de octubre de 2018; otro específico sobre el tratamiento de los datos de tráfico y de localización con fines de investigación delictiva; así como un capítulo dedicado a dibujar el marco general de la cesión o transferencia de datos obtenidos en el desarrollo de una medida de investigación tecnológica. No falta tampoco en el libro un capítulo dedicado a examinar la problemática que plantea la destrucción de los datos personales generados por las TICs y las consecuencias que se derivan en relación con la posible ilicitud del material personal no destruido. Finaliza esta primera parte del libro con un análisis de las particularidades que se plantean en relación con la cesión de datos personales en los procesos en que interviene el FBI norteamericano.
La segunda de las partes en que está dividida la obra está dedicada a la cesión de datos y evidencias entre el proceso penal y el procedimiento administrativo sancionador. En siete capítulos se abordan las principales cuestiones y problemas que se plantean en esta materia. Así, se estudia la problemática que plantea la utilización en el procedimiento sancionador de pruebas obtenidas en procesos penales; se hace un análisis detallado de la Ley de procedimiento administrativo común a la luz de la transmisión de datos y evidencias del proceso penal al procedimiento administrativo sancionador; se analizan las posibilidades que surgen con ocasión de la reutilización de los datos públicos que constan en poder de la Administración en otros procedimientos y registros; se estudia también el entrecruzamiento de regímenes jurídicos en la transmisión de la prueba penal al procedimiento administrativo sancionador; finalizando con el análisis de un supuesto particular de cesión de datos y evidencias entre el proceso penal y el proceso administrativo sancionador, en concreto en que se produce al amparo de la previsión contenida en el artículo 38 de la Ley contra la Violencia en el Deporte en los casos de responsabilidad disciplinaria de los deportistas.
Resulta también objeto de estudio la posible responsabilidad penal de los funcionarios públicos en los casos de cesión de datos personales que consten en expedientes o registros públicos por un eventual delito de infidelidad en custodia de documentos y revelación de secretos.
La tercera de las partes de la obra está dedicada a la cesión y uso de datos personales en los procedimientos tributarios. El lector va a encontrar un capítulo general en el que se abordan las cuestiones generales que plantea esta problemática de la cesión y uso de esta clase de datos personales entre los distintos procedimientos tributarios, tanto de comprobación, inspección o sancionadores. Y un segundo capítulo, en el que se aborda una concreta cesión de datos, en particular la que se produce respecto del registro general de vehículos en la aplicación del impuesto municipal sobre vehículos de tracción mecánica.
Por último, la cuarta parte se dedica a cuestiones generales vinculadas con la cesión de datos personales. Por ello, hay un capítulo dedicado a las novedades introducidas por Reglamento europeo (Reglamento UE 2016/679) en relación con el consentimiento para el tratamiento de datos personales; y otro que se ocupa de las cesiones de datos de carácter personal en la fase previa de contratación de trabajadores.
Resulta obligado y de justicia valorar la calidad y cualificación del equipo de investigadores que han participado con sus trabajos en la elaboración de la presente obra. En este sentido, debe destacarse el origen y formación pluridisciplinar de los autores, pues entre los mismos hay profesores de universidad, abogados, magistrados, letrados de la administración sanitaria, etc, especialistas todos ellos en muy diversas ramas del derecho, que abarcan desde el derecho procesal hasta el derecho financiero, y que han permitido afrontar el tema de estudio desde muy diversas perspectivas, dando un visión general y con intención de exhaustividad de una gran mayoría de las cuestiones y de los interrogantes que se plantean en relación al uso y cesión de datos y evidencias entre procesos y procedimientos sancionadores o tributarios en España y en el seno de la UE.
No quiero finalizar estas palabras introductorias sin manifestar públicamente mi agradecimiento a todos y cada uno de los autores del presente libro, puesto que son ellos, con sus aportaciones y análisis especializados sobre los principales problemas que plantea el uso y la cesión de datos personales y evidencias, los que han conseguido crear una obra de gran nivel técnico-jurídico, que sin duda, está llamada a constituir un referente en la materia.
En Sevilla a 10 de junio de 2019.