Instrucción 2/2019, de 20 de diciembre, de la Fiscalía General del Estado, sobre la protección de datos en el ámbito del Ministerio Fiscal: el responsable y el Delegado de Protección de Datos.

• Marginal: BOE-A-2020-1003
• Sección: III - Otras Disposiciones
• Emisor: Ministerio Fiscal
• Rango de Ley: Instrucción

ÍNDICE

1.  Introducción.

2.  Normativa general de protección de datos.

3.  La protección de datos en el ámbito de la administración de Justicia.

4.  La consideración del Ministerio Fiscal en la normativa de protección de datos.

5.  Consideraciones generales sobre el responsable de protección de datos.

   5.1. El responsable del tratamiento de datos personales en la normativa comunitaria.

   5.2. El responsable en la LOPDGDD.

6.  La identificación del responsable del tratamiento de datos en el ámbito del Ministerio Fiscal.

7.  Las obligaciones del Ministerio Fiscal en materia de protección de datos.

   7.1. Las obligaciones del Ministerio Fiscal como responsable del tratamiento de datos personales.

   7.2. Obligaciones de la Fiscalía General del Estado.

   7.3. Obligaciones de las fiscalías, unidades y de los demás órganos del MF.

   7.4. Obligaciones de todos/as los/as fiscales.

   7.5. Régimen sancionador.

8.  La figura del Delegado de Protección de Datos.

   8.1. Consideraciones generales.

   8.2.  El Delegado de Protección de Datos en el ámbito del Ministerio Fiscal.

   8.2.1. Ámbito de actuación.

   8.2.2. Estructura.

   8.2.3. El DPD del Ministerio Fiscal.

   8.2.4. Adjuntos del DPD del Ministerio Fiscal.

9.  Cláusula de vigencia.

10.  Conclusiones.

1.  Introducción

   El derecho a la protección de datos personales es un derecho fundamental implícitamente reconocido en el art. 18.4 de la Constitución Española y consagrado en el art. 8 de la Carta de los Derechos Fundamentales de la Unión Europea (en adelante, UE) y en el art. 16.1 del Tratado de Funcionamiento de la UE. Parte de su contenido reside en la facultad de disposición y control sobre los datos personales, poderes que se concretan jurídicamente en «la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular» (STC 76/2019, de 22 de mayo). Asimismo, los datos han de tratarse de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Este derecho «impone a los poderes públicos la prohibición de que se conviertan en fuentes de información sin las debidas garantías, así como el deber de prevenir los riesgos que puedan derivarse del acceso o divulgación indebidas de dicha información» (STC 292/2000, de 30 de noviembre).

   La actuación cotidiana del Ministerio Fiscal (en adelante, MF) implica el necesario tratamiento de datos personales, ejecutando acciones sobre los mismos que deben respetar la normativa aplicable a la materia. Esta actuación se desarrolla fundamentalmente en el contexto de la actividad jurisdiccional o cuasijurisdiccional correspondiente al cumplimiento de su misión «de promover la acción de la justicia en defensa de la legalidad, de los derechos de los ciudadanos y del interés público tutelado por la ley, de oficio o a petición de los interesados, así como velar por la independencia de los Tribunales, y procurar ante éstos la satisfacción del interés social» (arts. 124 CE y 2 EOMF). Junto a ello, el MF efectúa tratamientos de datos personales en los expedientes de naturaleza gubernativa, por ejemplo, al tramitar y/o gestionar las situaciones administrativas derivadas de las relaciones funcionariales o laborales de las personas destinadas en las fiscalías.

   En ambos casos, la actuación del MF está sujeta a la normativa de protección de datos, materia de cierta complejidad y que actualmente está en desarrollo, en la que confluye la normativa europea y la propia de los Estados miembros. Resulta preciso un cuidadoso análisis de la legislación aplicable, teniendo en cuenta la naturaleza y funciones del MF, «órgano de relevancia constitucional con personalidad jurídica propia, integrado con autonomía funcional en el Poder Judicial» (art. 2.1 EOMF).

   La regulación vigente se basa en el principio de responsabilidad proactiva, que supone la obligación de «aplicar medidas técnicas y organizativas apropiadas, acordes con la naturaleza, ámbito y fines del tratamiento, a fin de garantizar y poder demostrar que el mismo es conforme a la normativa, e implica la necesidad de identificar a los responsables del tratamiento». Y, por otro lado, contempla la figura del Delegado de Protección de Datos (en adelante, DPD), con funciones de asesoramiento y supervisión sobre esta materia, previsión que requiere su concreción en el ámbito específico del MF.

   La acomodación de la actuación del MF a la normativa de protección de datos plantea la necesidad de precisar estos aspectos, teniendo en cuenta su misión, estructura, organización y funcionamiento, a la luz de la nueva regulación y sin perjuicio de las adaptaciones que resulten precisas, en su caso, derivadas de la ulterior trasposición de la Directiva (UE) 2016/680 que se reseñará más adelante.

   Esta instrucción se ha elaborado con el asesoramiento del Delegado de Protección de Datos del MF (en adelante, DPD del MF) y ha sido sometida a informe del Consejo Fiscal, de acuerdo con el art. 14. cuatro EOMF.

2.  Normativa general de protección de datos

   Desde la UE se ha pretendido proporcionar un enfoque coherente de la protección de datos, armonizando, en la medida de lo posible, la normativa sobre la materia aplicable a los sectores público y privado de los Estados miembros y el propio tratamiento por las instituciones, órganos y organismos de la Unión.

   En primer lugar, y con el fin de garantizar una protección eficaz, completa y homogénea de las personas físicas en lo que respecta al tratamiento de datos personales y las normas relativas a la libre circulación de tales datos e identificar a los sujetos que están obligados a adoptar medidas, se aprobó el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, «relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE» (en adelante, RGPD), aplicable desde el pasado 25 de mayo de 2018, de alcance general, obligatorio y directamente aplicable en cada Estado miembro; y para el «ámbito penal» la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo de 27 de abril de 2016, «relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales y a la libre circulación de dichos datos» (en adelante, Directiva 2016/680), norma esta última pendiente aún de trasposición a nuestro ordenamiento.

   Las anteriores normas contienen disposiciones referidas tanto al sector público como al sector privado de los Estados miembros. Para el tratamiento efectuado por las instituciones, órganos y organismos de la Unión, se aplica el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo de 23 de octubre de 2018, «relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE».

   En nuestro ordenamiento interno, y con carácter general, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD) se dictó con el objetivo de adaptar nuestro ordenamiento jurídico al RGPD, manteniendo la vigencia de la anterior Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD) exclusivamente para los tratamientos sometidos a la mencionada Directiva 2016/680, en tanto no entre en vigor la norma que trasponga al derecho español lo dispuesto en la misma.

   La normativa citada presenta una nueva configuración de la protección de datos que, superado el concepto de los ficheros, se centra en el tratamiento de datos y en las obligaciones que corresponden al responsable del mismo. Para ello, parte de la definición del tratamiento como «cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción» (art. 4.2 RGPD). E identifica al responsable del tratamiento o responsable como «la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento», añadiendo que «si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros» (art. 4.7 RGPD).

3.  La protección de datos en el ámbito de la administración de Justicia

   Como hemos indicado, la normativa europea mencionada pretende armonizar y unificar la protección de datos en los sectores público y privado. Sin embargo, y a pesar de este planteamiento común, la especial naturaleza de ciertos tratamientos, efectuados con determinados fines, y la necesidad de salvaguardar otros intereses que también exigen una especial protección, ha requerido una mención específica en la normativa y la previsión de ciertas especialidades.

   Este es el caso del tratamiento efectuado con ocasión de la actividad de los tribunales y otras autoridades judiciales (considerandos 20 y 97 del RGPD) a los que se aplica el Reglamento –salvo en el ámbito penal citado en el que rige la directiva y en el futuro su norma de trasposición (aún no aprobada)–, con ciertas especialidades. Estas...