Cessió de dades a agents dels cossos I forces de seguretat: Quan i com? - Març 2021

Recentment, l’Autoritat Catalana de Protecció de Dades (APDCAT) ha emès un dictamen on resol la consulta formulada per un Ajuntament en relació a la comunicació de dades a les Forces i Cossos de Seguretat (FFCCS), sense que els agents aportin un requeriment per escrit de la investigació que estan duent a terme. El dictamen entra a analitzar diverses qüestions que sovint generen dubtes als responsables del tractament quan es troben front a peticions d’aquesta naturalesa. En aquest sentit, l’APDCAT s’ha pronunciat en relació a diversos aspectes: 

Als efectes de la concurrència de la base jurídica l’article 6.1.c) del RGPD, cal tenir en compte que segons disposa l’article 4.1 de la Llei orgànica 2/1986, de 13 de març, de forces i cossos de seguretat (LOFFCCS), s’estableix una obligació general de col·laboració de qualsevol persona, física o jurídica, com ara un Hospital, amb les FFCCS en relació amb la investigació i persecució de delictes per part d’aquestes. En aquest sentit, aquesta previsió es podria considerar com l’obligació legal a què fa referència l’article 6.1.c) RGPD, i que permetria a un responsable comunicar dades personals de manera lícita. 

Ara bé, més enllà que el marc normatiu prevegi aquesta obligació general de col·laboració amb les FFCCS, i que això pugui traduir-se en una obligació per al responsable de comunicar determinades dades personals, això no implica que estiguem front a un deure absolut. És a dir, no implica que el responsable del tractament hagi de comunicar qualsevol informació que se li sol·liciti, ni que la comunicació s’hagi de produir sense que concorrin els requisits de l’article 22.2 LOPD. Caldrà veure quina és la informació que el cos policial està habilitat a exigir al responsable. 

Sobre aquesta qüestió cal tenir en compte que segons disposa l’article 2.2.d) del RGPD, no resulta aplicable als tractaments que es duen a terme per part FFCCS en l'àmbit policial i judicial penal. En aquest àmbit cal tenir en compte la Directiva (UE) 2016/680 del Parlament i del Consell, de 27 d'abril de 2016, relativa a la protecció de les persones físiques pel que fa al tractament de dades personals per part de les autoritats competents per a finalitats de prevenció, recerca, detecció o enjudiciament d'infraccions penals o d'execució de sancions penals, i a la lliure circulació d'aquestes dades, que els estats membres de la Unió Europea havien de transposar abans del 6 de maig de 2018, tot i que no s’ha fet pel moment aquesta transposició a l’ordenament espanyol. 

Per aquest motiu, i fins que es transposi la citada Directiva, a les FFCCS les són d’aplicació les previsions de la Llei orgànica15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD), que segueixen temporalment vigents d’acord amb la disposició transitòria 4ª de la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades Personals i garantia de drets digitals (LOPDGDD), en relació amb les sol·licituds d’informació que formulen les FFCCS. 

Per tant, per tal de determinar quina és la informació que el cos policial està habilitat per recollir, caldrà tenir en compte l’article 22 de la LOPD, que habilita la cessió de dades per al compliment de “finalitats policials”. 

Així, l’article 22.3 de la LOPD estableix un requisit específic per a la cessió de dades d’especial protecció, com serien les dades de salut, a les FFCCS. En concret, que aquesta cessió es fonamenti i es justifiqui en les finalitats d’una investigació concreta. En qualsevol cas, per tal que aquesta cessió resulti habilitada, caldrà que es doni compliment als requisits previstos en l’article 22.2 de l’LOPD, és a dir, que la sol·licitud de dades es limiti a les necessàries per a la prevenció d’un perill real per a la seguretat pública o per a la repressió d’infraccions penals. Si es complissin aquests requisits, s’hauria d’atendre la sol·licitud d’accés a dades personals.

Així mateix, s’analitza també si per tal d’autoritzar aquesta comunicació de dades personals és necessari un requeriment per escrit de la investigació. En aquest sentit, l’APDCAT recorda que el responsable del tractament està obligat a vetllar per l’adequat tractament de la informació que té sobre la seva responsabilitat (<principi de responsabilitat proactiva>). En aquest sentit, entén que abans de fer la comunicació de les dades, el responsable ha de poder verificar tant la identificació de la persona o persones que fan el requeriment com el compliment dels requisits a què està sotmesa la comunicació, d’acord amb l’article 22 LOPD. 

Si ve la normativa aplicable no recull cap previsió específica per la qual les sol·licituds d’informació per part d’un cos policial s’hagin de presentar necessàriament per escrit, tenint en compte el que estableix l’article 22.2 LOPD, correspon al cos policial que sol·licita informació acreditar i justificar que les dades que demana conèixer són necessàries per a la prevenció d’un perill real, o per a la repressió d’infraccions penals. L’APDCAT entén doncs, que això fa exigible una mínima justificació per part del cos policial respecte la necessitat d’accedir a determinades dades personals. Per tant, el responsable del tractament no només ha d’assegurar-se que la comunicació de dades de la persona afectada té suficient base jurídica i resulta lícita, sinó que ha de poder demostrar que ha complert amb els principis i les seves obligacions derivades de la normativa de protecció de dades abans de facilitar determinada informació personal de terceres persones. 

L’APDCAT entén que sense una concreció per escrit sobre el motiu i la finalitat de la sol·licitud, sobre quines dades personals es sol·liciten, sobre la necessitat d’accedir a una part o a la totalitat d’aquestes dades, etc., difícilment, el responsable del tractament podrà comprovar si la comunicació s’ajusta als principis de protecció de dades esmentats, i si es donen els requisits de l’article 22.2 de la LOPD. 

En definitiva, el responsable del tractament ha de poder actuar diligentment davant de qualsevol petició d’informació personal que fan els cossos policials, i per això ha de disposar de la informació necessària. Per tal de poder complir amb el principi de responsabilitat proactiva, hauria de disposar del requeriment detallat i per escrit del cos policial. 

En el mateix sentit, el considerant 31 del RGPD estableix que les sol·licituds de comunicació de les autoritats públiques sempre han de presentar-se per escrit, de manera motivada, i sense referir-se a la totalitat d’un fitxer ni donar lloc a la interconnexió de fitxers (tenint en compte el principi de minimització de dades). Aquesta mateixa previsió s’inclou a la Directiva (UE) 2016/680, pel que la necessitat de presentar les sol·licituds per escrit per part de les FFCCS quedarà, previsiblement, reflectida a la llei que la transposi al nostre ordenament jurídic.