La cesión de datos personales es una función que viene regulada en la LOPD. Con las modificaciones incorporadas en los últimos años en materia de protección de datos, aún siguen surgiendo muchas dudas sobre cómo cumplir adecuadamente con lo que establece la Ley de protección de datos. El Reglamento General de Protección de Datos de datos que entra en vigor en mayo de este año introduce importantes aclaraciones a este respecto.
¿Qué es un dato de carácter personal?
Se considera dato de carácter personal aquella información que sea relativa a personas físicas que pueden ser identificadas fácilmente, siendo estas personas aquellas que pueden determinar su identidad a través de información relativa a su aspecto físico, psíquico, económico, cultural o social.
La actual regulación establece importantes limitaciones en cuanto al uso de datos de terceras personas y además determina que en las organizaciones habrá un responsable del tratamiento de datos que velará porque estos datos sean usados de forma adecuada. Cualquier vulneración en el tratamiento de datos personales supone importantes sanciones para la persona que ceda los datos sin autorización expresa del titular de la información.
Uno de los temas que genera más dudas y controversia en relación con la consultoría de protección de datos es cómo hay que ceder los datos personales a la policía. En muchas ocasiones se producen incidentes en los que las empresas se ven obligadas a ceder datos de clientes o usuarios a la policía.
Esta cesión de datos supone en teoría una vulneración de la legislación sobre protección de datos. Sin embargo, nada más lejos de la realidad, ya que se trata de situaciones excepcionales que vienen expresamente recogidas en la legislación.
De hecho, esta circunstancia está prevista en la regulación y aunque dar los datos de terceros sin su consentimiento no está permitido, el artículo 22.2 de la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos se matiza.
Este artículo establece que la recopilación de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad del Estado sin la autorización de las personas implicadas será posible. No obstante, debe justificarlo la protección de la seguridad pública y en caso de que se hayan cometido infracciones penales. Además, estos datos recopilados deberán ser almacenados en ficheros específicos habilitados para ello y debidamente custodiados.
Implicaciones de la cesión de datos a la policía
La entrega de datos de terceros a la policía tiene sus implicaciones, y queda bien recogido en la legislación. Sin embargo, para que esta cesión sea considerada dentro de la legalidad y no se produzcan situaciones que puedan poner en peligro a la entidad o persona que ha realizado la cesión, se deben dar los siguientes requisitos:
La necesidad de los datos para la policía debe quedar demostrada
Es imprescindible que para que los datos que se cedan a la seguridad del estado queden justificados haya una razón de peso que acredite que su no cesión podría poner en peligro la seguridad pública o podría tener consecuencias penales importantes.
Por tanto, solo en circunstancias extremas como las indicadas esta cesión podría realizarse sin ninguna sanción por parte de la Agencia Española de Protección de datos.
Lo que si es importante dejar claro es que, especialmente en el caso de datos muy delicados o sensibles, esta información solo podrá ser usada por la policía para la finalidad para la que se ha justificado y para ninguna otra, debiendo ser destruidos en caso contrario.
Debe ser una petición específica
De igual forma, para ceder los datos personales sin que haya consecuencias debe tratarse de una petición específica y concreta. Las peticiones masivas de datos no podrán gozar de esta excepción.
Por tanto, solo las autoridades adecuadamente acreditadas y en el ejercicio de las competencias que tienen atribuidas pueden solicitar estos datos sensibles. Se tratará de datos que son necesarios solo y exclusivamente para el caso concreto que se está persiguiendo o tratando.
Que haya motivación para su petición
Es fundamental para que puedan cederse los datos a la policía que realmente se haya producido una situación de elevado riesgo para la seguridad pública y que esté en los supuestos contemplados en el artículo 22. La persona encargada de recibir la petición será el responsable del tratamiento que debe tener conocimiento acerca de la existencia de una investigación policial que se está desarrollando en ese momento.
Es importante tener en cuenta que esta petición se hará siempre por escrito de forma que pueda perfectamente quedar acreditado tanto la motivación como la finalidad para la cual se han usado esos datos.
La cancelación de los datos
Finalmente, un aspecto fundamental a tener en cuenta es que los datos deben ser borrados o destruidos una vez que finaliza la motivación que los generó. En el momento en que la investigación policial se cierra o deja de llevarse a cabo los datos que se han facilitado deberán ser destruidos y no podrán usarse para ninguna otra finalidad.
Como puedes ver, a pesar de que los cuerpos de seguridad del estado puedan tener un trato excepcional en cuando a la cesión de información en contra de la LOPD, hay que tener en cuenta que esta cesión no se realiza de forma arbitraria.
Muy al contrario es una actividad que está muy bien regulada y controlada para evitar situaciones complicadas o un mal uso de los datos sensibles especialmente cuando se trata de datos médicos o de salud.
Cabe destacar el contenido de algunas sentencias publicadas en relación con estas situaciones. En ellas, se pone de manifiesto que para que cualquier trasvase de datos de estas características esté dentro de la legalidad, es necesario que exista una resolución administrativa que autorice adecuadamente y por escrito tal circunstancia. De esta manera, en un futuro, no habría lugar a dudas ni problemas.
Por tanto, como habrás podido observar, la cesión de datos para fines de investigación policial tiene un tratamiento y regulación específicas. De esta forma, se consigue prevenir cualquier irregularidad en este sentido asegurando que solo en casos de necesidad demostrada esos datos serán cedidos sin la autorización de sus propietarios.
