El artículo 236 bis de la Ley Orgánica del Poder Judicial, en la redacción dada al mismo por la Ley Orgánica 7/2021, de 26 de mayo, señala en su apartado 1 que el tratamiento de los datos personales podrá realizarse con fines jurisdiccionales o no jurisdiccionales, estableciendo que tendrá fines jurisdiccionales el tratamiento de los datos que se encuentran incorporados a los procesos que tengan por finalidad el ejercicio de la actividad jurisdiccional. El carácter jurisdiccional del tratamiento requiere, por tanto, la presencia de un doble elemento: en primer lugar, que los datos que se tratan se encuentren incorporados a un procedimiento judicial y, en segundo término, que la finalidad del tratamiento sea el ejercicio de la actividad jurisdiccional. Cuando no se dé alguno de estos elementos nos encontraremos, por tanto, frente a tratamientos con fines no jurisdiccionales, los cuales se regirán, con arreglo a lo dispuesto en el artículo 236 quáter de la LOPJ, por el RGPD, la Ley Orgánica 3/2018 y su normativa de desarrollo. Según esta configuración serían tratamientos con fines no jurisdiccionales, por tanto, los relacionados con los datos de carácter personal que deriven de los procedimientos gubernativos, así como los que, de acuerdo con las normas administrativas aplicables, se enmarquen en la relación funcionarial o laboral de las personas destinadas en los órganos judiciales y en las distintas situaciones e incidencias que acontezcan en la misma. 

Por su parte, los tratamientos con fines jurisdiccionales, esto es, los llevados a cabo con ocasión de la tramitación por los órganos judiciales de los procesos de los que sean competentes y el realizado dentro de la gestión de la Oficina judicial, se rigen, con arreglo a lo prevenido en el artículo 236 ter de la LOPJ, además de por lo dispuesto en el RGPD, la Ley Orgánica 3/2018 y su normativa de desarrollo, por las especialidades contenidas en la propia LOPJ y en las leyes procesales. En el ámbito de la jurisdicción penal, los tratamientos con fines jurisdiccionales se rigen por lo dispuesto en la Ley Orgánica 7/2021, de 26 de mayo, así como por las especialidades contenidas en la propia LOPJ y en las leyes procesales.  

Los tratamientos de datos personales en la Administración de Justicia deben llevarse a cabo, en todo caso, con arreglo a lo establecido en el apartado 2 del artículo 236 bis de la LOPJ, por el órgano competente y, dentro de él, por quien tenga la competencia atribuida por la normativa vigente. 

La diferenciación de tipos de tratamiento incide especialmente en la determinación de la autoridad de control de tales tratamientos, a la que corresponde, entre otras funciones, la supervisión del cumplimiento de la normativa de protección de datos y la constatación de los posibles indicios de infracciones en esta materia a través de los correspondientes procedimientos. En el caso de los tratamientos con fines jurisdiccionales la condición de autoridad de protección de datos se asigna al Consejo General del Poder Judicial, a través de la Dirección de Supervisión y Control de Protección de Datos, mientras que los que no ostentan tal carácter se someten al control de la Agencia Española de Protección de Datos.

Igualmente es significativamente distinto entre los dos tipos de tratamientos el régimen de ejercicio de los derechos de información, acceso, rectificación, supresión, oposición y limitación. En los tratamientos con fines jurisdiccionales, tales derechos se tramitarán conforme a las normas que resulten de aplicación al proceso en que los datos fueron recabados, debiendo ejercerse ante los órganos judiciales u Oficina judicial en los que se tramita el procedimiento, resolviéndose las peticiones por quien tenga la competencia atribuida en la normativa orgánica y procesal. En cambio, el ejercicio de dichos derechos en los tratamientos con fines no jurisdiccionales se realizará de conformidad con lo establecido al respecto por la normativa general de protección de datos (artículo 236 septies de la LOPJ).

Por último, difiere también el régimen de las comunicaciones o cesiones de datos entre ambos tipos de tratamientos, al que se refiere el apartado 4 del artículo 236 quinquies de la LOPJ. Así, en cuanto a los datos tratados con fines jurisdiccionales, se deberán ceder a los órganos competentes del Consejo General del Poder Judicial, de la Fiscalía General del Estado y del Ministerio de Justicia, en lo que proceda, los datos que sean estrictamente necesarios para el ejercicio de las funciones de inspección y control establecidos en la LOPJ y su normativa de desarrollo. Por su parte, en los tratamientos de carácter no jurisdiccional, la comunicación de los datos personales a dichos órganos podrá tener lugar cuando esté justificado por la interposición de un recurso o sea necesario para el ejercicio de las competencias que tengan legalmente atribuidas.