La Ley Orgánica 7/2015, de 21 de julio, añadió un nuevo capítulo a la Ley Orgánica del Poder Judicial, bajo la rúbrica “Protección de datos de carácter personal en el ámbito de la Administración de Justicia”. Este capítulo, el I Bis del Título III del Libro III, se integra por los artículos 236 bis a 236 decies, a todos los cuales ha dado nueva redacción la Ley Orgánica 7/2021, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.

El apartado 1 del artículo 236 ter de la Ley Orgánica del Poder Judicial, en la nueva redacción dada por la Ley Orgánica 7/2021, establece lo siguiente: “[e]l tratamiento de los datos personales llevado a cabo con ocasión de la tramitación por los órganos judiciales y fiscalías de los procesos de los que sean competentes, así como el realizado dentro de la gestión de la Oficina judicial y fiscal, se regirá por lo dispuesto en el Reglamento (UE) 2016/679, la Ley Orgánica 3/2018 y su normativa de desarrollo, sin perjuicio de las especialidades establecidas en el presente Capítulo y en las leyes procesales”.

Este conjunto de cuerpos normativos y disposiciones constituyen, por tanto, el marco por el que se rigen los tratamientos que se desarrollan, en el ámbito de la Administración de Justicia, con fines jurisdiccionales.

Los principales aspectos de la regulación de la protección de datos de carácter personal en el ámbito de la Administración de Justicia resultantes de las modificaciones introducidas por la Ley Orgánica 7/2021 en el Capítulo I bis del Título III del Libro III de la Ley Orgánica del Poder Judicial, comunes en buena medida a los tratamientos realizados en el seno de las Fiscalías y de la Oficinas fiscales, son los siguientes:

1. El artículo 236 bis distingue entre tratamientos de datos personales realizados con fines jurisdiccionales y no jurisdiccionales, señalándose que tendrá fines jurisdiccionales el tratamiento de los datos que se encuentren incorporados a los procesos que tengan por finalidad el ejercicio de la actividad jurisdiccional. El tratamiento de los datos personales en la Administración de Justicia se llevará a cabo por el órgano competente y, dentro de él, por quien tenga la competencia atribuida por la normativa vigente. Se suprime la atribución expresa de la condición de responsable del tratamiento (“responsable de los ficheros jurisdiccionales” en terminología de la anterior redacción del artículo 236 sexies) al órgano jurisdiccional u Oficina judicial ante el que se tramiten los procesos cuyos datos sean objeto de tratamiento.
   

2. El artículo 236 ter se refiere a la normativa de aplicación, entre otros, a los tratamientos de datos personales llevados a cabo con ocasión de la tramitación por los órganos judiciales de los procesos de los que sean competentes, siendo dicha normativa el Reglamento (UE) 2016/679 (Reglamento general de protección de datos), la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales, y su normativa de desarrollo, sin perjuicio de las especialidades establecidas en el capítulo I bis del Título III del Libro III de la Ley Orgánica del Poder Judicial y en las leyes procesales.
   

3. El artículo 236 sexies establece el deber de la Administración competente de suministrar los medios tecnológicos adecuados para que se proceda al tratamiento de los datos personales conforme a las disposiciones legales y reglamentarias, debiendo cumplir con las responsabilidades que en materia de tratamiento y protección de datos personales se le atribuya como administración prestacional. El Ministerio de Justicia, previo informe del Consejo General del Poder Judicial, debe elaborar y actualizar los códigos de conducta destinados a contribuir a la correcta aplicación de la normativa de protección de datos personales en la Oficina judicial, adecuando los principios de la normativa general a los propios de la regulación procesal y organización de dicha oficina.
   

4. Los derechos de información, acceso, rectificación, supresión, oposición y limitación se tramitarán conforme a las normas que resulten de aplicación al proceso en que los datos fueron recabados, debiendo ejercitarse tales derechos ante los órganos judiciales u Oficina judicial en los que se tramita el procedimiento y resolviéndose las peticiones formuladas a tal fin por quien tenga la competencia atribuida en la normativa orgánica y procesal (artículo 236 septies).
   

5. El artículo 236 octies relaciona las funciones que corresponden al Consejo General del Poder Judicial (así como a la Fiscalía General del Estado en el ámbito de sus competencias) respecto a las operaciones de tratamiento efectuadas con fines jurisdiccionales por Juzgados, Tribunales y Oficinas judiciales: a) supervisar el cumplimiento de la normativa de protección de datos personales mediante el ejercicio de la labor inspectora; b) promover la sensibilización de los profesionales de la Administración de Justicia y su comprensión de los riesgos, normas, garantías, derechos y obligaciones en relación con el tratamiento; c) emitir informe sobre los códigos de conductas destinados a contribuir a la correcta aplicación de la normativa de protección de datos personales en la Oficina judicial; d) previa solicitud, facilitar información a cualquier interesado en relación con el ejercicio de sus derechos en materia de protección de datos; y e) tramitar y responder las reclamaciones presentadas por los interesados, debiendo informarse al reclamante sobre el curso y resultado de la reclamación en un plazo razonable, previa realización de la investigación oportuna si se considera necesario.

6. Los tratamientos de datos llevados a cabo por el Consejo General del Poder Judicial en el ejercicio de sus competencias quedan sometidos a lo dispuesto en la legislación vigente en materia de protección de datos personales, sin que tales tratamientos sean considerados en ningún caso realizados con fines jurisdiccionales (artículo 236 decies).

7. Por último, el artículo 236 nonies dispone que las competencias que, de acuerdo con lo establecido en el artículo 236 octies, corresponden a la autoridad de protección de datos personales con fines jurisdiccionales serán ejercidas, respecto del tratamiento de los mismos realizados por Juzgados y Tribunales, por la Dirección de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial. La regulación de la Dirección de Supervisión y Control de Protección de Datos del CGPJ, contenida en el artículo 236 nonies LOPJ, es similar a la establecida para la Fiscalía General del Estado por la Ley Orgánica 7/2021, cuya disposición final segunda modifica la Ley 50/1981, de 30 de diciembre, del Estatuto Orgánico del Ministerio Fiscal, creando la Unidad de Supervisión y Control de Protección de Datos, a la que se refiere el nuevo apartado Cuatro de su artículo 20. Los principales rasgos de la regulación de la Dirección de Supervisión y Control de Protección de Datos del CGPJ son los siguientes:

i) Persona titular de la Dirección: su nombramiento, por mayoría absoluta del Pleno del CGPJ, se realizará entre juristas de reconocida competencia con al menos quince años de ejercicio profesional y con conocimientos y experiencia acreditados en materia de protección de datos.

ii) Duración del mandato: cinco años no renovable, permaneciendo durante el mismo, en su caso, en situación de servicios especiales. El cese sólo se podrá producir por incapacidad o incumplimiento grave de sus deberes, apreciados por el Pleno mediante mayoría absoluta. La disposición transitoria única de la Ley Orgánica 7/2021 establece que la duración del primer nombramiento de la persona titular de la Dirección será de tres años no renovable.

iii)Régimen de incompatibilidades: será el mismo que el establecido para los Magistrados al servicio de los órganos técnicos del CGPJ.

iv) Ejercicio del cargo: la persona titular de la Dirección ejercerá exclusivamente las funciones inherentes a su cargo, en condiciones de absoluta independencia y neutralidad, estando sujeta, al igual que el resto del personal adscrito a la Dirección, al deber de secreto profesional con relación a las informaciones confidenciales de las que hayan tenido conocimiento en el cumplimiento de sus funciones o en el ejercicio de sus atribuciones.

v) Medios personales y materiales: el Consejo General del Poder Judicial debe velar por que la Dirección cuente, en todo caso, con todos los medios personales y materiales necesarios para el adecuado ejercicio de sus funciones.

vi) Desarrollo reglamentario: la composición, organización y funcionamiento de la Dirección de Supervisión y Control de Protección de Datos será regulada reglamentariamente.

 

Enlace a artículos 236 bis a 236 decies LOPJ