LO 7/2021: protección de datos para fines policiales y penales

La Ley Orgánica 7/2021, de 26 de mayo, regula la protección de datos personales tratados por autoridades competentes con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales, de ejecución de sanciones penales y de protección y prevención frente a amenazas contra la seguridad pública.

Es una norma clave para Policía Nacional, Guardia Civil, policías autonómicas y policías locales cuando actúan en el ámbito penal o de seguridad pública. No es una simple copia de la LOPDGDD: transpone la Directiva (UE) 2016/680, conocida como Directiva policial o LED, y cubre un espacio que el RGPD excluye expresamente en su art. 2.2.d.

Por qué existe una ley distinta del RGPD

El RGPD se aplica al tratamiento general de datos personales, pero deja fuera los tratamientos efectuados por autoridades competentes con fines penales y policiales. Para ese ámbito, la UE aprobó una directiva específica con más atención a investigación penal, seguridad pública, intercambio policial, trazabilidad, restricciones de derechos y control de autoridades competentes.

Por eso, una misma Administración puede aplicar normas distintas según la finalidad. Si un Ayuntamiento trata datos para padrón o tributos, normalmente estará en RGPD/LOPDGDD. Si su policía local trata datos en una investigación penal o para prevenir amenazas a la seguridad pública, entra en la LO 7/2021.

Ámbito de aplicación

La LO 7/2021 se aplica al tratamiento total o parcialmente automatizado y al no automatizado contenido o destinado a incluirse en un fichero, siempre que lo realicen autoridades competentes para los fines de la ley.

Elemento	Clave de examen
Norma	LO 7/2021, de 26 de mayo.
Directiva transpuesta	Directiva (UE) 2016/680.
Finalidad	Prevención, detección, investigación, enjuiciamiento penal, ejecución de sanciones penales y seguridad pública.
Sujetos	Autoridades competentes en esos fines.
Relación con RGPD	El RGPD excluye este ámbito en su art. 2.2.d.

La expresión autoridades competentes incluye autoridades judiciales del orden penal, Ministerio Fiscal, Fuerzas y Cuerpos de Seguridad, Administraciones penitenciarias y otras autoridades u organismos públicos que tengan legalmente encomendadas funciones para los fines de la ley. No debe confundirse con cualquier órgano administrativo: la clave es la finalidad penal o de seguridad pública.

Principios del tratamiento

La LO 7/2021 recoge principios próximos a los del RGPD, adaptados al ámbito policial:

• Tratamiento lícito y leal.
• Finalidades determinadas, explícitas y legítimas.
• Datos adecuados, pertinentes y no excesivos en relación con los fines.
• Exactitud y actualización cuando sea necesario.
• Conservación no superior a la necesaria.
• Seguridad, integridad y confidencialidad.
• Responsabilidad del responsable y capacidad de acreditar el cumplimiento.

Además, debe distinguirse, en la medida de lo posible, entre datos basados en hechos y datos basados en apreciaciones personales. En un atestado o sistema policial no tiene el mismo valor un hecho comprobado que una valoración, sospecha o indicio.

Categorías de interesados

Una de las reglas más preguntables es la obligación de diferenciar categorías de interesados, en la medida de lo posible:

Categoría	Ejemplo
Personas respecto de las que existan motivos fundados para presumir que han cometido o pueden cometer una infracción penal	Investigados o sospechosos.
Personas condenadas o sancionadas penalmente	Condenados.
Víctimas o personas respecto de las que pueda presumirse que pueden ser víctimas	Víctimas reales o potenciales.
Terceros relacionados	Testigos, denunciantes, informantes, contactos, colaboradores o personas vinculadas.

Esta diferenciación evita tratar igual a una víctima, un testigo y una persona investigada. Es una garantía de calidad del dato y de proporcionalidad.

Categorías especiales y datos sensibles

La LO 7/2021 permite el tratamiento de categorías especiales solo cuando sea estrictamente necesario, exista cobertura legal y se apliquen garantías adecuadas. Abarca datos como origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos para identificación unívoca, salud, vida sexual u orientación sexual.

En el ámbito policial, que un dato sea útil no basta. Debe ser necesario para la finalidad concreta y estar protegido con controles reforzados.

Derechos de las personas

La LO 7/2021 reconoce derechos de información, acceso, rectificación, supresión y limitación, pero con especialidades. Pueden restringirse total o parcialmente cuando sea necesario y proporcionado para evitar obstaculizar investigaciones, procedimientos o actuaciones oficiales, proteger la seguridad pública, proteger la seguridad nacional, salvaguardar derechos y libertades de terceros o prevenir infracciones penales.

Si se limita un derecho, no significa que desaparezca el control. La persona puede acudir a la autoridad de protección de datos para que verifique la licitud del tratamiento en los términos previstos.

DPD, registro y seguridad

La designación de Delegado de Protección de Datos es obligatoria para las autoridades competentes, salvo los órganos jurisdiccionales cuando actúan en ejercicio de su función judicial. Esta es una diferencia práctica importante respecto al RGPD general, donde la obligación depende de los supuestos del art. 37 RGPD.

La ley también exige medidas de trazabilidad y seguridad: control de accesos, registros de operaciones, análisis de riesgos, confidencialidad, gestión de incidencias y medidas para verificar quién accede, consulta, modifica o comunica datos. En entornos policiales, la trazabilidad es garantía esencial: no basta con que el sistema sea cerrado, debe poder auditarse.

Transferencias internacionales

Las transferencias de datos a terceros países u organizaciones internacionales están sometidas a condiciones específicas. Deben responder a los fines de la LO 7/2021, intervenir autoridades competentes y existir decisión de adecuación, garantías apropiadas o una excepción prevista. En cooperación policial internacional no desaparece la protección de datos: se adapta al marco de cooperación y seguridad.

Autoridades de control y régimen sancionador

La AEPD es la autoridad de control con competencia general, sin perjuicio de las autoridades autonómicas de protección de datos dentro de su ámbito. La ley prevé poderes de investigación, advertencia, apercibimiento, órdenes de adecuación y régimen sancionador.

Para oposiciones policiales, lo importante no es memorizar cada infracción, sino saber ubicar la ley: cuando el tratamiento persigue fines penales o policiales de la LO 7/2021, el marco principal no es RGPD/LOPDGDD, sino LO 7/2021.

Para test

• LO 7/2021 transpone la Directiva (UE) 2016/680.
• El RGPD excluye este ámbito en el art. 2.2.d.
• Finalidades: prevención, detección, investigación, enjuiciamiento penal, ejecución de sanciones penales y seguridad pública.
• La finalidad manda: un mismo cuerpo puede aplicar RGPD o LO 7/2021 según para qué trate los datos.
• Deben distinguirse categorías de interesados: sospechosos/investigados, condenados, víctimas y terceros.
• Categorías especiales: solo si es estrictamente necesario y con garantías.
• DPD obligatorio para autoridades competentes, salvo órganos jurisdiccionales en función judicial.
• Los derechos pueden restringirse por investigación penal, seguridad pública, derechos de terceros u otras causas legales, pero con control por autoridad competente.

Fuentes oficiales

• Ley Orgánica 7/2021, texto consolidado BOE.
• Directiva (UE) 2016/680, texto oficial BOE/DOUE.
• RGPD, texto oficial BOE/DOUE.
• AEPD: funciones y poderes de la Agencia.

Precisión DPD: la excepción a la designación de delegado de protección de datos alcanza a los órganos jurisdiccionales y al Ministerio Fiscal cuando traten datos en ejercicio de sus funciones jurisdiccionales.