articulo

LO 7/2021: protección de datos en fines policiales y penales (Directiva LED)

La Ley Orgánica 7/2021, de 26 de mayo, transpone la Directiva UE 2016/680: ámbito, autoridades competentes, categorías de interesados, principios, DPD...

Por Equipo Opotips

La Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales (texto consolidado en BOE) es la norma española que transpone la Directiva (UE) 2016/680, conocida como Directiva LED o Directiva policial. Es el complemento imprescindible de la LOPDGDD para los opositores a Policía Nacional, Guardia Civil y Cuerpos de Policía Local.

Por qué existen dos leyes paralelas (LOPDGDD y LO 7/2021). El RGPD excluye expresamente de su ámbito (art. 2.2.d) los tratamientos por autoridades competentes con fines de prevención, detección, investigación o enjuiciamiento de infracciones penales o de ejecución de sanciones. Para no dejar vacío normativo, la UE aprobó simultáneamente la Directiva 2016/680 (LED), que regula ese sector con reglas más flexibles que el RGPD —pero igualmente garantistas— pensadas para el trabajo policial y judicial penal.

Ámbito de aplicación (arts. 1-3)

La LO 7/2021 se aplica al tratamiento de datos personales total o parcialmente automatizado, así como al no automatizado cuando los datos estén incluidos o vayan a estarlo en un fichero, cuando sea efectuado por:

  • Autoridades competentes.
  • Con los fines de prevención, detección, investigación o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública.

Autoridades competentes (art. 3.7)

Definidas como toda autoridad pública que sea competente para esos fines o cualquier otro órgano o entidad a la que el Derecho del Estado miembro atribuya esa competencia. En España incluye:

  • Fuerzas y Cuerpos de Seguridad (CNP, Guardia Civil, policías autonómicas, policías locales).
  • Ministerio Fiscal.
  • Órganos judiciales del orden penal.
  • Instituciones penitenciarias.
  • Otros órganos administrativos con competencia sancionadora penal.

Qué NO se aplica

  • Actividades fuera del ámbito del Derecho de la Unión.
  • Actividades de seguridad nacional.
  • Tratamientos por órganos jurisdiccionales en el ejercicio de su función jurisdiccional (estos se rigen por la Ley Orgánica del Poder Judicial).
  • Tratamientos por el CNI, regulados por su normativa específica.

Principios (arts. 6-9)

Son paralelos a los del RGPD pero con algunos matices:

  1. Licitud: el tratamiento debe estar previsto en una norma con rango de ley y ser necesario para el cumplimiento de los fines.
  2. Lealtad y transparencia: con modulaciones para no perjudicar investigaciones.
  3. Limitación de la finalidad: los datos recogidos para un fin pueden tratarse para otros fines (incluso ajenos al ámbito penal) solo si está autorizado por la ley y es necesario y proporcionado.
  4. Minimización, exactitud, limitación del plazo, integridad y confidencialidad: como en el RGPD.
  5. Responsabilidad proactiva: el responsable debe demostrar el cumplimiento.

Categorías de interesados (art. 6.1.b LED y art. 7 LO 7/2021)

Una novedad característica: el responsable debe distinguir claramente entre las distintas categorías de interesados, en la medida de lo posible:

Categoría Quién
Sospechosos Personas respecto de las cuales existen motivos fundados para creer que han cometido o van a cometer una infracción penal.
Condenados Personas condenadas por una infracción penal.
Víctimas Víctimas reales o potenciales de una infracción penal.
Terceros Otras personas que puedan facilitar información (testigos, peritos, denunciantes, contactos o asociados).

Distinción entre datos basados en hechos y datos basados en apreciaciones (art. 8)

Otra particularidad: el responsable debe diferenciar datos basados en hechos (objetivos, comprobados) de datos basados en apreciaciones personales (subjetivos). Esto es crucial en investigaciones policiales para evitar sesgos.

Derechos del interesado (arts. 19-25)

Similares a los del RGPD, pero con restricciones: pueden limitarse para evitar obstáculos a investigaciones, proteger la seguridad pública o nacional, proteger los derechos y libertades de terceros, etc. La limitación debe estar prevista en la ley y ser proporcionada.

  • Derecho a la información (art. 19).
  • Derecho de acceso (art. 20).
  • Derecho de rectificación, supresión o limitación (arts. 22-23).

Delegado de Protección de Datos (DPD): obligatorio (art. 40)

A diferencia del RGPD —que solo lo exige en determinados casos—, la LO 7/2021 obliga a designar DPD a todas las autoridades competentes, salvo los órganos jurisdiccionales en el ejercicio de su función. Ejerce funciones de asesoramiento, supervisión del cumplimiento y enlace con la autoridad de control.

Transferencias internacionales (arts. 46-51)

Tres niveles:

  1. Países con decisión de adecuación: libre transferencia.
  2. Garantías apropiadas: contratos, normas internas, instrumentos bilaterales.
  3. Excepciones: interés vital, salvaguarda intereses legítimos del interesado, prevención amenaza inmediata.

Autoridad de control (art. 45)

La AEPD es la autoridad de control nacional para los tratamientos sujetos a la LO 7/2021, en coordinación con las autoridades autonómicas que tengan asumida la competencia en este ámbito y sin perjuicio de las especialidades de los tratamientos con fines jurisdiccionales por órganos judiciales o por el Ministerio Fiscal.

Régimen sancionador (arts. 67-77)

Tipología de leves, graves y muy graves con cuantías menores que el RGPD (no llegan a los 20 millones del Reglamento) y con un régimen específico cuando las infracciones son cometidas por organismos públicos: requerimiento de actuación y, en su caso, sanciones disciplinarias.

Para test

  • Norma transpuesta: Directiva (UE) 2016/680 ("LED" o "policial"), no el RGPD.
  • Fecha: 26 de mayo de 2021 (BOE 27-mayo-2021).
  • Tratamientos cubiertos: prevención, detección, investigación, enjuiciamiento penal y ejecución de sanciones.
  • DPD obligatorio para todas las autoridades competentes (con excepción de órganos jurisdiccionales).
  • Distinguir categorías de interesados (sospechosos, condenados, víctimas, terceros) y hechos vs. apreciaciones.
  • Autoridad de control: la AEPD.

Preguntas frecuentes

¿Por qué hay una ley separada del RGPD para uso policial?

Porque el RGPD excluye expresamente de su ámbito (art. 2.2.d) los tratamientos por autoridades competentes con fines de prevención, detección, investigación y enjuiciamiento penal o ejecución de sanciones. La UE aprobó una norma paralela específica, la Directiva 2016/680 ('Directiva LED' o policial), que la LO 7/2021 transpone al Derecho español.

¿A quién se aplica la LO 7/2021?

A las autoridades competentes en materia penal: Fuerzas y Cuerpos de Seguridad (CNP, Guardia Civil, policías autonómicas y locales), Ministerio Fiscal, órganos judiciales del orden penal, instituciones penitenciarias y otros órganos administrativos con competencia sancionadora penal. No se aplica al CNI ni a tratamientos en seguridad nacional fuera del Derecho de la UE.

¿Qué categorías de interesados debe distinguir un cuerpo policial?

Cuatro: sospechosos (motivos fundados para creer que han cometido o van a cometer una infracción), condenados, víctimas reales o potenciales y terceros (testigos, denunciantes, peritos, contactos). El responsable debe diferenciarlos en la medida de lo posible (art. 7 LO 7/2021), para no aplicar el mismo régimen a un investigado y a un testigo.

¿Es obligatorio el Delegado de Protección de Datos?

Sí. La LO 7/2021 (art. 40) obliga a designar DPD a todas las autoridades competentes en su ámbito, salvo los órganos jurisdiccionales en el ejercicio de su función. Es más exigente que el RGPD, que solo lo impone en ciertos supuestos.

¿Quién supervisa el cumplimiento de la LO 7/2021?

La Agencia Española de Protección de Datos (AEPD), en coordinación con las autoridades autonómicas que tengan asumida la competencia (Cataluña, País Vasco y Andalucía). La AEPD ejerce las funciones de investigación, asesoramiento y procedimiento sancionador en este ámbito.

¿Te ha sido útil?

Crea tu cuenta gratis y accede a más recursos para tu oposición

🚀 Regístrate gratis