FAQS
Esta sección ofrece diversa información sobre la actuación del Consejo General del Poder Judicial como autoridad de control de protección de datos en relación con los denominados tratamientos jurisdiccionales que tienen lugar en los juzgados y tribunales. Así, se pueden consultar los informes y resoluciones que ha adoptado el CGPJ en el ejercicio de dicha autoridad de control, así como cuál es su relación con la Agencia Española de Protección de Datos, que a su vez, es la autoridad de control de los tratamientos no jurisdiccionales.
Por otra parte, también se han puesto a disposición tanto de responsables como de encargados de tratamientos, documentación que puede ser de utilidad, como sería el caso de las cláusulas para configurar el tratamiento de datos entre encargados y sub-encargos, o modelos para el cumplimiento del derecho de información.
Igualmente, existe un formulario para que, en caso de que lo sufran, tanto responsables como encargados notifiquen brechas de seguridad.
También se ha puesto a disposición de los interesados, los diferentes formularios para que en el caso de que lo deseen, ejerciten sus derechos de protección de datos, ante los juzgados y tribunales que tratan los mismos, y un formulario para interponer reclamaciones en el caso de que el interesado que interpone la citada reclamación ante el CGPJ si considera que sus datos personales han sido vulnerados.
Desde el 25 de mayo de 2018 resulta de aplicación el Reglamento General de Protección de Datos (RGPD), norma aprobada por la Unión Europea, a la que debe añadirse la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de derechos digitales (LOPDGDD), aplicable desde el 7 de diciembre del citado año.
La LOPDGDD, en su artículo 2.4 dispone que "el tratamiento de datos llevado a cabo con ocasión de la tramitación por los órganos judiciales de los procesos de los que sean competentes, así como el realizado dentro de la gestión de la Oficina Judicial, se regirán por lo dispuesto en el Reglamento (UE) 2016/679 y la presente ley orgánica, sin perjuicio de las disposiciones de la Ley Orgánica 6/1985, de 1 julio, del Poder Judicial, que le sean aplicables".
En este sentido, en el año 2015 se reformó la LOPJ introduciendo dentro del Título III "De las actuaciones judiciales", el capítulo I Bis
Tras la reforma del año 2015 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, se introdujo dentro del Título III "De las actuaciones judiciales", el capítulo I Bis "Protección de datos de carácter personal en el ámbito de la Administración de Justicia". No obstante, los preceptos que aparecen en la LOPJ deben interpretarse en consonancia con el contenido de la norma europea, ya que algunos artículos pueden haber sido desplazados, o bien otros, aunque estén en vigor, deben ser matizados.
Por otra parte, debemos realizar una precisión respecto al tratamiento de datos personales en el ámbito penal, ya que según el artículo 2.2.d) del RGPD
"El presente Reglamento no se aplica al tratamiento de datos personales por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente amenazas a la seguridad pública y su prevención".
Este tipo de tratamientos relacionados con infracciones y sanciones penales se regulan por la Directiva (UE) 2016/680 del Parlamento Europeo, cuya transposición todavía no ha tenido lugar, si bien han empezado los trámites para realizar la citada transposición.
En todo caso, y mientras se produzca la misma, la Disposición transitoria cuarta de la LOPDGDD determina que los tratamientos sometidos a esa Directiva, "continuarán rigiéndose por la Ley Orgánica 15/1999, de 13 de diciembre, y en particular el artículo 22, así como sus disposiciones de desarrollo, en tanto no entre en vigor la norma que transponga al Derecho español lo dispuesto en la citada Directiva".
La Ley Orgánica del Poder Judicial (LOPJ) diferencia dos tipos de tratamientos que se producen en el ámbito de los juzgados o tribunales: tratamientos de carácter jurisdiccional y tratamientos de carácter no jurisdiccional.
Los de carácter jurisdiccional se encuentran vinculados al ejercicio de la potestad jurisdiccional, de tal forma que ostentarán tal condición cualquier operación de datos personales, como puede ser, por ejemplo, la recogida, el uso o la comunicación, en el marco de los procedimientos judiciales que se sustancian en los juzgados y tribunales.
En cambio, los de carácter no jurisdiccional son aquellos que no se relaciona con la potestad jurisdiccional, como podrían ser las operaciones de datos personales que se producen como consecuencia de las vacaciones o sustituciones de jueces/zas y magistrados/as.
En protección de datos personales existen dos figuras fundamentales: el responsable del tratamiento y el encargado del tratamiento.
El responsable, es la persona física o jurídica, autoridad pública, servicio u otro organismo que, sólo o junto con otros determina los fines y medios del tratamiento de datos personales.
El Reglamento General de Protección de Datos (RGPD) permite que si el Derecho de los Estados miembros determina los fines y medios del tratamiento, el responsable podrá establecerse por el citado Derecho.
Así, la Ley Orgánica del Poder Judicial (LOPJ) determina que el responsable de los tratamientos jurisdiccionales será el órgano jurisdiccional u oficina judicial ante el que se tramitan los procesos cuyos datos se incorporen al fichero (o tratamiento), y que en los no jurisdiccionales, la responsabilidad recae en la oficina judicial correspondiente al órgano judicial con el que se relacionen los datos que los mismos se incorporen.
Por otra parte, señalar que el Consejo General del Poder Judicial no es el responsable de ninguno de los tratamientos aludidos, y que como veremos más adelante, actúa como autoridad de control de protección de datos respecto a los tratamientos jurisdiccionales.
En la anterior pregunta-respuesta ya hemos hecho referencia a que, además del responsable del tratamiento, existe también el encargado, pudiéndose definir como la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
En este sentido, existen estos encargados de tratamiento en función del traspaso de competencias efectuado para proveer de medios materiales y personales a los juzgados y tribunales, de manera que actuarán en tal condición las Comunidades Autónomas que hayan recibido dicho traspaso, así como el Ministerio de Justicia respecto a las Comunidades que no se ha efectuado el mismo.
Además, como en muchas ocasiones, cuando se contrata la realización de determinados servicios con terceras empresas, éstas actuarán como sub-encargados de tratamiento.
El CGPJ es la autoridad de control de protección de datos respecto a los tratamientos con fines jurisdiccionales, es decir, aquellos vinculados o asociados a la función jurisdiccional.
Cuando los tratamientos no ostentan tal condición, siendo no jurisdiccional, o el dato personal que se utilizaba para la función jurisdiccional pierde la misma, y por tanto, utilizándose para fines diferentes no jurisdiccionales, la autoridad de control competente es la Agencia Española de Protección de Datos.
Las disposiciones en materia de protección de datos en el ámbito jurisdiccional reconocen a los interesados la posibilidad de ejercitar los derechos de información, acceso, rectificación, supresión, oposición y limitación.
Estos derechos se tramitarán conforme a las normas que resulten de aplicación al proceso en el que los datos hayan sido recabados, debiendo ejercitarse ante los órganos judiciales en los que se tramita el procedimiento. Las peticiones formuladas en este ámbito serán resueltas por quien tenga asignada la competencia en la normativa orgánica y procesal.
En todo caso se denegará el acceso a los datos objeto de tratamiento con fines jurisdiccionales cuando las diligencias judiciales en que se haya recabado la información hayan sido declaradas secretas o reservadas.
Si desea ejercitar alguno de estos derechos, puede utilizar los modelos que se ofrecen en el apartado “derechos” de esta sección web.
Ambas instituciones han firmado un convenio de colaboración, el 6 de julio de 2017, para prestarse cooperación a través de diversas actuaciones.
Señalar que puesto que el CGPJ es competente respecto a los tratamientos jurisdiccionales y la AEPD respecto a los que no ostentan tal carácter, ambas partes han acordado que en el caso de inspecciones se prestarán asistencia mutua en la realización de las mismas.