El Informe Jurídico 0133/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la competencia de la AEPD para sancionar una actuación específica en relación con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. La consulta plantea si la AEPD puede sancionar una determinada actuación descrita en la consulta.
La AEPD concluye que no es competente para sancionar la actuación en cuestión, ya que no se ajusta a ninguno de los tipos de infracciones previstos en el artículo 44 de la Ley Orgánica 15/1999. Sin embargo, la Agencia ha emitido numerosos pronunciamientos sobre la obligación de comunicar datos a la Policía Judicial, especialmente cuando se requiere la cesión de datos para la averiguación de delitos y detención de responsables, sin que exista un mandamiento judicial o requerimiento del Ministerio Fiscal.
El informe destaca que la Policía Judicial actúa dentro de sus funciones reconocidas por la ley, lo que implica que la recogida y tratamiento de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad del Estado están limitados a aquellos supuestos necesarios para la prevención de peligros reales para la seguridad pública o la represión de infracciones penales. Estos datos deben ser almacenados en ficheros específicos y clasificados por categorías según su grado de fiabilidad.
El artículo 22.2 de la Ley Orgánica 15/1999 habilita a la Policía Judicial para obtener y tratar los datos requeridos, siempre que se cumplan ciertas condiciones:
1. **Necesidad y proporcionalidad**: La obtención de los datos debe ser necesaria para la prevención de un peligro real y grave para la seguridad pública o para la represión de infracciones penales. Si se trata de datos especialmente protegidos, deben ser absolutamente necesarios para una investigación concreta.
2. **Petición concreta y específica**: No se permiten solicitudes masivas de datos.
3. **Motivación adecuada**: La petición debe estar debidamente motivada y relacionada con los supuestos expuestos.
4. **Cancelación de datos**: Los datos deben ser cancelados cuando ya no sean necesarios para las averiguaciones que motivaron su almacenamiento.
Además, la Policía Judicial debe dar cuenta de los hechos a la Autoridad Judicial y Fiscal de forma inmediata, procediendo a la destrucción del registro de los datos obtenidos una vez realizada esa comunicación.
El artículo 11.2 d) de la Ley Orgánica 15/1999 también permite la cesión de datos al Ministerio Fiscal o a los Jueces o Tribunales, lo que ocurre en este caso debido a la obligación de la Policía Judicial de poner los datos obtenidos en conocimiento de la Autoridad Judicial competente.
En conclusión, la cesión de datos solicitada por la Policía Judicial está amparada tanto por el artículo 11.2 d) como por el artículo 22 de la Ley Orgánica 15/1999, siempre que se cumplan las condiciones establecidas.