El informe jurídico de la Agencia Española de Protección de Datos (AEPD) analiza el Anteproyecto de Ley Orgánica que establece normas para facilitar el uso de información financiera y de otro tipo en la prevención, detección, investigación o enjuiciamiento de infracciones penales. La AEPD destaca la necesidad de que la norma sea sometida a informe preceptivo, conforme a la Ley Orgánica 3/2018 y el Reglamento General de Protección de Datos (RGPD).
El texto del anteproyecto transpone la Directiva (UE) 2019/1153, que busca mejorar el acceso a la información financiera por parte de las Unidades de Información Financiera (UIF) y las autoridades competentes. La Directiva establece medidas para facilitar el acceso a la información sobre cuentas bancarias y su uso por las autoridades competentes, así como el intercambio de información entre estas autoridades y las UIF.
Durante la tramitación de la Directiva, diversos órganos informaron sobre la necesidad de conciliar los objetivos de la misma con el respeto al derecho fundamental a la protección de datos personales. El Comité de Control Reglamentario y el Supervisor Europeo de Protección de Datos destacaron la importancia de respetar la normativa europea sobre protección de datos, haciendo especial referencia a los principios de limitación de la finalidad, necesidad y proporcionalidad.
La AEPD subraya que el tratamiento masivo de datos para la persecución del delito debe delimitarse claramente, minimizando los datos objeto de tratamiento, limitando los supuestos en que el acceso a los datos pueda llevarse a cabo y estableciendo un control previo, que en el caso de España debería ser judicial. La AEPD también señala que el acceso a los datos debe ser necesario y proporcionado, y que las autoridades competentes deben estar claramente identificadas y justificar adecuadamente el acceso a la información.
En cuanto a las categorías especiales de datos, la AEPD recuerda que la ley debe especificar el interés público esencial que fundamenta la restricción del derecho fundamental, regular pormenorizadamente las injerencias al derecho fundamental y contener las garantías adecuadas frente a la recopilación de datos personales. Además, la ley debe respetar el principio de proporcionalidad, asegurando que la medida es idónea, necesaria y equilibrada.
La AEPD también hace una serie de observaciones específicas al articulado del anteproyecto, señalando que no se han recogido adecuadamente las garantías previstas en la Directiva. Por ejemplo, en el artículo 6, relativo al seguimiento del acceso y la consulta, no se ha recogido la finalidad del registro ni la obligación de que los registros estén protegidos contra el acceso no autorizado. Asimismo, en los artículos 7 y 13, no se ha recogido el principio de necesidad ni el plazo de conservación de las solicitudes de información.
En conclusión, la AEPD propone una serie de modificaciones al anteproyecto para adecuarlo a las garantías previstas en la Directiva y en la normativa de protección de datos, asegurando que el tratamiento de datos personales se realice de manera proporcional y con las debidas garantías para proteger los derechos fundamentales de los afectados.