Capítulo 1: Marco normativo
Ámbito de aplicación
La LO 7/2021 se aplica a tratamientos de datos personales realizados por autoridades competentes con fines de:
- Prevención de infracciones penales
- Detección de infracciones penales
- Investigación de infracciones penales
- Enjuiciamiento de infracciones penales
- Ejecución de sanciones penales y administrativas
Las Policías Locales son autoridades competentes, por lo que todos sus tratamientos de datos personales quedan sujetos a esta ley, NO al RGPD general.
Diferencias con el RGPD
Aunque comparte principios con el RGPD, la LO 7/2021 tiene particularidades:
| Aspecto | RGPD | LO 7/2021 |
|---|
| Base legitimadora | 6 bases (consentimiento, contrato, etc.) | Obligación legal (art. 104 CE) |
| Consentimiento | Necesario en muchos casos | NO aplicable (datos municipales) |
| Derecho de portabilidad | Existe | NO existe (incompatible con fines municipales) |
| Derecho de supresión | Amplio | Muy limitado (interés público) |
| Evaluación de impacto | Cuando hay alto riesgo | Siempre para tratamientos nuevos |
| DPD (DPO) | Obligatorio según criterios | SIEMPRE obligatorio |
Tipos de datos
La ley distingue entre:
- Datos personales: Cualquier información sobre persona identificada o identificable (DNI, nombre, dirección, foto)
- Categorías especiales: Origen racial/étnico, opiniones políticas, religión, salud, orientación sexual, datos genéticos/biométricos. Requieren protección reforzada.
- Datos de menores: Personas <18 años. Protección especial.
- Datos de víctimas: Deben distinguirse claramente de datos de sospechosos/condenados.
Capítulo 2: Principios de protección de datos
Licitud, lealtad y transparencia
Los tratamientos deben:
- Basarse en una habilitación legal (art. 104 CE, leyes de policía)
- Realizarse de forma leal (sin engaño al interesado)
- Ser transparentes (informar al interesado salvo que comprometa investigación)
En ayuntamientosmart.com: todos los tratamientos se basan en competencias legales de las policías locales. Se informa a denunciantes y denunciados de sus derechos.
Limitación de la finalidad
Los datos solo pueden tratarse para los fines específicos para los que se recogieron:
- Datos de denuncias → solo para tramitación de denuncias
- Datos de sanciones → solo para tramitación de sanciones
- Datos de atestados → solo para investigación judicial
NO se pueden usar datos de denuncias para fines comerciales, estadísticas no relacionadas, o cesión a terceros no autorizados.
Minimización de datos
Solo se deben recoger datos adecuados, pertinentes y limitados a lo necesario:
- Para denuncia por hurto: DNI, nombre, descripción de hechos → SÍ necesario
- Para denuncia por hurto: orientación sexual, religión → NO necesario (salvo que sea relevante para el caso)
El sistema tiene formularios diseñados para recoger solo datos estrictamente necesarios.
Exactitud
Los datos deben ser exactos y actualizarse cuando sea necesario:
- Si un denunciante informa de cambio de dirección, debe actualizarse
- Si los datos son inexactos y afectan al interesado, deben rectificarse
Limitación del plazo de conservación
Los datos no pueden conservarse indefinidamente. Plazos según tipo:
- Denuncias archivadas sin autor: 3 años desde archivo
- Sanciones prescritas/pagadas: 5 años desde firmeza
- Atestados judiciales: Hasta resolución judicial firme + 5 años
- Logs de auditoría: 3 años (ENS)
El sistema tiene procesos automáticos de depuración de datos antiguos cumpliendo plazos legales.
Integridad y confidencialidad
Los datos deben protegerse mediante medidas técnicas y organizativas adecuadas:
- Cifrado de datos sensibles (DNI, direcciones)
- Control de acceso basado en roles
- Auditoría de todos los accesos
- Formación de usuarios en protección de datos
Capítulo 3: Bases de legitimación
Obligación legal
Los tratamientos de datos municipales se basan en obligación legal derivada de:
- Constitución Española (art. 104: las Fuerzas y Cuerpos de Seguridad tienen por misión proteger el libre ejercicio de derechos y libertades)
- Ley Orgánica 2/1986 de Fuerzas y Cuerpos de Seguridad
- Leyes autonómicas y ordenanzas municipales de gestión municipal
- Ley de Enjuiciamiento Criminal (obligación de investigar delitos)
- Ley de Seguridad Vial (obligación de sancionar infracciones de tráfico)
NO se requiere consentimiento del interesado (sería incompatible con fines municipales).
Interés público esencial
Para tratamientos de categorías especiales de datos (salud, origen étnico, etc.), se requiere además interés público esencial:
- Datos de salud en atestado (ej: lesiones de víctima) → Interés público: justicia
- Datos de origen étnico (ej: descripción de sospechoso) → Interés público: prevención del delito
Capítulo 4: Derechos de los interesados
Derecho de información
Los interesados deben ser informados:
- Identidad del responsable del tratamiento (Ayuntamiento - AyuntamientoSmart)
- Contacto del Delegado de Protección de Datos (DPO)
- Finalidad del tratamiento (tramitación de denuncia, sanción, etc.)
- Destinatarios de los datos (juzgados, DGT, otros cuerpos municipales si procede)
- Plazo de conservación
- Derechos que le asisten
Esta información se proporciona en el momento de recogida de datos (formulario de denuncia, notificación de sanción).
Derecho de acceso
El interesado puede solicitar:
- Confirmación de si se están tratando sus datos
- Acceso a sus datos personales
- Copia de sus datos
LIMITACIÓN: El acceso puede denegarse o restringirse si compromete:
- Investigaciones en curso
- Seguridad pública
- Prevención, detección e investigación de infracciones
- Derechos de terceros (víctimas, testigos)
Ejemplo: Un denunciado solicita acceso a su expediente. Si el atestado está en instrucción, puede denegarse hasta que finalice la fase de investigación.
Derecho de rectificación
Si los datos son inexactos, el interesado puede solicitar su rectificación:
- Error en DNI: debe rectificarse
- Error en dirección: debe rectificarse
- Discrepancia en hechos denunciados: puede añadirse como alegación, pero no modificar la denuncia original (integridad)
Derecho de supresión
MUY LIMITADO: Los datos municipales NO pueden suprimirse si son necesarios para:
- Cumplir obligación legal
- Formular, ejercer o defender reclamaciones
- Proteger derechos de otras personas
En la práctica, RARAMENTE procede suprimir datos municipales antes del plazo de conservación.
Derecho de oposición
El interesado puede oponerse al tratamiento por motivos relacionados con su situación particular. El responsable debe:
- Dejar de tratar los datos SALVO que acredite motivos imperiosos
- En tratamientos municipales, normalmente existen motivos imperiosos (obligación legal, interés público)
Capítulo 5: Obligaciones del responsable
Responsable del tratamiento
El responsable del tratamiento es el AYUNTAMIENTO (como institución), representado por el Alcalde. Responsabilidades:
- Garantizar el cumplimiento de la LO 7/2021
- Implementar medidas técnicas y organizativas
- Realizar evaluaciones de impacto
- Designar Delegado de Protección de Datos (DPD)
- Notificar brechas de seguridad
Delegado de Protección de Datos (DPD/DPO)
OBLIGATORIO para autoridades municipales. Funciones:
- Informar y asesorar sobre obligaciones de protección de datos
- Supervisar el cumplimiento de la normativa
- Asesorar sobre evaluaciones de impacto
- Cooperar con la AEPD (Agencia Española de Protección de Datos)
- Punto de contacto con interesados para ejercicio de derechos
Debe tener conocimientos especializados en protección de datos. Puede ser personal propio del ayuntamiento o externo.
Registro de actividades de tratamiento
Debe mantenerse registro de todas las actividades de tratamiento con:
- Nombre y datos del responsable y DPD
- Fines del tratamiento
- Categorías de interesados (denunciantes, denunciados, testigos, etc.)
- Categorías de datos (identificativos, dirección, hechos, etc.)
- Destinatarios (juzgados, DGT, etc.)
- Plazos de supresión
- Medidas de seguridad
En ayuntamientosmart.com, el registro incluye: módulo denuncias, módulo sanciones, módulo atestados, módulo VioGén, etc.
Evaluación de Impacto de Protección de Datos (EIPD)
Obligatoria para tratamientos que puedan entrañar alto riesgo:
- Tratamientos que incluyan categorías especiales de datos (salud, origen étnico)
- Tratamientos a gran escala
- Uso de nuevas tecnologías (ej: reconocimiento facial, IA)
Para ayuntamientosmart.com se ha realizado EIPD que concluye: riesgo MEDIO, mitigado con medidas de seguridad implementadas.
Notificación de brechas de seguridad
Si se produce una brecha de seguridad que afecte a datos personales:
- Notificar a AEPD en 72 horas con: descripción de la brecha, categorías y número de interesados afectados, consecuencias probables, medidas adoptadas
- Si hay alto riesgo para derechos de los interesados, notificarlos directamente
- Documentar la brecha en el registro de incidentes