El Boletín Oficial del Estado ha publicado la Ley Orgánica 4/2024, de 18 de octubre, que reforma la Ley Orgánica 7/2014 para ajustarla a las exigencias europeas en el intercambio de antecedentes penales. Esta norma, destinada a mejorar la cooperación entre los Estados miembros, trae consigo novedades que impactarán de manera importante a los especialistas en protección de datos y a las fuerzas de seguridad. Porque si algo ha quedado claro, es que mantener información fuera de los circuitos europeos será sinónimo de ilegalidad. Es un parche a la Ley Orgánica 3/2021 de gestión de datos y ficheros de las administraciones públicas.
Esa ley es aquella que se tuvo que hacer de manera fulminante después de que el TJUE condenara a España a 15.000.000 de Euros de multa y 90.000 euros diarios por no haber publicado en tiempo y forma la transposición de una Directiva que lo regulaba de 2018. Las cloacas del Estado apretaron de lo suyo para que nadie controlara “su” información. Era un apaño, que se ha tenido que reapañar, ante amenaza de nuevas sanciones.
Ahora, le toca pagar a España casos como el espionaje de Pegasus y las policías patrióticas.
Se plantean interesantes novedades. Hasta ahora, si era posible que algunas sentencias penales no incluyeran datosbiométricos como la imagen facial o las huellas dactilares del condenado. Eso se terminó. A partir de ahora, la inclusión de estos datos en el Registro Central de Penados será obligatoria. Y no solo eso, deberán compartirse totalmente con el resto de los Estados miembros a través del sistema ECRIS. Esto quiere decir que un condenado por conducir con la tasa de alcohol por encima de los límites, un empresario de esos llamados “modelo”, que pactan y aceptan la petición del fiscal, el vecino que ha insultado a otro, o el padre condenado por lo penal por un tema de familia, sus huellas y rostro estarán a disposición de todas las policías, jueces y fiscales de la UE.
Se generan substanciosas preguntas. ¿Es eso una pena añadida?, o, ¿habrá tantas conformidades como ahora?.
Esto plantea retos importantes para los especialistas en protección de datos, ya que estos datos sensibles deben ser gestionados con estrictas medidas de seguridad. Para la policía, sin embargo, esto es un paso adelante: más información para identificar a los delincuentes y menos margen para el error. Pero claro, surge la pregunta: ¿qué pasa si una condena no incluye estos datos? Pues en ese caso, habrá que reconsiderar si esa información puede considerarse completa o, peor aún, legal.
ECRIS-TCN: Hacia el control total de los nacionales de terceros países
La ley también refuerza el sistema centralizado ECRIS-TCN, que permitirá a los Estados miembros y sus policías, casi en tiempo real, saber qué países tienen antecedentes penales sobre nacionales de terceros países. Es decir, si la policía española tiene constancia de la condena de un argentino o un cubano, tiene que decirlo igual que si fuera español.
Ya no se deja nada al azar: si un ciudadano de fuera de la UE y comete un delito en cualquier Estado miembro, o tiene antecedentes, la información será registrada y compartida sin demoras. Además, así, se dificultan las dobles identificaciones.
Para las fuerzas de seguridad, esta es una herramienta clave que permitirá agilizar investigaciones transfronterizas y mejorar la cooperación internacional. Pero para los especialistas en protección de datos, el desafío será garantizar que esta información fluya conforme a la normativa sobre privacidad y se maneje sin vulnerar los derechos de los ciudadanos. Después de todo, nadie querrá ser el responsable de una fuga de datos que incluya las huellas y fotos de un delincuente (sic), a partir de ahora internacional. Porque nadie puede certificar lo que hará la policía búlgara con los datos biométricos de un señor de Moratalaz.
Otro punto relevante es la creación de un Registro Central de Menores, de todos los menores, que no solo incluirá sentencias firmes, sino también medidas cautelares y requisitorias de todos los menores, nacionales o no. La idea es clara: tener un registro más amplio y completo para controlar mejor la delincuencia juvenil. Para las fuerzas de seguridad, esto facilitará el acceso a información clave en casos complejos, especialmente en delitos graves, pero por otra parte, ¿debe tener la policía rumana los datos de un gamberrete de Sant Adriá?.
Para los especialistas en protección de datos, surge una cuestión crucial: la sensibilidad de estos registros. Gestionar internacionalmente y proteger datos relacionados con menores, que incluyen no solo sentencias, sino también medidas previas, añade una capa más de complejidad a la ya de por sí delicada tarea de custodia de datos sensibles.
Además, la ley introduce un enfoque más flexible en cuanto a la transmisión de antecedentes penales entre los Estados miembros. Lo que antes era un sistema algo más restrictivo, ahora se flexibiliza para asegurar que todos los países puedan compartir y acceder a información penal sin trabas. Y no solo eso: las condenas de nacionales de terceros países, y en terceros países también deberán transmitirse a la UE con la misma diligencia, en el momento que quieran entrar en Europa.
Ahora bien, para quienes gestionan bases de datos policiales o judiciales, esto implica que cualquier fichero que no esté en ECRIS o en los sistemas centralizados de la UE corre el riesgo de quedar fuera de la legalidad. Al fin y al cabo, en el nuevo esquema europeo, no compartir significa esconder.
Aunque esta ley mejora la cooperación judicial y facilita la transmisión de datos penales, no deja de generar desafíos importantes. Para los expertos en protección de datos, la incorporación de datos biométricos y su intercambio con otros países supone un aumento de la carga de trabajo y de la vigilancia sobre la seguridad de los ficheros. La norma ofrece poca tregua: los errores en la gestión de esta información pueden salir muy caros. A partir de ahora, todo estará centralizado en Tallín.
Por otro lado, para los cuerpos de seguridad, esta ley es una oportunidad para mejorar la eficiencia en las investigaciones, pero también exige un aumento de las medidas éticas y de ciberseguridad. Con la mayor cantidad de datos disponibles, también aumenta el riesgo de que se conviertan en objetivo de ciberataques, algo que ningún cuerpo policial puede permitirse.
Tampoco hay lugar para ficheros oscuros o registros olvidados, como los muchos que hay en España con evidente tufo político, usado por policías, jueces y fiscales patriotas o patrióticos.
Si no se comparte la información, se corre el riesgo de que un archivo quede en la ilegalidad y se aplique el Art. 198 del Código Penal. Es una nueva era de control y cooperación, donde tanto policías como especialistas en protección de datos deberán estar a la altura para evitar caer en las trampas de un sistema que, cada vez más, exige que todo esté en regla y, sobre todo, compartido.