El Ministerio del Interior ha solicitado un dictamen a la Fiscalía con la finalidad de determinar si puede revelar a las mujeres denunciantes que su agresor posee antecedentes relevantes en materia de violencia de género. El ecosistema que debería definir un marco de protección en esta materia es realmente complejo desde el punto de vista de la aplicación de la legislación en materia de protección de datos personales y enfrenta un análisis jurídico particularmente complicado que existe una visión de 360ª que vaya más allá de una aplicación mecánica de la norma. 

Usualmente, la respuesta inmediata en este ámbito responde a un razonamiento bastante obvio. Esta revelación supone la afección a un derecho fundamental y requiere de la concurrencia de varios requisitos consolidados por la jurisprudencia de los tribunales, Tribunal Europeo de Derechos Humanos, Tribunal de Justicia de la Unión Europea y Tribunal Constitucional, a lo largo de los años. Es necesaria la existencia de una previsión normativa previa, precisa y previsible que encuentre su fundamento en las habilitaciones que puedan fundamentarse en los Tratados o en la Constitución. Se requiere adicionalmente que la limitación sea proporcionada en el sentido de tratarse de una medida adecuada y, de entre las viables, la menos invasiva (idoneidad e intervención mínima). Y finalmente, la existencia de un interés público prevalente. Además, la legislación debe incluir garantías adecuadas, como señaló la sentencia del Tribunal Constitucional núm. 292/2000 y subrayó la núm. 76/2019.

El marco normativo se preocupó expresamente de esta cuestión en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) en su disposición adicional séptima ordenando al Gobierno impulsar la elaboración de un protocolo de colaboración que defina procedimientos seguros de publicación y notificación de actos administrativos a mujeres víctimas de violencia de género, con la participación de los órganos con competencia en la materia. El objetivo era obvio, evitar que los datos de una víctima se hagan públicos por ejemplo con motivo de su concurrencia a una oposición. Sin embargo, el alcance de esta previsión es muy limitado.

[Recibe los análisis de más actualidad en tu correo electrónico o en tu teléfono a través de nuestro canal de Telegram]

En este ámbito, la primera elección crucial consiste en determinar cuál es la ley aplicable. Primero convendría establecer si en realidad nos encontramos en el marco del Reglamento General de Protección de Datos o en el de la Directiva 2016/680 y la Ley Orgánica 7/2021,  que se ocupan de regular el tratamiento de datos personales para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales. En realidad, se trata de entender si bajo el concepto de 'prevención' podrían ampararse estos tratamientos de datos, incluidas las colaboraciones con los servicios sociales y las comunicaciones a las víctimas. 

En este ámbito llama poderosamente la atención que la Directiva no recoja la afirmación de principio que sí incluye el RGPD: 'El tratamiento de datos personales debe estar concebido para servir a la humanidad.' Sin embargo, su Considerando 35 incluye una declaración esencial para el caso que nos ocupa, ya que señala que para que el tratamiento de datos personales sea lícito requiere debe ser necesario para el desempeño de una función de interés público llevada a cabo por una autoridad competente en virtud del Derecho de la Unión o de un Estado miembro con fines de prevención de infracciones penales. Entre tales actividades incluye expresamente la protección de los intereses vitales del interesado. 

La LO 7/2021 integra varios principios esenciales. En primer lugar, las víctimas o afectados por una infracción penal se integran en las categorías de personas interesadas. Cualquier tratamiento de datos personales, incluida su revelación a las víctimas debe atender a los fines de la ley. Aquí podríamos encontrar el primer escollo interpretativo ya que el objeto primario de la norma consiste en 'establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos de carácter personal por parte de las autoridades competentes, con fines de prevención'. Es decir, ofrece una esfera de tutela del derecho a la protección de datos de la persona con antecedentes. 

Por otra parte, el principio de adecuación a la finalidad, el de calidad de los datos, y el de licitud del tratamiento implican que el tratamiento sólo será lícito en la medida en que sea necesario para los fines que se acaban de describir y, a nuestro juicio, no pueden basarse en antecedentes policiales o en meras sospechas. El único fundamento posible para un tratamiento como el que persigue el Ministerio del Interior residiría en la cláusula de interés vital de la persona interesada. En este ámbito, Directiva y Ley nacional sitúan la materia en el ámbito de las categorías especiales de datos hasta el punto, señala el Considerando 37 de la primera que, si el tratamiento no está autorizado por la legislación, este sería admisible cuando 'sea necesario para proteger los intereses vitales del interesado o de otra persona'. 

Sería deseable que una cuestión tan controvertida como el uso de antecedentes y su comunicación a la víctima fuera objeto de una regulación legal expresa. Especialmente teniendo en cuenta, que como se ha señalado el ámbito de sujetos a los que potencialmente se requiere comunicar la existencia de un riesgo es mucho más amplia. Por otra parte, es razonable pensar en la existencia de agresores que cuenten con múltiples denuncias posteriormente revisadas, o pendientes de juicio.  Finalmente, es necesario subrayar que nuestro sistema penal no es retributivo, sino que se centra en la reinserción. Revelar antecedentes penales es una operación que también pone en riesgo los derechos de personas adecuadamente reinsertadas. 



La LO 7/2021 incorpora metodologías de análisis de riesgos y evaluación de impacto relativa a la protección de datos que pueden son esenciales a la hora de definir estos tratamientos. Por otra parte, los deberes de documentación y trazabilidad y la supervisión de la Agencia Española de Protección de Datos deberían contribuir a un uso riguroso de la información, así como al requerimiento de eventuales responsabilidades. 

Sin embargo, este sigue siendo un caso difícil y resulta lógica la consulta a la Fiscalía y también lo sería a la Agencia Española de Protección de Datos. Desde el sentido común resulta evidente que preservar la vida y la integridad física de una mujer es un interés prevalente. Pero existe una diferencia sustancial entre la compartición de datos entre servicios administrativos especializados o con un particular. En el primer caso, el marco de competencias, la especialización profesional y el secreto profesional operan como marco de garantías que facilitarían incluso la definición un ecosistema de seguimiento y atención temprana e integral de tales riesgos.  

En el segundo caso, dejamos en manos de un particular una información que eventualmente será revelada a otras personas concernidas, o a al entorno social inmediato. Y ello exige definir un modelo de actuación muy preciso. En primer lugar, obliga a las Fuerzas y Cuerpos de Seguridad a diagnosticar y documentar la existencia de un riesgo para el interés vital de la víctima y, por extensión, para cualquier tercero que pudiera interponerse durante una agresión. En segundo lugar, no parece que resulte suficiente con la mera comunicación, sino que debe enmarcarse en una intervención integral dirigida a definir un escenario de autoprotección asistida por el soporte policial. Ello implica definir el alcance de la comunicación y los deberes de confidencialidad y secreto de las particulares informadas. También hay que entender los riesgos y necesidades del tratamiento: ¿debería ser informada la empresa de seguridad privada en el lugar de trabajo?, ¿existe un riesgo de publicación de estos datos por la víctima en redes sociales para estigmatizar al agresor?

La protección de datos no puede erigirse en barrera que ponga en riesgo la vida de las personas. Un entendimiento restrictivo de esta norma limitó las posibilidades de manejar información durante COVID, y Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre el Espacio Europeo de Datos Sanitarios pone de relieve la importancia de estos tratamientos. Hoy, sigue siendo muy difícil que la Dirección General de Tráfico acceda a información sobre diagnósticos médicos o prescripciones farmacológicas que inhabilitan para conducir y ponen en riesgo la vida de todos. Recuerde el lector que el piloto del vuelo 9525 de Germanwings se encontraba en tratamiento sicológico. 

Resulta necesario encontrar un equilibrio adecuado en este ámbito. Tanto el Reglamento General de Protección de Datos, en el ámbito de los tratamientos de salud y en la definición de obligaciones legales y misiones de interés público, como la Directiva 2016/680 ofrecen resquicios a la acción del legislador nacional. Más allá de una interpretación funcional de la norma preexistente, difícil pero no imposible, se impone un desarrollo legal tan urgente como necesario.