El objetivo de la Ley es que los datos sean tratados por las autoridades competentes de manera que se cumplan los fines prevenidos, a la par que establecer los mayores estándares de protección de los derechos fundamentales y las libertades de los ciudadanos.
Con la publicación de la Ley se consigue la finalidad de favorecer la ineludible cooperación internacional policial y judicial europea en este campo con la protección y defensa de los derechos de los ciudadanos, en especial del derecho a la intimidad reconocido constitucionalmente y se consolida el marco jurídico idóneo para la transferencia de datos en orden a una efectiva cooperación policial y judicial penal. Ello garantiza una mayor eficacia en el desempeño de sus funciones por las fuerzas y cuerpos de seguridad y de nuestro sistema judicial penal en su conjunto, incluido el penitenciario.
La aplicación de la Ley va dirigida eminentemente al sector público, y contempla un marco regulatorio con exigencias similares a las establecidas en el RGPD.
Los puntos fundamentales de su regulación son los siguientes:
– el tratamiento de los datos personales de forma lícita y leal; recogidos con fines determinados, explícitos y legítimos; adecuados, pertinentes y no excesivos;
– el deber de informar a los interesados;
– el principio de colaboración con las autoridades competentes, que se extiende tanto a las Administraciones públicas como a los particulares;
– el reconocimiento de los derechos de acceso, rectificación, supresión y limitación reconocidos al interesado, titular de los datos. No obstante, el interesado puede ver restringido el ejercicio de estos derechos cuando ello sea necesario para no obstaculizar el buen fin de una investigación penal o se ponga en peligro la seguridad pública;
– la limitación de la conservación y de revisión de los datos de carácter personal, de forma que permitan identificar al interesado durante un período no superior al necesario para los fines para los que son tratados;
– la designación de un delegado de protección de datos;
– las obligaciones, responsabilidades y medidas de seguridad de los responsables y encargados de protección de datos a los que los mismos vienen obligados. El incumplimiento por parte de los mismos, que genere un daño o lesión en los bienes o derechos del interesado, debe resolverse mediante un procedimiento de reclamación planteado ante las autoridades de protección de datos que se regirá por lo establecido en la LOPD o, en su caso, por la normativa reguladora de la autoridad de protección de datos correspondiente;
– la necesidad de analizar los riesgos derivados del tratamiento;
– el establecimiento de medidas que los mitiguen o la notificación de brechas de seguridad en el plazo de 72 horas;
– la posibilidad de que el destinatario de la transferencia de este tipo de datos personales sea un tercer país u organización internacional, en cuyo caso la Comisión Europea, o en su defecto el responsable del tratamiento, será el supervisor que evalúe el adecuado nivel de protección de datos en ese tercero ajeno a la Unión Europea;
– la garantía de que el intercambio de los datos personales por parte de las autoridades competentes en el interior de la Unión, en caso de que el Derecho de la Unión o del Estado miembro exijan el mismo, no quede restringido ni prohibido por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales;
– las garantías destinadas a que el tratamiento de los datos personales resulte proporcional, oportuno, mínimo y suficiente para el cumplimiento de los fines perseguidos;
– el establecimiento de un régimen sancionador que establece sanciones para quienes incumplan sus preceptos, pudiéndose incurrir en infracciones de distinto grado para las que quedan fijadas sanciones que oscilan entre los 6.000 y los 240.000 euros. Se establecen las sanciones que se pueden imponer, y se fijan los plazos de prescripción tanto de las infracciones como de las sanciones y de caducidad.