Capítulo 1: Marco normativo
Ámbito de aplicación
La LO 7/2021 se aplica a tratamientos de datos personales realizados por autoridades competentes con fines de:
- Prevención de infracciones penales
- Detección de infracciones penales
- Investigación de infracciones penales
- Enjuiciamiento de infracciones penales
- Ejecución de sanciones penales y administrativas
Las Policías Locales son autoridades competentes, por lo que todos sus tratamientos de datos personales quedan sujetos a esta ley, NO al RGPD general.
Diferencias con el RGPD
Aunque comparte principios con el RGPD, la LO 7/2021 tiene particularidades:
| Aspecto | RGPD | LO 7/2021 |
|---|---|---|
| Base legitimadora | 6 bases (consentimiento, contrato, etc.) | Obligación legal (art. 104 CE) |
| Consentimiento | Necesario en muchos casos | NO aplicable (datos policiales) |
| Derecho de portabilidad | Existe | NO existe (incompatible con fines policiales) |
| Derecho de supresión | Amplio | Muy limitado (interés público) |
| Evaluación de impacto | Cuando hay alto riesgo | Siempre para tratamientos nuevos |
| DPD (DPO) | Obligatorio según criterios | SIEMPRE obligatorio |
Tipos de datos
La ley distingue entre:
- Datos personales: Cualquier información sobre persona identificada o identificable (DNI, nombre, dirección, foto)
- Categorías especiales: Origen racial/étnico, opiniones políticas, religión, salud, orientación sexual, datos genéticos/biométricos. Requieren protección reforzada.
- Datos de menores: Personas <18 años. Protección especial.
- Datos de víctimas: Deben distinguirse claramente de datos de sospechosos/condenados.
Capítulo 2: Principios de protección de datos
Licitud, lealtad y transparencia
Los tratamientos deben:
- Basarse en una habilitación legal (art. 104 CE, leyes de policía)
- Realizarse de forma leal (sin engaño al interesado)
- Ser transparentes (informar al interesado salvo que comprometa investigación)
En policialocal.top: todos los tratamientos se basan en competencias legales de las policías locales. Se informa a denunciantes y denunciados de sus derechos.
Limitación de la finalidad
Los datos solo pueden tratarse para los fines específicos para los que se recogieron:
- Datos de denuncias → solo para tramitación de denuncias
- Datos de sanciones → solo para tramitación de sanciones
- Datos de atestados → solo para investigación judicial
NO se pueden usar datos de denuncias para fines comerciales, estadísticas no relacionadas, o cesión a terceros no autorizados.
Minimización de datos
Solo se deben recoger datos adecuados, pertinentes y limitados a lo necesario:
- Para denuncia por hurto: DNI, nombre, descripción de hechos → SÍ necesario
- Para denuncia por hurto: orientación sexual, religión → NO necesario (salvo que sea relevante para el caso)
El sistema tiene formularios diseñados para recoger solo datos estrictamente necesarios.
Exactitud
Los datos deben ser exactos y actualizarse cuando sea necesario:
- Si un denunciante informa de cambio de dirección, debe actualizarse
- Si los datos son inexactos y afectan al interesado, deben rectificarse
Limitación del plazo de conservación
Los datos no pueden conservarse indefinidamente. Plazos según tipo:
- Denuncias archivadas sin autor: 3 años desde archivo
- Sanciones prescritas/pagadas: 5 años desde firmeza
- Atestados judiciales: Hasta resolución judicial firme + 5 años
- Logs de auditoría: 3 años (ENS)
El sistema tiene procesos automáticos de depuración de datos antiguos cumpliendo plazos legales.
Integridad y confidencialidad
Los datos deben protegerse mediante medidas técnicas y organizativas adecuadas:
- Cifrado de datos sensibles (DNI, direcciones)
- Control de acceso basado en roles
- Auditoría de todos los accesos
- Formación de usuarios en protección de datos
Capítulo 3: Bases de legitimación
Obligación legal
Los tratamientos de datos policiales se basan en obligación legal derivada de:
- Constitución Española (art. 104: las Fuerzas y Cuerpos de Seguridad tienen por misión proteger el libre ejercicio de derechos y libertades)
- Ley Orgánica 2/1986 de Fuerzas y Cuerpos de Seguridad
- Leyes autonómicas y ordenanzas municipales de policía local
- Ley de Enjuiciamiento Criminal (obligación de investigar delitos)
- Ley de Seguridad Vial (obligación de sancionar infracciones de tráfico)
NO se requiere consentimiento del interesado (sería incompatible con fines policiales).
Interés público esencial
Para tratamientos de categorías especiales de datos (salud, origen étnico, etc.), se requiere además interés público esencial:
- Datos de salud en atestado (ej: lesiones de víctima) → Interés público: justicia
- Datos de origen étnico (ej: descripción de sospechoso) → Interés público: prevención del delito
Capítulo 4: Derechos de los interesados
Derecho de información
Los interesados deben ser informados:
- Identidad del responsable del tratamiento (Ayuntamiento - Policía Local)
- Contacto del Delegado de Protección de Datos (DPO)
- Finalidad del tratamiento (tramitación de denuncia, sanción, etc.)
- Destinatarios de los datos (juzgados, DGT, otros cuerpos policiales si procede)
- Plazo de conservación
- Derechos que le asisten
Esta información se proporciona en el momento de recogida de datos (formulario de denuncia, notificación de sanción).
Derecho de acceso
El interesado puede solicitar:
- Confirmación de si se están tratando sus datos
- Acceso a sus datos personales
- Copia de sus datos
LIMITACIÓN: El acceso puede denegarse o restringirse si compromete:
- Investigaciones en curso
- Seguridad pública
- Prevención, detección e investigación de infracciones
- Derechos de terceros (víctimas, testigos)
Ejemplo: Un denunciado solicita acceso a su expediente. Si el atestado está en instrucción, puede denegarse hasta que finalice la fase de investigación.
Derecho de rectificación
Si los datos son inexactos, el interesado puede solicitar su rectificación:
- Error en DNI: debe rectificarse
- Error en dirección: debe rectificarse
- Discrepancia en hechos denunciados: puede añadirse como alegación, pero no modificar la denuncia original (integridad)
Derecho de supresión
MUY LIMITADO: Los datos policiales NO pueden suprimirse si son necesarios para:
- Cumplir obligación legal
- Formular, ejercer o defender reclamaciones
- Proteger derechos de otras personas
En la práctica, RARAMENTE procede suprimir datos policiales antes del plazo de conservación.
Derecho de oposición
El interesado puede oponerse al tratamiento por motivos relacionados con su situación particular. El responsable debe:
- Dejar de tratar los datos SALVO que acredite motivos imperiosos
- En tratamientos policiales, normalmente existen motivos imperiosos (obligación legal, interés público)
Capítulo 5: Obligaciones del responsable
Responsable del tratamiento
El responsable del tratamiento es el AYUNTAMIENTO (como institución), representado por el Alcalde. Responsabilidades:
- Garantizar el cumplimiento de la LO 7/2021
- Implementar medidas técnicas y organizativas
- Realizar evaluaciones de impacto
- Designar Delegado de Protección de Datos (DPD)
- Notificar brechas de seguridad
Delegado de Protección de Datos (DPD/DPO)
OBLIGATORIO para autoridades policiales. Funciones:
- Informar y asesorar sobre obligaciones de protección de datos
- Supervisar el cumplimiento de la normativa
- Asesorar sobre evaluaciones de impacto
- Cooperar con la AEPD (Agencia Española de Protección de Datos)
- Punto de contacto con interesados para ejercicio de derechos
Debe tener conocimientos especializados en protección de datos. Puede ser personal propio del ayuntamiento o externo.
Registro de actividades de tratamiento
Debe mantenerse registro de todas las actividades de tratamiento con:
- Nombre y datos del responsable y DPD
- Fines del tratamiento
- Categorías de interesados (denunciantes, denunciados, testigos, etc.)
- Categorías de datos (identificativos, dirección, hechos, etc.)
- Destinatarios (juzgados, DGT, etc.)
- Plazos de supresión
- Medidas de seguridad
En policialocal.top, el registro incluye: módulo denuncias, módulo sanciones, módulo atestados, módulo VioGén, etc.
Evaluación de Impacto de Protección de Datos (EIPD)
Obligatoria para tratamientos que puedan entrañar alto riesgo:
- Tratamientos que incluyan categorías especiales de datos (salud, origen étnico)
- Tratamientos a gran escala
- Uso de nuevas tecnologías (ej: reconocimiento facial, IA)
Para policialocal.top se ha realizado EIPD que concluye: riesgo MEDIO, mitigado con medidas de seguridad implementadas.
Notificación de brechas de seguridad
Si se produce una brecha de seguridad que afecte a datos personales:
- Notificar a AEPD en 72 horas con: descripción de la brecha, categorías y número de interesados afectados, consecuencias probables, medidas adoptadas
- Si hay alto riesgo para derechos de los interesados, notificarlos directamente
- Documentar la brecha en el registro de incidentes
Tratamientos de datos en policialocal.top
Descripción de los principales tratamientos de datos personales realizados por el sistema y su conformidad con la LO 7/2021.
Tratamiento: Denuncias
Finalidad: Tramitación de denuncias policiales
Base legal: Art. 11.1.a) Ley de Coordinación de Policías Locales
Categorías de interesados: Denunciantes, denunciados, testigos
Categorías de datos:
- Identificativos: DNI, nombre, apellidos, fecha de nacimiento
- Contacto: dirección, teléfono, email
- Hechos denunciados
- Imágenes (fotografías de pruebas)
Destinatarios: Juzgados (si procede remisión), otros cuerpos policiales (si es competencia compartida)
Plazo de conservación: 3 años desde archivo de la denuncia
Medidas de seguridad: Cifrado de DNI y dirección, control de acceso RBAC, auditoría completa
Tratamiento: Sanciones de tráfico
Finalidad: Tramitación de sanciones de tráfico
Base legal: Ley de Seguridad Vial
Categorías de interesados: Conductores infractores, titulares de vehículos
Categorías de datos:
- Identificativos del conductor: DNI, nombre, permiso de conducir
- Datos del vehículo: matrícula, marca, modelo
- Infracción: tipo, fecha, lugar, importe, puntos
Destinatarios: DGT (envío de boletines), juzgados (si hay recurso)
Plazo de conservación: 5 años desde firmeza de la sanción
Medidas de seguridad: Cifrado de DNI, integración segura con DGT TESTRA, auditoría
Tratamiento: Atestados judiciales
Finalidad: Investigación de delitos y remisión a autoridad judicial
Base legal: Ley de Enjuiciamiento Criminal
Categorías de interesados: Detenidos, víctimas, testigos, imputados
Categorías de datos:
- Identificativos
- Datos sensibles: antecedentes penales, datos de salud (lesiones), imágenes
- Efectos intervenidos
- Diligencias policiales
Destinatarios: Juzgados de instrucción, fiscalía
Plazo de conservación: Hasta resolución judicial firme + 5 años
Medidas de seguridad: Máximo nivel de seguridad, cifrado reforzado, acceso muy restringido, firma electrónica
Tratamiento: Sistema VioGén
Finalidad: Protección de víctimas de violencia de género
Base legal: LO 1/2004 de Protección Integral contra la Violencia de Género
Categorías de interesados: Víctimas de violencia de género, agresores
Categorías de datos:
- Identificativos de víctima y agresor
- Nivel de riesgo
- Medidas de protección
- Actuaciones policiales
Destinatarios: Sistema VioGén central (Ministerio del Interior), otros cuerpos policiales, servicios sociales
Plazo de conservación: Según normativa VioGén (mínimo 10 años)
Medidas de seguridad: Máximo nivel, acceso restringido a usuarios autorizados y formados, auditoría reforzada
Ejercicio de derechos
Procedimiento para que los ciudadanos ejerzan sus derechos de protección de datos.
Cómo ejercer los derechos
El interesado puede ejercer sus derechos mediante:
- Presencialmente: En la Policía Local o Registro General del Ayuntamiento
- Por correo postal: A la dirección del ayuntamiento
- Por email: Al correo del DPD (dpo@ayuntamiento.es)
- Por sede electrónica: A través de la sede electrónica del ayuntamiento
Debe aportar:
- Solicitud indicando el derecho que ejerce
- Copia de DNI o documento identificativo
- Dirección para notificaciones
Plazo de respuesta
El responsable debe responder en el plazo de 1 mes desde la recepción de la solicitud. El plazo puede prorrogarse 2 meses más si la solicitud es compleja, informando al interesado.
Si la solicitud se deniega (total o parcialmente), debe motivarse la denegación indicando:
- Motivos de la denegación (ej: compromete investigación en curso)
- Derecho a reclamar ante AEPD
- Derecho a recurso judicial
Ejemplos de ejercicio de derechos
Ejemplo 1: Derecho de acceso
Juan solicita acceso a los datos que la Policía Local tiene sobre él. La Policía comprueba:
- Tiene una denuncia como denunciante (hurto de hace 2 años, archivada)
- Tiene una sanción de tráfico de hace 1 año (pagada)
Se le facilita copia de ambos expedientes (textos anonimizando datos de terceros).
Ejemplo 2: Derecho de rectificación
María solicita rectificar su dirección en una denuncia (se mudó). Se rectifica la dirección en el sistema y se le notifica la rectificación.
Ejemplo 3: Derecho de supresión DENEGADO
Pedro solicita suprimir una sanción de tráfico de hace 1 año. Se deniega porque:
- Está dentro del plazo de conservación (5 años)
- Es necesaria para cumplir obligación legal (Ley de Seguridad Vial)
- Puede ser necesaria para defender reclamaciones
Reclamación ante AEPD
Si el interesado no está conforme con la respuesta (o si no hay respuesta en plazo), puede reclamar ante la Agencia Española de Protección de Datos:
- Web: https://www.aepd.es
- Sede electrónica
- Presencialmente en oficinas de AEPD
La AEPD investigará la reclamación y puede:
- Requerir información al ayuntamiento
- Realizar inspección
- Ordenar medidas correctivas
- Imponer sanciones si hay incumplimiento
Comunicación de datos a terceros
Los datos policiales solo pueden comunicarse a terceros en supuestos tasados por la ley.
Comunicaciones permitidas
Pueden comunicarse datos a:
- Juzgados y tribunales: Para administración de justicia (atestados, oficios judiciales)
- Fiscalía: Para ejercicio de sus funciones
- Otros cuerpos policiales: Para prevención e investigación de delitos (coordinación)
- DGT: Para tramitación de sanciones de tráfico
- Administraciones tributarias: Para ejecución de sanciones impagadas
- Servicios sociales: Para protección de víctimas (violencia de género, menores)
En todos los casos debe quedar registro de la comunicación: destinatario, fecha, finalidad, datos comunicados.
Comunicaciones prohibidas
NO pueden comunicarse datos a:
- Empresas privadas (salvo orden judicial)
- Medios de comunicación (salvo datos ya públicos)
- Particulares sin legitimación
- Otros departamentos del ayuntamiento sin base legal
Ejemplo PROHIBIDO: El ayuntamiento solicita a la Policía Local datos de sanciones de tráfico para una campaña publicitaria. NO procede (finalidad incompatible).
Transferencias internacionales
La comunicación de datos a países fuera de la UE requiere:
- Decisión de adecuación de la Comisión Europea (ej: Andorra tiene decisión de adecuación)
- O garantías adecuadas (cláusulas contractuales tipo)
- O autorización de AEPD en casos excepcionales
Las comunicaciones a través de Interpol y Europol están amparadas por tratados internacionales.
Régimen sancionador
El incumplimiento de la LO 7/2021 puede dar lugar a sanciones administrativas graves.
Infracciones muy graves
Sanción: hasta 300.000€ (o superior en casos excepcionales)
Infracciones:
- Tratamiento de datos sin base legal
- Comunicación de datos a destinatarios no autorizados
- Tratamiento de categorías especiales sin interés público
- No atender derechos de los interesados de forma reiterada
- No notificar brechas de seguridad
Infracciones graves
Sanción: hasta 150.000€
Infracciones:
- Incumplir principios de tratamiento (minimización, exactitud, etc.)
- No designar Delegado de Protección de Datos
- No realizar evaluación de impacto cuando es obligatoria
- No mantener registro de actividades de tratamiento
- No cooperar con AEPD en inspecciones
Infracciones leves
Sanción: hasta 40.000€
Infracciones:
- Incumplimientos formales (ej: no actualizar registro de actividades)
- No atender obligación de información a interesados
- No adoptar medidas técnicas adecuadas (si no hay brecha efectiva)
Responsabilidad penal
Además de sanciones administrativas, ciertos incumplimientos pueden constituir DELITO:
- Art. 197 CP - Revelación de secretos: Divulgar datos personales sin autorización → Prisión 1-4 años
- Art. 197.2 CP - Revelación por funcionario: Si el que divulga es funcionario → Prisión 2-5 años
- Art. 534 CP - Denegación de auxilio: No colaborar con la justicia → Multa
Ejemplos de conductas delictivas:
- Agente consulta datos de su ex pareja sin justificación policial
- Agente vende datos de denuncias a abogados
- Administrador accede a datos de VioGén por curiosidad
Buenas prácticas
Recomendaciones para garantizar el cumplimiento de la LO 7/2021 en el uso diario del sistema.
Para agentes y usuarios
- Solo acceder a datos cuando sea necesario para sus funciones
- No consultar expedientes por curiosidad
- No comentar datos personales fuera del ámbito profesional
- Proteger sus credenciales de acceso
- Cerrar sesión al terminar
- No fotografiar pantallas con datos personales
- Reportar inmediatamente brechas de seguridad detectadas
Para administradores
- Aplicar principio de mínimo privilegio (usuarios solo tienen permisos necesarios)
- Revisar periódicamente logs de auditoría
- Desactivar cuentas de usuarios que causan baja
- Mantener actualizado el software (parches de seguridad)
- Realizar copias de seguridad cifradas
- Probar restauraciones periódicamente
- Documentar todos los tratamientos en el registro
Para responsables
- Revisar anualmente la evaluación de impacto
- Asegurar formación continua en protección de datos
- Mantener contacto fluido con el DPD
- Aprobar normativa y procedimientos de protección de datos
- Asignar presupuesto para medidas de seguridad
- Responder en plazo a ejercicio de derechos
- Notificar brechas a AEPD sin demora
Historial de cambios
- Versión inicial del documento sobre LO 7/2021
- Marco normativo y ámbito de aplicación
- Diferencias con el RGPD general
- Principios de protección de datos policiales
- Bases de legitimación de tratamientos policiales
- Derechos de los interesados y sus limitaciones
- Obligaciones del responsable del tratamiento
- Descripción de tratamientos en policialocal.top
- Procedimiento de ejercicio de derechos
- Comunicación de datos a terceros
- Régimen sancionador administrativo y penal
- Buenas prácticas de cumplimiento