Capítulo 1: Relación entre RGPD y LO 7/2021
Dos regímenes jurídicos diferenciados
Existen DOS regímenes jurídicos de protección de datos aplicables a las policías locales:
| Aspecto | RGPD (UE 2016/679) | LO 7/2021 |
|---|---|---|
| Ámbito | Tratamientos NO policiales | Tratamientos para fines policiales |
| Ejemplos | Gestión de RRHH, contabilidad, web pública | Denuncias, sanciones, atestados |
| Derechos | Derechos plenos (acceso, rectificación, supresión, portabilidad) | Derechos limitados (supresión muy restringida, no portabilidad) |
| Consentimiento | Base legal en muchos casos | NO aplicable |
| Autoridad | AEPD (Agencia Española de Protección de Datos) | AEPD (misma autoridad, distinto régimen) |
Criterio de distinción: finalidad del tratamiento
Para saber qué normativa aplicar, pregúntese: ¿Cuál es la finalidad del tratamiento?
- Si la finalidad es prevenir, investigar o sancionar infracciones → LO 7/2021
- Si la finalidad es otra (administrativa, laboral, contable, informativa) → RGPD
Ejemplos prácticos de distinción
| Tratamiento | Normativa aplicable | Motivo |
|---|---|---|
| Base de datos de denuncias | LO 7/2021 | Finalidad policial |
| Nóminas de agentes | RGPD | Finalidad laboral |
| Web del ayuntamiento | RGPD | Finalidad informativa |
| Cámaras de videovigilancia en comisaría | RGPD (si solo seguridad del edificio) o LO 7/2021 (si también para investigación) | Depende de la finalidad |
| Formación de agentes | RGPD | Finalidad formativa |
| Sistema VioGén | LO 7/2021 | Finalidad policial (protección víctimas) |
Capítulo 2: Tratamientos del sistema regidos por RGPD
Gestión de usuarios del sistema
Finalidad: Gestión de accesos al sistema informático
Normativa: RGPD (es un tratamiento administrativo, no policial)
Base legal: Obligación legal (seguridad de sistemas de información - ENS)
Datos: TIP, nombre, email, rol, logs de acceso, IP
Plazo: Mientras el usuario esté activo + 3 años (logs de auditoría)
Derechos: Acceso, rectificación (NO supresión mientras esté en activo)
Portal web del ayuntamiento
Si policialocal.top tiene una parte pública (web informativa), los datos recogidos se rigen por RGPD:
Finalidad: Atención a ciudadanos, información pública
Normativa: RGPD
Base legal: Consentimiento (si hay formulario de contacto) o Interés legítimo (si solo cookies analíticas)
Datos: Nombre, email, consulta enviada
Plazo: Hasta que se atienda la consulta + 1 año
Derechos: Todos los derechos RGPD plenos
Gestión de recursos humanos
Si el sistema se usa para gestionar datos laborales de agentes:
Finalidad: Gestión laboral
Normativa: RGPD
Base legal: Relación laboral (art. 6.1.b RGPD)
Datos: DNI, domicilio, datos bancarios (nómina), formación, evaluaciones
Plazo: Duración relación laboral + plazos legales (4 años datos fiscales, etc.)
Derechos: Todos los derechos RGPD
Capítulo 3: Principios del RGPD
Licitud, lealtad y transparencia
Similar a LO 7/2021 pero con más énfasis en transparencia:
- Debe informarse SIEMPRE al interesado (no hay excepción por investigación en RGPD)
- La información debe ser clara, concisa y de fácil acceso
- Debe proporcionarse ANTES de recoger los datos
Limitación de la finalidad
Los datos solo pueden usarse para las finalidades informadas:
- Datos recogidos para nómina NO pueden usarse para marketing
- Datos de formulario web NO pueden usarse para enviar publicidad (salvo consentimiento)
Minimización de datos
Solo recoger datos estrictamente necesarios:
- Para formulario de contacto: nombre, email, consulta → SÍ
- Para formulario de contacto: DNI, dirección, teléfono → Probablemente NO (salvo que sea necesario)
Exactitud
Los datos deben ser exactos y actualizarse:
- Si un agente cambia de email, debe actualizarse en el sistema
- Datos incorrectos deben rectificarse a petición del interesado
Limitación del plazo de conservación
Los datos no pueden conservarse indefinidamente:
- Logs de acceso al sistema: 3 años (ENS)
- Currículums de procesos de selección: hasta fin del proceso + 1 año
- Datos de consultas web: hasta resolución + 1 año
Integridad y confidencialidad
Medidas de seguridad adecuadas:
- Cifrado de datos sensibles
- Control de acceso
- Copias de seguridad
- Protección contra ataques
Responsabilidad proactiva (accountability)
El responsable debe poder demostrar que cumple el RGPD:
- Documentar tratamientos (registro de actividades)
- Realizar evaluaciones de impacto
- Adoptar medidas técnicas y organizativas
- Poder evidenciar el cumplimiento ante AEPD
Capítulo 4: Bases de legitimación (RGPD)
A diferencia de la LO 7/2021, el RGPD tiene 6 bases de legitimación. Debe existir AL MENOS UNA para cada tratamiento:
a) Consentimiento del interesado
El interesado ha dado su consentimiento para el tratamiento. Requisitos:
- Libre (sin coacción)
- Informado (sabe para qué da el consentimiento)
- Específico (consentimiento para cada finalidad)
- Inequívoco (acción afirmativa, no silencio)
Ejemplo: Suscripción a newsletter del ayuntamiento → Requiere consentimiento
b) Ejecución de un contrato
El tratamiento es necesario para ejecutar un contrato con el interesado.
Ejemplo: Datos de agentes para gestionar su contrato laboral
c) Obligación legal
El tratamiento es necesario para cumplir obligación legal del responsable.
Ejemplo: Conservar datos fiscales 4 años (obligación tributaria)
d) Protección de intereses vitales
El tratamiento es necesario para proteger la vida del interesado u otra persona.
Ejemplo: Comunicar datos médicos de un agente herido a servicios de emergencia
e) Interés público o ejercicio de poderes públicos
El tratamiento es necesario para misión de interés público o ejercicio de autoridad pública.
Ejemplo: Publicar información en web del ayuntamiento (transparencia)
f) Interés legítimo
El tratamiento es necesario para interés legítimo del responsable o tercero, siempre que no prevalezcan derechos del interesado.
Ejemplo: Videovigilancia de instalaciones para seguridad del edificio (interés legítimo: proteger el patrimonio)
Capítulo 5: Derechos de los interesados (RGPD)
En tratamientos regidos por RGPD, los derechos son MÁS AMPLIOS que en LO 7/2021.
Derecho de información
Debe informarse al interesado de:
- Identidad del responsable
- DPD (si existe)
- Finalidades del tratamiento
- Base legal
- Destinatarios de los datos
- Plazo de conservación
- Derechos que le asisten
- Derecho a reclamar ante AEPD
- Si la comunicación de datos es obligatoria y consecuencias de no facilitarlos
Derecho de acceso
El interesado puede obtener:
- Confirmación de si se tratan sus datos
- Acceso a sus datos personales
- Copia de los datos (primera copia gratuita)
- Información sobre el tratamiento (finalidad, destinatarios, plazo, etc.)
Derecho de rectificación
Datos inexactos deben rectificarse sin dilación. Datos incompletos pueden completarse.
Derecho de supresión ("derecho al olvido")
El interesado puede solicitar supresión si:
- Los datos ya no son necesarios
- Retira el consentimiento (si era la base legal)
- Se opone al tratamiento y no hay motivos imperiosos
- Los datos se han tratado ilícitamente
- Deben suprimirse por obligación legal
NO procede suprimir si:
- Es necesario para cumplir obligación legal
- Es necesario para formular, ejercer o defender reclamaciones
- Es necesario por razones de interés público
Derecho a la limitación del tratamiento
El interesado puede solicitar que se limite el tratamiento (no borrar, pero no usar) si:
- Impugna la exactitud de los datos (hasta que se verifique)
- El tratamiento es ilícito pero no quiere suprimir
- Ya no son necesarios pero los necesita para reclamaciones
- Se ha opuesto al tratamiento (hasta que se verifique si prevalecen motivos del responsable)
Derecho a la portabilidad
El interesado puede recibir sus datos en formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable, si:
- El tratamiento se basa en consentimiento o contrato
- Y el tratamiento es automatizado
Ejemplo: Un agente puede solicitar sus datos de formación en formato Excel para llevarlos a otra administración.
Derecho de oposición
El interesado puede oponerse al tratamiento basado en interés legítimo o interés público. El responsable debe dejar de tratar salvo que acredite motivos imperiosos.
Oposición ABSOLUTA a tratamiento para marketing directo (siempre debe atenderse).
Capítulo 6: Obligaciones del responsable (RGPD)
Registro de actividades de tratamiento
Similar a LO 7/2021. Debe documentarse cada tratamiento.
Evaluación de Impacto (EIPD)
Obligatoria cuando el tratamiento pueda entrañar alto riesgo para derechos y libertades:
- Uso de nuevas tecnologías
- Tratamiento a gran escala de categorías especiales de datos
- Observación sistemática a gran escala (videovigilancia masiva)
- Perfilado automatizado con efectos jurídicos
Delegado de Protección de Datos (DPD/DPO)
Obligatorio para autoridades públicas (incluidos ayuntamientos). Puede ser el mismo DPD para tratamientos RGPD y LO 7/2021.
Notificación de brechas de seguridad
Si hay brecha de seguridad:
- Notificar a AEPD en 72 horas (igual que LO 7/2021)
- Si hay alto riesgo, notificar también a los interesados
- Documentar la brecha
Privacy by design y by default
Incorporar protección de datos desde el diseño:
- Minimizar datos desde el diseño del formulario
- Cifrado por defecto de datos sensibles
- Configuraciones por defecto respetuosas con la privacidad
Cookies y consentimiento
Si el sistema tiene una web pública, debe cumplir con la normativa de cookies derivada del RGPD y la LSSI.
Tipos de cookies
Según su finalidad:
- Técnicas: Necesarias para el funcionamiento (ej: sesión, idioma). NO requieren consentimiento.
- Analíticas: Miden uso del sitio (Google Analytics). Requieren consentimiento SALVO que sean agregadas y anonimizadas.
- Publicitarias: Publicidad personalizada. Requieren consentimiento SIEMPRE.
Banner de cookies
El sitio web debe mostrar un banner de cookies en la primera visita informando:
- Que se usan cookies
- Para qué finalidades
- Cómo aceptarlas o rechazarlas
- Enlace a política de cookies completa
El usuario debe poder:
- Aceptar todas las cookies
- Rechazar cookies no esenciales
- Configurar qué cookies acepta (granularidad)
IMPORTANTE: No puede haber cookies no esenciales instaladas ANTES de que el usuario consienta ("cookie walls" prohibidos).
Política de cookies
Debe existir una política de cookies accesible desde el banner y el pie de página con:
- Listado de todas las cookies usadas
- Finalidad de cada una
- Duración
- Quién las instala (propias o de terceros)
- Cómo desactivarlas en el navegador
Videovigilancia
Si hay cámaras de videovigilancia en la comisaría o vehículos policiales, determinar qué normativa aplica.
Videovigilancia de seguridad del edificio
Normativa: RGPD + Instrucción 1/2006 de AEPD sobre videovigilancia
Finalidad: Seguridad de personas e instalaciones (NO fines policiales)
Base legal: Interés legítimo
Requisitos:
- Carteles informativos en zona videovigilada (deber de información)
- Grabaciones conservadas máximo 30 días (salvo que sean necesarias para investigación)
- Acceso restringido a grabaciones
- No pueden grabar zonas donde haya expectativa de privacidad (baños, vestuarios)
Cámaras en vehículos policiales (dashcam)
Normativa: Depende del uso:
- Si solo graban para prueba en caso de accidente → RGPD (similar a dashcam particular)
- Si graban para documentar intervenciones policiales → LO 7/2021
En la práctica, al ser policía, predomina la LO 7/2021. Pero debe informarse mediante adhesivo en vehículo "Vehículo con videocámara".
Cámaras corporales (body cam)
Normativa: LO 7/2021 (finalidad policial: documentar intervenciones)
Requisitos:
- Informar verbalmente a los presentes que se está grabando
- Grabar solo cuando sea necesario (no grabar continuamente todo el servicio)
- Conservar grabaciones solo mientras sean necesarias para el procedimiento
- Proteger especialmente grabaciones de menores o víctimas vulnerables
Transparencia y publicación de datos
La Ley de Transparencia obliga a publicar cierta información. Debe hacerse cumpliendo el RGPD.
Información publicable
Puede publicarse sin consentimiento:
- Organigrama de la policía local (cargos, no nombres)
- Presupuesto y cuentas
- Contratos públicos (con anonimización de datos personales no relevantes)
- Estadísticas de criminalidad (agregadas, sin identificar personas)
Información NO publicable
NO puede publicarse:
- Nóminas de agentes individuales (dato personal)
- Datos de expedientes en curso (protección de datos + secreto sumarial)
- Datos de denunciantes o denunciados (derecho a la intimidad)
Balance entre transparencia y privacidad
Cuando haya conflicto entre transparencia y protección de datos, debe realizarse test de proporcionalidad:
- ¿El interés público en la transparencia es relevante?
- ¿Es necesaria la publicación para satisfacer ese interés?
- ¿Puede satisfacerse con datos anonimizados?
- ¿Qué impacto tiene en la privacidad de los afectados?
Ejemplo: Publicar retribuciones de altos cargos → Sí (interés público prevalece). Publicar retribuciones de agentes base → No (privacidad prevalece).
Transferencias internacionales de datos
Si se comunican datos a países fuera del Espacio Económico Europeo (EEE), aplican restricciones del RGPD.
Países con decisión de adecuación
La Comisión Europea ha determinado que estos países tienen nivel adecuado de protección de datos. Pueden transferirse datos libremente:
- Andorra, Argentina, Canadá (entidades comerciales), Suiza, Uruguay, Reino Unido, Japón, Nueva Zelanda, Israel, Corea del Sur
- Y algunos más (consultar lista actualizada en web de Comisión Europea)
Países sin decisión de adecuación
Requieren garantías adecuadas:
- Cláusulas contractuales tipo: Contrato con el destinatario que garantiza protección equivalente al RGPD
- Normas corporativas vinculantes: Para grupos empresariales multinacionales
- Certificaciones aprobadas: Mecanismos de certificación específicos
Nota: Estados Unidos NO tiene decisión de adecuación tras invalidación de Privacy Shield. Transferencias a EEUU requieren cláusulas contractuales tipo.
Excepciones
Pueden transferirse datos sin adecuación ni garantías en casos excepcionales:
- Consentimiento explícito del interesado
- Necesario para ejecución de contrato
- Por razones importantes de interés público
- Para formular, ejercer o defender reclamaciones
- Para proteger intereses vitales (vida de la persona)
En contexto policial, suele aplicarse "razones importantes de interés público" (cooperación policial internacional).
Coordinación RGPD - LO 7/2021
Recomendaciones prácticas para gestionar ambas normativas en el mismo sistema.
Registro de actividades unificado
Mantener un único registro de actividades de tratamiento que incluya:
- Columna "Normativa aplicable": RGPD o LO 7/2021
- Para cada tratamiento, indicar claramente qué normativa rige
Esto facilita las auditorías y evita confusiones.
DPD único
El mismo Delegado de Protección de Datos puede supervisar tratamientos RGPD y LO 7/2021. Debe tener formación en ambas normativas.
Procedimiento de ejercicio de derechos
Establecer un procedimiento único que determine automáticamente qué normativa aplicar:
- Recibir solicitud de ejercicio de derecho
- Identificar en qué tratamiento están los datos (consultar registro de actividades)
- Determinar normativa aplicable a ese tratamiento
- Aplicar régimen de derechos correspondiente (RGPD más amplio, LO 7/2021 más restrictivo)
- Responder en plazo (1 mes ampliable a 3 en ambos casos)
Formación del personal
Todo el personal debe recibir formación en ambas normativas:
- Comprender la diferencia entre tratamientos policiales y no policiales
- Saber aplicar la normativa correcta en cada caso
- Conocer las diferencias en derechos de los interesados
- Formación práctica con casos reales
La confusión entre normativas es uno de los errores más frecuentes en auditorías.
Casos prácticos
Ejemplos reales de aplicación coordinada de RGPD y LO 7/2021.
Caso 1: Agente solicita acceso a sus datos
Un agente solicita acceso a todos los datos que el sistema tiene sobre él.
Análisis: Hay datos en múltiples tratamientos:
- Datos laborales (nómina, formación) → RGPD → Acceso PLENO
- Logs de acceso al sistema → RGPD → Acceso PLENO
- Denuncias que ha tramitado (aparece como agente tramitador) → LO 7/2021 → Acceso puede limitarse si compromete investigaciones
Respuesta: Se facilita acceso a datos laborales y logs (RGPD). Se deniega acceso a denuncias activas (LO 7/2021 - compromiso investigación). Se facilita acceso a denuncias archivadas hace más de 1 año.
Caso 2: Ciudadano solicita supresión de email de contacto web
Un ciudadano envió una consulta por el formulario web hace 2 años. Solicita suprimir su email.
Análisis: Formulario web → RGPD (NO es tratamiento policial). La consulta ya fue atendida hace 2 años. Los datos ya no son necesarios.
Respuesta: Se ACEPTA la solicitud. Se suprimen los datos (email, nombre, consulta) del sistema. Se notifica al interesado.
Caso 3: Denunciado solicita supresión de denuncia archivada
Un denunciado solicita suprimir una denuncia archivada sin autor hace 4 años.
Análisis: Denuncia → LO 7/2021 (tratamiento policial). Plazo de conservación: 3 años desde archivo. Han transcurrido 4 años → Debería haberse suprimido automáticamente.
Respuesta: Se ACEPTA parcialmente. Se comprueba que efectivamente han pasado los 3 años de conservación. Se suprime la denuncia (que debería haberse suprimido automáticamente). Se revisa el proceso de depuración automática para evitar que se repita.
Caso 4: Videovigilancia de comisaría graba un delito
Las cámaras de seguridad de la comisaría (RGPD - seguridad edificio) graban un robo en la entrada. La grabación puede usarse como prueba.
Análisis: Las cámaras se instalaron bajo RGPD (finalidad: seguridad edificio), pero la grabación documenta un delito. ¿Puede usarse?
Respuesta: SÍ. El RGPD permite tratar datos para finalidad distinta si es compatible. Usar grabación de seguridad como prueba de delito es finalidad compatible (Considerando 50 RGPD). La grabación pasa a formar parte del expediente policial (LO 7/2021) y se conserva hasta resolución del procedimiento.
Historial de cambios
- Versión inicial del documento sobre RGPD aplicado a policías locales
- Relación entre RGPD y LO 7/2021
- Criterios de distinción entre tratamientos policiales y no policiales
- Tratamientos del sistema regidos por RGPD
- Principios de protección de datos del RGPD
- Bases de legitimación del RGPD
- Derechos de los interesados más amplios que en LO 7/2021
- Obligaciones específicas del RGPD
- Cookies y consentimiento en web pública
- Videovigilancia bajo RGPD
- Transparencia y publicación de datos
- Transferencias internacionales
- Coordinación práctica entre ambas normativas
- Casos prácticos de aplicación coordinada