Hace unos días se publicó en el BOE el Instrumento de ratificación de España del Convenio relativo a la profundización de la cooperación transfronteriza, en particular en materia de lucha contra el terrorismo, la delincuencia transfronteriza y la migración ilegal, hecho en Prüm el 27 de mayo de 2005. La finalidad de éste es crear un marco de intercambio de datos personales para luchar conjuntamente contra los problemas anteriores. Gracias a dicho Convenio se tramita actualmente en el Congreso el Proyecto de Ley reguladora de la base de datos policial sobre identificadores obtenidos a partir del ADN, que como el propio título muestra no se trata de una ley orgánica, a pesar de que afecte a un derecho fundamental.
A grandes rasgos, el convenio prevé la creación de bases de datos con perfiles de ADN, huellas dactiloscópicas y matrículas de vehículos, que los Estados firmantes podrán consultar de forma recíproca.
Lo más controvertido son los datos de ADN, cuyos índices no podrán identificar directamente a las personas implicadas. No obstante, a pesar de la regla general, se prevé el intercambio de datos personales «cuando la existencia de condenas firmes o de otras circunstancias justifiquen la presunción de que estas personas van a cometer un delito con motivo del evento o suponen una amenaza para la seguridad y el orden públicos, en la medida en que la transmisión de tales datos sea admisible con arreglo al derecho interno de la Parte Contratante transmitente», lo cual deja un margen de apreciación bastante subjetivo.
En cuanto al cumplimiento de la normativa sobre protección de datos, se establecen algunas garantías (adecuación a los fines, bloqueo y cancelación de los datos y registro de las transmisiones), pero en lo que se refiere a las medidas de seguridad se remite a la normativa interna de cada Estado.
Uno piensa en ADN y en principio lo considera un dato relativo a la salud en la medida en que de éste se puede extraer información sobre las enfermedades genéticas (las que una persona padece o desarrollará) y sobre aquellas para las que está más predispuesto. Los datos de salud se regulan en el artículo 8 de la LOPD, que remite entre otras a la Ley 14/1986, de 25 de abril, General de Sanidad y a la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, normativa que circunscribe esta información a los médicos y personal sanitario de los centros de salud.
No obstante, los datos de ADN a los que se hace referencia en el Convenio de Prüm son los relativos a su parte no codificante, lo que se conoce como «ADN basura» (dado que no se sabe para qué sirve). Su utilidad conocida, por el momento, es que es distinto para cada individuo, lo que lo convierte en un identificador único fiable, mientras que la información relativa a las enfermedades se encuentra en el ADN codificado, que queda fuera de las bases de datos del Convenio.
En este sentido, el nivel de seguridad aplicable a dichos ficheros de ADN sería el básico, dado que no hay información relativa a la salud. De todos modos, tampoco tiene que tomarse el tema a la ligera, ya que esto es así teniendo en cuenta los limitados conocimientos actuales. El Congreso de los Diputados, por otro lado, no ha llegado a esta conclusión, pues en el proyecto de ley que comentaba al principio se establecen medidas de nivel alto, aún cuando los datos de ADN que formarán parte de dicha base de datos incluirán únicamente información relativa a la identificación y sexo de una persona.
Javier,
Hace ya unos días que vengo dándole vueltas a lo siguiente: hay que diferenciar el propio ADN de los datos que se extraigan de éste.
Centras tu interpretación en el tipo de datos extraídos, con lo cual estoy de acuerdo y por tanto suscribo tu crítica a la calificación de los identificadores obtenidos del ADN extraido de las muestras biológicas con que cuente la policía.
Pero me surge la siguiente duda: si estas muestras biológicas (con ver CSI un poco ya nos imaginamos cuáles son) han de ser conservadas por la policía para garantizar la integridad de las pruebas en contra de los presuntos delincuentes (con la conveniente cadana de custodia, ¿han de ser consideradas las mismas muestras como datos personales como si de un fichero no automatizado se tratara? Es obvio que estas muestras biológicas han de ser obtenidas sin vulnerar el derecho a la intimidad de las personas, pero una vez éstas son almacenadas pasan a ser objeto de otras acciones de tratamiento (en el sentido de este término al que apunta la LOPD), pues se ponen en los dispositivos de los laboratorios para obtener ciertos datos que luego se vuelcan en bases de datos.
Si así fuera, con el futuro nuevo RMS, tendríamos que aplicar medidas de seguridad a las muestras biológicas (fichero no automatizado de nivel alto), pero también a los datos obtenidos de ellas (fichero automatizado que podrá ser básico como en el caso de los identificadores o alto para el resto de los casos).
Ya me contarás qué opinión te merece esto. Voy a indagar en los documentos de l Grupo del Art. 29 a ver que se decía al respecto de este Convenio y si hay algún documento ad hoc.
Un saludo
Perdona el enorme retraso en responder.
Sin duda, las muestras son datos personales a los que habrá que aplicar medidas de nivel alto según el nuevo RMS. La obtención de los identificadores, tal como lo veo yo, es un tratamiento de los mismos, que forma parte del mismo fichero, sin perjuicio de que posteriormente se cedan para configurar la base de datos de la que habla el Convenio de Prüm.
Javier,
Sigo con el debate.
Échale un vistazo a estos documentos:
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2007/wp136_en.pdf (ver principio de página 9)
http://www.coe.int/t/e/legal_affairs/legal_co-operation/bioethics/texts_and_documents/Rec_2006_4.pdf
No he sido capaz de encontrar referencias a datos biométricos en el proyecto de RMS, que no sea la de que estos pueden emplearse para la autenticación de acceso a datos personales (versión 30 de abril 2007)
A ver qué opinión te merece lo dicho por el Grupo del Art. 29. Me parece que la cosa difiere un poco de lo que yo tenía en mente, pero no acabo de estar muy convencido salvo que se considere que la extracción de datos personales (huella dactilar, ADN,…) de las muestras (tejido, saliva, sangre,…) exija esfuerzos desproporcionados por cuanto que las tecnologías de extracción y el acceso a las bases de datos con los identificadores pueden no estar demasiado accesibles por su coste, porque quienes las tienen están obligados por la LOPD,…
Gracias de antemano.
Un saludo
Javier,
Lo dicho.
Nada de nada sobre que se apliquen medidas de nivel alto a las muestras biológicas. No hay nada en el nuevo RMS ni el proyecto de ley de bases de datos policiales de datos extraídos de ADN.
Parece que nuestro legislador no está haciendo uso de la posibilidad de ampliación del ámbito de aplicación de la LOPD al que apunta el Grupo del Art. 29.
Salu2
Muy interesantes los documentos que comentas, casi más el segundo. La distinción entre material biológico identificable y no identificable es relativa y quizá debería haberse concretado más. Está claro que lo que para un laboratorio es identificable no lo es para otra entidad no especializada en estas cuestiones, así que un mismo dato (muestra) podría ser de nivel básico para unos y alto para otros, lo que no encaja con la actual regulación en España y puede dar lugar a situaciones extrañas. Imaginemos que la policía recoge una muestra (dato básico si no permite obtener directa o fácilmente información relativa a la salud) y lo cede a un laboratorio para la extracción de la información, que pasaría a ser de nivel alto aún cuando todavía no se ha realizado la extracción de la información.
No me termina de gustar, así que aún manteniendo el criterio del Convenio de Prüm sobre el «ADN basura», que de acuerdo con el estado del arte no parece que se pueda extraer dato alguno, creo que al hablar de muestras debemos ser cautelosos y aplicar medidas de nivel alto.
Efectivamente, tienes razón, el nuevo RMS no cambia nada en esto, pero echa un vistazo a la Ley de Investigación Biomética, publicada en el BOE de ayer.
Gracias a tí por tus aportaciones.
Javier,
Algo a lo que puede se puede seguir la pista en este sentido:
http://www.out-law.com/page-8847
A ver con qué nos sorprende el Tribunal Europeo de Derechos Humanos en el caso Durant.
Javier,
El ADN Basura parece que sirve para algo más:
http://axxon.com.ar/not/173/c-1734002.htm
Buenas, Javier
Al hilo de lo que comentamos hace ya mucho tiempo parece que la cosa tira por donde yo atisbaba
http://arstechnica.com/science/news/2010/02/dna-data-sharing-a-privacy-conundrum.ars
Hay un libro de conferencias internas de la AEPD sobre investigación biomedica que me temo que también dirá algo al respecto 😉
Salu2