COMENTARIOS A LA SENTENCIA DEL TRIBUNAL DE JUSTICIA DE LA UNIÓN EUROPEA de 24 de noviembre de 2011 “Tratamiento de datos personales – Directiva 95/46/CE- artículo 7, letra f) – Efecto directo” Y A LA SENTENCIA DEL TRIBUNAL SUPREMO DE 8 DE FEBRERO DE 2012
A raíz del recurso contencioso- administrativo interpuesto por ASNEF y la FECEMD (actualmente Asociación Española de Economía Digital) ante el Tribunal Supremo (TS) contra diversos artículos del RD 1720/2007 (RLOPD), siendo impugnados entre otros el artículo 10, apartado 2 a) supuesto primero, y b), párrafo primero por infracción del artículo 7, letra f), de la Directiva 95/46, el TS planteó dos cuestiones prejudiciales ante el Tribunal de Justicia de Unión Europea (TJUE) con el objeto de obtener la interpretación del mencionado artículo
“Los Estados miembros dispondrán que el tratamiento de datos personales sólo puede efectuarse si:
a) El interesado ha dado su consentimiento de forma inequívoca, o
….
f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva”
La legislación española estipula en el artículo 6, apartado 2, de la Ley 15/1999, de protección de datos de carácter personal (LOPD) que no será preciso el consentimiento, entre otros supuestos, cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
El artículo 10, apartado 2, del RLOPD autoriza el tratamiento y la cesión de los datos de carácter personal sin necesidad del consentimiento del interesado cuando:
a) Lo autorice un norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes:
· El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la LOPD
· …
b) Los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
Las primera cuestión prejudicial se basa en si el artículo 7 f) se opone a la legislación española, al exigir ésta para el tratamiento de datos personales sin consentimiento del interesado, la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, el respeto a los derechos y libertades fundamentales del interesado (en particular, los derechos a la intimidad y a la protección de datos personales, consagrados ahora en los artículos 7 y 8 de la Carta de Derechos Fundamentales de la Unión Europea) y además, que dichos datos figuren en fuentes accesibles al público.
La Directiva 95/46 trata de asegurar la libre circulación de datos personales, garantizando al mismo tiempo un alto nivel de protección de los derechos e intereses de las personas a que se refieren dichos datos. Se trata de asegurar un nivel de protección equivalente en todos los Estados miembros, por lo que el artículo 7 de la Directiva establece una lista exhaustiva y taxativa de los casos en que un tratamiento de datos personales puede considerarse lícito. Por tanto, los Estados miembros no pueden añadir nuevos principios relativos a la legitimación ni imponer exigencias adicionales, modificaciones. No obstante, la legislación nacional si puede precisar alguno de estos principios.
Así, de acuerdo con el artículo 7 f) de la Directiva dos son los requisitos acumulativos para que el tratamiento de datos sin consentimiento sea lícito:
1.- Que el tratamiento sea lícito para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos.
2.- Y que no prevalezcan los derechos y libertades fundamentales del interesado.
Se exige una ponderación de los derechos e intereses en conflicto que dependerá del caso concreto de que se trate. En relación a esta ponderación hay que tener en cuenta que la gravedad de la lesión de los derechos fundamentales de la persona afectada por dicho tratamiento puede variar en función de que lo datos figuren o no en fuentes accesibles al público. La Sentencia se refiere al hecho de que los datos no se encuentren en fuentes accesibles al público y recuerda que a diferencia de los tratamientos de datos que figuran en fuentes accesibles al público, los tratamientos de datos que figuran en fuentes no accesibles al público implican necesariamente que el responsable del tratamiento, y, en su caso, el tercero o terceros a quienes se comuniquen los datos dispondrán en lo sucesivo de ciertas informaciones sobre la vida privada del interesado. Esta lesión, más grave, de los derechos del interesado debe ser apreciada en su justo valor, contrapesándola con el interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos.
Los Estados miembros pueden establecer principios que rijan la ponderación, pero lo que no pueden es, como hace la legislación española, excluir la posibilidad de tratar determinados datos personales sin permitir tal ponderación.
Por tanto, el artículo 7, letra f) de la Directiva se opone a la normativa nacional española, ya que ésta para permitir el tratamiento de datos personales necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, exige, en el caso de que no exista consentimiento del interesado, no sólo que se respeten los derechos y libertades fundamentales de éste, sino que además dichos datos figuren en fuentes accesibles al público, excluyendo así de forma categórica y generalizada todo tratamiento de datos que no figuren en tales fuentes.
En cuanto a la segunda cuestión prejudicial basada en si es atribuible efecto directo al artículo 7 f) de la Directiva, el Tribunal de Justicia resuelve que las disposiciones de una Directiva pueden ser invocadas por particulares frente al Estado cuando éstas son suficientemente precisas y así lo hace constar respecto al mencionado artículo, y al no haber sido adaptadas correctamente en la legislación interna, como es el caso de la española. Por tanto, el artículo 7 letra f) tiene efecto directo.
La Agencia Española de Protección de Datos (AEPD) se ha pronunciado sobre el alcance de sentencia del TJUE indicando que no significa que la mera invocación de un interés legítimo deba considerarse suficiente para legitimar el tratamiento de datos personales sin el consentimiento del interesado, subrayando que, de acuerdo con la STJUE, es necesario realizar en cada caso concreto una ponderación entre el interés legítimo de quien va a tratar los datos y los derechos fundamentales de los ciudadanos afectados, con el fin de determinar cuál prevalece atendiendo a las circunstancias concurrentes.
La AEPD recuerda que en la interpretación y aplicación que hasta el momento se ha venido realizando en España, tanto por este organismo como órganos judiciales, se está llevando a cabo una ponderación en la línea de lo exigido por el artículo f) de la Directiva, atendiendo a criterios diversos, tales como la finalidad del tratamiento de los datos, el marco legal aplicable, - p.ej. la existencia de una ley que ampare intereses legítimos- o circunstancias concurrentes en el caso como, entre otras, la existencia de una relación jurídica, o que los datos figuren o no en fuentes accesibles al público.
Por tanto, la AEPD considera que la Sentencia del TJUE no supone una alteración del marco vigente de protección de datos personales en España ni que el fallo comporte una merma en el grado de protección de los derechos de los ciudadanos, si bien en el futuro será preciso acentuar la ponderación de las circunstancias que concurran en cada supuesto concreto para decidir sobre la legitimidad del tratamiento.
Con fecha 8 de febrero de 2012 el TS ha dictado sentencia en la que adapta al ordenamiento español el fallo del TJUE y anula el artículo 10.2 b) del Reglamento de la Ley Orgánica de Protección de Datos (RLOPD), que traspone el artículo 7 de la Directiva de protección de datos, relativo a los criterios que legitiman los tratamientos de datos.
Los aspectos más destacados de la Sentencia del TS son los siguientes:
- La imposibilidad competencial de derogar lo dispuesto por el art. 6.2 de la LOPD.
- La conformidad del art. 10.2.a) RLOPD con la Directiva 95/46/CE.
- La contradicción entre el citado art. 10.2.b) RLOPD y el art. 7.f de la Directiva 95/46/CE lo que determina su anulación.
Conclusiones
§ La legislación española no puede imponer nuevas exigencias a los principios de legitimación para el tratamiento de datos personales establecidos en la Directiva, únicamente podrá precisar los requisitos establecidos en la legislación europea. Por ello, el TS ha anulado el artículo 10.2 b) del RLOPD.
§ Existe legitimación para el tratamiento de datos sin consentimiento del titular cuando exista un interés legítimo y aún cuando dichos datos no se encuentren en fuentes accesibles al público. No obstante, habrá que ponderar el interés legítimo con el respeto a los derechos y libertades fundamentales del individuo.
§ La Sentencia del TJUE puede aportar una interpretación más flexible de la legislación española en relación a los supuestos de legitimación para el tratamiento de datos basados en el interés legítimo, pero no convierten a este interés en un concepto amplio que sin más habilite al responsable del tratamiento.
§ El concepto de interés legítimo es indeterminado, por lo que habrá que estar a la interpretación que de él se haga a través de los criterios de ponderación que irá fijando la AEPD y los órganos judiciales teniendo en cuenta los derechos y libertades de los afectados y de las futuras modificaciones legislativas que lo concreten.
§ Posibilidad de invocar en un procedimiento administrativo o judicial la aplicación directa del artículo 7 f) de la Directiva, eliminando la necesidad de justificar que el origen de los datos es una fuente accesible al público, sin perjuicio de acreditar el resto de requisitos para la legitimación del dato.
Irene López López
Sòcia - Advocada
LLADÓ GRUP CONSULTOR – Àrea del Dret de les Noves Tecnologies
c/ Sant Domènec, 39 - 41 . 08911- Badalona
Tel. 934 646 210 - Ext. 291 - Fax. 901 706 498
No hay comentarios:
Publicar un comentario