Luxemburgo responde al Supremo y tumba el marco normativo de protección de datos español, que se articula sobre el principio del consentimiento. La sentencia tiene “efecto directo” en los Estados.
La Justicia europea se ha manifestado en contra de la redacción de parte del Reglamento de Protección de Datos y de la Ley española, que impiden la inclusión de personas en ficheros de morosos sin el consentimiento previo de los afectados. En un pulso planteado por la Asociación Nacional de Establecimientos Financieros de Crédito (Asnef) y la Federación de Comercio Electrónico y Marketing Directo (Fecemd), el Tribunal de Justicia de la Unión Europea (TUE) ha dado respuesta a la cuestión prejudicial planteada por el Tribunal Supremo (TS) en julio de 2010 respecto a la Directiva.
A la espera de que se pronuncie el TS y de que España reforme su marco, la sentencia tiene “efecto directo” en todos los Estados. Así, la Agencia Española de Protección de Datos (AEPD) no podrá sancionar en cuestiones relativas al consentimiento.
Dicha Directiva establece en su artículo 7 que el tratamiento de datos personales es lícito si el interesado ha dado su consentimiento de forma inequívoca, pero también “si es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección”. Se prohíbe, por tanto, restringir de forma generalizada el tratamiento de los datos.
El Supremo manifestó que esta restricción constituye un obstáculo a la libre circulación de los datos de carácter personal que únicamente sería compatible con la Directiva 95/46 si viniera exigida por el interés o los derechos y libertades fundamentales del titular de los datos.
La sentencia del TUE estima que la regulación española se ha extralimitado al restringir la legitimación para el tratamiento de estos datos personales y afirma que no puede “imponer exigencias adicionales” a las ya establecidas en la Directiva, ya que el texto europeo establecía una armonización completa y no de mínimos.
Los abogados que han diseñado la estrategia de la demanda ante el Supremo son Carlos Alonso, de Equifax, y Antonio Creus y Javier Fernández-Samaniego, de Bird & Bird. Fernánez-Samaniego tiene “sentimientos agridulces, ya que pese a la satisfacción no debería haber sido necesario esperar más de una década para que Luxemburgo diga la obviedad de que a la vista del inequívoco tenor literal del artículo 7 de la Directiva el artículo 7 f) tiene efecto directo y el interés legítimo de quien trata los datos basta para legitimar un tratamiento”.
Antonio Creus apunta que la sentencia de Luxemburgo es una “llamada de atención a la Administración y a los particulares a seguir más de cerca el Derecho comunitario”. Creus destaca que “extiende sus efectos a la LOPD e impacta en todo el sistema”.
Por su parte, la AEPD dijo ayer que “de la sentencia no parece derivarse una alteración sustancial del marco vigente ni que el fallo comporte una merma en el grado de protección de los derechos de los ciudadanos, si bien en el futuro será preciso acentuar la ponderación de las circunstancias que concurran en cada supuesto para decidir sobre la legitimidad del tratamiento”.
Litigios y vía libre a las empresas de ‘bureau’ de créditoEl 27 de julio de 2010 el Tribunal Supremo dictó sentencia contra el Real Decreto 1.720/2007 por el que se aprobó el Reglamento de la Ley Orgánica 5/1999de Protección de Datos de Carácter Personal (LOPD).
El Supremo decidió plantear al Tribunal de Justicia de la Unión Europea (TUE)dos cuestiones prejudiciales con objeto de esclarecer si es correcta la transposición del artículo 7.f de la Directiva, tanto en la LOPD como en el Reglamento de 2007.
El artículo 7 de la Directiva establece seis supuestos en los que se considera lícito el tratamiento de datos personales sin necesidad de que concurran más requisitos, siendo el primero el consentimiento inequívoco del interesado y el último (letra f) “la satisfacción del interés legítimo perseguido por el responsable del tratamiento”.
Sin embargo, al transponer la Directiva, la LOPD no consideró “la satisfacción del interés legítimo” perseguido por el responsable del tratamiento de los datos” como un supuesto que legitimaseel tratamiento de datos personales. Se abre el camino ahora para las reclamaciones a la AEPD, a la vez que las empresas de bureau de crédito podrán prosperar en el mercado español con más facilidades. Javier Aparicio, socio de Cuatrecasas, Gonçalves Pereira, destaca la importancia de la sentencia y se sorprende de la nota de la AEPD que no “parece derivar una alteración sustancial del marco vigente”.
El Tribunal de Justicia de la Unión Europea (TJUE) ha reiterado este jueves la necesidad de que en el tratamiento de datos haya una "ponderación" entre el interés legítimo de quien va a tratar la información y los derechos fundamentales de los ciudadanos afectados.
De esta manera se ha pronunciado el tribunal en una sentencia que resuelve las cuestiones prejudiciales planteadas por el Tribunal Supremo español sobre la interpretación de un artículo de la directiva europea. Este apartado es relativo a la protección de las personas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Según el TJUE, un requisito para el tratamiento de datos exige la citada ponderación que dependerá, en principio, de las circunstancias concretas del caso particular que se trate. Asimismo, ha aclarado que en este marco la persona o institución que efectúe la ponderación deberá tener en cuenta "la importancia de los derechos que los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea confieren al interesado".
Entre dichos criterios de ponderación, la sentencia se refiere, en particular, al hecho de que los datos no se encuentren en fuentes accesibles al público, recordando que implican necesariamente que el responsable del tratamiento y, en su caso, el tercero o terceros a quienes se comuniquen los datos dispondrán en lo sucesivo de ciertas informaciones sobre la vida privada del interesado.
No obstante, en la interpretación y la aplicación que hasta el momento se ha venido realizando en España, tanto por la AEPD como los órganos judiciales, ya se estaba llevando a cabo una ponderación en la línea de lo exigido por el artículo de la directiva europea.
En estos casos, se atendía a criterios diversos tales como la finalidad del tratamiento de los datos, el marco legal aplicable o circunstancias concurrentes en el caso como, entre otras, la existencia de una relación jurídica, o que los datos figuren o no en fuentes accesibles al público.
Para la Agencia Española de Protección de Datos, de la sentencia del TJUE "no parece derivarse una alteración sustancial del marco vigente de protección de los datos personales en España ni que el fallo comporte una merma en el grado de protección de los derechos de los ciudadanos, si bien en el futuro será preciso acentuar la ponderación de las circunstancias que concurran en cada supuesto concreto".
En todo caso, los efectos derivados del fallo del Tribunal de Justicia de la Unión Europea deberán ser determinados por el Tribunal Supremo en el pronunciamiento que finalmente adopte en los recursos interpuestos contra el Reglamento de la LOPD, en cuyo seno planteó la cuestión prejudicial ahora resuelta.
La justicia europea facilita los registros de morosos al anular parte de norma española de protección de datos
El Tribunal de Justicia de la Unión Europea (TUE) ha dado este jueves la razón a las empresas que gestionan registros de morosos y ha declarado ilegal la parte de la norma española de protección de datos que restringe el procesamiento de información personal sin el consentimiento del interesado.
La sentencia atiende la petición de la Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) y la Federación de Comercio Electrónico y Marketing Directo (FECEMD). Ambas organizaciones interpusieron un recurso ante el Tribunal Supremo contra las disposiciones más restrictivas de la ley española de protección de datos alegando que vulneraban la legislación comunitaria.
En concreto, la normativa sólo permite procesar datos personales sin consentimiento de los interesados cuando "consten en fuentes accesibles al público". Los jueces españoles preguntaron al Tribunal de Justicia de Luxemburgo si esta restricción es compatible con la legislación de la UE.
En su sentencia de este jueves, el TUE aclara que la legislación comunitaria establece dos requisitos para que un tratamiento de datos personales sea lícito: que resulte necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por los terceros a los que se comuniquen los datos y que se respeten los derechos y libertades fundamentales del interesado.
El fallo resalta que los Estados miembros no pueden añadir requisitos adicionales porque la directiva realiza una armonización completa y no de mínimos en esta materia. Por tanto considera ilegal que la ley española de protección de datos exija que dichos datos figuren en fuentes accesibles al público
La Asociación Galega de Mariscadoras denunció que la entidad expuso públicamente en enero un documento en el que varios profesionales exigían dimisiones a la entidad.
El secretario general de FETE UGT Madrid, Eduardo Sabina, ha enviado una carta a la consejera de Educación y Empleo de la Comunidad, Lucía Figar, para pedir la retirada de un anexo del Manual de Permisos y Licencias del Personal Funcionario Docente y Personal de Administración y Servicios en centros públicos no universitarios con el fin de proteger los datos de los familiares.
Este anexo establece que para que un funcionario pueda obtener una licencia por enfermedad, accidente u hospitalización de familiar de hasta segundo grado debe obtener el consentimiento previo del familiar enfermo y remitir los datos de salud del enfermo a la Dirección de Área Territorial para que ésta determine a través del Servicio Médico la gravedad de la enfermedad.
Después de haber recibido una respuesta de la Agencia Española de Protección de Datos sobre la consulta realizada por el sindicato a este respecto, Sabina solicita la retirada "inmediata" de este anexo "con el fin de garantizar la protección de datos de carácter personal de los familiares de docentes y personal de Administración y Servicios de Madrid". El objetivo es también "evitar que las reclamaciones acaben en gran cantidad de procesos judiciales".