La armonizacion de la normativa de proteccion de datos a las normas comunitarias


La recientes Sentencias del Tribunal Supremo de fechas 8 de Febrero de 2012 han puesto de manifiesto la inadecuada transposición en España de la Directiva 95/46/CE relativa a la protección de datos personales y a la libre circulación de estos datos (en adelante Directiva) , en la medida que, mientras la Directiva parte de definir una serie de presupuestos para el tratamiento,  la Ley Orgánica 15/1999 de Protección de Datos (en adelante LOPD) opta por legitimar el tratamiento o la cesión de datos sobre la base del consentimiento inequívoco del interesando y, a partir de esa figura, sentar una serie de excepciones. Por su parte, el RD 1720/2007 por el que se desarrolla la LOPD (en adelante RD 1720/2007) en su artículo 10,  estableció una serie de bases para que se pudieran desarrollar alguna de las excepciones marcadas en la Ley Orgánica.

La Directiva 95/46 estableció en su artículo 7 dentro de los principios que legitiman la protección de datos  que los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si: a) el interesado ha dado su consentimiento de forma inequívoca, o b) es necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado, o c) es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o d) es necesario para proteger el interés vital del interesado, o e) es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos, o f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.

Sin embargo la LOPD en su artículo 6 opta, como ya hemos indicado, por regular en su apartado 1 que “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa” y en el apartado 2 establece las excepciones para la recogida del consentimiento: a) datos recogidos por las Administraciones públicas para sus funciones b) cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa c) cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado y d) cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado”.

De la simple lectura comparativa del Artículo 7 de la Directiva y del Artículo 6 de la LOPD se deduce la naturaleza del problema objeto de análisis: mientras que el Artículo 6.2 vincula la existencia de un interés legítimo, como excepción al consentimiento a dos requisitos: a) que no se vulneren derechos y libertades fundamentales del interesado y 2) que los datos figuren en una fuente accesible al público, el Artículo 7 f) de la Directiva 95/46 solo alude al primero de los supuestos. El problema además se agrava en la medida que la propia LOPD en su artículo 3 apartado j) define esas fuentes accesibles al público como numerus clausus, de forma que se regula un sistema que limita estas fuentes a: el censo promocional, los repertorios telefónicos, las listas de personas pertenecientes a grupos de profesionales,  los diarios y boletines oficiales y los medios de comunicación.

El mismo error arrastra el Artículo 11.2 b) de la LOPD, al definir los supuestos de legitimidad para la cesión de datos, limitando nuevamente, el Artículo 7 de la Directiva 95/46.

El RD 1720/2007, que pudiera haber sido una excelente oportunidad para corregir este desajuste entre la normativa nacional y comunitaria, no sólo no lo hizo sino que además consolidó el problema. El Artículo 10 en su apartado 1 recalca la necesidad del consentimiento y en los apartados 2 a) y b) establece las excepciones al mismo.

El apartado 2 a) libera de la necesidad del consentimiento cuando lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando el tratamiento o la cesión tengan por objeto la satisfacción de un interés o cuando el tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas.

En línea con el Artículo 6.2 de la LOPD El apartado 2 b) vincula la existencia de un interés legítimo y la no vulneración de los derechos fundamentales a que los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público, añadiendo que las Administraciones públicas sólo podrán comunicar los datos recogidos de fuentes accesibles al público a responsables de ficheros de titularidad privada cuando se encuentren autorizadas para ello por una norma con rango de ley.

La publicación de éste RD 1720/2007 dio lugar a que dos asociaciones ASNEF y FECEMD impugnaran el mismo y sugirieran al Tribunal Supremo la existencia de este desajuste entre la legislación nacional y comunitaria. El Tribunal Supremo planteó al Tribunal de Justicia de la Unión Europea dos cuestiones prejudiciales.  El 24 de noviembre de 2011 la Sala Tercera resolvió las citadas cuestiones, C-468/10 Y C-469/10 señalando que:

1)      El artículo 7, letra f), de la Directiva debe interpretarse en el sentido de que se opone a una normativa nacional que, para permitir el tratamiento de datos personales necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, exige, en el caso de que no exista consentimiento del interesado, no sólo que se respeten los derechos y libertades fundamentales de éste, sino además que dichos datos figuren en fuentes accesibles al público, excluyendo así de forma categórica y generalizada todo tratamiento de datos que no figuren en tales fuentes.

2)      El artículo 7, letra f), de la Directiva 95/46 tiene efecto directo.

Ante la respuesta dada a las cuestiones prejudiciales, el Tribunal Supremo ha resuelto los dos recursos planteados por ASNEF y FECEMD en sendas Sentencias de 8 de febrero del presente año  y ha concluido: A) declarando que el artículo 10.2.a) no es nulo en la medida que es un supuesto habilitador no expresamente previsto en la norma comunitaria y que en todo caso sería superable mediante la aplicación directa del artículo 7 f) de la Directiva, B) declarando la nulidad del artículo 10.2 b) en la medida que excluye de forma categórica y generalizada todo tratamiento de datos que no figure en fuentes accesibles al público, declarando tal proceder contrario a la Directiva, c) declarando que al valorar y ponderar la existencia de un interés legítimo y la vulneración de un derecho fundamental es necesaria la ponderación de los derechos e intereses en conflicto, d) que esta ponderación debe realizarse caso por caso, e) que conforme a la STJUE el hecho de que el dato figure en una fuente accesible al público puede ser un criterio de ponderación que incline la balanza hacia el interés legítimo pero no puede ser un requisito habilitante.

Por último debe tenerse en cuenta que han quedado cuestionados no solo los Artículos objeto de impugnación del RD 1720/2007, sino que, además, los Artículo 6.2 y 11.2 de la LOPD en la medida que se aparten del Artículo 7 f) de la Directiva, no pueden ser aplicados y prevalece el Artículo 7 f) de la misma al que se le ha dado efecto directo. También el propio Tribunal Supremo ha cuestionado el sistema cerrado de fuentes accesibles al público en la medida que no puede haber diferencias entre los Estados miembros de la Unión Europea en su configuración.

Frente a la cuestión planteada sobre si estas Sentencias de nuestro Tribunal Supremo menoscaban los derechos de los consumidores debe concluirse negativamente en la medida que: a) el resto de Estados han aplicado correctamente la Directiva y los derechos de los consumidores han sido adecuadamente protegidos, y b) las Sentencias solo se refieren a un supuesto más de legitimación del tratamiento que deberá ser ponderado y no al resto de principios de protección de datos como son: calidad, información, seguridad de datos y deber de secreto

FUENTE:diariojurídico.com