en General, Protección de datos de carácter personal

El Tribunal de Justicia de la Unión Europea modifica el Reglamento de protección de datos en lo relativo a tratamiento de datos personales sin el consentimiento del afectado

Autor: Eric Gracia. Abogado Derecho.com

Mediante su sentencia del pasado 24 de noviembre de 2011, el Tribunal de Justicia de la Unión Europea (en adelante, “TJUE”) ha dado respuesta a las cuestiones prejudiciales que nuestro Tribunal Supremo le había dirigido en base a los litigios promovidos por ASNEF y FECEMD, concretamente sobre la interpretación del artículo 7, letra f) de la Directiva 95/46/CE.

El problema:

Tanto ASNEF como FECEMD han venido entendiendo que el régimen jurídico aplicable en España a los tratamientos de datos, cuando no se tiene el consentimiento de los afectados, resulta más restrictivo que el previsto en la propia Directiva 95/46/CE. Esta situación implica que las empresas españolas se encuentren en desventaja respecto a competidores situados en otros países europeos, lastrando principalmente nuestra economía digital y comercio electrónico.

1.- La interpretación del TJUE:

En conclusión, el TJUE dictamina que la legislación sobre protección de datos personales de un estado no puede imponer requisitos adicionales a los impuestos por el artículo 7, letra f) de la Directiva 95/46/CE que, por otro lado, tiene efecto directo, es decir, puede ser invocado desde ya por cualquier interesado sin necesidad de esperar a que nuestro Tribunal Supremo dicte los cambios que resulten pertinentes a resultas de esta sentencia.

El artículo 7, letra f) de la Directiva 95/46/CE establece lo siguiente:

“Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si:

a) el interesado ha dado su consentimiento de forma inequívoca, o

[…]

f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.”

Así, la Directiva 95/46/CE viene a establecer que para que un tratamiento de datos personales sin consentimiento del afectado sea lícito, deben darse dos requisitos acumulativos:

1º.- Que el tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, y

2º.- Que en el supuesto concreto no prevalezcan los derechos y libertades fundamentales del interesado.

Por tanto, el TJUE concreta que en aquellos casos en los que no existe el consentimiento de los afectados, la legislación nacional no puede imponer requisitos adicionales a los dos que acabamos de enumerar para que el tratamiento pueda llevarse a cabo, cosa que el artículo 10.2, letra b) de nuestro Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, sí hace:

“2. No obstante, será posible el tratamiento o la cesión de los datos de carácter personal sin necesidad del consentimiento del interesado cuando:
[…]

b. Los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

No obstante, las Administraciones públicas sólo podrán comunicar al amparo de este apartado los datos recogidos de fuentes accesibles al público a responsables de ficheros de titularidad privada cuando se encuentren autorizadas para ello por una norma con rango de ley.”

Fácilmente puede advertirse en el citado precepto como, además de los dos requisitos establecidos por la Directiva 95/46/CE, el legislador español exige también que los datos figuren en fuentes accesibles al público para poder ser tratados sin el consentimiento del afectado.

2.- La interpretación de la Agencia Española de Protección de Datos (en adelante, “AEPD”):

El mismo 24 de noviembre de 2011, la AEPD publicaba una Nota Informativa explicando su postura ante la referida sentencia. Así, la AEPD hace especial énfasis en el hecho de que para la aplicación de los dos requisitos expuestos por el artículo 7, letra f) de la Directiva 95/46/CE, a saber:

1º.- Que el tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, y

2º.- Que en el supuesto concreto no prevalezcan los derechos y libertades fundamentales del interesado.

El segundo de ellos va a requerir siempre de una concreta ponderación de los derechos e intereses en conflicto que dependerá, en principio, de las circunstancias concretas del caso particular de que se trate. En este sentido la AEPD advierte que en España ya existe una línea de ponderación, trazada por la propia AEPD y la jurisprudencia, que atiende a diversos criterios: la finalidad del tratamiento de los datos; el marco legal aplicable (si existe o no una ley que ampare intereses legítimos); la existencia de una relación jurídica; que los datos figuren o no en fuentes accesibles al público; etc.

Por todo ello, la AEPD concluye que “de la Sentencia del TJUE no parece derivarse una alteración sustancial del marco vigente de protección de los datos personales en España ni que el fallo comporte una merma en el grado de protección de los derechos de los ciudadanos, si bien en el futuro será preciso acentuar la ponderación de las circunstancias que concurran en cada supuesto concreto para decidir sobre la legitimidad del tratamiento”, es decir, que todo sigue igual.

3.- La opinión de Derecho.com:

En nuestra opinión, al desaparecer el requisito obligatorio de que los datos figuren en fuentes accesibles al público, la ponderación de los dos requisitos previstos en el artículo 7, letra f) de la Directiva 95/46/CE resulta más imprecisa y jurídicamente insegura. Así, a la espera de lo que dictamine nuestro Tribunal Supremo, intentar abandonar ahora el sendero marcado por la AEPD puede resultar arriesgado. Se ha eliminado una barrera, pero ¿quién se atreve a cruzarla?