SENTENCIAS DEL TRIBUNAL SUPREMO EN MATERIA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

Recientemente se han publicado las Sentencias del Tribunal Supremo de fecha 15 de julio de 2010, que tienen un gran interés jurídico y que por tanto resultan de obligado estudio para los interesados en la materia de protección de datos de carácter personal:

• La Sentencia del Tribunal Supremo, Sala de lo Contencioso-Administrativo (Sección Sexta), en el recurso contencioso administrativo nº 23/2008 interpuesto por ASNEF contra el Real Decreto 1720/2007, de 21 de diciembre por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
• La Sentencia del Tribunal Supremo, Sala de lo Contencioso-Administrativo (Sección Sexta), en el recurso contencioso administrativo nº 25/2008 interpuesto por la FEDERACIÓN DE COMERCIO ELECTRÓNICO Y MARKETING DIRECTO contra el Real Decreto 1720/2007, de 21 de diciembre por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
• La Sentencia del Tribunal Supremo, Sala de lo Contencioso-Administrativo (Sección Sexta), en el recurso contencioso administrativo nº 26/2008 interpuesto por EXPERIAN BUREAU DE CRÉDITO, S.A. contra el Real Decreto 1720/2007, de 21 de diciembre por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Como adelanto a ese estudio, que ya están realizando los especialistas del derecho, y en relación con la primera de las sentencias, hay que indicar que el Tribunal Supremo estima en parte y anula, por disconformes a derecho, los artículos 11, 18, 38.2, y 123.2 de la disposición reglamentaria, así como la frase del artículo 38.1.a) que dice así: "... y al respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero".

Además de lo anterior, la Sentencia deja imprejuzgada la impugnación del artículo 10.2. a) y b), por planteamiento de cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, hasta que dicho Tribunal se pronuncie sobre la cuestión de mención.

Los aspectos más importantes de la Sentencia sobre los aspectos impugnados son los siguientes:

• Artículo 5. Definiciones. Del apartado 1.q), el inciso <>.

La Sentencia recoge que no hay razón para apreciar la nulidad del precepto reglamentario ni para el planteamiento de cuestión prejudicial, pues la frase “aunque no lo realizase materialmente” no supone una ampliación de las personas responsables.

• Artículo 8. Principios relativos a la calidad de los datos, en el párrafo 3º de su apartado 5.

Tampoco se aprecia razón para la nulidad de dicho precepto.

• Artículo 10. Supuestos que legitiman el tratamiento o cesión de los datos, en los apartados 2.a), supuesto primero, y 2.b), párrafo primero.

El Tribunal Supremo ha acordado suspender única y exclusivamente el procedimiento respecto de la impugnación del artículo 10, apartados 2. a) y b) del Reglamento de la Ley Orgánica de Protección de Datos, hasta la resolución del incidente prejudicial planteado y dictar sentencia con relación a los demás artículos impugnados y plantear al Tribunal de Justicia de las Comunidades Europeas las cuestiones prejudiciales.

Este precepto es el único de los impugnados que ofrece dudas al Tribunal sobre su adecuación a la Directiva 95/46/CE del Parlamento Europeo y del Consejo.

• Artículo 11. Verificación de datos en solicitudes formuladas a las Administraciones Públicas.

Este precepto fue objeto de impugnación al considerar que habilita un nuevo supuesto de tratamiento y/o cesión de datos por parte de las Administraciones Públicas sin consentimiento de los interesados, sin más habilitación que una norma reglamentaria.

La impugnación del artículo 11 del Reglamento ha sido estimada.

• Artículo 12. Principios generales, en su apartado 2.

Este precepto fue impugnado al considerar que infringía el artículo 11.3 de la Ley Orgánica 15/1999, pues la utilización en el precepto reglamentario de la conjunción acumulativa “y” en lugar de la disyuntiva “o” empleada en el de la Ley, altera el contenido de este último.

El Tribunal ha considerado que una y otra norma coinciden en las prevenciones que contienen y que, en consecuencia, la impugnación ha de desestimarse.

• Artículo 13. Consentimiento para el tratamiento de datos de menores de edad, en su apartado 4.

La Sentencia recoge que la comprobación de la edad del menor puede presentarse en ocasiones como difícil, pero ello no debe de servir de excusa para la adopción de las medidas de garantía adecuadas que, en definitiva, es lo único que exige el precepto reglamentario impugnado, razón esta última que impide considerar la exigencia que previene como desproporcionada, cuando afecta o incide en un ámbito especialmente sensible.

• Artículo 18. Acreditación del cumplimiento del deber de información. En el inciso final de su apartado 1 y en su apartado 2.

La Sentencia recoge, contrariamente a lo que sostiene el Abogado del Estado, que dicho precepto no se limita a poner de manifiesto que la carga de probar el efectivo cumplimiento del deber de informar corre a cargo del responsable del fichero o tratamiento. Lo que en realidad establece es la obligación de que la prueba de ese efectivo cumplimiento conste documentalmente o por medios informáticos o telemáticos.

La Ley reconoce en el artículo 5 el derecho a la información en la recogida de datos, concreta el contenido de la información, y advierte de que el deber de informar ha de ser previo a la recogida, pero salvo la indicación de que la información ha de ser expresa, precisa e inequívoca, ninguna referencia contiene a la forma, abriendo así múltiples posibilidades (escrita, verbal, telemática, etc.). En consecuencia, debe considerarse que el legislador ha optado por la libertad de forma y por ello esta disposición reglamentaria contraviene la Ley y por ello debe ser anulada.

• Artículo 21. Posibilidad de subcontratación de los servicios. En su apartado 2.a).

No ha sido acogida la impugnación de este apartado, pues si el responsable del tratamiento, de conformidad con el artículo 17.2 de la Directiva, debe elegir un encargado del tratamiento que ofrezca garantías suficientes en relación con las medidas de seguridad técnica y de organización de los tratamientos que deben efectuarse, y asegurarse que se cumplen dichas medidas, y si de conformidad con el apartado 3 del indicado artículo el encargado del tratamiento solo actúa siguiendo instrucciones del responsable del tratamiento, no se puede negar capacidad de disposición a éste en supuestos de subcontratación.

La posibilidad de que el responsable del tratamiento pueda controlar el mercado de servicios de tratamiento, bien mediante el veto de una o varias empresas, bien mediante la manifestación de preferencia por alguna o algunas, por constituir una mera hipótesis, necesariamente debe ceder ante una previsión reglamentaria específica pero con cobertura. Otra cosa es que ya en el terreno de la realidad deban corregirse por quien corresponda prácticas restrictivas de la competencia.

• Artículo 23. Carácter personalísimo, en su apartado 2.c).

Tampoco se acoge la impugnación, pues la Sentencia recoge que un derecho de carácter personalísimo puede ejercitarse por medio de un representante voluntario.

• Artículo 24. Condiciones generales para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, el inciso final del párrafo 1º del artículo 24.3 y el párrafo 2º del mismo artículo.

También se desestima esta impugnación y se indica que el concepto de “ingreso adicional” está referido a aquellos ingresos que pudieran proceder del interesado. Otros ingresos que no procedan del afectado no se contemplan en este artículo.

• Enunciado de la Sección 2ª, del Capítulo I del Título IV, en cuanto se refiere también al <> de obligaciones dinerarias.

El recurso recogía la ilegalidad del término "cumplimiento", en cuanto a hacer referencia a los llamados ficheros positivos o de solvencia y no regularlos en los artículos integradores de la Sección (artículos 38 a 44). La impugnación fracasa porque el epígrafe de la Sección, al carecer de efectos normativos, no puede ser impugnado.

No obstante, no se discute por el Tribunal la relevancia de los ficheros de carácter positivo o de solvencia y afirma que la omisión reglamentaria no supone una prohibición de los ficheros positivos. Dichos ficheros solo resultan admisibles con el consentimiento del afectado.

•  Artículo 38. Requisitos para la inclusión de los datos, en sus apartados 1.a) (en el inciso <>) y b) (en el inciso <>), 2 y 3.

Se estima la impugnación del artículo 38.1.a) en el sentido de eliminar del mismo la frase "... y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero".

Igualmente se estima la impugnación del apartado 2 del artículo 38 pues, si bien es cierto que la prueba de indicios es una prueba admitida en nuestro derecho, pero no lo es menos que no es equiparable a la prueba de presunciones. Sin duda juega un papel relevante en el ámbito cautelar, pero reconoce que la redacción de la norma al no concretar qué principio de prueba exige (documental, pericial, testifical, etc.), junto a la dificultad de apreciación del grado exigible de la prueba indiciaria, origina en efecto una inseguridad jurídica que debe corregirse.

La impugnación del apartado 1.b) ha sido rechazada, al igual que la del apartado 3.

• Artículo 39. Información previa a la inclusión, en el inciso <>.

El recurso presentado argumentaba que el precepto imponía al acreedor un deber no previsto en la Ley Orgánica 15/1999, pero no ha sido estimada su impugnación.

• Artículo 40. Notificación de inclusión, en su apartado 2.

No se admite la impugnación de este apartado, y se indica que la notificación de las deudas individualizadas, aunque sean varias, pueden ser realizadas en un solo acto.

• Artículo 41. Conservación de los datos, en el párrafo segundo del apartado 1 y en el apartado 2 (en el inciso <>).

La Sentencia recoge que nada cabe objetar en este caso al encontrarse en absoluta armonía con el principio de calidad de datos.

Añade la Sentencia que la frase "cancelación de todo dato" empleada en el apartado 1, párrafo primero, quiere alejar toda duda sobre la posibilidad de conservar el llamado <>, dando una respuesta negativa, pero también reconoce que tal respuesta está en concordancia con el artículo 29.4 de la Ley que exige que los datos respondan con "veracidad" a la situación "actual", requisito el de la actualidad que no se cumpliría con una referencia al pasado en el que no se estuvo al corriente en pago de deudas u obligaciones.

• Artículo 42. Acceso a la información contenida en el fichero, en su apartado 2, inciso <> del párrafo primero y todo el párrafo segundo.

Se rechaza la impugnación al interpretar el precepto reglamentario desde el punto de vista de que la escritura comprende otras formas distintas a la concepción tradicional de la escritura, como son aquellos que tienen un soporte electrónico.

• Artículo 44. Ejercicio de los derechos de acceso, rectificación, cancelación y oposición, en su apartado 3, 1ª, en el inciso <>.

Se rechaza la impugnación, pues entiende que no se puede equiparar el plazo de diez días para que el responsable del tratamiento haga efectivo el derecho de rectificación o cancelación, con el de siete días que la disposición reglamentaria contempla como máximo para que el cesionario de los datos dé contestación a la solicitud de rectificación o cancelación, y cuyo incumplimiento origina el deber por parte del responsable del fichero común de proceder cautelarmente.

• Artículos 45.1.b), 46.2. b) y c) y 3, 47 y 49.1 y 4.

Estos artículos son relativos a los tratamientos para actividades de publicidad y prospección comercial.

El Tribunal ha considerado que la Asociación carece de legitimación para impugnar estos artículos pues, al agrupar empresas del sector financiero, se requiere para apreciar la legitimación que actúe en representación y defensa de los intereses empresariales o profesionales de sus asociados y esto no ocurre al impugnar unos preceptos reglamentarios que se refieren a una actividad distinta de la que la caracteriza.

• Artículo 69. Suspensión temporal de las transferencias, en su apartado 1.b) (inciso <>).

Se desestima la impugnación, pues el precepto reglamentario contempla a un Estado que por su normativa no garantiza el nivel de protección que concede la Ley Orgánica y que hay razones suficientes para creer que las autoridades competentes de dicho Estado no han adoptado o no están dispuestas a adoptar las medidas pertinentes.

• Artículo 70. Transferencias sujetas a autorización del Director de la Agencia Española de Protección de datos, en su apartado 3. letras c) (inciso <>), d (inciso <>) y d).

Tampoco es acogida la impugnación en este caso y se remite a los mismos argumentos expresados sobre el artículo 69.1.b).

• Artículo 123. Personal competente para la realización de las actuaciones previas, en su apartado 2, inciso <>.

Sí se estima la impugnación en este caso al entender que ni los artículos 35, 37 y 40 de la Ley Orgánica, ni ningún otro artículo de la misma, contempla la facultad que al Director de la Agencia concede el precepto reglamentario. La mención en el precepto reglamentario a "supuestos excepcionales", por su falta de concreción supone la apertura de un amplio campo para la designación que está reñida con el limitado y específico de la encomienda de gestión.

• Disposición adicional única.

La impugnación se desestima, pues se interpreta que no impone a los responsables y encargados de los ficheros y tratamientos la utilización de un producto de determinadas características, en cuanto que lo único que exige es que se describan las características técnicas del producto para que el adquirente pueda conocer el nivel de seguridad.

CONCLUSIÓN

Como conclusión de todo lo anterior, la Sentencia estima en parte y anula, por disconformes a derecho, los artículos 11, 18, 38. 2, y 123.2 de la disposición reglamentaria, así como la frase del artículo 38.1.a) que dice así: "... y al respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero". Por otra parte, la Sentencia deja imprejuzgada la impugnación del artículo 10.2. a) y b), por planteamiento de cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, hasta que dicho Tribunal se pronuncie sobre la cuestión de mención.

Información provisional recogida del

Servicio Jurídico de la Asociación