NOTA SOBRE SENTENCIA DEL TRIBUNAL SUPREMO QUE ANULA EL ARTÍCULO 10 RLOPD
ANULACIÓN DEL ARTÍCULO 10.2.B) DEL REGLAMENTO DE DESARROLLO DE LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS POR LA SENTENCIA DEL TRIBUNAL SUPREMO DE 8 DE FEBRERO DE 2012.
El Tribunal Supremo, en su sentencia de 8 de febrero de 2012, ha fallado a favor de las empresas dedicadas al sector del recobro de deudas, determinando que la legislación española que contiene restricciones a la hora de permitir el tratamiento de datos personales de fuentes no accesibles al público es contraria al Derecho Comunitario. Por tanto, para el tratamiento o cesión de datos de carácter personal sin el consentimiento del interesado se elimina la excepción de que los mismos deban constar en fuentes accesibles al público.
Los antecedentes a esta decisión se sitúan en el recurso contencioso-administrativo que la Federación de Comercio Electrónico y Marketing Directo (en adelante, FECEMD) interpuso contra el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, RLOPD), siendo parte recurrida la Administración General del Estado, la Asociación de Usuarios de la Comunicación y la Unión General de Trabajadores. En dicho recurso, FECEMD solicitaba que se procediera a:
– Declarar la nulidad de pleno derecho del Real Decreto 1720/2007.
– Subsidiariamente, declarar la nulidad de pleno derecho de los artículos 5.1.q), 49, 47, 12.1, 8.5, 18, 20.1, 10.2.a) y b), 45.1.b), 46.2-4, 13.4, 42, 38.1.a), 41, 15 y 83 RLOPD.
Además, FECEMD instó el planteamiento de cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas relativo a la Directiva 95/46/CE.
El conflicto surgido con el RLOPD proviene de la trasposición al ordenamiento jurídico español de la Directiva 95/46 del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y donde nuestro legislador estableció, en primer lugar, la necesidad de “consentimiento inequívoco del afectado” para el tratamiento de sus datos de carácter personal (art. 6.1 LOPD); pero, en segundo lugar e inmediatamente a continuación, contempló unas excepciones a esa necesidad de consentimiento del interesado, una de las cuales se refiere al supuesto de que “los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado” (art.6.2 LOPD).
De la literalidad de este artículo 6.2 LOPD se deduce que, para prescindir del consentimiento del interesado en el tratamiento de sus datos personales, es preciso la concurrencia de dos requisitos: 1) que estos datos figuraran en una fuente accesible al público; 2) que el tratamiento en cuestión sea necesario para la satisfacción del interés legítimo del responsable del fichero o del tercero a quien se comunicaran los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
El Reglamento de 2007 reprodujo las previsiones de la LOPD, de manera que, su artículo 10.1 sentaba como principio la necesidad de consentimiento del interesado para el tratamiento o la cesión de datos, mientras que en el art. 10.2.b) se contemplaba la excepción a ese principio en los mismo términos previstos en el 6.2 LOPD.
En el Derecho Comunitario, la Directiva 95/46 también parte de la premisa de que el tratamiento de datos personales sólo podrá efectuarse si el interesado ha dado su consentimiento de forma inequívoca (art.7.a de la Directiva), pero establece una serie de excepciones a esta regla. Una de ellas se refiere al caso en que el tratamiento “es necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el tercero/s a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al artículo 1.1 de la Directiva” (art.7.f) de la Directiva). Este precepto comunitario no exige, como requisito para la aplicación de la excepción, que los datos personales objeto de tratamiento procedan de una fuente accesible al público. Este requisito adicional, introducido por el legislador español, es el que planteó al Tribunal Supremo las dudas que justificaron el planteamiento de la cuestión de interpretación perjudicial.
El Tribunal Supremo elevó la cuestión prejudicial al Tribunal de Justicia de la Unión Europea, que dictó sentencia el 24 de noviembre de 2011, afirmando que “el artículo 7 de la Directiva 95/46 establece una lista exhaustiva y taxativa de los casos en que un tratamiento de datos personales puede considerarse lícito”, y que “los Estados miembros no pueden ni añadir al artículo 7 de la Directiva 95/46 nuevos principios relativos a la legitimación de los tratamientos de datos personales ni imponer exigencias adicionales que vendrían a modificar el alcance de alguno de los seis principios establecidos en dicho artículo”. Con base en este razonamiento, el Tribunal concluyó que el artículo 7.f) de la Directiva debe interpretarse en el sentido de que “se opone a una normativa nacional que, para permitir el tratamiento de datos personales necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero/s a los que se comuniquen los datos, exige, en el caso de que no exista consentimiento del interesado, no sólo que se respeten los derechos y libertades fundamentales de éstos, sino además que dichos datos figuren en fuentes accesibles al público, excluyendo así de forma categórica y generalizada todo tratamiento de datos que no figuren en tales fuentes”.
Con esta respuesta del Tribunal de Justicia de la Unión Europea, el Tribunal Supremo dictó sentencia el 8 de febrero de 2012, donde declaró la nulidad del artículo 10.2.b) del Reglamento de desarrollo de la LOPD, por ser contrario a lo previsto en la Directiva 95/46.
Por consiguiente, dicha anulación debería permitir el tratamiento o la cesión de datos personales sin el consentimiento del titular siempre que el responsable del fichero tenga un legítimo interés en ello (p. ej. conseguir el pago de una cantidad adeudada) y se respeten los derechos fundamentales del titular de los datos. Sin embargo, debemos manifestar que el art. 6.2 LOPD, que sigue plenamente vigente en Derecho español, sí fija como excepción al tratamiento de datos sin consentimiento que los datos figuren en fuentes accesibles al público por lo que, al menos en puridad formal, dicho requisito se mantiene en Derecho español. Cuestión distinta es que un tribunal nacional decida plantear una cuestión prejudicial en un caso concreto si considera que el art. 6.2 LOPD es contrario a alguna norma comunitaria.
