El Supremo anula el artículo 10.2.b del Reglamento de desarrollo de la LOPD y permite el uso de datos personales sin permiso

El Tribunal Supremo ha dictado sentencia  anulando el artículo 10.2.b del Real Decreto 1720/2007 de desarrollo de la LOPD, por ser contrario al derecho comunitario.

Dicho artículo exigía que, para tratar o ceder datos personales sin el consentimiento del interesado, se cumpliese el requisito adicional de que dichos datos figurasen en fuentes accesibles al público.

La demanda la realizó la Federación de Comercio Electrónico y Marketing Directo (FECEMD), Asociación Española de Economía Digital, en 2008, por considerar que la regulación española en materia de protección de datos era más restrictiva que la europea

En opinión de Rafael García del Poyo y Miguel Ángel Serrano, (en la foto),  abogados y socios de “CREMADES & CALVO-SOTELO”. Ambos intervinieron como abogados y representantes de ADIGITAL en los  asuntos acumulados C-468/10 y C-469/10 seguidos ante el Tribunal de Justicia de la Unión Europea, desde su punto de vista » en la Sentencia publicada ayer día 14 de Febrero el Tribunal Supremo español ha declarado nula la restricción añadida por el legislador español en el artículo 10, apartado 2, letras a), supuesto primero, y b), párrafo primero del Real Decreto 1720/2007 sobre protección de datos personales.

El Reino de España estaba, a tenor de la sentencia del Tribunal de Justicia de la UE manteniendo un nivel distinto de protección al de los demás Estados miembros. Y esta situación, a su vez, dificultaba las actividades económicas en dicha Unión, impidiendo la libre circulación de datos personales y la libre prestación de servicios entre los Estados miembros. »

En opinión de estos expertos, «no sobrará añadir, además, que suponía una  seria desventaja competitiva para los operadores afectados por la aplicación del referido artículo 10, lo que, a buen seguro, afectaba a las libertades de establecimiento y de prestación de servicios en la medida en que sedificultaba o, simplemente,  se hacía menos atractivo el ejercicio de estas libertades en España.»

Otras reacciones al fallo del Supremo

Para Diego Ramos, socio de protección de datos de DLA Piper  «el Tribunal Supremo, cómo advertimos que podía suceder en su momento, no se ha limitado a transcribir mecánicamente las decisiones del TJUE, sino que ha hecho una interpretación activa y creativa de los fallos del TJUE,» desde su punto de vista

 «En primer lugar, ha declarado legal y ha mantenido en vigor el artículo 10.1.a del Reglamento LOPD, rechazando el recurso en ese punto. De esa forma, sólo si una norma aplicable en España admite tratar los datos sin el consentimiento del afectado se podrá efectuar ese tratamiento. Respecto a si una Directiva podrá aplicarse también, la sentencia lo admite de pasada pero la forma en que lo hace sugiere que sería sólo en casos de aplicación directa (como sucede con un Reglamento Comunitario) o de no trasposición correcta de la Directiva.

 En segundo lugar, ANULA el 10.2.b del Reglamento LOPD. La redacción del fallo de la sentencia es imprecisa en este punto, porque lo que se tendría que haber hecho es anular el requisito de que los datos estén en fuentes accesibles al público, no el conjunto del 10.2.b. Al anular el apartado en bloque, elimina también la habilitación para usar sin consentimiento los datos personales de los afectados cuando haya un interés legítimo del responsable del fichero.

Con lo cual estaríamos peor que antes del recurso. Imaginamos que se pondrá inmediatamente un recurso de aclaración para que el Tribunal Supremo declare en vigor todo el apartado salvo la restricción de «fuentes accesibles al público» que era la que se buscaba anular. Si no fuera así, habría que defender una aplicación directa de la directiva, una fórmula posible y con cierto apoyo en esta sentencia (cuando habla del 10.1.a) y en la del TJUE, pero incómoda porque requiere confiar en una fina argumentación jurídica y en jurisprudencia española y comunitaria, más que en una norma española específica.

Ello puede retraer a empresas deseosas de poner en marcha esquemas innovadores de captación y gestión de datos. Incluso si se aclara que el apartado sigue en vigor, la AEPD es probable que sostenga que el Supremo opina (indirectamente) que la protección de los derechos fundamentales puede válidamente exigir que los datos recogidos de forma ilegal, engañosa o sin un consentimiento por parte del afectado para esos fines concretos no puedan tratarse ni cederse al amparo del 10.2.b «modificado». El debate continúa así pues, y será necesario validar cada nueva fuente de datos que queramos usar.

 En todo caso, el Tribunal Supremo le ha dado a la AEPD y al gobierno, probablemente sin querer, la pista para cerrar la ventana que ahora se ha abierto.

Si el gobierno traspasa la restricción de que los datos deben venir de «fuentes accesibles al público» desde el inicio del apartado al final (como una forma de proteger los derechos fundamentales de los afectados, más que como una condición adicional), el Tribunal Supremo podría no poner obstáculos a su validez. Es por ello previsible que, de uno y otro lado, el gobierno esté sometido a fuertes presiones para que lo haga o se abstenga de hacerlo.»

Por su parte, Fco. Javier Carbayo, asociado senior del área de Governance, Risk & Compliance de ECIJA comenta que  realmente, esta Sentencia trae causa de una del Tribunal de Justicia de la Unión Europea (TJUE) de 24 de noviembre de 2011.  

De hecho, en un momento determinado, la propia  Agencia Española de Protección de Datos ya emitió una Nota de prensa sobre la citada  Sentencia del TJUE que se puede ver en este enlace que adjuntamos a continuación, donde se llegaba a decir , entre otras cosas,  principalmente que:,

a) la interpretación y la aplicación que hasta el momento se ha venido realizando en España, tanto por la AEPD como los órganos judiciales, ya se estaba llevando a cabo una ponderación en la línea de lo exigido  por el artículo 7 f) de la Directiva, atendiendo a  criterios diversos, tales como  la finalidad del tratamiento de los datos, el marco legal aplicable, -p. ej. La existencia de una ley que ampare intereses legítimos- o circunstancias concurrentes en el caso como, entre otras, la existencia de una relación jurídica, o que los datos figuren o no en fuentes accesibles al público.

b) de la Sentencia del  TJUE no parece derivarse una alteración sustancial del marco vigente de protección de los datos personales en España si bien  en el futuro será preciso acentuar la ponderación de las  circunstancias que concurran en cada  supuesto concreto para decidir sobre la legitimidad del tratamiento.

c) se necesita la Sentencia del Supremo que ahora ha recaído, puesto que al fin y al cabo la sentencia del TJCE resuelve una cuestión prejudicial planteada ante aquel.

A juicio de Carbayo, esta Sentencia del Tribunal Supremo es seguidora de la opinión del TJCE; «la cuestión ahora es, por un lado, delimitar qué se entiende por “interés legítimo”, y por otro lado, ver qué pasa con las sanciones dictadas con amparo al art. 10.2.b RLOPD, que la Sentencia anula. «

La cuestión es que la Agencia ha parecido querer anticiparse a este segundo efecto, indicando en la citada nota de prensa que su interpretación hasta el momento se puede alinear con la del TJCE (tanto respecto al interés legítimo, como más importante aún, respecto a que éste no es el único criterio a ponderar en la mayoría de casos), lo que parece una “advertencia” a las reclamaciones contras sanciones ya impuestas. 

«En definitiva, se elimina con la anulación del art. 10.2.b RLOPD la necesidad del requisito adicional de origen en fuentes accesibles al público para la invocación del “interés legítimo” como base del tratamiento, pero no se descarta que la decisión sancionadora no se pueda basar o no se pondere en base a otros requisitos adicionales o diferentes. Por tanto, la virtualidad práctica de la Sentencia del Tribunal Supremo es relativa o está aún pendiente de determinar, puesto que depende de cómo se re-interpreten las sanciones ya impuestas que puedan ser ahora objeto de recursos. E incluso, no se descarta un cambio normativo para perfilar el efecto de la sentencia del TJCE.»

Desde el Grupo  Antevenio, empresa de publicidad digital, su directora juridica Analore Garcia, también vocal de ENATIC, recién constituida asociacion de profesionales de derecho de la información, señala que esta sentencia demuestra que España no ha llevado a cabo la transposición de la Directiva 95/46/CE en el respeto del espíritu de la misma.

A su juicio, en el sector de Internet, encontramos en demasiadas ocasiones normas que, con una interpretación paternalista de los derechos de los ciudadanos, limitan las posibilidades comerciales en muchos ámbitos, en perjuicio de las empresas y players españoles, también con respecto a sus competidores europeos, e incluso en detrimento de la concienciación de los ciudadanos como herramienta de control y decisión.

De la sentencia del Tribunal Supremo cabe resaltar sobre todo dos aspectos.

«En primer lugar, declara la nulidad del requisito adicional al del “interés legítimo perseguido” exigido por la norma como título habilitador para proceder al tratamiento o cesión de datos por un Responsable de Tratamiento sin el consentimiento del afectado. La Sentencia  interpreta que el legislador español ha “añadido” un requisito limitativo adicional, el de la proveniencia de los datos de fuentes accesibles al público como conditio sine qua non para ampararse en la excepción del artículo 10.2.b) del RD 1720/2007, contraviniendo así la disposición europea.  Declara, por lo tanto, la nulidad del precepto.»

Por otro lado, la Sentencia reitera que el artículo 7.f) de la Directiva tiene “efecto directo”, al ser contraria la norma nacional, por lo que debe interpretarse que el tratamiento de datos personales será lícito sin obtener consentimiento del afectado, si es necesario para la satisfacción del interés legítimo perseguido por el Responsale de Tratamiento y siempre que no se oponga a los derechos fundamentales de éste.  »

Por lo tanto, según comenta la responsable legal de Antevenio, «ahora mismo la coyuntura implica la necesidad de interpretar un concepto jurídico indeterminado: “El interés legítimo perseguido por el Responsable del Tratamiento”, debate que ya empieza a fraguarse en los medios.»

Ahora bien, no podemos olvidar que la Viviane Reding recientemente hizo una propuesta en forma de “paquete de medidas” cuyo espíritu, de momento, no parece indicar que vaya a permitirse una interpretación lata de este concepto.

Como conclusión final, Garcia indica que «siendo una sentencia positiva, que aplana el camino para la armonización europea real, y de alguna manera censura la tendencia conservadora en las transposiciones normativas españolas.

Pero aún no sabemos cómo se instrumentará la interpretación del “interés legítimo perseguido” ni la modificación que, previsiblemente, aprobará España en un futuro cercano.  Esperemos que el legislador tome en cuenta, además de su obligación de proteger los derechos de los ciudadanos, también su obligación de formar e informar a los mismos, no entorpeciendo así, el desarrollo y evolución sector del marketing y de Internet en España.»

Por último, APEP; Asociación Profesional de la Privacidad hizo público un comunicado suscrito por su presidente, Ricard Martínez, donde hace algunas puntualizaciones a la citada sentencia:

Desde esta entidad se señala que considerar que las empresas podrán comercializar datos personales sin pedir permiso supone una interpretación simplista y nada rigurosa del tenor literal de la sentencia.

Esta se limita a declarar:

La imposibilidad competencial de derogar lo dispuesto por el art. 6.2 de la LOPD.

–          La conformidad del art. 10.2.a) RLOPD con la Directiva 95/46/CE.

La contradicción entre el citado art. 10.2.b) RLOPD y el art. 7.f de la Directiva 95/46/CE lo que determina su anulación.

La sentencia únicamente extrae como consecuencia de la resolución del Tribunal de Justicia de la Unión Europea en los asuntos C-468/10 y C-469/10 la primacía del Derecho de la Unión y el principio de de interpretación conforme reconocidos, entre otros, en la sentencia Costa contra Enel del 15 de julio de 1964.

Que, por tanto, no se excluye en absoluto la aplicación tanto de los principios generales de la LOPD como los propios de la Directiva 95/46/CE de los que la LOPD trae causa.

APEP recuerda en todo caso que los profesionales de la privacidad y los operadores deben actuar con rigor en esta materia y, a tal efecto, es muy conveniente subrayar algunos extremos relevantes:

1) El principio de interés legítimo es un concepto jurídico indeterminado que debe ser interpretado en función del contexto. Por tanto, tener un interés económico en tratar un dato no supone necesariamente que éste sea legítimo. Habrá que estar al caso concreto para apreciar la presencia de este interés.

2) Que este principio viene limitado por la protección del derecho fundamental a la protección de datos y a los demás derechos fundamentales del afectado tal y como se prevé en la Directiva 95/46/CE y que, por tanto, en cada caso habrá que ponderar con rigor si estos prevalecen frente al interés legítimo en tratar los datos.

3) Que, con independencia de la concurrencia de interés legítimo, en aquellos casos en los que se proceda a un tratamiento de datos personales sin consentimiento conviene extremar la diligencia de nuestros clientes en lo que afecta al deber de información del art. 5.4 LOPD y los supuestos de legítimo ejercicio del derecho de oposición al tratamiento conforme a lo dispuesto por el art. 6.4 LOPD y de modo muy específico, para el caso objeto de la demanda en los arts. 34 y 51 del RLOPD. Por otra parte, no deben olvidarse en ningún caso, caso de tratamientos con fines de marketing directo, los ficheros de exclusión regulados pro el art. 49 RLOPD.

Desde APEP se ve positivo que  exista el necesario  alineamiento de la LOPD con la Directiva 95/46/CE. Sin embargo, «debemos subrayar que esto no significa, ni puede significar de conformidad con la Directiva 95/46/EC, sin mayor detalle, abrir la puerta a la comercialización de datos personales obtenidos sin consentimiento.»

APEP sugiere que » todo proceso de cumplimiento normativo en esta materia exige un estudio riguroso y adaptado al caso concreto. Conviene recordar que la propuesta del futuro Reglamento comunitario que pretende sustituir la Directiva 95/46/CE y sus trasposiciones nacionales concede una gran importancia a los conceptos de «data protection impact assesment» y «data protection by default», pero esos valores y procedimientos deben ser aplicados desde este mismo momento y, en especial, en casos difíciles como el que nos ocupa».