España armoniza la LOPD a Europa

El Tribunal Supremo pone fin a una década de incoherencia y armoniza la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) española a Europa, tras la Sentencia que el Tribunal de Justicia de la Unión Europea(TJCE) emitió en noviembre sobre la figura del consentimiento.

Desde ayer, 14 de febrero, en España se ha producido una completa y adecuada armonización a la Directiva Comunitaria en materia de Protección de Datos ya que se puede realizar el tratamiento de los mismos además de cuanto exista consentimiento del interesado, cuando exista un interés legítimo tanto de la entidad que trate los datos como de los terceros a los que se cedan los mismos, siempre que no se vulneren los derechos y libertades de los afectados.

Esta reivindicación que ASNEF ha abanderado desde el 2007 -para no estar en desventaja con sus homólogos europeos-, finalmente ha sido reconocida tanto por el Tribunal de Justicia de la Comunidad Europea (1) como por el Tribunal Supremo (2) español.

Por otra parte, y para que se produzca un punto de equilibrio, habrá de valorarse caso a caso cuando existe “de facto” interés legítimo para tratar o consultar datos sin el consentimiento del usuario.

Ya con la Sentencia del TJUE, que es de aplicación inmediata, determinados tratamientos realizados por el sector financiero en los que existe claramente un interés legítimo por ayudar a cumplir con las normas comunitarias y nacionales sobre el crédito responsable, como es la consulta a bases de datos de solvencia y positivas, pueden a partir del 24 de noviembre de 2011 ser legítimos sin necesidad de recabar el consentimiento del interesado, que debe ser adecuadamente informado sobre la existencia de este tratamiento.

Hasta ahora la protección de datos en España era la más restrictiva de toda la Unión Europea, al impedir el correcto funcionamiento del mercado interior que protege la Directiva. Con la sentencia del TJUE se aclaran aspectos fundamentales que incidirán de manera inmediata en la aplicación del sistema de protección de datos en España y, sobre todo, en su aspecto sancionador.

Consecuencias

Tras la Sentencia del Tribunal Supremo, que declara nulo, por “disconforme a derecho”, el artículo 10.2b) del Reglamento de Desarrollo de la Ley Orgánica de Protección de datos de Carácter Personal, en aplicación directa de lo establecido en el artículo 7 f) de la Directiva 95/46/CE, se podrán realizar tratamientos de datos personales sin el consentimiento del titular de los mismos siempre y cuando “ese tratamiento de datos personales sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos y no prevalezcan los derechos y libertades fundamentales del interesado”.

En la práctica, se traduce, en que habrá que estar caso a caso, sin que pueda darse una regla general, y que la ponderación de ese interés legítimo por un lado y la libertad y derecho fundamental, por el otro, previsiblemente en España, será ponderado por la Agencia Española de Protección de Datos en primera instancia, y los Juzgados y Tribunales en última instancia.

La cronología de esta reclamación ha sido la siguiente: Desde el 2007 ASNEF ha mantenido que España no ha realizado una adecuada trasposición a la Directiva Comunitaria en materia de Protección de Datos (3) relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de los mismos- ya que siempre ha chocado con la normativa nacional que exige que no se lesionen los derechos y libertades fundamentales de las personas cuyos datos consten en fuentes accesibles al público, sin tener en cuenta los intereses legítimos de terceros o de la entidad que los trate.

Por ello ASNEF recurrió ante el Tribunal Supremo el RD 1720/2007 por el que se aprobó el Reglamento en desarrollo de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.

El 15 de julio de 2010 el Tribunal Supremo decidió plantear al Tribunal de Justicia de la Unión Europea (TJCE) en Luxemburgo los aspectos sin resolver: el consentimiento del afectado cuando existe interés legítimo entre el responsable del tratamiento de datos y el tercero al que se trasmiten y el efecto directo y primacía de la directiva sobre la normativa española.

El 24 de Noviembre el TJCE ha dictado Sentencia a la cuestión planteada por el Tribunal Supremo y reconoce que existen, además del consentimiento y de las fuentes accesibles al público, otras posibilidades de tratar los datos fundándose en causas legítimas.

Además TJCE ha estimado que la regulación española se ha extralimitado al imponer exigencias adicionales existiendo en la actualidad un nivel distinto de protección de datos entre España y los demás estados miembros de la Unión Europea lo que dificulta las actividades económicas en dicha Unión.

8 de Febrero de 2012, finalmente, la Sentencia del Tribunal Supremo declara la nulidad de dicho artículo (10.2b LOPD), y se abre la posibilidad de alegar, en cualquier procedimiento sancionador, o recurso contencioso - administrativo, actualmente en trámite, basado en la conculcación de este precepto, alegar la existencia del interés legítimo del responsable del tratamiento, sin que se restrinja la esfera de libertades y derechos fundamentales del titular del derecho.

Como hemos reseñado anteriormente, a modo de ejemplo, un ámbito en el que la consecución de este interés legítimo puede prevalecer sobre los derechos y libertades fundamentales del individuo titular de los datos objeto del tratamiento, es la lucha contra el fraude en la contratación, en la que actualmente para poder acudir a bases de datos que permitan verificar y autenticar la identidad e información proporcionada por el contratante, hay que contar con su consentimiento inequívoco.

Por otro lado, no hay que olvidar la fundamentación que realiza el Tribunal Supremo en la sentencia de 8 de Febrero sobre la misma cuestión de prejudicialidad planteada por la FECEMD, en la que ésta solicita la declaración de nulidad y subsidiariamente la declaración de no aplicabilidad del artículo 6.2 de la Ley Orgánica de Protección de Datos, y respecto de la cual, y aunque no se pronuncia sobre el fondo por considerarse fuera del ámbito de la litis planteada en el recurso original, si señala en su Fundamento de Derecho Segundo que “la inaplicabilidad del referido precepto legal habrá de plantearse en su caso ante un acto de aplicación” y ante la jurisdicción competente, al tratarse de una disposición con rango de Ley.

Dicho pronunciamiento, parece confirmar la tesis mantenida por ASNEF, y que se contenía en el escrito de demanda, y que no es otra que ni el artículo 6 ni el artículo 11 de la Ley Orgánica de Protección de Datos, han acertado a transponer correctamente el artículo 7 f) de la Directiva 95/46/CE.