El Tribunal Supremo anula artículos del Reglamento de Protección de Datos

Para hoy martes traemos una entrada de Cristina Martínez Garay, de la firma Rocabert & Grau Abogados, bufete que en adelante colaborará periódicamente en Security Art Work.

Cristina está relacionada con la protección de datos y la e-Administración, y actualmente se encuentra realizando el Máster en Sistemas y Servicios en la Sociedad de la Información de la Universitat de València. Esperemos que les guste la entrada.

El pasado 15 de julio de 2010 el Tribunal Supremo, a instancias de la Federación de Comercio Electrónico y Marketing Directo, Experian Bureau de Crédito, S.A y la Asociación Nacional de Establecimientos Financieros y de Crédito, anuló diversos artículos del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en adelante RLOPD, por entender que no eran conforme a derecho.

Pese al gran número de artículos impugnados, la Sala únicamente ha estimado la anulación de los artículos 11, 18, 38.1, 38.2 y 123.2 del RLOPD. La supresión de los preceptos citados no constituye un gran cambio en el marco de la Protección de Datos. Sin embargo, podríamos decir que afecta a todos los Responsables de Ficheros con independencia de su naturaleza privada o pública.

En el sector público, por ejemplo, con la supresión del artículo 11, las Administraciones Públicas ya no podrán efectuar las verificaciones oportunas sobre los datos sin haber obtenido previamente el consentimiento del interesado:

[RLOPD] Artículo 11. Verificación de datos en solicitudes formuladas a las Administraciones públicas.

Cuando se formulen solicitudes por medios electrónicos en las que el interesado declare datos personales que obren en poder de las Administraciones públicas, el órgano destinatario de la solicitud podrá efectuar en el ejercicio de sus competencias las verificaciones necesarias para comprobar la autenticidad de los datos.

Hasta la decisión del Tribunal Supremo de anular el artículo 11 del RLOPD existía discordancia entre el citado precepto y los artículos 6.2 y 11.2 a) de la LOPD:

[LOPD] Artículo 6. Consentimiento del afectado.

2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

[LOPD] Artículo 11. Comunicación de datos.

1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

2. El consentimiento exigido en el apartado anterior no será preciso:

b) Cuando se trate de datos recogidos de fuentes accesibles al público.

Asimismo, era contrario a lo dispuesto en el artículo 9 y 6.2 b) de la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, en adelante LAE.

[LAE] Artículo 6. Derechos de los ciudadanos.

2. Además, los ciudadanos tienen en relación con la utilización de los medios electrónicos en la actividad administrativa, y en los términos previstos en la presente Ley, los siguientes derechos:

b) A no aportar los datos y documentos que obren en poder de las Administraciones Públicas, las cuales utilizarán medios electrónicos para recabar dicha información siempre que, en el caso de datos de carácter personal, se cuente con el consentimiento de los interesados en los términos establecidos por la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, o una norma con rango de Ley así lo determine, salvo que existan restricciones conforme a la normativa de aplicación a los datos y documentos recabados. El citado consentimiento podrá emitirse y recabarse por medios electrónicos.

[LAE] Artículo 9. Transmisiones de datos entre Administraciones Públicas.

1. Para un eficaz ejercicio del derecho reconocido en el apartado 6.2.b), cada Administración deberá facilitar el acceso de las restantes Administraciones Públicas a los datos relativos a los interesados que obren en su poder y se encuentren en soporte electrónico, especificando las condiciones, protocolos y criterios funcionales o técnicos necesarios para acceder a dichos datos con las máximas garantías de seguridad, integridad y disponibilidad, de conformidad con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su normativa de desarrollo.

2. La disponibilidad de tales datos estará limitada estrictamente a aquellos que son requeridos a los ciudadanos por las restantes Administraciones para la tramitación y resolución de los procedimientos y actuaciones de su competencia de acuerdo con la normativa reguladora de los mismos. El acceso a los datos de carácter personal estará, además, condicionado al cumplimiento de las condiciones establecidas en el artículo 6.2.b) de la presente Ley.

La anulación del artículo 11 RLOPD avala lo dispuesto en la LAE respecto a las transmisiones de datos entre Administraciones Públicas. La Administración que, en el ejercicio de sus competencias, precise recabar datos de otra Administración a fin de satisfacer el derecho reconocido al ciudadano de no aportar datos y documentos que obren en poder de las Administraciones Públicas, previsto en el artículo 6.2 b, deberá contar con el consentimiento del interesado o, en su caso, con una norma con rango de Ley que lo habilite.

Entre los preceptos anulados por el Tribunal Supremo, consideramos que la supresión del Artículo 18 es la más importante porque afecta a todos los Responsables de Ficheros con independencia de su sector de actividad:

[RLOPD] Artículo 18. Acreditación del cumplimiento del deber de información.

1. El deber de información al que se refiere el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado.

2. El responsable del fichero o tratamiento deberá conservar el soporte en el que conste el cumplimiento del deber de informar. Para el almacenamiento de los soportes, el responsable del fichero o tratamiento podrá utilizar medios informáticos o telemáticos. En particular podrá proceder al escaneado de la documentación en soporte papel, siempre y cuando se garantice que en dicha automatización no ha mediado alteración alguna de los soportes originales.

Habida cuenta que la LOPD ha optado por la libertad de forma para informar a los interesados en los términos que establece el artículo 5, no existía razón por la que se exigiera al Responsable de Fichero la conservación del soporte en el que se acreditara el cumplimiento del deber de información. Ahora bien, a efectos prácticos, en nuestra opinión, la supresión de este artículo no debería suponer relajación alguna para el Responsable de Fichero a la hora de obtener prueba ya que no debemos de olvidar que en caso de denuncia por omisión del deber de información es el Responsable de Fichero quien tiene la carga de prueba.

Por otro lado, respecto a los Ficheros de Solvencia Patrimonial y de Crédito y en concreto sobre los requisitos para la inclusión de datos, el Tribunal Supremo ha anulado los apartados 1 y 2 del artículo 38 lo que supone que se podrán incluir en los ficheros de solvencia datos relativas a deudas aunque se haya entablado por el presunto deudor una reclamación judicial, arbitral o administrativa por la que se discuta la propia deuda. Asimismo se ha suprimido la restricción de la inclusión de datos cuando de forma indiciaria estuviéramos en alguno de los supuestos anteriormente citados.

[RLOPD] Artículo 38. Requisitos para la inclusión de los datos.

1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:

a) Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero.

b) Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquélla fuera de vencimiento periódico.

c) Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.

2. No podrán incluirse en los ficheros de esta naturaleza datos personales sobre los que exista un principio de prueba que de forma indiciaria contradiga alguno de los requisitos anteriores. Tal circunstancia determinará asimismo la cancelación cautelar del dato personal desfavorable en los supuestos en que ya se hubiera efectuado su inclusión en el fichero.

La última anulación y la menos destacable por la ausencia de utilidad a niveles prácticos, es la supresión del apartado segundo del artículo 123 por el que, amparado en “supuestos excepcionales” se otorgaba libertad al director de la AEPD para la contratación de personal en las actuaciones previas:

Artículo 123. Personal competente para la realización de las actuaciones previas.

2. En supuestos excepcionales, el Director de la Agencia Española de Protección de Datos podrá designar para la realización de actuaciones específicas a funcionarios de la propia Agencia no habilitados con carácter general para el ejercicio de funciones inspectoras o a funcionarios que no presten sus funciones en la Agencia, siempre que reúnan las condiciones de idoneidad y especialización necesarias para la realización de tales actuaciones. En estos casos, la autorización indicará expresamente la identificación del funcionario y las concretas actuaciones previas de inspección a realizar.

Por el momento, este ha sido el resultado de los recursos contencioso-administrativo interpuestos ante el Tribunal Supremo respecto al contenido y aplicación del Reglamento de Protección de Datos. En relación a la impugnación del artículo 10.2 apartados a y b. del RLOPD, relativa a legitimación de tratamiento de datos del interesado sin haber obtenido su consentimiento, deberemos esperar a la resolución de la cuestión prejudicial planteada al Tribunal de Justicia de las Comunidades Europeas que determinará si cabe que los Estados miembros vayan más allá en su regulación que lo exigido por la Directiva 95/46/CE, tal y como al parecer ha hecho el legislador español.

Comments

  1. Cristina, gracias por tu opinión acerca de las consecuencias de la anulación del artículo 18.
    Estoy de acuerdo en que no debe existir relajación pero al menos es más llevadero.
    Esperemos a ver LO que dice la AEPD