La Sentencia de la Sala de lo Contencioso-Administrativo de 8 de febrero de 2012 recaída en el recurso núm. 25/2008 anula la posibilidad de recabar datos sin el consentimiento del afectado, que constasen en fuentes accesibles al público, con la finalidad de tratarlos o cederlos y siempre que existiera un interés legítimo por parte de quien tratara esos datos.
Lo curioso de la sentencia, aparte de la nulidad relatada, es que el artículo 10.2.b) del Reglamento es conforme a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal a la que desarrolla, pero no a la Directiva 95/46/CE desarrolla por la Ley Orgánica mencionada. El Tribunal Supremo planteó cuestión prejudicial que fue resuelta por el Tribunal de Justicia de las Comunidades Europeas en su sentencia de 24 de noviembre de 2011. Como consecuencia de lo dispuesto en ella, y previo proceso argumentativo por parte del Supremo, se declara nulo el apartado 10.2.b) por ser contrario a la Directiva, pero el Tribunal español no es competente para anular el art. 6.2 de la Ley Orgánica 15/1999 que es tan contrario a la Directiva, como el artículo reglamentario anulado.
Para la decisión del Supremo ha sido clave la necesaria ponderación entre el interés legítimo de quien recaba los datos y los derechos de los afectados que está inserta en la Directiva. Merece la pena comparar los textos de las diversas normas. El art. 7 de la Directiva establece:
“Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si:
a) el interesado ha dado su consentimiento de forma inequívoca, o
b) es necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado, o
c) es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o
d) es necesario para proteger el interés vital del interesado, o
e) es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos, o
f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva”.
El art. 1.1 de la Directiva establece la obligación de que los Estados miembros garanticen, la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales.
Tanto el Tribunal europeo, como el español, indican que se hace necesario ponderar el interés legítimo con la prevalencia del interés o derechos de los interesados. Es necesario que la ponderación se realice caso por caso y será la Agencia Española de Protección de Datos quien lo deba valorar.
La Ley Orgánica y el Reglamento introducen un elemento de objetivación al considerar, aunque sea de manera indirecta, que cuando los datos se recaban de fuentes accesibles al público no vulneran, al menos en principio, los derechos de los interesados, de manera que se elimina la necesaria ponderación entre el “interés legítimo” del que recaba los datos y el “interés” (que ni siquiera se menciona) o “los derechos y libertades fundamentales del interesado” que exige la Directiva. Veamos la dicción de la normativa española:
Art. 6 de la LO 15/1999:
“Consentimiento del afectado
1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.
2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6 , de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado”.
Art. 10.2.b) del RD 1720/2007:
“Supuestos que legitiman el tratamiento o cesión de los datos
1. Los datos de carácter personal únicamente podrán ser objeto de tratamiento o cesión si el interesado hubiera prestado previamente su consentimiento para ello.
2. No obstante, será posible el tratamiento o la cesión de los datos de carácter personal sin necesidad del consentimiento del interesado cuando:
a) Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes:
El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre.
El tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas.
b) Los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
No obstante, las Administraciones públicas sólo podrán comunicar al amparo de este apartado los datos recogidos de fuentes accesibles al público a responsables de ficheros de titularidad privada cuando se encuentren autorizadas para ello por una norma con rango de ley”.
A la vista de la normativa española, tiene razón el Tribunal Supremo cuando indica que falta la ponderación ya que el interesado tiene derecho a que su intimidad se vea protegida mediante la ponderación de si el interés del quien recaba sus datos es legítimo y pasa por encima del interés del particular en mantener su intimidad. Dicho de otro modo, en la claúsula “siempre que no se vulneren los derechos y libertades fundamentales del interesado” de la normativa española está necesariamente incluida la ponderación individualizada de manera que si ésta no existe y tampoco consta el consentimiento del titular de los datos se produce una vulneración de sus derechos. Si el legislador comunitario hubiera mencionado las fuentes accesibles al público, la normativa española no tendría tacha, pero no ha sido así.
Luis Felipe López
Prof. de Derecho Administrativo de la UDIMA