Resolución del Tribunal de Justicia en relación con la Directiva Europea de Protección de Datos

La Federación de Comercio Electrónico y Marketing Directo (FECEMD), actualmente denominada ADIGITAL, la Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) y otras partes interesadas interpusieron ante el Tribunal Supremo español un recurso para la impugnación de diversos artículos del Real Decreto 1720/2007, que aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.

Mediante Sentencia estimatoria parcial fechada el 15 de julio de 2010, el Tribunal Supremo español, por un lado, decretó la nulidad de cuatro preceptos de dicho Reglamento (artículos 11, 18, 38.1ª y 2 y 123.2). Y por otro, decidió proceder a la remisión de una consulta al Tribunal de Justicia de la Unión Europea sobre el artículo 7, letra f), de la Directiva 95/46 de protección de datos y su compatibilidad con el artículo 10, apartado 2, letras a), supuesto primero, y b), párrafo primero, del mencionado Reglamento, lo que motivó que la impugnación de este último artículo citado del expresado Reglamento quedara pendiente de resolver hasta que el Tribunal de Justicia de la Unión Europea se pronunciase sobre la referida consulta articulada a través de dos concretas cuestiones prejudiciales.
A este respecto, debemos añadir que lo que el Tribunal Supremo español perseguía con la formulación de las dos citadas cuestiones no era otra cosa que el poder disponer de un criterio interpretativo por parte del Tribunal de Justicia de la Unión Europea en cuanto al alcance del artículo 7, letra f), de la Directiva 95/46 de protección de datos. Y de este modo, si el Tribunal de Justicia de la Unión Europea llegaba a estimar: (i) que no corresponde a los Estados miembros añadir requisitos adicionales a los establecidos en aquel precepto normativo, y (ii) que al referido artículo 7, letra f), puede reconocérsele efecto directo, el Tribunal Supremo español contaría, a buen seguro, con una base jurídica sólida para pronunciarse sobre la posible nulidad del mencionado artículo 10 del Reglamento.
Pues bien, el Tribunal de Justicia de la Unión Europea ha resuelto, en su Sentencia de 24 de noviembre de 2011 (asuntos acumulados c-468/10 y C-469/10), lo siguiente:

a) Sobre la primera cuestión prejudicial

El artículo 7 de la Directiva 95/46 establece una lista exhaustiva y taxativa de los casos en que un tratamiento de datos personales puede considerarse lícito. Corroboran esta interpretación los términos «sólo pueda efectuarse si» y la conjunción «o», empleados en la redacción del expresado artículo.

Con arreglo a lo dispuesto en la citada Directiva europea, todo tratamiento de datos personales debe ser conforme, por una parte, con los principios relativos a la calidad de los datos, y, por otra, con alguno de los principios relativos a la legitimación del tratamiento de datos, enumerados en el mencionado artículo 7.

De ello se desprende que los Estados miembros no pueden añadir al referido artículo 7 nuevos principios relativos a la legitimación de los tratamientos de datos personales; ni imponer exigencias adicionales que vendrían a modificar el alcance de alguno de los principios ya establecidos en dicho artículo.

Ahora bien, la Directiva 95/46 contiene normas que se caracterizan por una cierta flexibilidad y deja en muchos casos en manos de los Estados miembros la tarea de regular los detalles o de elegir entre varias opciones. Resulta preciso, pues, distinguir entre aquellas medidas nacionales que establecen exigencias adicionales que modifican el alcance de un principio fijado en el artículo 7 de la referida Directiva y aquellas otras que se limitan a precisar alguno de estos principios. El primer tipo de medida nacional está prohibido, y únicamente en el contexto del segundo tipo de medida nacional disponen los Estados miembros de un margen de apreciación, con arreglo al artículo 5 de la Directiva 95/46.

Por tanto, el artículo 7, letra f), establece sólo dos requisitos acumulativos para que un tratamiento de datos personales sea lícito, a saber: (i) por una parte, que ese tratamiento de datos personales sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos; y (ii) por otra, que no prevalezcan los derechos y libertades fundamentales del interesado.

De ahí , que el tan mencionado artículo 7, letra f), se oponga a toda normativa nacional que, en el caso de que no exista consentimiento del interesado, imponga exigencias adicionales, en general y a priori, a los dos requisitos acumulativos reseñados en el párrafo anterior. Y por esta razón, la Sentencia considera que el Reglamento español sobre protección de datos se ha excedido al exigir el requisito de que los datos objeto de tratamiento figuren en fuentes accesibles al público.

No obstante, siempre deberán ponderarse los derechos e intereses que pudieran encontrarse en conflicto, atendiendo a las circunstancias concretas del caso particular de que se trate, y en cuyo marco habrá de tenerse presente la importancia de los derechos que los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea confieren al interesado.

b) Sobre la segunda cuestión prejudicial

El artículo 7, letra f), de la Directiva 95/46 tiene efecto directo.

En efecto, se trata de una disposición suficientemente precisa para poder ser invocada por un particular y aplicada por los órganos jurisdiccionales nacionales. Además, si bien no puede negarse que la Directiva 95/46 confiere a los Estados miembros un margen de apreciación mayor o menor para la aplicación de algunas de sus disposiciones, el citado artículo 7, letra f), enuncia, por su parte, una obligación incondicional.

Y añade el Tribunal de Justicia de la Unión Europea que el empleo de la expresión «siempre que» en el propio texto del artículo 7, letra f), no tiene entidad suficiente para poner en entredicho, por sí solo, el carácter incondicional de dicha disposición. Con esa expresión simplemente se pretende establecer uno de los dos requisitos acumulativos formulados en el referido artículo 7, letra f), al cumplimiento de los cuales queda supeditada la posibilidad de tratar datos de carácter personal sin el consentimiento del interesado. Como dicho requisito está definido, no priva al citado artículo 7, letra f), de su carácter preciso e incondicional.

Conclusiones

La Sentencia de 24 de noviembre de 2011 del Tribunal de Justicia de la Unión Europea constituye un hito, ya que es la primera vez que dicho Tribunal se pronuncia directamente sobre el artículo 7, letra f), de la Directiva 95/46, contribuyendo a la interpretación y aplicación uniforme de este precepto normativo por parte de los tribunales nacionales –pues no debemos olvidar que éstos son también tribunales europeos.

Y a la luz de los pronunciamientos contenidos en la referida Sentencia, debemos concluir que:

(i) Se pueden realizar tratamientos de datos cuando exista el consentimiento de los interesados o cuando exista un interés legítimo de la entidad que trate los datos o del tercero o terceros a los que se cedan, siempre y cuando no se vulneren, en el caso concreto, los derechos y libertades de los afectados.

(ii) Si el Tribunal Supremo español no declarase nula la restricción añadida por el legislador español en el artículo 10, apartado 2, letras a), supuesto primero, y b), párrafo primero del Real Decreto 1720/2007 sobre protección de datos personales, el Reino de España estaría manteniendo un nivel distinto de protección al de los demás Estados miembros de la Unión Europea. Y esta situación, a su vez, dificultaría las actividades económicas en dicha Unión, impidiendo la libre circulación de datos personales y la libre prestación de servicios entre los Estados miembros.

Y no sobrará añadir, además, que supondría una seria desventaja competitiva para los operadores afectados por la aplicación del referido artículo 10, lo que, a buen seguro, afectaría a las libertades de establecimiento y de prestación de servicios en la medida en que se dificultaría o, simplemente, se haría menos atractivo el ejercicio de estas libertades en España.

“Alea jacta est”.

Rafael García del Poyo y Miguel Ángel Serrano son abogados y socios de Cremades & Calvo Sotelo. Ambos intervinieron como abogados y representantes de ADIGITAL en los asuntos acumulados C-468/10 y C-469/10 seguidos ante el Tribunal de Justicia de la Unión Europea.