En la Villa de Madrid, a quince de Julio de dos mil diez.
Visto por la Sala Tercera del Tribunal Supremo, constituida en Sección por los señores al margen anotados, el recurso contencioso administrativo que con el número 23/08 ante la misma pende de resolución, interpuesto por la representación procesal de la ASOCIACION NACIONAL DE ESTABLECIMIENTOS FINANCIEROS DE CREDITO (ASNEF), contra Real Decreto 1720/2007, de 21 de diciembre, siendo parte recurrida la Administración General del Estado.
ANTECEDENTES DE HECHO
PRIMERO.- Por la representación procesal de la Asociación Nacional de establecimientos Financieros de Crédito (ASNEF), se interpuso recurso contencioso administrativo contra el Real Decreto 1720/07, el cual fue admitido por la Sala, motivando la publicación del preceptivo anuncio en el Boletín Oficial del Estado y la reclamación del expediente administrativo que, una vez recibido se entregó a la Procuradora Doña Beatriz Calvillo Rodríguez, para que, en la representación que ostenta, formalizase la demanda dentro del plazo de veinte días, lo que verificó con el oportuno escrito en el que, después de exponer los hechos y alegar los fundamentos de derecho que estimó oportunos, terminó suplicando que: “… tras los trámites oportunos, se dicte Sentencia en la que:
A) Declare la nulidad y deje sin efecto los siguientes preceptos del Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre:
– Artículo 5. Definiciones. Del apartado 1.q), el inciso “aunque no lo realizase materialmente”.
– Artículo 8. Principios relativos a la calidad de los datos, en el párrafo 3º de su apartado 5.
Artículo 10. supuestos que legitiman el tratamiento o cesión de los datos, en los apartados 2.a), supuesto primero, y 2.b), párrafo primero.
– Artículo 11. Verificación de datos en solicitudes formuladas a las Administraciones Públicas.
– Artículo 12. Principios generales, en su apartado 2.
– Artículo 13. Consentimiento para el tratamiento de datos de menores de edad, en su apartado 4.
– Artículo 18. Acreditación del cumplimiento del deber de información. En el inciso final de su apartado 1 y en su apartado 2.
– Artículo 21. Posibilidad de subcontratación de los servicios. En su apartado 2.a).
– Artículo 23. Carácter personalísimo, en su apartado 2.c).
– Artículo 24. Condiciones generales para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, el inciso final del párrafo 1º del artículo 24.3 y el párrafo 2º del mismo artículo.
– Enunciado de la Sección 2ª, del Capítulo I del Título IV, en cuanto se refiere también al “cumplimiento” de obligaciones dinerarias.
– Artículo 38. Requisitos para la inclusión de los datos, en sus apartados 1.a) (en el inciso “y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero”) y b) (en el inciso “o del plazo concreto si aquélla fuera de vencimiento periódico”), 2 y 3.
– Artículo 39. Información previa a la inclusión, en el inciso “en el momento en que se celebre el contrato”.
– Artículo 40. Notificación de inclusión, en su apartado 2.
– Artículo 41. Conservación de los datos, en el párrafo segundo del apartado 1 y en el apartado 2 (en el inciso “o del plazo concreto si aquélla fuera de vencimiento periódico”).
– Artículo 42. Acceso a la información contenida en el fichero, en su apartado 2, inciso “por escrito” del párrafo primero y todo el párrafo segundo.
– Artículo 44. Ejercicio de los derechos de acceso, rectificación, cancelación y oposición, en su apartado 3, 1ª, en el inciso “en el plazo de siete días”.
– Artículo 45. Datos susceptibles de tratamiento e información. En el inciso “habiéndose informado a los interesados sobre los sectores específicos y concretos de actividad respecto de los que podrá recibir información o publicidad”, del apartado 1.b).
– Artículo 46. Tratamiento de datos en campañas publicitarias. En las letras b) y c) del apartado 2, y en todo su apartado 3.
– Artículo 47. Depuración de datos personales.
-Art. 49. Ficheros comunes de exclusión del envío de comunicaciones comerciales. En sus apartados 2 y 4.
– Artículo 69. Suspensión temporal de las transferencias, en su apartado 1.b) (inciso “o no van a adoptar en el futuro”).
– Artículo 70. Transferencias sujetas a autorización del Director de la Agencia Española de Protección de datos, en su apartado 3. letras c) (inciso “o no serán respetadas”), d (inciso “o no serán”) y d).
– Artículo 123. Personal competente para la realización de las actuaciones previas, en su apartado 2, inciso “o a funcionarios que no presten sus funciones en la Agencia”.
B) Condene en costas a la Administración demanda conforme dispone el art. 139.1 de la Ley reguladora de este orden jurisdiccional.”
También instó que se planteara Cuestión Prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, con suspensión del recurso en tanto no recaiga Sentencia por parte del citado Tribunal, proponiendo las siguientes cuestiones:
“Primera: ¿Deben interpretarse las disposiciones de Derecho comunitario relativas a la protección de datos, en particular el artículo 2.d) de la Directiva 95/46/CE, en el sentido de que se oponen a una normativa nacional que, como el art. 5.1q) del Reglamento español de desarrollo de la Ley Orgánica 15/1999, de protección de datos de carácter personal, define responsable del fichero o tratamiento a la “Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobe la finalidad, contenido y uso del tratamiento”, aunque no lo realizase materialmente?
Segunda: ¿Deben interpretarse las disposiciones de Derecho comunitario relativas a la protección de datos, en particular el artículo 7.f) de la Directiva 95/46/CE, en el sentido de que se opone a una normativa nacional que, como el art. 10.2.a) del Reglamento de desarrollo de la Ley Orgánica 15/1999, de protección de datos de carácter personal exige que el interés legítimo del responsable del tratamiento o del cesionario esté en todo caso amparado por una norma con rango de ley o una norma de derecho comunitario?
Tercera: ¿Deben interpretarse las disposiciones de Derecho comunitario relativas a la protección de datos, en particular el artículo 7.f) de la Directiva 95/46/CE, en el sentido de que se opone a una normativa nacional que, como el art. 10.2b) del Reglamento de desarrollo de la Ley Orgánica 15/1999, de protección de datos de carácter personal, exige que para que el responsable del fichero, o el tercero a quien se comuniquen los datos, pueda llevar a cabo un tratamiento en virtud de un interés legítimo, tales datos deben en todo caso figurar en fuentes accesibles al público entendiendo por tales fuentes las que de forma taxativa se recogen en el artículo 3.j) de la Ley Orgánica 15/1999, de 13 de diciembre, y en el artículo 7 del mencionado reglamento?
Cuarta: ¿Deben interpretarse las disposiciones de Derecho comunitario relativas a la protección de datos, en particular la Directiva 95/46/CE, y las disposiciones sobre crédito al consumo, en particular la Directiva 2008/48/CE, en el sentido de que se oponen a una normativa nacional que, como el Reglamento de desarrollo de la Ley Orgánica 15/1999, de protección de datos de carácter personal, prohíbe los ficheros de información sobre el cumplimiento de obligaciones dinerarias, o ficheros positivos, salvo que el tratamiento de datos se lleve a cabo con el consentimiento inequívoco de los afectados?
Quinta: ¿Deben interpretarse las disposiciones de Derecho comunitario relativas a la protección de datos, en particular el artículo 6.1.d) de la Directiva 95/46/CE, en el sentido de que se oponen a una normativa nacional que, como el artículo 41.1 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de protección de datos de carácter personal, y en relación con los ficheros sobre solvencia patrimonial y crédito, obliga a la cancelación inmediata de todo dato relativo a una deuda una vez producido el pago o cumplimiento y que por tanto prohíbe mantener cualquier anotación relativa a una deuda determinada una vez que la misma ha sido satisfecha?
Sexta: ¿Deben interpretarse las disposiciones de Derecho comunitario relativas a la protección de datos, en particular el artículo 7.f) de la Directiva 95/46/CE, en el sentido de que se oponen a una normativa nacional que, como el artículo 41.1 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de protección de datos de carácter personal, prohíbe que en los ficheros de incumplimiento de obligaciones dinerarias se mantenga cualquier anotación relativa a una deuda determinada una vez que la misma ha sido satisfecha?
Séptima: ¿Deben interpretarse las disposiciones de Derecho comunitario relativas a la libre circulación de mercancías, en particular los art. 23, 24 y 28 a 30 del Tratado Constitutivo de la Comunidad Europea; a la libre circulación de servicios, en particular los artículos 49 y 50 del Tratado; a la competencia, en particular el artículo 80 del Tratado; y a la apertura de los contratos públicos, en particular la Directiva 2004/18/CE, del Parlamento y del Consejo, de 31 de marzo de 2004, en el sentido de que se oponen a una normativa nacional que, como la Disposición Adicional única del Reglamento español de desarrollo de la Ley Orgánica 15/1999, de protección de datos de carácter personal, establece que los productos de sofware destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en el título VIII del citado reglamento?”
SEGUNDO.- El Abogado del Estado, en la representación que ostenta, se opuso a la demanda con escrito en el que, después de exponer los hechos y fundamentos de derecho que estimó procedentes, terminó suplicando a la Sala que dicte sentencia “… declarando la falta de legitimación activa de la parte recurrente para impugnar los artículos 45.1.b); 46.2. b) y c) y 46.3; 49.2 y 4 del RLOPD impugnado o, subsidiariamente de lo anterior, desestimando el presente recurso contencioso administrativo en su integridad por ser el citado RLOPD, aprobado por el Real Decreto 1720/2007, de 21 de diciembre, plenamente conforme a Derecho”.
TERCERO.- Acordándose sustanciar este pleito por conclusiones sucintas, se concedió a las partes el término sucesivo de quince días cumplimentándolos con sus respectivos escritos en los que tras alegar lo que estimaron conveniente, terminaron dando por reproducidas las súplicas de demanda y contestación.
CUARTO.- Conclusas las actuaciones, se señaló para votación y fallo la audiencia del día VEINTISEIS DE MAYO DE DOS MIL DIEZ, en cuyo acto tuvo lugar su celebración.
QUINTO.- Por providencia de 16 de junio del presente, se acordó oír a las partes por plazo común de cinco días para que alegaran sobre la posibilidad de plantear cuestión prejudicial respecto de alguno de los preceptos impugnados, dictando sentencia respecto de los demás, con el resultado que obra en autos.
SEXTO.- Con esta misma fecha se ha dictado auto del tenor literal siguiente:
“En la Villa de Madrid, a quince de julio de dos mil diez.
HECHOS
1. La “Asociación Nacional de Establecimientos Financieros de Crédito” (en lo sucesivo, “ASNEF”) ha interpuesto recurso contencioso-administrativo contra numerosos artículos del Real Decreto 1720/2007, de 21 de diciembre (Boletín Oficial del Estado -en adelante-, “BOE”, de 19 de enero de 2008, p. 4103), por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (BOE de 14 de diciembre, p. 43088).
2. Entre los preceptos impugnados se encuentra el artículo 10, apartado 2.a), supuesto primero, y 2.b), párrafo primero, a los que ASNEF imputa la infracción del artículo 7, letra f), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281, p. 31).
3. No obstante, y para el caso de que este Tribunal albergara dudas sobre esa oposición de la norma reglamentaria a las previsiones de la Directiva 95/46/CE, ASNEF solicita en la demanda que se planteen al Tribunal de Justicia de la Unión Europea las siguientes cuestiones prejudiciales:
1. “¿Deben interpretarse las disposiciones de derecho comunitario relativas a la protección de datos, en particular el artículo 7.f) de la Directiva 95/46/CE, en el sentido de que se oponen a una normativa nacional que, como el artículo 10.2.b) del Reglamento de desarrollo de la Ley Orgánica 15/1999, de protección de datos de carácter personal, exige que el interés legítimo del responsable del tratamiento o del cesionario esté en todo caso amparado por una norma con rango de ley o una norma de derecho comunitario?”
2. “¿Deben interpretarse las disposiciones de derecho comunitario relativas a la protección de datos, en particular el artículo 7, letra f), de la Directiva 95/46/CE, en el sentido de que se oponen a una normativa nacional que, como el artículo 10.2.b) del Reglamento de desarrollo de la Ley Orgánica 15/1999, de protección de datos de carácter personal, exige que para que el responsable del fichero, o el tercero a quien se comuniquen los datos, pueda llevar a cabo un tratamiento en virtud de un interés legítimo, tales datos deben en todo caso figurar en fuentes accesibles al público, entendiendo por tales fuentes las que de forma taxativa se recogen en el artículo 3.j) de la Ley Orgánica 15/1999, de 13 de diciembre, y en el artículo 7 del mencionado Reglamento?”
4. Quienes han intervenido como partes demandadas se han opuesto al reenvío de una cuestión prejudicial.
Siendo Ponente el Excmo. Sr. D. Juan Carlos Trillo Alonso, Magistrado de la Sala
RAZONAMIENTOS JURÍDICOS
1.- El marco jurídico interno.
1.1. La Ley Orgánica 15/1999, que transpone al derecho español la Directiva 95/46/CE, exige para que los datos puedan ser tratados la mediación del inequívoco consentimiento del afectado, salvo que la ley disponga otra cosa (artículo 6.1).
1.2. Por excepción, no considera preciso el consentimiento, entre otros supuestos (artículo 6.2, in fine):
“[…] cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.”
1.3. El artículo 11, apartado 1, reitera la necesidad del consentimiento para que puedan comunicarse a terceros los datos de carácter personal, exigencia que no estima precisa, según el apartado 2:
“[…]
b) Cuando se trate de datos recogidos de fuentes accesibles al público.”
1.4. El artículo 3.j) define las “fuentes accesibles al público” como:
“[…] aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la condición de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, titulo, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.”
1.4. El Gobierno español ha desarrollado la Ley Orgánica 15/1999 mediante el Real Decreto 1720/2007, que, en su artículo 10, después de permitir el tratamiento y la cesión de los datos de carácter personal si el interesado presta previamente su consentimiento (apartado 1), dispone en el apartado 2:
“No obstante, será posible el tratamiento o la cesión de datos de carácter personal sin necesidad del consentimiento del interesado cuando:
a) Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes:
El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre.
El tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas.
b) Los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tengan un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
No obstante, las Administraciones públicas sólo podrán comunicar al amparo de este apartado los datos recogidos de fuentes accesibles al público a responsables de ficheros de titularidad privada cuando se encuentren autorizadas para ello con una norma con rango de ley.”
2.- El derecho comunitario.
2.1. La Carta de los Derechos Fundamentales de la Unión Europea (última publicación oficial, DO C 83, p. 389), dentro del título III, dedicado a las “Libertades”, dispone en el artículo 8 que:
“1. Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.
2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley […]”
2.2. Por su parte, la Directiva 95/46/CE, que aspira a realizar una armonización completa (sentencia del Tribunal de Justicia de la Unión Europea de 6 de noviembre de 2003, Lindqvist, asunto C-101/01, apartado 96), tiene por designio el asegurar la libre circulación de datos personales de unos Estados miembros a otros, sin menoscabo de la protección de los derechos fundamentales (tercer considerando).
2.2. Como quiera que las diferencias existentes en la tutela dispensada por los distintos países, achacables a la disparidad de las disposiciones nacionales sobre el particular, son susceptibles de obstaculizar esa libre transmisión de datos, aspira a equiparar los niveles de protección entre todos los Estados miembros, coordinando sus legislaciones, de modo que dispensen una protección equivalente, sin perjuicio de reconocerles un margen de maniobra, que han de ejercer de conformidad con el derecho comunitario y dentro de los límites de la propia Directiva (considerandos séptimo a noveno, artículo 5 y sentencia Lindqvist, ya citada, apartado 97).
2.3. Con ese propósito, obliga a los Estados miembros a garantizar, con arreglo a su texto, las libertades y los derechos fundamentales de los individuos en lo que respecta al tratamiento de los datos personales, sin que les quepa restringir ni prohibir la libre circulación de esos datos por motivos relacionados con tal tutela (artículo 1º, cuyo apartado 1 se transpone en el artículo 1º de nuestra Ley Orgánica 15/1999).
2.4. Con el anterior propósito, el legislador de la Unión proclamó el principio, hoy incluido en la Carta, de que el tratamiento de datos personales sólo puede efectuarse si el interesado ha dado su consentimiento de forma inequívoca [artículo 7, letra a)] o concurren otras causas legítimas, que relaciona en las letras siguientes, y entre las que se encuentra la de resultar el tratamiento:
“[…] necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o los terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.”
3. Los presupuestos del reenvío prejudicial
3.1. Esta Sala se enfrenta con un litigio en el que ASNEF demanda la nulidad del artículo 10, apartado 2, letra b), del Real Decreto 1720/2007 porque considera que, al igual que las normas legales que le sirven de cobertura (los artículos 6 y 11 de la Ley Orgánica 15/1999), no traspone debidamente el artículo 7, letra f), de la Directiva 95/46/CE, infringiendo esta norma de derecho comunitario.
3.2. En particular, considera que el derecho español añade al interés legítimo como presupuesto del tratamiento de los datos sin consentimiento del titular un requisito que no está presente en la mencionada Directiva: que los datos consten en fuentes accesibles al público.
3.3. La respuesta a esa pretensión depende, en gran medida, de la interpretación que el Tribunal de Justicia dé al artículo 7, letra f), de la Directiva 95/46/CE, pues si concluye que nada impide que los Estados miembros exijan, además de la concurrencia del repetido interés, la presencia de los datos en fuentes accesibles al público, habrá que concluir que la Ley española y el Reglamento que la desarrolla se ajustan en este punto al ordenamiento jurídico de la Unión.
3.4. Si, por el contrario, es criterio del Tribunal de Justicia que no les cabe a los Estados miembros añadir requisitos adicionales a aquella exigencia, debería inaplicarse, para el caso de que se pueda reconocer al repetido artículo 7, apartado ñ), efecto directo, la previsión legislativa interna, quedando huérfano de cobertura el artículo 10, apartado 2, letra b), del Real Decreto 1720/2007.
3.5. La pertinencia del diálogo prejudicial depende, en segundo lugar, de que haya dudas razonables sobre la interpretación del derecho comunitario, esto es, que no quepa deducir de los términos de la norma comunitaria una sola solución hermenéutica, que se impondría por su propia evidencia no sólo al órgano jurisdiccional remitente sino al resto de órganos jurisdiccionales de los diferentes Estados miembros, incluido el propio Tribunal de Justicia [sentencia de 6 de octubre de 1982, CILFIT (283/81, apartado 16)].
En el caso de autos, la existencia de esas dudas resulta patente. Las respectivas posiciones de las partes, manifestadas en el debate procesal, son divergentes. Por otro lado, como sabemos, la Directiva 95/46/CE aspira a una armonización completa de las legislaciones nacionales, al tiempo que quiere establecer un equilibrio entre los dos pilares sobre los que pivota su regulación: la libre circulación entre los Estados miembros de los datos de carácter personal sin merma alguna de los derechos y libertades fundamentales del interesado. Duda esta Sala, si como excepción al principio de consentimiento inequívoco de este último para el tratamiento y circulación de los datos, la concurrencia de un interés legítimo en el responsable de aquél o en los destinatarios de éstos, debe operar como única exigencia, bastando su presencia para que el consentimiento resulte innecesario o si, por el contrario, en garantía de aquellos derechos y libertades fundamentales pueden los Estados miembros añadir exigencia adicionales.
4. Las cuestiones prejudiciales
4.1. Primera cuestión prejudicial
4.1.1. Ya hemos indicado que resulta presupuesto insoslayable para el tratamiento de los datos de carácter personal que medie el con sentimiento inequívoco del interesado [artículo 7, letra a), de la Directiva 95/46/CE], no obstante cabe que, sin mediar el mismo, el tratamiento pueda llevarse a cabo si concurre un interés legítimo del responsable del tratamiento o de los destinatarios de los datos, siempre que no deba prevalecer el interés de los derechos y libertades fundamentales del titular de los datos [letra f) del mismo precepto].
4.1.2. El legislador español ha asumido dicha regulación (artículo 6 de la Ley Orgánica 15/1999), pero ha adicionado a la concurrencia de aquel interés legítimo la condición de que los datos figuren en fuentes accesibles al público (apartado 2, in fine).
4.1.3. El titular de la potestad reglamentaria ha reproducido dicha previsión del legislador, matizando, sin embargo, que las Administraciones sólo pueden comunicar a los responsables de ficheros de titularidad privada los datos recogidos en fuentes accesibles al público sin están autorizadas para ello por una norma con rango de ley [artículo 10, apartado 2, letra b), del Real Decreto 1720/2007].
4.1.4. La Ley española considera fuentes accesibles al público los ficheros que puedan ser consultados libremente sin más requisito que el pago de una contraprestación. A renglón seguido relaciona esos ficheros mediante una lista exhaustiva y cerrada: “el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, titulo, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación” [artículo 3, letra j), de la Ley Orgánica 15/1999].
4.1.5. La conclusión parece evidente; aún mediando el interés legítimo del responsable del tratamiento o de los destinatarios de los datos, sino media consentimiento inequívoco del titular sólo cabe tratar y comunicar los datos que constan en los ficheros relacionados. De este modo, la ley española y el reglamento que la desarrolla restringen el ámbito del artículo 7, letra f), de la Directiva 95/46/CE.
4.1.6. A juicio de esta Sala, esa restricción erige un obstáculo a la libre circulación de los datos de carácter personal no querido, en principio, por la norma comunitaria, que sólo limita en tales supuestos la libre circulación si así lo demanda el interés de los derechos y las libertades fundamentales del titular de los datos.
4.1.7. La única posibilidad de salvar la contradicción sería entender que, por definición y en abstracto, la circulación de datos de carácter personal que consten en otros ficheros distintos de los relacionados por el legislador español sin el consentimiento del afectado vulnera sus derechos y libertades fundamentales. Pero no parece que este desenlace sea el querido por el legislador comunitario.
4.1.8. En primer lugar, porque rompe la armonización total perseguida por la norma de derecho comunitario, al establecer una lista cerrada y exhaustiva de fuentes accesibles al público, siendo plausible que otros Estados miembros puedan considerar como tales otro tipo de ficheros. En segundo término, porque a nuestro entender, el artículo 7, letra f), de la Directiva, está pensando en coyunturas singulares, atendibles y susceptibles de análisis en función de las características del caso concreto y no acudiendo a categorizaciones genéricas y abstractas. En otros términos, si, no mediando consentimiento del afectado, concurre un interés legítimo del responsable o de los destinatarios de los datos, el tratamiento resulta posible salvo que, en atención a la naturaleza de los datos y del soporte, a las condiciones subjetivas del afectado, a la finalidad perseguida, etc., deba darse prevalencia a los derechos fundamentales, en particular, al derecho a la intimidad del titular de los datos, en esa tensión que preside su convivencia con la necesidad de garantizar en el territorio de la Unión la libre circulación de tal clase de datos.
4.1.9. Cabe añadir a lo anterior que el artículo 1, apartado 2, de la Directiva 95/46/CE, prohíbe a los Estados miembros restringir la libre circulación de los datos personales por motivos relacionados con la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta a su tratamiento. Por ello, lo que hace la norma comunitaria es disciplinar esa circulación sin merma de la garantía de los citados derechos y libertades fundamentales, por lo que no cabe que los Estados miembros impongan mayores restricciones que las prevista por el legislador comunitario. Los Estados miembros no pueden establecer otras excepciones y limitaciones que las que se contemplan en el artículo 13 de la repetida Directiva, entre los que no es encuentra un restricción como la añadida por el legislador español en el artículo 6, apartado 2, in fine, de la Ley Orgánica 15/1999 y en el 10, apartado 2, letra b), del Real Decreto 1720/2007.
4.1.10. En este sentido y en relación con otra de las finalidades que legitiman el tratamiento de los datos personales sin consentimiento del titular [resultar “necesario para el cumplimiento de una misión de interés público” (artículo 7, letra e)], el Tribunal de Justicia ha señalado que la noción de “necesidad” no puede tener un contenido variable en función de los Estados miembros [sentencia de 16 de diciembre de 2008, Heinz Huber (C- 524/06, apartado 52)].
4.1.11. Debe tenerse en cuenta también que, para el Tribunal de Justicia, los ficheros que tengan por objeto información publicada están comprendidos en el ámbito de aplicación de la Directiva 95/46/CE [sentencia de 16 de diciembre de 2008, Tietosuojavaltuutettu (C- 73/07, apartado 49 y punto 3 de la parte dispositiva)], por lo que, en principio, un legislador nacional no puede definir y acotar unilateralmente los ficheros que tienen tal condición, pues se trata de una noción de derecho comunitario necesitada de una aplicación y, por consiguiente, interpretación uniformes.
4.1.12 En suma, procede preguntar al Tribunal de Justicia si el artículo 7, letra f), de la Directiva 95/46/CE debe interpretarse en el sentido de que se opone a una normativa nacional que, no mediando consentimiento del afectado y para permitir el tratamiento de sus datos de carácter personal que resulte necesario para satisfacer un interés legítimo del responsable o de los terceros a los que se van a comunicar, exige además de que no se lesionen los derechos y libertades fundamentales de aquel que los datos consten en fuentes accesibles al público.
4.2. Segunda cuestión prejudicial
4.2.1. Si la respuesta del Tribunal de Justicia fuere afirmativa, esta Sala de enfrentaría a una norma reglamentaria (el artículo 10, apartado 2, letra b), del Real Decreto 1720/2007) que desarrolla una previsión legal (el artículo 6, apartado 2, in fine, de la Ley Orgánica 15/1999) contraria al ordenamiento jurídico de la Unión Europea
4.2.2. Las consecuencias de esta constatación son distintas según que pueda reconocerse al artículo 7, letra f), de la Directiva 95/46/CE efecto directo, pues, en tal circunstancia, nos veríamos obligados a desplazar la norma legal interna [sentencia de 9 de marzo de 1978, Simmenthal (asunto 106/77, passim)]. En esta tesitura, la disposición reglamentaria quedaría carente de la necesaria cobertura legal, insoslayable en el sistema jurídico español, procediendo declarar su nulidad.
4.2.3. Por consiguiente, ha de preguntarse también al Tribunal de Justicia si el artículo 7, letra f), de la Directiva 95/46/CE reúne los requisitos que exige la jurisprudencia comunitaria para reconocerle efecto directo, esto es, si, desde el punto de vista de su contenido, es incondicional y suficientemente preciso, pudiendo ser invocado por los justiciables ante sus jueces nacionales en la medida en la que les reconoce derechos esgrimibles frente al poder público [sentencia de 19 de enero de 1982, Becker (asunto 8/81, apartado 25].
5. Sobre la suspensión del procedimiento.
Circunscrita la duda interpretativa de los preceptos reglamentarios impugnados, con relación al derecho comunitario, a las expresadas en el precedente, en atención al carácter preferente que para el señalamiento de los recursos directos interpuestos contra las disposiciones generales prevé el artículo 66 de la Ley Jurisdiccional, y a la circunstancia no menos relevante del elevado número de preceptos objeto de impugnación, se entiende adecuado limitar la suspensión de dictar sentencia única y exclusivamente respecto al artículo 10 del Reglamento, siendo de significar al efecto la inexistencia de una conexión tal entre dicho precepto y los demás recurridos que pudieran verse afectados por la sentencia que en su día dicte el Tribunal de Justicia de las Comunidades Europeas, así como la conveniencia de no demorar por más tiempo la resolución de éstos.
LA SALA ACUERDA:
Primero.- Suspender única y exclusivamente el procedimiento respecto de la impugnación del artículo 10, apartados 2. a) y b) del Reglamento de la Ley Orgánica de Protección de Datos, hasta la resolución del incidente prejudicial planteado y dictar sentencia con relación a los demás artículos impugnados.
Segundo.- Plantear al Tribunal de Justicia de las Comunidades Europeas las siguientes cuestiones prejudiciales:
1ª) “¿Debe interpretarse el artículo 7, letra f), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en el sentido de que se opone a una normativa nacional que, no mediando consentimiento del afectado y para permitir el tratamiento de sus datos de carácter personal que resulte necesario para satisfacer un interés legítimo del responsable o de los terceros a los que se vayan a comunicar, exige además de que no se lesionen los derechos y libertades fundamentales de aquel que los datos consten en fuentes accesibles al público?”
2º) “¿Concurren en el mencionado artículo 7, letra f), las condiciones que exige la jurisprudencia del Tribunal de Justicia de la Unión Europea para atribuirle efecto directo?”
Lo mandó la Sala y firman los Magistrados Excmos. Sres. al inicio designados.”
Siendo Ponente el Excmo. Sr. D. JUAN CARLOS TRILLO ALONSO, Magistrado de la Sección.
FUNDAMENTOS DE DERECHO
PRIMERO.- Es objeto de impugnación en el presente recurso contencioso administrativo el Real Decreto 1720/07, de 22 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
En armonía con lo expresado en el auto de esta misma fecha, trascrito en el antecedente de hecho sexto, en el que decidimos, pese al planteamiento de cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, limitar la suspensión del procedimiento, solo y exclusivamente, en relación al único precepto que de los impugnados ofrece dudas a este Tribunal sobre su adecuación a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre, como consideración previa que justifica en definitiva la razón de tal proceder, y aunque ya exteriorizada en dicho auto, aconseja insistir ahora en aquellas circunstancias singulares tenidas en cuenta para la decisión de mención, amparada, sin duda, o mejor demandada, por el artículo 24 del Texto Constitucional que proscribe las dilaciones indebidas como manifestación del derecho a la tutela judicial efectiva que dicho precepto constitucional proclama y que, en definitiva, también se recoge en el artículo 6 del Convenio Europeo de Derechos Humanos al aludir al concepto indeterminado de plazo razonable.
Al respecto, lo primero que debe destacarse es la naturaleza de disposición general del Real Decreto 1720/07, cuyo señalamiento preferente se prevé en el artículo 66 de la Ley Jurisdiccional en atención, conforme se expresa en su exposición de motivos, a “evitar innecesarios vacíos normativos y situaciones de inseguridad o interinidad en torno a la validez y vigencia de las normas”.
Otra circunstancia también a destacar es el elevado número de los preceptos objeto de impugnación y la incuestionable relevancia de la decisión que adoptemos sobre ellos, a la que implícitamente alude la recurrente cuando en sus alegaciones hace mención a que su vulneración puede dar origen a expedientes sancionadores.
Concretamente la impugnación se dirige contra los siguientes artículos: 5.1.q), in fine; 8.5, párrafo tercero; 10.2, apartados a) y b); 11; 12.2; 13.4; 18; 21.2.a); 23.2.c); 24.3, párrafo primero, último inciso, y párrafo segundo; 38.1.a) y b), 2 y 3; 39; 40.2; 41.1, párrafo segundo, y 2; 42.2; 44, apartado 3, regla primera; 45.1.b) in fine; 46.2, 3 y 4; 47; 49; 69.1.b); 70.3.c), d) y e), y 123.2. También se impugna en el escrito de demanda la rúbrica de la Sección Segunda, del Capítulo I, del Título IV, y la disposición adicional única. Interesándose además que, tras los trámites oportunos, se plantee cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, en los términos expresados en el antecedente de hecho primero.
Pues bien, si a las circunstancias referenciadas debe unirse la no menos trascendente de la inexistencia de una conexión tal entre el artículo 10 del Reglamento, único que plantea dudas sobre su adaptación a la Directiva, y los demás objeto de impugnación, circunstancia ésta última que aleja toda posibilidad de que en un futuro pronunciamiento del Tribunal de Justicia pudieran verse afectados otros preceptos de los impugnados, resulta claro que demorar por más tiempo el pronunciamiento sobre éstos supondría una vulneración del expresado derecho fundamental a un procedimiento sin dilaciones indebidas.
SEGUNDO.- Previamente al examen singular de las normas reglamentarias cuya declaración de nulidad se insta en el suplico del escrito de demanda, en la que también se solicita el planteamiento de cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas sobre los artículos 5.1.q), 10.2. a) y b), 38 y siguientes, y 41.1, así como sobre la disposición adicional única, por razones de método, parece oportuno exteriorizar algunas consideraciones que en gran medida han de servir de pauta interpretativa ya no solo en la exégesis de las disposiciones reglamentarias impugnadas, sino también para decidir sobre el planteamiento de la cuestión prejudicial.
Primera.- En cuanto la Ley Orgánica 15/1999, de 13 de diciembre, al igual que la anterior 5/1992, de 29 de octubre, es desarrollo del artículo 18.4 de la Constitución, en el que se previene que “La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”, debe quedar fuera de toda duda que dicho precepto necesariamente ha de servir de instrumento interpretativo a la hora de analizar el alcance no solo de los preceptos de la Ley sino también de los del Reglamento que con el presente recurso se impugnan.
Y al respecto es obligado constatar que el constituyente, con la redacción del artículo 18.4, estableció la necesidad de que una futura ley impusiera limitaciones a eventuales abusos provenientes del uso de la informática, extendido posteriormente a tratamientos manuales, y ello con la finalidad de garantizar el derecho constitucional al honor y a la intimidad personal y familiar de los ciudadanos y al pleno uso de sus derechos (art. 18.4 CE).
El precepto pretende, como ya tuvo oportunidad de decir el Tribunal Constitucional, proteger la libertad del individuo frente a las potenciales agresiones a la dignidad y a la libertad provenientes del uso ilegítimo de datos mecanizados (STC 254/93, de 20 de julio).
En el sentido expuesto el artículo 1 de la Ley Orgánica 15/1999 expresa que “La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”. Y en parecidos términos se pronuncia el artículo 1 de la Directiva 95/46/CE, de 24 de octubre, al decir, en su apartado 1, que “Los estados miembros garantizarán, con arreglo a las disposiciones de la presente Directiva, la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de datos personales”.
Al respecto interesa resaltar que el derecho a la protección de datos de carácter personal es reconocido con el carácter indicado en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea 2000/C 364/1, previniendo en el apartado 2 que “Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley”, y que “Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación”.
De los artículos de mención fácil resulta inferir que tanto la Directiva como la Ley regulan el derecho a la circulación de datos personales en función del nivel de protección que exigen las libertades públicas y los derechos fundamentales de las personas; en definitiva, marcar las reglas que han de regir los conflictos que pueden surgir entre los expresados derechos.
En sentencia del Pleno del Tribunal Constitucional nº 292/2000, de 30 de noviembre, se expresa que “… con la inclusión del vigente art. 18.4 CE el constituyente puso de relieve que era consciente de los riesgos que podría entrañar el uso de la informática y encomendó al legislador la garantía tanto de ciertos derechos fundamentales como del pleno ejercicio de los derechos de la persona. Esto es, incorporando un instituto de garantía “como forma de respuesta a una nueva forma de amenaza concreta a la dignidad y a los derechos de la persona”, pero que es también, “en si mismo, un derecho o libertad fundamental” (STC 254/1993, de 20 de julio, F.6)” y que “La garantía de la vida privada de la persona y de su reputación poseen hoy una dimensión positiva que excede del ámbito propio del derecho fundamental a la intimidad (art. 18.1 CE), y que se traduce en un derecho de control sobre los datos relativos a la propia persona. La llamada “libertad informática” es así derecho a controlar el uso de los mismos datos insertos en un programa informático (“habeas data”) y comprende, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención (SSTC 11/1998, F.5, 94/1998, F.4.)”.
Continúa diciendo el Tribunal Constitucional en la sentencia de referencia que “Este derecho fundamental a la protección de datos, a diferencia del derecho a la intimidad del art. 18.1 CE, con quien comparte el objetivo de ofrecer una eficaz protección constitucional de la vida privada personal y familiar, atribuye a su titular un haz de facultades que consiste en su mayor parte en el poder jurídico de imponer a terceros la realización y omisión de determinados comportamientos cuya concreta regulación debe establecer la Ley, aquella que conforme al art. 18.4 CE debe limitar el uso de la informática, bien desarrollando el derecho fundamental a la protección de datos (art. 81.1 CE), bien regulando su ejercicio (art. 53.1 CE). La peculiaridad de este derecho fundamental a la protección de datos respecto de aquel derecho fundamental tan afín como es el de la intimidad radica, pues, en su distinta función, lo que apareja, por consiguiente, que también su objeto y contenido difieran” y precisa en su fundamento jurídico 11 sus límites al expresar que “… el derecho a la protección de datos no es ilimitado, y aunque la Constitución no le imponga expresamente límites específicos, ni remita a los Poderes Públicos para su determinación como ha hecho con otros derechos fundamentales, no cabe duda de que han de encontrarlos en los restantes derechos fundamentales y bienes jurídicos constitucionalmente protegidos, pues así lo exige el principio de unidad de la Constitución (SSTC 11/1981, de 8 de abril, F.7; 196/1987, de 11 de diciembre , F.6; y respecto del art. 18, la STC 110/1984, F.5). Esos límites o bien pueden ser restricciones directas del derecho fundamental mismo, a las que antes se ha aludido, o bien pueden ser restricciones al modo, tiempo o lugar de ejercicio del derecho fundamental. En el primer caso, regular esos límites es una forma de desarrollo del derecho fundamental. En el segundo, los límites que se fijan lo son a la forma concreta en la que cabe ejercer el haz de facultades que compone el contenido del derecho fundamental en cuestión, constituyendo una manera de regular su ejercicio, lo que puede hacer el legislador ordinario a tenor de lo dispuesto en el art. 53.1 CE. La primera constatación que debe hacerse, que no por evidente es menos capital, es que la Constitución ha querido que la Ley, y sólo la Ley, pueda fijar los límites a un derecho fundamental. Los derechos fundamentales pueden ceder, desde luego, ante bienes, e incluso intereses constitucionalmente relevantes, siempre que el recorte que experimenten sea necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho fundamental restringido (SSTC 57/1994, de 28 de febrero, F.6; 18/1999, de 22 de febrero, F2).”.
Segunda.- A diferencia de los Reglamentos, con incuestionable alcance general normativo inmediato en los Estados miembros, con carácter obligatorio en todos ellos, expresamente reconocido en el artículo 249 de la versión consolidada del Tratado Constitutivo de la Comunidad Europea y, por ello, de aplicación prevalente con respecto a cualquiera disposición general interna, las Directivas obligan al Estado miembro destinatario, siguiendo el precepto citado del Tratado, “en cuanto el resultado que deba conseguirse, dejando, sin embargo, a las autoridades nacionales la elección de la forma y de los medios”. No tienen por regla general efecto directo y sí la de armonizar o aproximar la legislación de los países de los Estados miembros, condicionando así la labor legislativa de éstos. Solo en aquellos casos en que el Estado miembro no haya introducido en su legislación el resultado pretendido por la Directiva, podría reconocerse, en atención a la definición del artículo 249 del Tratado, un efecto directo a la Directiva.
El retraso en la transposición de una Directiva por los Estados miembros puede tener trascendencia en cuanto, en virtud del llamado efecto útil, que impide que un Estado pueda oponer a los particulares el incumplimiento de las obligaciones que la Directiva impone (sentencias del Tribunal de Justicia de las Comunidades Europeas de 4 de diciembre de 1974 -asunto 41/74, Van Duyn-, 5 de abril de 1979 -asunto 148/1978, Ratti-, 19 de enero de 1982 -asunto 8/1981, Becker-, 10 de septiembre de 2002, -asunto 145/2000, Kügler-), puede considerarse aplicable directamente.
A la necesidad de coordinar o aproximar las legislaciones de los Estados miembros en la concreción del nivel de protección de los derechos y libertades de las personas con relación al tratamiento de datos personales hace mención el “considerando 8” de la Directiva 95/46/CE, expresando que “… para eliminar los obstáculos a la circulación de datos personales, el nivel de protección de los derechos y libertades de las personas, por lo que se refiere al tratamiento de dichos datos, debe ser equivalente en todos los Estados miembros; que ese objetivo, esencial para el mercado interior, no puede lograrse mediante la mera actuación de los Estados miembros, teniendo en cuenta, en particular, las grandes diferencias existentes en la actualidad entre las legislaciones nacionales aplicables en la materia y la necesidad de coordinar las legislaciones de los Estados miembros para que el flujo transfronterizo de datos personales sea regulado de forma coherente y de conformidad con el objetivo del mercado interior definido en el art. 7 A del Tratado; que, por tanto, es necesario que la Comunidad intervenga para aproximar las legislaciones”, para admitir a continuación en el “considerando 9” un cierto grado de maniobra de los Estados miembros al decir que “… a causa de la protección equivalente que resulta de la aproximación de las legislaciones nacionales, los Estados miembros ya no podrán obstaculizar la libre circulación entre ellos de datos personales por motivos de protección de los derechos y libertades de las personas físicas, y, en particular, del derecho a la intimidad; que los Estados miembros dispondrán de un margen de maniobra del cual podrán servirse, en el contexto de la aplicación de la presente Directiva, los interlocutores económicos y sociales; que los Estados miembros podrán, por tanto, precisar en su derecho nacional las condiciones generales de licitud del tratamiento de datos; que al actuar así, los Estados miembros procurarán mejorar la protección que proporciona su legislación en la actualidad; que dentro de los límites de dicho margen de maniobra y de conformidad con el Derecho comunitario, podrán surgir disparidades en la aplicación de la presente Directiva, y que ello podrá tener repercusiones en la circulación de datos tanto en el interior de un Estado miembro como en la Comunidad”, y concluir en el 10, que “… las legislaciones nacionales relativas al tratamiento de datos personales tienen por objeto garantizar el respeto de los derechos y libertades fundamentales, particularmente del derecho al respeto de la vida privada reconocido en el art. 8 del Convenido Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, así como en los principios generales del Derecho comunitario; que, por lo tanto, la aproximación de dichas legislaciones no debe conducir a una disminución de la protección que garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección dentro de la Comunidad”.
Tercera.- Para afirmar que el alcance del control judicial del ejercicio de la actividad reglamentaria viene delimitado por una reiterada jurisprudencia de la que es claro exponente la de 10 de marzo de 2009, dictada en el recurso contencioso administrativo nº 85/2007. Dice así en su fundamento de derecho segundo:
“Planteándose en este recurso el control judicial del ejercicio de la potestad reglamentaria, conviene señalar que tal actividad reglamentaria está subordinada a la Ley en sentido material (arts. 97 CE, 51 Ley 30/92 y 23 Ley 50/97), en cuanto no podrán regularse reglamentariamente materias objeto de reserva de ley, material y formal, y sin perjuicio de la función de desarrollo o colaboración con respecto a la Ley, los reglamentos no pueden abordar determinadas materias, como las que indica el citado artículo 23 de la Ley 50/97, de 27 de noviembre, del Gobierno (tipificar delitos, faltas o infracciones administrativas, establecer penas o sanciones, así como tributos, cánones u otras cargas o prestaciones personales o patrimoniales de carácter público).
Desde el punto de vista formal el ejercicio de la potestad reglamentaria ha de sujetarse al procedimiento de elaboración legalmente establecido (arts. 24 y 25 Ley 50/97), con respeto al principio de jerarquía normativa y de inderogabilidad singular de los reglamentos, así como la publicidad necesaria para su efectividad (art. 9.3 CE), según establece el art. 52 de la Ley 30/92.
Las delimitaciones sustantivas y formales de la potestad reglamentaria determinan el ámbito del control judicial de su ejercicio, atribuido por el art. 106 de la Constitución, en relación con el art. 26 de la Ley 50/97 y el art. 1 de la Ley 29/98 a la Jurisdicción Contencioso Administrativa, lo que se plasma en el juicio de legalidad de la disposición general en atención a las referidas previsiones de la Constitución y el resto del ordenamiento, que incluye los principios generales del Derecho (interdicción de la arbitrariedad, proporcionalidad,…), y que conforman las referidas exigencias sustantivas y formales a las que ha de sujetarse, cumplidas las cuales, queda a salvo y ha respetarse la determinación del contenido y sentido de la norma, que corresponde al titular de la potestad reglamentaria que se ejercita y que no puede sustituirse por las valoraciones subjetivas de la parte o del propio Tribunal que controla la legalidad de la actuación, como resulta expresamente del artículo 71.2 de la Ley reguladora de esta Jurisdicción, que aun en el supuesto de anulación de un precepto de una disposición general no permite determinar la forma en que ha de quedar redactado el mismo.
Este alcance del control judicial del ejercicio de la potestad reglamentaria se recoge en la sentencia de 28 de junio de 2004, según la cual: “además de la titularidad o competencia de la potestad reglamentaria, tradicionalmente se consideran exigencias y límites formales del reglamento, cuyo incumplimiento puede fundamentar la pretensión impugnatoria: la observancia de la jerarquía normativa, tanto respecto a la Constitución y a la Ley (arts. 9.3, 97 y 103 CE), como interna respecto de los propios Reglamentos, según resulta del artículo 23 de la Ley del Gobierno; la inderogabilidad singular de los reglamentos (art. 52.2 de la Ley 30/1992; LRJ y PAC, en adelante); y el procedimiento de elaboración de reglamentos, previsto en el artículo 105 CE y regulado en el artículo 24 de la Ley 50/97. Y se entiende que son exigencias y límites materiales, que afectan al contenido de la norma reglamentaria, la reserva de ley, material y formal, y el respeto a los principios generales del Derecho. Pues, como establece el artículo 103 CE, la Administración está sometida a la Ley y al Derecho; un Derecho que no se reduce al expresado en la Ley sino que comprende dichos Principios en su doble función legitimadora y de integración del ordenamiento jurídico, como principios técnicos y objetivos que expresan las ideas básicas de la comunidad y que inspiran dicho ordenamiento.
En nuestra más reciente jurisprudencia se ha acogido también, de manera concreta, como límite de la potestad reglamentaria la interdicción de la arbitrariedad, establecida para todos los poderes públicos en el artículo 9.3 CE. Principio que supone la necesidad de que el contenido de la norma no sea incongruente o contradictorio con la realidad que se pretende regular, ni con la “naturaleza de las cosas” o la esencia de las instituciones.
Ahora bien, respetadas tales exigencias, el Gobierno, titular de la potestad reglamentaria (art. 97 CE y 23 de la Ley del Gobierno, Ley 50/1997, de 27 de noviembre), puede utilizar las diversas opciones legítimas que permite la discrecionalidad que es inherente a dicha potestad. O, dicho en otros términos, nuestro control jurisdiccional, en el extremo que se analiza, se extiende a la constatación de la existencia de la necesaria coherencia entre la regulación reglamentaria y la realidad sobre la que se proyecta, pero no alcanza a valorar, como no sea desde el parámetro del Derecho, los distintos intereses que subyacen en el conflicto que aquélla trata de ordenar, careciendo este Tribunal de un poder de sustitución con respecto a la ponderación efectuada por el Gobierno. Y ni siquiera procede declarar la invalidez de la norma por razón de la preferencia que de aquellos intereses refleje la disposición reglamentaria, como no suponga una infracción del ordenamiento jurídico, aunque sea entendido en el sentido institucional con que es concebido tradicionalmente en el ámbito de esta jurisdicción (arts. 83 de la Ley de la Jurisdicción de 1956, y 70 y 71 de la Ley de 1998), y que se corresponde con el sentido del citado artículo 9 de la Constitución (Cfr. SSTS 26 de febrero y 17 de mayo de 1999, 13 de noviembre, 29 de mayo y 9 de julio de 2001, entre otras)”.”
En aplicación de la doctrina expuesta debe admitirse que las disposiciones reglamentarias no solo pueden sino que deben incidir en todo aquello que resulte indispensable para asegurar la correcta aplicación y la plena efectividad de la ley que desarrollan.
El reglamento ejecutivo no puede, sin duda, instaurar “ex novo” o agravar cargas y obligaciones no previstas en la ley que desarrolla, debiendo limitarse a establecer, sin ampliar el ámbito de la ley, aquellas normas indispensables que, bien por motivos técnicos, bien para optimizar el cumplimiento de aquella, sean precisas para asegurar la efectividad de esta. En ningún caso pueden limitar derechos, facultades o posibilidades contenidas en la Ley misma, pero su naturaleza de complemento indispensable para la aplicación de la ley habilita para que incluyan además de normas de organización y procedimiento, aquellas otras que complementen disposiciones vagas o imprecisas o enunciadas en la ley solo a nivel de principios.
Cuarta.- El Reglamento impugnado es un Reglamento de desarrollo o ejecución que viene a dar respuesta a la habilitación genérica prevista en la disposición final primera de la Ley 15/1999, en la que se dice, bajo el epígrafe “Habilitación para el desarrollo reglamentario”, que “El Gobierno aprobará o modificará las disposiciones reglamentarias necesarias para la aplicación y desarrollo de la presente Ley”. Pero también responde a concretas remisiones o habilitaciones legales específicas, como son las de los artículos 4,5, párrafo tercero, 9.3, 20.1, 26.2, 37.2, párrafo segundo, 38, 39.3, 45.7, 48.1 y las de la disposición transitoria segunda.
Quinta.- La obligación de someter una cuestión prejudicial al Tribunal de Justicia, prevista en el párrafo 3º del artículo 234 del Tratado de la Comunidad Europea “se inscribe”, como se dice en la sentencia de 12 de junio de 2008 de dicho Tribunal (asunto 458/2006, Skatteverker), “en el marco de la colaboración entre los órganos jurisdiccionales nacionales, en su condición de … encargados de aplicar el Derecho comunitario y el Tribunal de Justicia, establecida a fin de garantizar la aplicación correcta y la interpretación uniforme del Derecho comunitario en todos los Estados miembros. Esta obligación tiene por objetivo principal impedir que se consolide en un Estado miembro cualquiera una jurisprudencia nacional que no se ajuste a las normas del derecho comunitario”.
La decisión de plantear una cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas corresponde exclusivamente al órgano jurisdiccional nacional que conoce del litigio y está en función de la necesidad de contar con una interpretación del Derecho comunitario que se presenta como esencial para que el órgano jurisdiccional nacional pueda resolver con absoluto respeto de ese derecho, la cuestión jurídica sometida a su decisión.
Haciendo uso de esa facultad, por auto de esta fecha referenciado en el antecedente de hecho sexto, se plantea cuestión prejudicial con respecto al artículo 10.2.b) del Reglamento impugnado.
TERCERO.- Hechas las consideraciones precedentes procede entrar a examinar las concretas disposiciones que del Reglamento son objeto de impugnación por la recurrente, en cuyo análisis daremos también respuesta a la propuesta de planteamiento de las cuestiones prejudiciales, no sin antes advertir, acogiendo la argumentación del Abogado del Estado, que la Asociación recurrente carece de legitimación para impugnar los artículos 45.1.b), 46.2 b) y c), y 3, 47 y 49.1 y 4, y que, en consecuencia, incurre el recurso en causa de inadmisibilidad parcial (artículo 68.1.a) en relación con el artículo 69 b), ambos de la Ley Jurisdiccional).
Ubicados los artículos de mención en el Capítulo II del Título IV, relativo a los tratamientos para actividades de publicidad y prospección comercial, está fuera de toda duda que, en aplicación de una reiterada jurisprudencia tanto constitucional como ordinaria, la recurrente carece del derecho o interés legítimo que se contempla en el artículo 19.1 de la Ley Jurisdiccional. Delimitado el concepto de “derecho o interés legítimo” en atención a la pretensión ejercitada, en función de si la anulación que se pretende del acto o disposición impugnados supone un concreto beneficio o la evitación de un singular perjuicio a quien ejercita la acción, esto es, una utilidad específica que va más allá del interés genérico de que las Administraciones Públicas actúen conforme a derecho, no cabe apreciar legitimación impugnatoria a quien como la Asociación recurrente, no le guía en el ejercicio de su acción otro interés que el genérico de referencia.
En sentencia del Pleno de esta Sala de 31 de mayo de 2006 se dice que:
“La legitimación es un presupuesto inexcusable del proceso e implica en el proceso contencioso-administrativo, como hemos señalado en la doctrina de esta Sala (por todas, sentencias de 11 de febrero de 2003, recurso nº 53/2000, 6 de abril de 2004 y 23 de abril de 2005, recurso 6154/2002), una relación material unívoca entre el sujeto y el objeto de la pretensión, de tal forma que su anulación produzca automáticamente un efecto positivo (beneficio) o negativo (perjuicio), actual o futuro, pero cierto, que debe repercutir de manera clara y suficiente en la esfera jurídica de quien acude al proceso y este criterio lo reitera la jurisprudencia constitucional (por todas, en SSTC núms. 197/88, 99/89, 91/95, 129/95, 123/96 y 129/2001, entre otras), pudiéndose concretar algunos criterios interpretativos de la doctrina jurisprudencial en los siguientes puntos:
a) La importancia del interés, que desde el punto de vista procedimental administrativo y procesal jurisdiccional es una situación reaccional, en evitación de un potencial perjuicio ilegítimo temido, de modo que el interés se reputa que existe siempre que pueda presumirse que la declaración jurídica pretendida coloque al accionante en condiciones legales y naturales de conseguir un determinado beneficio material o jurídico o la persistencia de la situación fáctica creada o que pudiera crear el acto administrativo al ocasionar un perjuicio, como resultado inmediato de la resolución dictada.
b) Ese interés legítimo, que abarca todo interés que pueda resultar beneficiado con la estimación de la pretensión ejercitada, puede prescindir de las notas de personal y directo y al diferenciar el interés directo y el interés legítimo, éste no sólo es más amplio que aquél y también es autosuficiente, en cuanto presupone que la resolución administrativa o jurisdiccional ha repercutido o puede repercutir, directa o indirectamente, pero de un modo efectivo y acreditado, es decir, no meramente hipotético, potencial y futuro, en la correspondiente esfera jurídica de quien se persona, ésto es, verse afectado por el acto o resolución impugnada.
c) La genérica legitimación en la Ley Jurisdiccional que se establece a favor de corporaciones, asociaciones, sindicatos, grupos de afectados, uniones sin personalidad o patrimonios independientes o autónomos y la legitimación que no ampara el puro interés por la legalidad, salvo en los limitados casos de la acción popular.
d) Esta Sala, en Auto de 21 de Noviembre de 1997, ya declaró la imposibilidad de reconocer el interés legitimador cuando resultaba únicamente de una autoatribución estatutaria, por cuanto aceptar tal posibilidad equivaldría a admitir como legitimada a cualquier asociación que se constituyera con el objeto de impugnar disposiciones de carácter general o determinadas clases de actos administrativos.
e) Es cierto que debe mantenerse un criterio interpretativo de los requisitos de admisibilidad del recurso contencioso-administrativo acorde al principio “pro actione”, de manera no formalista y de forma favorable a la producción del efecto perseguido por el derecho fundamental a la tutela judicial efectiva de derechos e intereses legítimos a que responde el art. 24.1 de la Constitución, pero también hay que considerar la reiterada jurisprudencia constitucional que señala como el derecho prestacional de la tutela ha de sujetarse al plano de la estricta legalidad, pues sólo inciden en la vulneración del contenido constitucional del artículo 24.1 de la CE aquellas resoluciones que generan interpretaciones arbitrarias e irracionales, lo que no sucede en este caso.
Una cosa es que una Fundación constituida para la defensa de cualesquiera intereses o para el logro de cualesquiera finalidades resulte legitimada plenamente para impugnar actos administrativos, cuando esos intereses resulten afectados o, a juicio del propio ente, deban ser defendidos, tal y como se infiere, con toda claridad, del art. 19.1.aps. a) y b) de la Ley de esta Jurisdicción y otra bien diferente es que tal legitimación se reconozca indiferenciadamente sobre la base de perseguir fines genéricos, incluso de contenido moral, respecto de la actuación de las Administraciones públicas o la prestación de los servicios públicos, cuando, en este caso, el Acuerdo impugnado sólo incidía directamente en los participantes en la convocatoria, cuyo interés profesional sí estaba afectado.
f) Otro de los ejes sobre los que se ha producido la expansión del concepto de la legitimación activa ha sido la acentuación de la idea de los intereses colectivos o de grupo, como refleja la regulación que hoy hacen las Leyes 29/1998 y 1/2000, acogiendo la evolución iniciada por la jurisprudencia del Tribunal Supremo y continuada por el Tribunal Constitucional.
Pero también, en este aspecto, la ampliación experimentada tiene sus límites y así resulta en cuanto a los intereses colectivos cuya diferencia con los intereses difusos -reconocidos por el art. 7 de la LOPJ, como aptos también para generar un título legitimador- se encuentra en que se residencia en tales entes, asociaciones o corporaciones representativas específicos y determinados intereses colectivos.
A diferencia de éstos, los intereses difusos no tienen depositarios concretos y son intereses generales que, en principio, afectan a todos los ciudadanos y que, por su interés prevalente, han obtenido reconocimiento público, plasmado en algún instrumento, incluso en normas constitucionales, y que no deben confundirse con la legitimación que nace, excepcionalmente, de la acción popular, que corresponde a cualquier ciudadano y que debe ser reconocida expresamente por la Ley o de una acción de alcance general como reconoce la STEDH 4/81 de 22 de octubre (asunto Dudgeon contra Reino Unido)”.
Tratándose, como aquí se trata, de la legitimación de una persona jurídica y muy concretamente de una federación empresarial que agrupa empresas de un delimitado sector cual es el financiero, se requiere para apreciar la legitimación que actúe en representación y defensa de los intereses empresariales o profesionales de sus asociados, y ello evidentemente no ocurre cuando impugna unos preceptos reglamentarios que se refieren a una actividad distinta de la que la caracteriza.
En el sentido expresado parece oportuna la cita de la sentencia de esta Sala de 26 de noviembre de 2008. En ella se perfila el concepto de legitimación en el orden contencioso administrativo expresándose lo siguiente:
“… debe tenerse en cuenta que la legitimación en el orden contencioso-administrativo, superando el concepto de interés directo a que se refería el art. 28 de la Ley de Jurisdicción de 1956, viene determinada por la invocación en el proceso de la titularidad de un derecho o interés legítimo (art. 24.1 C.E. y art. 19.1.a) Ley 29/98) que suponga una relación material entre el sujeto y el objeto de la pretensión, de manera que la estimación del recurso produzca un beneficio o la eliminación de un perjuicio que no necesariamente ha de revestir un contenido patrimonial (S. 29-6-2004).
Como señala la sentencia de 19 de mayo de 2000, el mismo Tribunal Constitucional ha precisado que la expresión “interés legítimo”, utilizada en el artículo 24.1 de la Norma Fundamental, aun cuando sea un concepto diferente y más amplio que el de “interés directo”, ha de entenderse referida a un interés en sentido propio, cualificado o específico (sentencia del Tribunal Constitucional 257/1989, de 22 de diciembre), lo que en el ámbito de esta Sala del Tribunal Supremo ha llevado a insistir que la relación unívoca entre el sujeto y el objeto de la pretensión (acto impugnado), con la que se define la legitimación activa, comporta el que su anulación produzca de modo inmediato un efecto positivo (beneficio) o evitación de un efecto negativo (perjuicio) actual o futuro, pero cierto (sentencia de este Tribunal Supremo de 1 de octubre de 1990), y presupone, por tanto, que la resolución administrativa pueda repercutir, directa o indirectamente, pero de modo efectivo y acreditado, es decir, no meramente hipotético, potencial y futuro, en la correspondiente esfera jurídica de quien alega su legitimación, y, en todo caso, ha de ser cierto y concreto, sin que baste, por tanto, su mera invocación abstracta y general o la mera posibilidad de su acaecimiento (SSTS de 4 de febrero de 1991, de 17 de marzo y 30 de junio de 1995 y 12 de febrero de 1996, 9 de junio de 1997 y 8 de febrero de 1999, entre otras muchas; SSTC 60/1982, 62/1983, 257/1988, 97/1991, 195/1992, 143/1994 y ATC 327/1997).
En tal sentido y como recoge la sentencia de 23 de mayo de 2003, “la amplitud con la que la jurisprudencia viene interpretando el art. 28.1.a) de nuestra Ley Jurisdiccional, (la referencia debe entenderse ahora hecha al artículo 19.1.a) de la nueva Ley de la Jurisdicción 29/1.998) por exigencias del art. 24.1 C.E., y la sustitución del concepto de interés directo por el de interés legítimo, no llega hasta el extremo de que no se condicione en todo caso la legitimación a la existencia de un interés real”. Por decirlo con palabras del Tribunal Constitucional (S.T.C. 143/1987) el interés legítimo, al que se refiere el art. 24.1, “equivale a titularidad potencial de una posición de ventaja o de una utilidad jurídica por parte de quien ejercita la pretensión y que se materializaría de prosperar ésta> (SS.T.C. 60/1982, 62/1983, 257/1988 y 97/1991, entre otras)”.
Tratándose de la impugnación de disposiciones generales que afectan a intereses profesionales, como señala la sentencia de 4 de febrero de 2004, la jurisprudencia reconoce legitimación a los profesionales y a las entidades asociativas cuya finalidad estatutaria sea atender y promover tales intereses. Pero “exige, sin embargo, que tengan carácter de afectados, en el sentido de que su ejercicio profesional resulte afectado por el reglamento impugnado (sentencias, entre otras, de 24 de febrero de 2000, 22 de mayo de 2000, 31 de enero de 2001, 12 de marzo de 2001 y 12 de febrero de 2002).
Cuando se impugna la totalidad o varios preceptos de un reglamento, la legitimación debe entenderse restringida a la impugnación de aquellos preceptos de la disposición general que afecten directamente al profesional recurrente o a los intereses profesionales representados por la asociación que ejercita la acción (v. gr., sentencia, ya citada, de 12 de marzo de 2001)”.”
CUARTO.- Aduce la recurrente como primer artículo infractor el 5.1.q), por el que se define conjuntamente al responsable del fichero y al del tratamiento como la “Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que solo o conjuntamente con otros decide sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente”.
Ante la solicitud de planteamiento de cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, es oportuno recordar lo que expresábamos en la consideración segunda del fundamento de derecho precedente en orden al margen de maniobra que a los Estados miembros reconoce la Directiva en su “considerando 9”, corroborado por la sentencia del Tribunal de Justicia de las Comunidades Europeas, de fecha 6 de noviembre de 2003, en la que, en respuesta a la séptima pregunta planteada por el órgano jurisdiccional remitente, relativa, en esencia, a si los “Estados miembros pueden establecer una protección más rigurosa de los datos personales o un ámbito de aplicación más amplio que los que resultan de la Directiva 95/46”, dice lo siguiente:
“95. La Directiva 95/46 tiene por objeto, tal y como se desprende, en particular, de su octavo considerando, equiparar el nivel de protección de los derechos y libertades de las personas por lo que se refiere al tratamiento de datos personales en todos los Estados miembros. Su décimo considerando añade que la aproximación de las legislaciones nacionales en la materia no debe conducir a una disminución de la protección que garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección dentro de la Comunidad.
96. Por tanto, la armonización de dichas legislaciones nacionales no se limita a una armonización mínima, sino que constituye, en principio, una armonización completa. Desde este punto de vista, la Directiva 95/46 trata de asegurar la libre circulación de datos personales, garantizando al mismo tiempo un alto nivel de protección de los derechos e intereses de las personas titulares de dichos datos.
97. Es cierto que la Directiva 95/46 reconoce a los Estados miembros un margen de apreciación en ciertos aspectos y que les permite mantener o establecer regímenes particulares para situaciones específicas, tal y como lo demuestra un gran número de sus disposiciones. No obstante, dichas posibilidades deben emplearse tal y como dispone la Directiva y de conformidad con su objetivo, que consiste en mantener un equilibrio entre la libre circulación de datos personales y la tutela del derecho a la intimidad.
98. En cambio, nada impide que un Estado miembro extienda el alcance de la normativa nacional que adapta el Derecho interno a la Directiva a situaciones que no están comprendidas en el ámbito de aplicación de esta última, siempre que ninguna otra norma de Derecho comunitario se oponga a ello.
99. A la luz de estas consideraciones, procede responder a la séptima cuestión que las medidas adoptadas por los Estados miembros para garantizar la protección de los datos personales deben atenerse tanto a las disposiciones de la Directiva 95/46 como a su objetivo, que consiste en mantener el equilibrio entre la libre circulación de datos personales y la tutela del derecho a la intimidad. En cambio, nada impide que un Estado miembro extienda el alcance de la normativa nacional que adapta el Derecho interno a la Directiva 95/46 a situaciones que no están comprendidas en el ámbito de aplicación de esta última, siempre que ninguna otra norma de Derecho comunitario se oponga a ello”.
Y es que si de la fundamentación de la sentencia de referencia y, en definitiva, de los apartados 5 y 6 de su parte dispositiva, en los que se declara que “Las disposiciones de la Directiva 95/46 no entrañan, por si mismas, una restricción contraria al principio general de la libertad de expresión o a otros derechos y libertades vigentes en la Unión Europea y que tienen su equivalente, entre otros, en el artículo 10 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, firmado en Roma el 4 de noviembre de 1950. Incumbe a las autoridades y a los órganos jurisdiccionales nacionales encargados de aplicar la normativa nacional que adapta el Derecho interno a la Directiva 95/46 garantizar el justo equilibrio entre los derechos e intereses en juego, incluidos los derechos fundamentales tutelados por el ordenamiento jurídico comunitario” y que “Las medidas adoptadas por los Estados miembros para garantizar la protección de los datos personales deben atenerse tanto a las disposiciones de la Directiva 95/46 como a su objetivo, que consiste en mantener el equilibrio entre la libre circulación de datos personales y la tutela del derecho a la intimidad. En cambio, nada impide que un Estado miembro extienda el alcance de la normativa nacional que adapta el Derecho interno a lo dispuesto en la Directiva 95/46 a situaciones que no están comprendidas en el ámbito de aplicación de esta última, siempre que ninguna otra norma de derecho comunitario se oponga a ello”, cabe concluir que ningún inconveniente existe para que un Estado miembro prevea en su normativa interna situaciones que no están contempladas en la Directiva, salvo la existencia de una norma comunitaria que se oponga a ello.
La definición del artículo 5.1.a) del Reglamento coincide con la del artículo 3.d) de la Ley 15/1999, si bien añadiendo el texto reglamentario con respecto al legal, las frases “solo o conjuntamente con otros” y “aunque no lo realizase materialmente”.
Es precisamente esta última frase la que singularmente considera la recurrente para aducir que con ella se amplían los supuestos obligados por las normas de protección de datos, al permitir declarar responsables a personas que no realizaron materialmente los tratamientos, las cuales solo podrían ser consideradas como terceros.
Si así fuera, si en efecto, tal como sostiene la recurrente, el Reglamento amplía, con la inclusión de la frase “aunque no lo realizase personalmente”, los sujetos obligados por las normas de protección de datos, permitiendo su declaración de responsabilidad, sin duda habría un exceso en la potestad reglamentaria pues es claro que la determinación de los sujetos responsables es materia reservada a ley, conforme ya indicamos en el fundamento precedente.
Pero olvida quien así argumenta que tanto en la definición que del responsable del tratamiento ofrece el artículo 2.d) de la Directiva, como la que de éste dan los artículos 3.d) de la Ley y el artículo 5.1.a) del Reglamento, la circunstancia esencial que caracteriza al responsable del tratamiento no es la de que realice de manera directa las operaciones de tratamiento y sí el que “determine los fines y los medios de tratamiento” (en palabras del art. 2.d) de la Directiva), o que “decida sobre la finalidad, contenido y uso del tratamiento” (según el texto del artículo 3.d) de la Ley y 5.1.a) del Reglamento).
Y no repara quien así argumenta en que quien realiza de forma material el tratamiento de datos es el “encargado del tratamiento”, definido de manera exactamente igual en el art. 2.f) de la Directiva y 3.g) de la Ley como “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”, y sustancialmente, idéntica en el art. 5.1.a) del Reglamento, como “La persona física o jurídica, pública o privada, u organismo administrativo que, sólo o conjuntamente con otros trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio”.
Si hemos de estar a la definición aislada que de tercero ofrece el artículo 2.f) de la Directiva, y de forma sustancialmente igual el art. 5.1.r) del Reglamento – no se define en la Ley-, diciendo aquella que es “tercero”: “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento”, es claro que no puede considerarse como tercero a aquellas personas físicas o jurídicas que sí tienen un poder de decisión sobre la finalidad, contenido y uso del tratamiento, característica definitoria, como ya dijimos, del responsable del tratamiento o del fichero en los términos del citado artículo 3.c) de la Ley y 5.1 a) del Reglamento, o, en palabras del artículo 2.d), aquellas personas que tienen capacidad de determinación sobre los fines y los medios del tratamiento.
Recordemos, por si alguna duda interpretativa pudiera surgir a la hora de determinar el alcance de la normativa analizada precedentemente, lo que expresábamos en el anterior fundamento de derecho en orden a que la Ley Orgánica 15/1999 es desarrollo del artículo 18 de la Constitución, por la que debe servir, en consecuencia, como instrumento interpretativo, y que la finalidad que persigue el precepto no es otra que la de establecer unas normas de protección de la libertad del individuo frente a las potenciales agresiones a la dignidad y a la libertad provenientes del uso legítimo de datos, esto es, instaurar una normativa que debe ser utilizada ante un conflicto de intereses entre el derecho constitucional reconocido en dicho precepto y el de libertad en el tratamiento de datos personales.
Pues bien, en atención a lo expuesto, mal puede sostenerse que la frase del artículo 5.1.a) del Reglamento “aunque no lo realizase materialmente” suponga una ampliación de las personas responsables. Ni la tesis que en tal sentido propugna la recurrente es defendible en una interpretación de los artículos 2. d), e) y f) de la Directiva y 3.d) y g) de la Ley a la luz del precepto constitucional, en cuanto excluye de toda responsabilidad, con independencia de que lo considere o no como tercero, a quien con sus decisiones marca las directrices a seguir en el tratamiento de los datos personales, con la consiguiente desprotección de las personas físicas que el precepto constitucional quiere defender, ni lo es tampoco en atención a las definiciones que ofrecen dichos preceptos, de cuyos textos se infiere, sin margen de duda, que el concepto de persona responsable se anuda al poder de determinación o de decisión sobre la finalidad, contenido y uso del tratamiento.
La Ley, concretamente el artículo 43.1, contempla como sujetos activos de las infracciones que en ella se tipifican, a los responsables de los ficheros y a los encargados de los tratamientos.
En consecuencia con lo expuesto, ni hay razón para el planteamiento de cuestión prejudicial, ni para apreciar la nulidad del precepto reglamentario objeto de análisis.
QUINTO.- El segundo precepto impugnado, por entender la recurrente que establece obligaciones adicionales con respecto a la Directiva y a la Ley, es el apartado 5 del artículo 8, concretamente su párrafo tercero que previene que “Cuando los datos hubieran sido comunicados previamente, el responsable del fichero o tratamiento deberá notificar al cesionario, en el plazo de diez días, la rectificación o cancelación efectuada, siempre que el cesionario sea conocido”.
Ubicado el artículo 8 en el Título II, Capítulo I, que tiene por rúbrica “Calidad de los datos”, sostiene la recurrente que la expresada norma impone una obligación no prevista en la Ley al limitar ésta, en su artículo 16.4, el deber de notificación al cesionario solo en caso de que se mantenga el tratamiento por este último. Añade que tanto la Ley como el Reglamento contravienen el artículo 12.c) de la Directiva, que exime del deber de notificación cuando resulta imposible o supone un esfuerzo desproporcionado.
Aunque no lo reconoce expresamente la recurrente, de manera implícita sienta como punto de partida de su argumentación que el texto del artículo 8.5 del Reglamento es desarrollo del artículo 16 de la Ley 15/1999 en el que, en efecto, se restringe, concretamente en su apartado 4, la obligación que impone al responsable del tratamiento de notificar la rectificación o cancelación efectuada a quien se haya comunicado los datos “en el caso de que se mantenga el tratamiento por éste último”.
Si dicho artículo 8.5 del Reglamento fuera en efecto desarrollo del artículo 16.4 de la Ley, la no contemplación en la norma reglamentaria de la circunstancia prevista en la Ley relativa al mantenimiento del tratamiento, permitiría aceptar la tesis de la recurrente del establecimiento por el Reglamento de una nueva obligación, pero como no se ajusta a la realidad que el artículo 8.5 del Reglamento responda al desarrollo del artículo 16.4 de la Ley, mal puede compartirse tal posicionamiento.
El artículo 16 de la Ley reconoce al afectado el derecho de rectificación o cancelación de datos y encuentra su desarrollo reglamentario en los artículos 31 y siguientes del Reglamento y no, como con error considera la recurrente, en su artículo 8.5.
El artículo 8 del Reglamento, bajo la rúbrica “Principios relativos a la calidad de los datos”, desarrolla el artículo 4 de la Ley que, con el título “Calidad de los datos”, previene en su apartado 3 que “Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado”, y en su apartado 4 que “Si los datos de carácter personal registrados resultaren inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16”.
Confunde en efecto la recurrente el procedimiento de cancelación y sustitución de oficio previsto en el artículo 4 de la Ley, cuyo desarrollo reglamentario está en el artículo 8 del Reglamento, con el correspondiente al ejercicio por el afectado del derecho de rectificación y cancelación regulado en el artículo 16 de la Ley y artículos 31 y siguientes del Reglamento, condenando así toda su argumentación y pretensión impugnatoria al fracaso.
Significar que la Ley, a diferencia de lo que sucede con la regulación que ofrece del derecho de rectificación y cancelación en el artículo 16, ninguna disposición contiene sobre el procedimiento de cancelación y sustitución de oficio, lo que además de justificar la necesidad de la normativa reglamentaria, revela una imposibilidad material de que ésta contravenga la Ley.
E igualmente se equivoca la recurrente cuando argumenta que el artículo 16.4 de la Ley y el artículo 8.5 del Reglamento contravienen el artículo 12.c) de la Directiva 95/46/CE que excepciona de la necesidad de notificar a quienes se hayan comunicado los datos de toda rectificación, supresión o bloqueo efectuado por no ajustarse a las normas de la Directiva y, especialmente por el carácter incompleto o inexacto de los datos, cuando “resulta imposible o supone un esfuerzo desproporcionado”, pues el artículo 12 de la Directiva se refiere al ejercicio por el interesado del derecho de rectificación y cancelación y no a la obligación de cancelación y sustitución de oficio que contemplan los expresados preceptos de derecho interno, y que responden a la genérica previsión del artículo 6.d) de la citada Directiva que exige que los Estados miembros vigilen que los datos personales sean exactos, actualizándolos cuando sean necesarios, y tomen “todas las medidas razonables para que los datos inexactos o incompletos, con respecto a los fines para los que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o rectificados.”
Puntualizar que el artículo 31 del Reglamento previene en su párrafo segundo, apartado 2, para aquellos supuestos en que el interesado invoque el ejercicio del derecho de cancelación, que “se estará a lo dispuesto en el Ley Orgánica 15/1999, de 13 de diciembre, y en el presente Reglamento”.
SEXTO.- Distinta suerte que la expresada en los fundamentos de derecho precedentes debe correr la impugnación del artículo 11 que, ubicado en el Capítulo I del Título II, relativo a la calidad de los datos, con la rúbrica “Verificación de datos en solicitudes formuladas a las Administraciones Públicas”, prevé lo siguiente: “Cuando se formulen solicitudes por medios electrónicos en las que el interesado declare datos personales que obren en poder de las Administraciones públicas, el órgano destinatario de la solicitud podrá efectuar en el ejercicio de sus competencias las verificaciones necesarias para comprobar la autenticidad de los datos”.
Sostiene la recurrente que el precepto reglamentario es contrario a los artículo 6.2, 11.2.a) y 21 de la Ley Orgánica y a los artículos 6.2.b) y 9 de la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos.
Argumenta que el precepto impugnado habilita un nuevo supuesto de tratamiento y/o cesión de datos por parte de las Administraciones Públicas sin consentimiento de los interesados, sin más habilitación que una norma reglamentaria.
Introducido el artículo en atención a las observaciones que al proyecto de Reglamento formuló el Ministerio de Administraciones Públicas (folios 906 a 909 del expediente -documento nº 6-), en las que entre otras proponía la adición de un nuevo artículo con la siguiente redacción: “La formulación por medios electrónicos de solicitudes en las que el interesado declare datos personales que obren en poder de las Administraciones públicas conllevará la autorización al órgano destinatario de la solicitud para que verifique la autenticidad de tales datos”, razón asiste a la recurrente cuando afirma que la redacción del precepto, parcialmente modificado con relación a la propuesta u observación del Ministerio de Administraciones Públicas, supone un tratamiento o cesión de datos sin consentimiento y sin la habilitación legal exigida por los artículos 6 y 11 de la Ley Orgánica, ya transcritos en el fundamento de derecho precedente.
La circunstancia de que en la redacción del precepto se hubiera omitido la implícita referencia que en el texto propuesto por el Ministerio de las Administraciones Públicas se hacía a un consentimiento tácito, no permite inferir, contrariamente a lo que sostiene el Abogado del Estado, que el artículo 11 del Reglamento se acomoda a los artículos 6 y 11 de la Ley Orgánica cuando prescinde de la habilitación legal, acomodación que tampoco cabe deducir de la circunstancia de que el precepto reglamentario limite la potestad de verificación de la Administración cuando se encuentre en el ejercicio de sus competencias, pues una cosa es que ese ámbito competencial se encuentre amparado legalmente, consideración esta aducida por el Abogado del Estado, y otra muy distinta que ese amparo legal no comprenda la habilitación legal específica exigida por la Ley Orgánica.
En consecuencia, la impugnación del artículo 11 del Reglamento debe estimarse.
SEPTIMO.- Solución distinta a la anterior merece la impugnación del artículo 12.2.
Ubicado en el Título II, Capítulo II, relativo al consentimiento para el tratamiento de los datos y al deber de información, más concretamente en la Sección Primera, en la que se da regulación a la obtención del consentimiento del afectado, en armonía con su epígrafe, el artículo se limita a establecer unos principios generales y, entre ellos, el expresado en el apartado 2 y que dice así: “Cuando se solicite el consentimiento del afectado para la cesión de sus datos, éste deberá ser informado de forma que conozca inequívocamente la finalidad a la que se destinarán los datos respecto de cuya comunicación se solicita el consentimiento y el tipo de actividad desarrollada por el cesionario. En caso contrario, el consentimiento será nulo.”
Argumenta la recurrente que la indicada norma infringe el artículo 11.3 de la Ley Orgánica que es del siguiente tenor: “Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar.”
Aduce que la utilización en el precepto reglamentario de la conjunción acumulativa “y” en lugar de la disyuntiva “o” empleada en el de la Ley, altera el contenido de éste último.
No repara quien así argumenta en que el apartado 2 del artículo 12 del Reglamento está redactado en positivo (“deberá ser informado de ….”) y en que el apartado 3 del artículo 11 de la Ley lo está en negativo (“cuando la información que se facilite al interesado no le permita conocer ….”), o no tiene en cuenta que esa distinta redacción conlleva a la utilización en el primero de la conjunción acumulativa “y” y en el segundo de la disyuntiva “o”.
Lo cierto es que una y otra norma coinciden en las prevenciones que contienen y que, en consecuencia, la impugnación ha de desestimarse.
Es de significar que tanto el precepto legal como el reglamentario, al exigir que la información comprenda la finalidad a la que se destinarán los datos y el tipo de actividad que desarrolla el cesionario, responden al concepto que del consentimiento ofrece el artículo 3.h) de la Ley, a saber: “toda manifestación de voluntad libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan”.
Y conviene significarlo pues no se entiende que pueda darse cumplimiento al último precepto legal citado, fundamental en el ámbito de la protección de datos, si en la información facilitada para la autorización por el interesado de la cesión de sus datos no se expresa qué finalidad tiene la comunicación de los mismos y qué tipo de actividad desarrolla aquel a quien se le comunican.
OCTAVO.- El siguiente artículo del Reglamento objeto de impugnación por la recurrente es el 13.4 que bajo el epígrafe “Consentimiento para el tratamiento de datos de menores de edad”, previene que “Corresponderá al responsable del fichero o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales”.
Ubicado el precepto impugnado, al igual que el anterior, en la Sección Primera del Capítulo II, del Título II, sostiene la recurrente que además de imponer una obligación “ex novo” al margen de la Ley Orgánica y de la Directiva, tal obligación es de difícil o imposible cumplimiento y desproporcionada. Añade, con una redacción confusa, en cuanto no utiliza otro argumento que la transcripción parcial del documento 1/2008 del Grupo de Trabajo del artículo 29 de la Directiva, sobre protección de los datos personales de los niños, que la Directiva debe ser interpretada en base al principio del interés del niño; que en numerosas ocasiones ese interés no coincide con el de sus representantes; que hay supuestos en que el tratamiento de datos personales es legítimo sin contar con el consentimiento del menor y que además ha de tenerse en cuenta su grado de madurez. Y termina el desarrollo argumental impugnatorio del artículo 13.4 mediante la formulación de una serie de interrogantes relativos a la posibilidad de representación voluntaria para el tratamiento de datos de menores, a la necesidad de establecer garantías sobre la autenticidad de esa representación, a la forma de resolver un hipotético conflicto de intereses entre el menor y sus representantes legales, y a si debe resolverlo el responsable del fichero o del tratamiento.
En relación al extremo relativo a que dicho apartado 4 impone una obligación al margen de la Ley es de indicar que la norma se limita a recoger, en atención a lo dispuesto en el apartado 1, en el que se admite, salvo excepción legal, el consentimiento de mayores de 14 años, la necesaria comprobación del cumplimiento de esa edad y de la autenticidad del consentimiento prestado por los padres, tutores o representantes legales, y ello en garantía de futuras demandas de nulidad.
Parece oportuno advertirlo pues a falta de una comprensible explicación por la recurrente, lo cierto es que no se alcanza a entender la razón de su impugnación.
Si lo que trata de denunciar es que el apartado del precepto impugnado limita los supuestos en que de conformidad con la Directiva no es necesario el consentimiento, procede indicar que de la lectura del expresado apartado 4 del artículo 13 no se deduce que establezca límite alguno a las excepciones previstas en la disposición comunitaria sobre la necesidad del consentimiento. Tampoco a las excepciones de igual naturaleza consideradas en el artículo 6.2 de la Ley 15/1999.
Si lo que en realidad denuncia es pura y simplemente que los procedimientos de garantía referenciados en el precepto reglamentario no están contemplados ni en la Ley ni en la Directiva, es de significar que los artículos 6 y siguientes de estas dos últimas disposiciones, relativas al consentimiento del afectado, no contienen una regulación específica del consentimiento de los menores, habilitando así el desarrollo reglamentario que en nada infringe, ni siquiera se sostiene, las previsiones de las indicadas normas.
No parece reparar la recurrente en que el apartado 4 del artículo 13 es complemento del apartado 1 que prevé que “Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores”. Tan es así que en su argumentación confusa se vislumbra un cierto grado de incongruencia cuando hace mención y transcribe formalmente el documento 1/2008 ya citado.
Cierto es que la comprobación de la edad del menor puede presentarse en ocasiones como difícil, pero ello no debe de servir de excusa para la adopción de las medidas de garantía adecuadas que, en definitiva, es lo único que exige el precepto reglamentario impugnado, razón esta última que impide considerar la exigencia que previene como desproporcionada, cuando afecta o incide en un ámbito especialmente sensible.
Y cierto también que en ocasiones pueden surgir conflictos de intereses entre el menor y su representante legal, pero obviamente lo que no puede pretenderse es que a un hipotético conflicto de tal naturaleza tenga que dar solución la disposición reglamentaria, máxime cuando es objeto de regulación en los artículos 162 y 163 del Código Civil.
NOVENO.- El artículo 18 del Reglamento prevé en su apartado 1 que “El deber de información al que se refiere el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado” y en su apartado 2 que “El responsable del fichero o tratamiento deberá conservar el soporte en el que conste el cumplimiento del deber de informar”, con la puntualización a continuación de lo siguiente: “Para el almacenamiento de los soportes, el responsable del fichero o tratamiento podrá utilizar medios informáticos o telemáticos. En particular podrá proceder al escaneado de la documentación en soporte papel, siempre y cuando se garantice que en dicha automatización no ha mediado alteración alguna de los soportes originales”.
Ubicado en la Sección Segunda del Capítulo II, del Título II, cuya rúbrica es la de “Deber de información al interesado“, contrariamente a lo que sostiene el Abogado del Estado, no se limita dicho precepto a poner de manifiesto que la carga de probar el efectivo cumplimiento del deber de informar corre a cargo del responsable del fichero o tratamiento. Lo que en realidad establece es la obligación de que la prueba de ese efectivo cumplimiento conste documentalmente o por medios informáticos o telemáticos. Y aunque no es posible inferir, como con error sostiene la recurrente, que la norma reduce el derecho a probar por cualquier medio de los admitidos en derecho, sí tiene razón cuando aduce que establece “ex novo”, al margen de la Ley, una obligación adicional. Es más, con la obligación impuesta en el precepto reglamentario puede originar que se aprecie con un cierto grado de desconfianza la conducta de quienes pudiendo preconstituir, sin grandes dificultades apreciables, un medio probatorio exigido por el Reglamento, hace caso omiso a la exigencia.
La Ley reconoce en el artículo 5 el derecho a la información en la recogida de datos, concreta el contenido de la información, y advierte de que el deber de informar ha de ser previo a la recogida, pero salvo la indicación de que la información ha de ser expresa, precisa e inequívoca, ninguna referencia contiene a la forma, abriendo así múltiples posibilidades (escrita, verbal, telemática, etc.) Solo en el apartado 2 del artículo de mención prevé la posibilidad de que se utilicen cuestionarios u otros impresos para la recogida de datos para advertir, pensando sin duda en medios estandarizados, que se han de contener y de forma claramente legible las advertencias expresadas en el apartado 1.
En consecuencia, debe considerarse que el legislador ha optado por la libertad de forma.
Pues bien, siendo ello así, cabe concluir que la disposición reglamentaria que examinamos contraviene la Ley y que por ello debe ser anulada.
Solución distinta se alcanzaría si la letra del precepto impugnado pudiera interpretarse en el sentido de que el medio que previene para cumplir el deber de información se realiza como una mera recomendación, “ad cautelam” de una dificultad probatoria futura, pero los términos categóricos e imperativos utilizados (“deberá llevarse a cabo”, “deberá conservar el soporte”), impiden esa valoración.
En consecuencia, la impugnación del artículo 18 del Reglamento debe estimarse.
DECIMO.- También dirige su impugnación la recurrente al apartado 2.a) el artículo 21.
Ubicado en el Capítulo III, del Título II, de la disposición reglamentaria, relativo al encargado del tratamiento, después de establecer en el apartado 1 la regla general de prohibición de subcontratación por parte del encargado del tratamiento sin autorización del responsable, y de prevenir que en caso de autorización se considera que la contratación se efectúa en nombre y por cuenta del responsable, en el apartado 2 se contiene la excepción a la regla general expuesta, condicionándola a la concurrencia de cuatro requisitos, y, entre ellos, en la letra a), a que “se especifiquen en el contrato los servicios que puedan ser objeto de subcontratación y, si ello fuera posible, la empresa con la que se vaya a subcontratar”.
Sostiene la recurrente, limitando el alcance de la impugnación, que la norma es ilegal en la medida que obliga al encargado del tratamiento a identificar a la empresa con la que vayan a subcontratarse los servicios, lo que si bien en principio no tiene porqué considerarse ilegal, lo es en cuanto establece una exigencia que puede ser contraria al derecho de la competencia.
La norma responde al concepto que de responsable del fichero o tratamiento ofrece el artículo 3.d) de la Ley Orgánica. Si conforme a dicho artículo el responsable del fichero o tratamiento es la persona física o jurídica, de naturaleza pública o privada, u organismo administrativo, que decide sobre la finalidad, contenido y uso del tratamiento, es del todo lógico y está implícito en la norma legal de mención que el encargado del tratamiento comunique al responsable la necesidad de subcontratar y con quién pretende hacerlo, máxime cuando el responsable del tratamiento debe velar, como expresa el artículo 20.2 del Reglamento, precepto no impugnado, para que el encargado del tratamiento reúna las garantías para el cumplimiento de lo en él dispuesto.
Dicho lo anterior es obligado indicar, contrariamente a lo que sostiene el Abogado del Estado, que aunque el artículo 21 no contiene una previsión específica sobre la facultad del responsable del tratamiento en orden a la comunicación de subcontratación, es claro que esa comunicación del encargado del tratamiento constituye en realidad una propuesta que puede ser rechazada por aquel, bien por entender improcedente la subcontratación, bien por considerar inidónea la empresa con la que se pretende subcontratar. Así se infiere de la capacidad de decisión del responsable del tratamiento y de la responsabilidad que le corresponde.
Si el responsable del tratamiento, de conformidad con el artículo 17.2 de la Directiva, debe elegir un encargado del tratamiento que ofrezca garantías suficientes en relación con las medidas de seguridad técnica y de organización de los tratamientos que deben efectuarse, y asegurarse que se cumplen dichas medidas, y si de conformidad con el apartado 3 del indicado artículo el encargado del tratamiento solo actúa siguiendo instrucciones del responsable del tratamiento, negar capacidad de disposición a éste en supuestos de subcontratación es una conclusión reñida con los más elementales criterios de la lógica.
La posibilidad, mera probabilidad, de que el responsable del tratamiento pueda controlar el mercado de servicios de tratamiento, bien mediante el veto de una o varias empresas, bien mediante la manifestación de preferencia por alguna o algunas, por constituir una mera hipótesis, necesariamente debe ceder ante una previsión reglamentaria específica pero con cobertura, conforme resulta de la Directiva y de la Ley Orgánica. Otra cosa es que ya en el terreno de la realidad deban corregirse por quien corresponda prácticas restrictivas de la competencia.
DECIMOPRIMERO.- Tampoco puede tener acogida la impugnación del apartado 2.a) del artículo 23.
Ubicado en el Título III relativo a los derechos de acceso, rectificación, cancelación y oposición, concretamente en su Capítulo I, referido a disposiciones generales, el artículo 23 es del siguiente tenor:
“1. Los derechos de acceso, rectificación, cancelación y oposición son personalísimos y serán ejercidos por el afectado.
2. Tales derechos se ejercitarán:
a) Por el afectado, acreditando su identidad, del modo previsto en el artículo siguiente.
b) cuando el afectado se encuentre en situación de incapacidad o minoría de edad que le imposibilite el ejercicio personal de esto derechos, podrán ejercitarse por su representante legal, en cuyo caso serán necesario que acredite tal condición.
c) Los derechos también podrán ejercitarse a través de representante voluntario, expresamente designado para el ejercicio del derecho. En ese caso, deberá constar claramente acreditada la identidad del representado, mediante la aportación de copia de su Documento Nacional de Identidad o documento equivalente, y la representación conferida por aquél.
Cuando el responsable del fichero sea un órgano de las Administraciones públicas o de la Administración de Justicia, podrá acreditarse la representación por cualquier medio válido en derecho que deje constancia fidedigna, o mediante declaración en comparecencia personal del interesado.
3. Los derechos serán denegados cuando la solicitud sea formulada por persona distinta del afectado y no se acreditase que la misma actúa en representación de aquél”.
Entiende la recurrente, limitando así su impugnación del artículo a su apartado 2.c), que por ser los derechos que contempla el precepto derechos personalísimos, queda reservado su ejercicio en exclusiva a los interesados, por lo que no es conforme a derecho que en el apartado 2.c), párrafo primero, se admita que puedan ejercitarse a través de representante voluntario.
Parte la recurrente de un error, cual es el considerar que un derecho de carácter personalísimo no puede ejercitarse por medio de un representante voluntario.
No repara en que cuando una persona actúa en nombre y por cuenta de otra se considera que la actuación se realiza por el propio interesado, y en que la consideración expuesta no sufre variación aún cuando la actuación se refiera a un acto personalísimo. Un acto personalísimo es, y sirva solo a título de ejemplo, el de contraer matrimonio, y el artículo 55 del Código Civil contempla la posibilidad de contraerlo por medio de apoderado.
Cuestión distinta es que se requiera un apoderamiento expreso que comprenda los concretos actos personalísimos a realizar por el apoderado, circunstancia que ya prevé la norma impugnada al hacer mención a la designación expresa para el ejercicio del derecho, añadiendo, en garantía del representado, la acreditación fidedigna de la representación conferida.
DECIMOSEGUNDO.- También debe ser desestimada la impugnación del artículo 24.3, último inciso del párrafo primero y el párrafo segundo.
Ubicado el precepto impugnado, al igual que el examinado anteriormente, en el Capítulo I, del Título III, con el epígrafe “Condiciones generales para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición”, dice así el apartado 3:
“El ejercicio por el afectado de sus derechos de acceso, rectificación, cancelación y oposición será gratuito y en ningún caso podrá suponer un ingreso adicional para el responsable del tratamiento ante el que se ejercitan.
No se considerarán conformes a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, y en el presente Reglamento los supuestos en que el responsable del tratamiento establezca como medio para que el interesado pueda ejercitar sus derechos el envío de cartas certificadas o semejantes, la utilización de servicios de telecomunicaciones que implique una tarificación adicional al afectado o cualesquiera otros medios que impliquen un coste excesivo para el interesado”.
Argumenta la recurrente que las previsiones de los apartados del precepto impugnado son contrarias a los artículos 15 y 17.2 de la Ley Orgánica y al artículo 12 de la Directiva.
El apartado 1 del artículo 15 de la Ley, único de interés para el examen de la impugnación ejercitada, dice así: “El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dicho datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos”, y el artículo 17.2 que “No se exigirá contraprestación alguna por el ejercicio de los derechos de oposición, acceso, rectificación o cancelación”.
Por su parte el artículo 12 de la Directiva, en el que se impone a los Estados miembros garantizar entre otros derechos de los interesados el de acceso, información, rectificación, supresión o bloqueo de los datos, prevé que ello ha de ser así sin que el ejercicio de tales derechos suponga “gastos excesivos”.
Aunque conforme afirma el Consejo de Estado en su dictamen (folios 995 y siguientes del expediente) “llama la atención la disparidad de fórmulas empleadas en el texto proyectado (ingreso adicional, ingreso alguno, medio gratuito)”, es claro que la norma reglamentaria impugnada no excede ni contradice la previsión legal y la de la Directiva.
Con el empleo de la palabra “gratuitamente” en el artículo 15, relativo al derecho de acceso por el propio interesado a sus datos de carácter personal sometidos a tratamiento y con los de “contraprestación alguna” en el artículo 17.2, relativo al procedimiento de oposición, acceso, rectificación o cancelación, de manera explícita el legislador excluye la posibilidad de que en el ejercicio de los derechos que en esos preceptos se contemplan puede el responsable del fichero obtener un lucro a cuenta del interesado, y esa exclusión se corrobora en el artículo 24.3 del Reglamento cuando en el inciso final del párrafo primero se expresa que “en ningún caso podrá suponer un ingreso adicional para el responsable del tratamiento ante el que se ejercitan”.
Lo que parece sostener la recurrente, en una argumentación confusa, es que el precepto reglamentario impugnado con la mención a un ingreso adicional impide obtener un ingreso que no proviniese del afectado, supuesto este que por no contemplarse en el artículo ni explícita ni implícitamente, condena la impugnación al fracaso.
El concepto de ingreso adicional del apartado 3 del artículo 24 está referido sin duda a aquellos ingresos que pudieran proceder del interesado. Así resulta de su interpretación literal y sistemática. Pero si alguna duda surgiere al respecto, se despeja en el párrafo segundo que, con una improcedente técnica normativa, en cuanto no corresponde a las disposiciones reglamentarias decir lo que no es conforme a la Ley, concreta, sin ánimo exhaustivo, algunos supuestos contrarios a la gratuidad o que implican un gasto innecesario para el interesado.
Resta significar en relación a la aducida vulneración del artículo 12 de la Directiva, en el que también claramente se infiere de su texto que la prohibición de “gastos excesivos” se refiere a los interesados que ejercitan los derechos que en dicho precepto se contemplan, que el párrafo segundo del artículo 24.3, precedentemente analizado, en su último inciso, en absoluta armonía con la Directiva, al hacer mención a “otros medios”, utiliza el concepto de “coste excesivo” y precisamente con respecto al interesado.
DECIMOTERCERO.- La Sección Segunda, del Capítulo I, del Título IV, relativa a los ficheros de información sobre solvencia patrimonial y crédito, tiene la siguiente rúbrica: “Tratamiento de datos relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés”.
Sostiene la recurrente la ilegalidad del término “cumplimiento”, en cuanto al hacer referencia a los llamados ficheros positivos o de solvencia y no regularlos en los artículos integradores de la Sección (artículos 38 a 44), debe suprimirse el indicado término. Conclusión que le sirve de premisa para argumentar que el Reglamento niega la posibilidad de creación de tales ficheros, con la consiguiente contravención del artículo 29.2 de la Ley de la Directiva que sí contemplan su existencia.
La impugnación está abocada al fracaso con solo tener en consideración que el epígrafe o rúbrica de la Sección, por carecer de efectos normativos, no puede ser impugnada.
Pero es que además a igual solución conduce la aplicación al caso enjuiciado de la doctrina jurisprudencial invocada por la parte recurrente delimitadora del alcance de la potestad jurisdiccional que corresponde cuando, como aquí sucede, se denuncia una omisión reglamentaria, cual es la ausencia de regulación en la Sección de los ficheros positivos.
La sentencia de este Tribunal de 28 de junio de 2004, citada por la recurrente, supone en efecto una superación de aquella doctrina jurisprudencial que, en atención al carácter revisor de la Jurisdicción y en consideración a que la potestad reglamentaria es una facultad político-normativa de carácter discrecional, negaba o limitaba en gran medida el enjuiciamiento de una omisión normativa. Superada esa concepción, con fundamento en que en el ejercicio de la potestad reglamentaria son diferenciables aspectos reglados y discrecionales, debe reconocerse, y así se hace en la sentencia de mención, que “no es rechazable ad limine, sin desnaturalizar la función jurisdiccional, una pretensión de condena a la Administración a elaborar y promulgar una disposición reglamentaria o que esta tenga un determinado sentido, porque el pronunciamiento judicial, en todo caso de fondo, dependerá de la efectiva existencia de una obligación o deber legal de dictar una norma de dicho carácter en un determinado sentido”.
Concluye la sentencia de referencia que “únicamente es apreciable una ilegalidad omisiva controlable en sede jurisdiccional cuando el silencio del Reglamento determina la implícita creación de una situación jurídica contraria a la Constitución o al ordenamiento jurídico, o, al menos, cuando siendo competente el órgano titular de la potestad reglamentaria para regular la materia de que se trata, la ausencia de la previsión reglamentaria supone el incumplimiento de una obligación legal establecida por la Ley o la Directiva que el Reglamento trata de desarrollar y ejecutar o de trasponer”.
Y es que en efecto, en aplicación de la doctrina precedentemente expuesta, mal puede sostenerse que la omisión que se imputa al Reglamento sea controlable en sede jurisdiccional. Ni la omisión crea una situación jurídica contraria a la Constitución o a la Ley, pues ni siquiera permite afirmar que implícitamente la omisión supone la negativa a la existencia de los ficheros positivos o de solvencia, ni admitiendo la competencia del Consejo de Ministros para que por vía reglamentaria desarrolle la previsión legal, es posible observar la existencia de una norma de esta naturaleza que imponga la obligación de desarrollo normativo.
No se discute por la Administración demandada, y tampoco se cuestiona por este Tribunal, la relevancia de los ficheros de carácter positivo o de solvencia; lo que afirmamos con las consideraciones precedentes es que la omisión reglamentaria no supone, contrariamente a lo que sostiene la recurrente, una prohibición de los ficheros positivos.
Aunque lo hasta aquí expuesto es motivación suficiente para el rechazo de la impugnación objeto de examen, en respuesta a la argumentación de la recurrente relativa a que el artículo 29.2 de la Ley Orgánica permite la creación de ficheros positivos sin consentimiento de los afectados, procede indicar que la afirmación de referencia es fruto de una interpretación errónea del citado artículo 29.
Con el título “Prestación de servicios de información sobre solvencia patrimonial y crédito”, los apartados 1 y 2 del precepto legal dicen así:
” 1. Quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y el crédito sólo podrán tratar datos de carácter personal obtenidos de los registros y las fuentes accesibles al público establecidos al efecto o procedentes de informaciones facilitadas por el interesado o con su consentimiento.
2. Podrán tratarse también datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley.”
La lectura de dichos apartados permite concluir, en una interpretación lógico-sistemática de los mismos, que el apartado 1 se está refiriendo a los ficheros positivos o de solvencia patrimonial, exigiéndose para el tratamiento de los datos su obtención de los registros y fuentes accesibles al público o de las informaciones facilitadas por el propio interesado o con su consentimiento y que el apartado 2 hace mención a los ficheros negativos o de incumplimiento, como sin dificultad se infiere, pese a la referencia al “cumplimiento o incumplimiento de las obligaciones”, de que se trata de datos facilitados por el acreedor o por quien actúe por su cuenta e interés. Lo que no resulta admisible son los ficheros positivos prescindiendo del consentimiento del afectado.
DECIMOCUARTO.- Del artículo 38 impugna la recurrente los apartados 1.a) y b), 2 y 3.
Dentro de la Sección Segunda del Capítulo I, del Título I, el precepto dice así:
“1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:
a) Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero.
b) Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquella fuera de vencimiento periódico.
c) Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.
2. No podrán incluirse en los ficheros de esta naturaleza datos personales sobre los que exista un principio de prueba que de forma indiciaria contradiga alguno de los requisitos anteriores.
Tal circunstancia determinará asimismo la cancelación cautelar del dato personal desfavorable en los supuestos en que ya se hubiera efectuado su inclusión en el fichero.
3. El acreedor o quien actúe por su cuenta o interés estará obligado a conservar a disposición del responsable del fichero común y de la Agencia Española de Protección de Datos documentación suficiente que acredite el cumplimiento de los requisitos establecidos en este artículo y del requerimiento previo al que se refiere el artículo siguiente“.
Con relación al apartado 1.a) limita la impugnación a la frase “… y respeto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero”.
Argumenta que la norma con la frase impugnada establece una presunción “iuris et de iure” de que la deuda no es cierta, ni vencida, ni exigible, y que, en consecuencia, en ningún caso puede ser incluida en los ficheros de incumplimiento de obligaciones dinerarias; que permite dejar en manos del afectado el poder convertir unilateralmente en controvertida una deuda que no lo es, lo que a su juicio va en contra del principio de calidad de dato; que la referencia a los Comisionados fue incorporada al texto nueve días antes de su aprobación por el Consejo de Ministros, sin posibilidad de ser informado por el Consejo de Estado y sin que se hubiera abierto consulta a los interesados, con la consiguiente infracción del artículo 24.1.c) de la Ley 50/1997, de 27 de noviembre, de Organización, Competencia y Funcionamiento del Gobierno; que esa mención a los Comisionados no es acorde con la naturaleza, funciones encomendadas y efectividad de sus informes, ni con el procedimiento regulado para la institución (artículos 1.3, 5, 6, 7 y 8 del Reglamento de los Comisionados para la defensa del cliente de los servicios financieros aprobado por Real Decreto 303/2004, de 20 de febrero, aprobado en desarrollo de la Ley 44/2002, de 22 de noviembre, de Reforma del Sistema Financiero); que además la inclusión de los Comisionados es discriminatoria con los servicios financieros, en cuanto hay figuras semejantes a los Comisionados en otros sectores como por ejemplo en el de comunicaciones sin que se contemplen las consecuencias previstas en la norma impugnada; que la norma origina inseguridad jurídica; que favorece la morosidad e impide el cumplimiento de las directivas comunitarias en materia de crédito responsable, citando al efecto el considerando 26 y los artículos 8 y 9 de la Directiva 2008/48/CE del Parlamento Europeo y del Consejo, de 13 de abril de 2008, relativa a los contratos de crédito al consumo.
Iniciado, por razones lógico jurídicas de enjuiciamiento, el examen de la conformidad a derecho del inciso impugnado del artículo 38.1.a), por la denunciada infracción procedimental del artículo 24.1.c) de la Ley 50/1997, es oportuno recordar, siguiendo jurisprudencia de esta Sala plasmada en numerosas y reiteradas sentencias, que el trámite mediante el que se elabora y aprueba una disposición general constituye un procedimiento especial previsto por el artículo 105, apartado 1, de la Constitución, y regulado con carácter general en el artículo 24 de la Ley 50/1997, al tiempo que un límite formal al ejercicio de la potestad reglamentaria. Su observancia, dice la sentencia de 12 de mayo de 2009 (recurso nº 130/2007), con cita de la de 13 de noviembre de 2000 (recurso nº 513/1998), tiene, por tanto, un carácter “ad solemnitatem”, de modo que, su omisión o su defectuoso cumplimiento, traducido en un olvido trascendente para la finalidad a que tiende su exigencia, arrastra la nulidad de la disposición que se dicta.
Con el término trascendente se alude, conforme también se expresa en la sentencia de referencia, con cita de la de 15 de diciembre de 1997 (recurso nº 715/95), a una interpretación funcional y teleológica de las garantías procedimentales establecidas para la elaboración de las disposiciones generales, que no se justifican por el puro formalismo sino por la finalidad a que responden y que no es otra que garantizar, como decía el artículo 129 de la Ley de Procedimiento Administrativo de 17 de julio de 1958, la legalidad, acierto y oportunidad de las disposiciones reglamentarias.
Y en efecto es oportuno recordar la doctrina jurisprudencial expuesta, pues al responder la mención a los Comisionados al informe emitido por el Consejo de Estado, es claro que se ha dado cumplimiento a las garantías procedimentales exigibles en función a la finalidad perseguida: legalidad, acierto y oportunidad de la disposición reglamentaria.
En el sentido expresado se pronuncia la sentencia de esta Sala de 7 de octubre de 2008, cuando en ella se expresa que “el que los informes efectivamente emitidos por los organismos o corporaciones consultados, lo fueren con anterioridad al segundo texto del proyecto de Reglamento definitivamente aprobado no invalida el trámite de audiencia, ni exige que se vuelva a pedir nuevo informe, dado que estos son preceptivos pero no vinculantes y se ha conseguido el fin perseguido, que no es otro que quien ostenta la potestad para redactar definitivamente la disposición se ilustre con el criterio de los organismos consultados”.
Es más, no instándose en el suplico de la demanda la nulidad del procedimiento de elaboración y aprobación del Reglamento, mal podría acogerse, aún cuando se admitiera la comisión de la irregularidad formal denunciada, la nulidad de mención que conllevaría ordenar retrotraer al procedimiento administrativo al momento en que se cometió la irregularidad.
Dicho lo anterior procede indicar que la exigencia al inicio del apartado 1.a) del artículo 38 de que la deuda sea “cierta” responde al principio de veracidad y exactitud recogido en el artículo 4.3 de la Ley 15/1999, al expresar que “Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado”.
Siendo el adjetivo “cierto” sinónimo de irrefutable, incontestable, indiscutible, etc., el tema de debate se circunscribe a si es posible sostener con éxito que, en aquellos casos en que se hubiera entablado con respecto a la deuda un procedimiento de los expresados en el artículo 1.a), puede hablarse de una deuda cierta antes de que recaiga resolución firme o se emita, en los supuestos previstos en el Reglamento de los Comisionados, el informe correspondiente.
Reconociéndose que la aplicación de la norma puede producir efectos adversos al permitir evitar la inclusión del dato relativo a la deuda en los ficheros de solvencia patrimonial, debe también reconocerse que esos efectos adversos es posible contemplarlos cuando se incluye en un fichero de esa naturaleza la existencia de una deuda inexistente, no vencida o inexigible.
Pero lo relevante no son esos efectos y sí el decidir si el apartado 1.a) del artículo responde a la previsión legal del artículo 4.3, y la respuesta debe ser negativa en atención a la defectuosa redacción del precepto reglamentario por una inconcreción en su texto no solo de aquellos procedimientos que justifican la no inclusión en los ficheros de las deudas a que aquellos se refieren, sino también porque esa vaguedad permite considerar que incluso cuando la reclamación se formule por el acreedor exista la imposibilidad de inclusión de los datos en el fichero.
En contra del parecer del Abogado del Estado, el concepto de “cualquier infracción del ordenamiento jurídico”, contemplado en el artículo 70.2 de la Ley Jurisdiccional, comprende aquellos supuestos en que las disposiciones generales, por su falta de concreción, pueden dar origen a efectos no deseados, lo que en efecto sucede con la norma reglamentaria impugnada. Pensemos, y sirva solo a título de ejemplo, en las garantías que ofrece una deuda hipotecaria.
No otra cosa puede decirse si nos atenemos a lo dispuesto en el artículo 6.1.d) de la Directiva que exige que los datos sean exactos y, cuando sea necesario, actualizados, así como que se tomen todas las medidas razonables para que los datos inexactos o incompletos, con respecto a los fines para los que fueran recogidos o para los que fueron tratados posteriormente, sean suprimidos o ratificados, pues mal puede entenderse que unos datos no son exactos y no se encuentran actualizados como consecuencia de una reclamación de cualquier naturaleza en instancias judiciales, arbitrales, administrativas o ante los Comisionados.
La argumentación de la recurrente pone de manifiesto un conflicto de intereses que a la luz de la doctrina constitucional a la que hicimos mención en el fundamento de derecho segundo debe resolverse exigiendo una mayor concreción en el precepto reglamentario que pondere los intereses en presencia en atención a las circunstancias concretas.
Todo ello justifica la estimación de la impugnación del artículo 38.1.a) en el sentido de eliminar del mismo la frase “… y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero”.
Del apartado 1.b) del artículo 38 impugna la recurrente la referencia que en el se hace al vencimiento del plazo concreto si la deuda fuera de vencimiento periódico.
Sostiene que la norma impugnada no responde al principio de calidad de los datos recogido en los artículos 4.3 y 29.2 de la Ley Orgánica y 6.1.d) de la Directiva y como todo argumento se limita a expresar que el artículo 16 de la Ley 28/1998, de 13 de julio , de Venta a Plazos de Bienes Muebles faculta al acreedor “en caso de incumplimiento del deudor a exigir el pago de la cantidad total reclamada”.
Con independencia de la defectuosa redacción con la que se exterioriza la interpretación del citado artículo 16 de la Ley 28/1998 por la recurrente, parece que su disconformidad con la norma reglamentaria impugnada es que en ella se considere cada impago de una deuda de vencimiento periódico como un dato individualizado a los efectos del cómputo del plazo de los seis años.
La impugnación debe rechazarse, en cuanto lejos de infringir la norma reglamentaria el principio de calidad de datos responde al mismo y muy concretamente a la previsión del apartado 4 del artículo 29 de la Ley y que dice así: “Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquéllos”.
Y es que si los datos de carácter personal en general, de conformidad con el artículo 4.3 de la Ley Orgánica han de ser exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado, y los de solvencia económica adversos, de conformidad con el artículo 29.4, también deben responder con veracidad a la situación actual, mal puede sostenerse disconformidad alguna con el precepto reglamentario analizado que contempla o tiene en consideración la inscripción en el fichero de tantos asientos como vencimientos periódicos existan, circunstancia esta que no se combate y que ya estaba prevista en la circular 1/1995 de la Agencia de Protección de Datos.
En cuanto a la impugnación del apartado 2 del artículo 38, sostiene la recurrente que con la frase “un principio de prueba que de forma indiciaria … “ se contravienen los artículos 120.1 de la Ley 30/1992, de 26 de noviembre, del Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, y 25 de la Constitución, al tipificar por vía reglamentaria una conducta infractora, así como los artículos 4.3 y 29.2 de la Ley Orgánica, 6 de la Directiva 95/46/CE y 8 y 9 de la Directiva 2008/48/CE, de Crédito al Consumo. Añade que la norma es ambigua y carente de toda seguridad jurídica.
Lo que el precepto impugnado viene a decir es que si hay un principio de prueba que de forma indiciaria contradiga los requisitos exigidos en el apartado 1 para la inclusión de los datos en los ficheros de solvencia económica, no pueden incluirse, es más, en el párrafo segundo del apartado 2 se considera como suficiente ese principio de prueba para la cancelación cautelar del dato personal desfavorable que se hubiera incluido, imponiendo la cancelación expresamente.
La norma, sin duda, quiere responder al principio de calidad de datos, y no tipifica “ex novo” ninguna infracción. Lo que hace es trasladar la carga de la prueba de la concurrencia de los requisitos previstos en el artículo 38.1 al encargado del tratamiento, pero ha de reconocerse que lo hace en términos tales que origina una gran inseguridad jurídica que puede dar lugar a la apertura de expedientes sancionadores.
Por ello ha de concluirse que no es conforme a derecho.
Cierto es que la prueba de indicios es una prueba admitida en nuestro derecho, pero no lo es menos, y valga al respecto la cita de la sentencia de la Sala de lo Civil de este Tribunal de 16 de septiembre de 1996, que no es equiparable a la prueba de presunciones. Sin duda juega un papel relevante en el ámbito cautelar, pero ha de reconocerse que la redacción de la norma al no concretar qué principio de prueba exige (documental, pericial, testifical, etc.), junto a la dificultad de apreciación del grado exigible de la prueba indiciaria, origina en efecto una inseguridad jurídica que debe corregirse.
En cuanto a la impugnación del artículo 38.3, sostiene la recurrente que impone una obligación al acreedor que no figura en la Ley Orgánica y cuyo incumplimiento podría dar lugar a la imposición de una sanción por infracción cuando menos grave en aplicación del artículo 44.3.d) de la citada Ley. Añade que supone una posible cesión de datos no habilitada legalmente y contraria al artículo 11 el citado Texto Legislativo.
Al tratarse de una norma articulada en garantía del responsable del fichero, mal puede sostenerse que dé lugar su aplicación a una cesión de datos o que suponga la imposición de una obligación “ex novo” al acreedor. Debiendo entenderse por cesión o comunicación de datos, siguiendo la definición que ofrece el artículo 3.i) de la Ley Orgánica y el artículo 5.1.c) del Reglamento, toda revelación de datos realizada a una persona distinta del interesado, en atención al concepto que también se nos ofrece en el Reglamento del responsable del fichero (artículo 5.1.q)), debe rechazarse que el precepto impugnado suponga una cesión de datos inconsentida, o que imponga al acreedor una obligación “ex novo”, cuando se limita a establecer, conforme ya dijimos, en garantía del responsable del fichero, una garantía probatoria de la existencia del dato.
DECIMOQUINTO.- El artículo 39, ubicado al igual que el 38, en la Sección Segunda del Capítulo I, del Título IV, con el epígrafe “Información previa a la inclusión”, prevé que “El acreedor deberá informar al deudor, en el momento en que se celebre el contrato y, en todo caso, al tiempo de efectuar el requerimiento al que se refiere la letra c) del apartado 1 del artículo anterior, que en caso de no producirse el pago en el término previsto para ello y cumplirse los requisitos previstos en el citado artículo, los datos relativos al impago podrán ser comunicados a ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias”.
Sostiene la recurrente que el deber que al acreedor impone el precepto no está previsto en la Ley Orgánica. Afirma que ni los artículos 5 y 29.2 de la Ley, ni ningún otro precepto del Texto Legislativo, imponen al acreedor la obligación de información que se contempla en el reglamentario en dos momentos distintos, a saber, al celebrar el contrato y al efectuar el requerimiento, pero lo cierto es que el artículo 5.1 de la Ley sí impone implícitamente la obligación, en cuanto es el acreedor quien está en condiciones de ofrecer el derecho de información que demanda el precepto legal. Significar que el artículo 5.4, al expresar que “Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e) del apartado 1 del presente artículo” ya contempla la práctica de una información con anterioridad.
DECIMOSEXTO.- El artículo 40.2, ubicado también en la Sección Segunda del Capítulo I, del Título IV, después de expresar en el apartado 1 que “El responsable del fichero común deberá notificar a los interesados respecto de los que hayan registrado datos de carácter personal, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos, informándole asimismo de la posibilidad de ejercitar sus derechos de acceso, rectificación, cancelación y oposición, en los términos establecidos por la Ley Orgánica 15/1999, de 13 de diciembre”, prevé en el apartado 2, único objeto de impugnación por la recurrente, que “Se efectuará una notificación por cada deuda concreta y determinada con independencia de que ésta se tenga con el mismo o con distintos acreedores”.
Sostiene la indicada parte que impone una obligación “ex novo” contraria a lo dispuesto en el artículo 29.2 de la Ley y al artículo 11.2 de la Directiva.
En cuanto el precepto responde al principio de singularización o individualización de las obligaciones nada cabe objetar. No parece tener en cuenta la recurrente en su argumentación que el artículo 29.2 de la Ley Orgánica cuando hace mención a la notificación a los interesados respecto de los datos que haya registrado en el fichero, se refiere a los relativos al cumplimiento o al incumplimiento de las obligaciones dinerarias utilizando el plural, adjetivo que igualmente utiliza para hacer mención a los datos.
Siendo ello así, la exigencia reglamentaria de una notificación por cada deuda concreta y determinada, lejos de ser contraria a la Ley Orgánica, constituye una puntualización necesaria que no excede de la potestad reglamentaria, ni de la previsión del artículo 11.2 de la Directiva, relativa a la no exigencia de esfuerzos desproporcionados, pues parece claro que no puede calificarse como esfuerzo desproporcionado que el interesado tenga conocimiento puntual de las deudas que se le imputan, única forma además de que pueda ejercitar su derecho a recabar la información a la que se refiere el citado artículo 29.2 de la Ley. Otra cosa es que la notificación de las deudas individualizadas, aunque sean varias, se realice en un solo acto, lo que, en una interpretación racional del artículo, no se impide.
DECIMOSEPTIMO.- Tampoco nada cabe objetar al artículo 41, cuyos apartados 1 y 2, ambos impugnados en el escrito de demanda, dicen así:
“1. Sólo podrán ser objeto de tratamiento los datos que respondan con veracidad a la situación de la deuda en cada momento concreto.
El pago o cumplimiento de la deuda determinará la cancelación inmediata de todo dato relativo a la misma.
2.- En los restantes supuestos, los datos deberán ser cancelados cuando se hubieran cumplido seis años contados a partir del vencimiento de la obligación o del plazo concreto si aquélla fuera de vencimiento periódico”.
Ubicado el precepto, al igual que los tres anteriores ya examinados, en la Sección Segunda, del Capítulo I, del Título IV, con relación al apartado 1, la recurrente muestra su disconformidad con el párrafo segundo, con una doble observación. Sostiene que impide la posibilidad de los ficheros positivos, con infracción del artículo 29.2 de la Ley Orgánica en el que sí se permiten, y que imponen una obligación “ex novo” con respecto a la Ley. Añade que la norma impugnada origina inseguridad.
La impugnación no repara en que el precepto reglamentario cuestionado se refiere, única y exclusivamente, a los ficheros de incumplimiento o de morosos, por lo que mal puede sostenerse con éxito que su aplicación supone la desaparición de los ficheros de solvencia positiva.
Procede que hagamos una remisión, evitando reiteraciones inútiles, a lo que expresábamos en el fundamento de derecho decimocuarto para desestimar la impugnación de la rúbrica de la Sección Segunda.
En absoluta armonía con el principio de calidad de datos recogido en el artículo 6 de la Directiva y en el artículo 4 de la Ley, el apartado 1 del artículo 41 del Reglamento se limita a expresar en su párrafo segundo, en concreción y por ello mero desarrollo de la exigencia del artículo 6.1.c) de la Directiva, relativa a que los datos sean exactos y actualizados y a que se proceda a su supresión o rectificación cuando sean inexactos o incompletos, y de la de igual naturaleza establecida en el artículo 4.3 de la Ley cuando previene que los datos de carácter personal sean ciertos y puestos al día de forma que respondan con veracidad a la situación actual del afectado, que una vez extinguida la deuda por su pago o cumplimiento debe procederse a la cancelación inmediata de todo dato relativo a la misma.
Y el apartado 2 del precepto reglamentario impugnado, también en absoluta armonía con el principio de calidad de datos recogida con carácter general en los citados artículos 6 de la Directiva y 4 de la Ley, y muy concretamente con el condicionamiento de temporalidad que para los datos adversos de solvencia patrimonial y de crédito impone el artículo 29.4 de la Ley, al expresar que “Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquéllos”, limita el mantenimiento en el fichero de morosos de aquellos datos relativos a las deudas que no superen los seis años desde el vencimiento de la obligación o del plazo concreto si aquella fuera de vencimiento periódico.
En efecto, el artículo 41 del Reglamento se refiere, única y exclusivamente, a los ficheros de incumplimiento o de morosos. En el párrafo primero del apartado 1 se hace mención “a la situación de deuda”; en el párrafo segundo de dicho apartado “al pago o cumplimiento de la deuda”, y en el apartado 2 al “vencimiento de la obligación”, sin referencia, ni explícita ni implícita, a los ficheros de solvencia positiva.
Sí debe reconocerse que el precepto reglamentario con la frase “cancelación de todo dato” empleada en el apartado 1, párrafo primero, quiere alejar toda duda sobre la posibilidad de conservar el llamado “saldo 0”, dando una respuesta negativa, pero también ha de reconocerse que tal respuesta está en total simetría o concordancia con el artículo 29.4 de la Ley que exige, conforme ya expresamos, que los datos respondan con “veracidad” a la situación “actual”, requisito el de la actualidad que no se cumpliría con una referencia al pasado cual es que en momento anterior no se estuvo al corriente en pago de deudas u obligaciones.
En cuanto a la impugnación del apartado 2 del artículo 41, habida cuenta que la disconformidad de la recurrente se circunscribe a la frase “o del plazo concreto si aquella fuera de vencimiento periódico”, baste para fundamentar su desestimación que nos remitamos a lo dicho en el fundamento de derecho decimoquinto en el extremo que se analiza la impugnación del artículo 38, apartado 1.b).
DECIMOCTAVO.- El artículo 42 dice así:
“1. Los datos contenidos en el fichero común sólo podrán ser consultados por terceros cuando precisen enjuiciar la solvencia económica del afectado. En particular, se considerará que concurre dicha circunstancia en los siguientes supuestos:
a) Que el afectado mantenga con el tercero algún tipo de relación contractual que aún no se encuentre vencida.
b) Que el afectado pretenda celebrar con el tercero un contrato que implique el pago aplazado del precio.
c) Que el afectado pretenda contratar con el tercero la prestación de un servicio de facturación periódica.
2. Los terceros deberán informar por escrito a las personas en las que concurran los supuestos contemplados en las letras b) y c) precedentes de su derecho a consultar el fichero.
En los supuestos de contratación telefónica de los productos o servicios a los que se refiere el párrafo anterior, la información podrá realizarse de forma no escrita, correspondiendo al tercero la prueba del cumplimiento del deber de informar”.
Ubicado también en la Sección Segunda del Capítulo I, del Título IV, la recurrente impugna exclusivamente el apartado 2, al entender que al contemplar como única excepción al deber de informar por escrito los supuestos de contratación telefónica, contraviene los artículos 5 y 29 de la Ley Orgánica, 23.3 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico, y 10 y 11 de la Directiva, imponiendo una obligación sin habilitación legal.
Es de significar en primer lugar que el artículo 42 de la disposición reglamentaria se refiere, como el epígrafe del propio artículo indica, al acceso a la información contenida en el fichero, esto es, a una actuación que nada tiene que ver con la de información que para la recogida de datos se contempla en el artículo 5 de la Ley y en los artículos 11 y 12 de la Directiva.
Tampoco nada tiene que ver el precepto impugnado con el artículo 25, apartados 1,2 y 4 de la Ley relativo a la prestación de servicios de información sobre solvencia patrimonial y de crédito. Sólo el apartado 3 al prever que a solicitud del interesado el responsable del tratamiento “comunicará los datos, así como las evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y el nombre y dirección de la persona o entidad a quien se hayan revelado los datos” tiene relación con el precepto reglamentario impugnado.
La argumentación de la recurrente, como con claridad se infiere de su crítica relativa a que la obligación reglamentaria está “pensada exclusivamente para un escenario de relaciones contractuales tradicionales y presenciales, o a la sumo telefónicas” y de la cita que realiza de la Ley 34/2002, parte de una concepción limitada de la manifestación o comunicación escrita en contraposición con la comunicación oral, sin considerar, como es obligado en una adecuada interpretación del precepto reglamentario, que la escrita comprende otras formas distintas a la concepción tradicional de la escritura, como son aquellos que tienen un soporte electrónico.
DECIMONOVENO.- Debe también rechazarse la impugnación del artículo 44, apartado 3, regla primera.
Ubicado el artículo, al igual que los anteriores, en la Sección Segunda del Capítulo I, del Título IV, relativo al ejercicio de los derechos de acceso, rectificación, cancelación y oposición de los datos relativos al cumplimiento o incumplimiento de las obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés, dice así la regla primera del apartado 3: “Si la solicitud se dirige al titular del fichero común, éste tomará las medidas oportunas para trasladar dicha solicitud a la entidad que haya facilitado los datos, para que ésta la resuelva. En el caso de que el responsable del fichero común no haya recibido contestación por parte de la entidad en el plazo de siete días, procederá a la rectificación o cancelación cautelar de los mismos”.
En realidad la impugnación, tal como resulta de su desarrollo argumental, se concreta al párrafo segundo, al plazo de siete días que en él se contempla.
Entiende la recurrente que el plazo de siete días es contrario al artículo 16.1 de la Ley Orgánica, que en efecto prevé que el responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días.
Y debe rechazarse la impugnación pues la recurrente de manera errónea identifica o equipara el plazo de diez que el citado artículo 16.1 del Texto Legislativo prevé para que el responsable del tratamiento haga efectivo el derecho de rectificación o cancelación, con el de siete días que la disposición reglamentaria contempla como máximo para que el cesionario de los datos dé contestación a la solicitud de rectificación o cancelación, y cuyo incumplimiento origina el deber por parte del responsable del fichero común de proceder cautelarmente.
Aunque con una redacción mejorable, el precepto reglamentario, precisamente en atención al plazo legal de diez días, establece el de siete para que aquel a quien se le facilitaron los datos proceda a dar respuesta al requerimiento de rectificación o cancelación, plazo este último acorde para que pueda darse cumplimiento al de diez días exigido al responsable del fichero común.
VIGESIMO.- Así mismo debe desestimarse la impugnación del artículo 69.1.b) que, ubicado en el Capítulo II, del Título VI, relativo a las trasferencias internacionales de datos a aquellos estados que proporcionan un nivel adecuado de protección, prevé la posibilidad de que el Director de la Agencia Española de Protección de Datos, en uso de la potestad que le otorga el artículo 37.1.f) de la Ley Orgánica, acuerde, previa audiencia del importador, la suspensión temporal de la transferencia de datos hacia un importador ubicado en un tercer Estado del que haya declarado la existencia de un nivel adecuado de protección cuando “existan indicios racionales de que se estén vulnerando las normas o, en su caso, los principios de protección de datos por la entidad importadora de la transferencia y que las autoridades competentes en el Estado en que se encuentre el importador no han adoptado o no van a adoptar en el futuro las modalidades oportunas para resolver el caso en cuestión, habiendo sido advertidos de la situación por la Agencia Española de Protección de Datos”.
Hemos resaltado la frase “o no van a adoptar en el futuro”, pues con apoyo exclusivo en ella sostiene la recurrente su impugnación, al entender que es contraria al artículo 37.1.f) de la Ley Orgánica y al marco de la libre circulación de datos que proclama la Directiva.
El artículo 37.1.f) de la Ley Orgánica enumera como función de la Agencia la de “Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones”.
La recurrente realiza una interpretación errónea del precepto reglamentario, en particular de la frase de mención, lo que le lleva a la formulación de una serie de interrogantes con un denominador común relativo a cómo puede saberse que una entidad competente de un Estado soberano no va a adoptar en el futuro las medidas oportunas.
A lo que se está refiriendo el precepto reglamentario es a aquellos Estados que no proporcionan un nivel de protección equiparable al que presta la Ley Orgánica y sí encuentra amparo legal en el artículo 33 de dicho Texto Legislativo cuando establece que “1. No podrán realizarse trasferencias temporales definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia Española de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas. 2. El carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia Española de Protección de Datos atendiendo a todas las circunstancias que concurran en la trasferencia o categoría de trasferencia de datos. En particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países”.
Aunque la norma legal de mención hace alusión a las trasferencias, no a la suspensión temporal, y aunque encuentra su excepción en el artículo 34.k), “cuando la trasferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado”, es claro que habilita al precepto reglamentario, en cuanto la suspensión que en este se previene se fundamenta en la falta de garantías que el país importador proporciona y va a proporcionar.
No repara la recurrente que el artículo 33.1 de la Ley hace mención al final de su texto a “que solo podrá otorgarla si se obtienen garantías adecuadas” y que en armonía con esa exigencia el precepto reglamentario incluye en el suyo como requisito para la suspensión que las autoridades competentes del Estado importador afectado por la medida suspensiva hayan sido advertidas de la situación por la Agencia Española de Protección de Datos.
Conforme a lo expuesto es claro que el precepto reglamentario contempla a un Estado que por su normativa no garantiza el nivel de protección que concede la Ley Orgánica y que hay razones suficientes para creer que las autoridades competentes de dicho Estado no han adoptado o no están dispuestas a adoptar las medidas pertinentes.
VIGESIMOPRIMERO.- Tampoco puede tener acogida la impugnación del artículo 70.3, letras c), d) y c).
Ubicado el artículo 70 en el Capítulo II, de Título VI, relativo a las trasferencias internacionales de datos a aquellos Estados que no proporcionan un nivel adecuado de protección, dice así en sus tres primeros apartados:
“1. Cuando la transferencia tenga por destino un Estado respecto del que no se haya declarado por la Comisión Europea o no se haya considerado por el Director de la Agencia Española de Protección de Datos que existe un nivel adecuado de protección, serán necesario recabar la autorización del Director de la Agencia Española de Protección de Datos.
La Autorización de la transferencia se tramitará conforme al procedimiento establecido en la sección primera del capítulo V del título IX del presente reglamento.
2. La autorización podrá ser otorgada en caso de que el responsable del fichero o tratamiento aporte un contrato escrito, celebrado entre el exportador y el importador, en el que consten las necesarias garantías de respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos.
A tal efecto, se considerará que establecen las adecuadas garantías los contratos que se celebren de acuerdo con lo previsto en las Decisiones de la comisión Europea 2001/497/CE, de 15 de junio de 2001, 2002/16/CE, de 27 de diciembre de 2001, y 2004/915/CE, de 27 de diciembre de 2004 o de lo que dispongan las Decisiones de la Comisión que den cumplimiento a lo establecido en el artículo 26.4 de la Directiva 95/46/CE.
3. En el supuesto contemplado en el apartado anterior, el Director de la Agencia Española de Protección de Datos podrá denegar o, en uso de la potestad que le otorga el artículo 37.1f) de la Ley Orgánica 15/1999, de 13 de diciembre, suspender temporalmente, previa audiencia del exportador, la transferencia, cuando concurra alguna de las circunstancias siguientes:
a) Que la situación de protección de los derechos fundamentales y libertades públicas en el país de destino o su legislación impidan garantizar el íntegro cumplimiento del contrato y el ejercicio por los afectados de los derechos que el contrato garantiza.
b) Que la entidad destinataria haya incumplido previamente las garantías establecidas en cláusulas contractuales de este tipo.
c) Que existan indicios racionales de que las garantías ofrecidas por el contrato no están siendo o no serán respetadas por el importador.
d) Que existan indicios racionales de que los mecanismos de aplicación del contrato no son o no serán efectivos.
e) Que la transferencia, o su continuación, en caso de haberse iniciado, pudiera crear una situación de riesgo de daño efectivo a los afectados.
La suspensión se acordará previa la tramitación del procedimiento establecido en la sección segunda del capítulo V del título IX del presente reglamento.
Las resoluciones del Director de la Agencia Española de Protección de Datos por las que se deniega o suspenda una transferencia internacional de datos en virtud de las causas a las que se refiere este apartado serán notificadas a la Comisión de las Comunidades Europeas cuando así sea exigible”.
Sostiene la recurrente que las circunstancias previstas en las letras c), d) y e) del apartado 3 infringen el artículo 37.1.f) de la Ley Orgánica, concretamente cuando se refieren a un futuro (“o no serán respetadas” -apartado c)-, “o no serán efectivos” -apartado d)-, “o su continuación” -apartado e)-).
Como la argumentación impugnatoria no difiere de la del artículo 69.1.b), a lo expresado en el precedente fundamento de derecho nos remitimos.
VIGESIMOSEGUNDO.- Sí ha de estimarse la impugnación del artículo 123.2.
Ubicado el artículo en la Sección Segunda del Capítulo III, del Título IX, relativa a las actuaciones previas al inicio del procedimiento sancionador dice así el artículo:
“1. Las actuaciones previas serán llevadas a cabo por el personal del área de la Inspección de Datos habilitado para el ejercicio de funciones inspectoras.
2. En supuestos excepcionales, el Director de la Agencia Española de Protección de datos podrá designar para la realización de actuaciones específicas a funcionarios de la propia Agencia no habilitados con carácter general para el ejercicio de funciones inspectoras o a funcionarios que no presten sus funciones en la Agencia, siempre que reúnan las condiciones de idoneidad y especialización necesarias para la realización de tales actuaciones. En estos casos, la autorización indicará expresamente la identificación del funcionario y las concretas actuaciones previas de inspección a realizar.
3. Los funcionarios que ejerzan la inspección a los que se refieren los dos apartados anteriores tendrán la consideración de autoridad pública en el desempeño de sus cometidos.
Estarán obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio de las mencionadas funciones, incluso después de haber cesado en las mismas“.
Aduce la recurrente que el apartado 2, único objeto de impugnación, es contrario a los artículos 35, 37 y 40 de la Ley Orgánica y 12,13 y 15 de la Ley 30/1992.
En efecto, ni los artículos 35, 37 y 40 de la Ley Orgánica, ni ningún otro artículo de la misma, contempla la facultad que al Director de la Agencia concede el precepto reglamentario. El artículo 35.3 hace mención a que los puestos de trabajo de los órganos y servicios que integren la Agencia serán desempeñados por personal funcionario o contratado; el artículo 36, también del Texto Legal, relativo a la naturaleza y funciones del Director de la Agencia, no incluye la designación que contempla el artículo 123.2, y lo mismo sucede con el artículo 37, en el que se enumeran las funciones de la Agencia. Tampoco el artículo 40, que, relativo a la potestad de inspección, prevé en su apartado 2 que “Los funcionarios que ejerzan la inspección a que se refiere el apartado anterior tendrán la consideración de autoridad pública en el desempeño de sus cometidos” y que “Estarán obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio de las mencionadas funciones, incluso después de haber cesado en las mismas”.
A excepción de los preceptos legales referenciados ningún otro de la Ley hace mención al personal que ha de ocupar los puestos de trabajo de los órganos y servicios que integren la Agencia.
Tampoco los artículos 12,13 y 15 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas, prevén la designación que se contempla en la norma reglamentaria impugnada, pues la habilitación que en definitiva en ella se prevé para el ejercicio de la facultad inspectora es algo distinto a una encomienda de gestión admitida en el artículo 15 de la Ley citada 30/92 por razones de eficacia o cuando no se posean los medios técnicos idóneos para su desempeño.
La mención en el precepto reglamentario a “supuestos excepcionales”, por su falta de concreción supone la apertura de un amplio campo para la designación que está reñida con el limitado y específico de la encomienda de gestión.
VIGESIMOTERCERO.- La disposición adicional única, también objeto de impugnación por la recurrente, dice así: “Los productos de sofware destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en el título VIII de este reglamento”.
Afirma la recurrente que impone a los responsables y encargados de los ficheros y tratamientos la utilización de determinados productos de sofware y a los fabricantes, distribuidores y vendedores de dichos productos de incluir las descripciones técnicas que exige la norma. Sostiene que la primera es una obligación no exigible por la Ley ni por la Directiva, y que la segunda crea una barrera al comercio dentro de los países de la Unión.
La impugnación debe desestimarse. Ni la disposición adicional impone a los responsables y encargados de los ficheros y tratamientos la utilización de un producto de determinadas características, en cuanto que lo único que exige es que se describan las características técnicas del producto para que el adquirente pueda conocer si el nivel de seguridad que ofrecen cumple con las medidas que de tal naturaleza se previenen en el Título VIII, relativo a las medidas de seguridad en el tratamiento de datos de carácter personal, ni implica una restricción al comercio, pues dentro del ámbito competencial que le es propio, lo único que viene a exigir, en garantía de los compradores y también de los afectados por el tratamiento de datos, es la indicación de aquellas características.
En definitiva, responde a los deberes de seguridad que impone el artículo 9 de la Ley.
VIGESIMOCUARTO.- No se aprecian motivos para hacer un especial pronunciamiento de condena en costas (artículo 139.1 LRJCA).
F A L L A M O S
PRIMERO.- DECLARAR LA INADMISIBILIDAD del recurso contencioso administrativo interpuesto por ASOCIACION NACIONAL DE ESTABLECIMIENTOS FINANCIEROS DE CREDITO (ASNEF), contra el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en el extremo que impugna los artículos 45.1.b), 46.2.b) y c), y 3, 47, y 49.1 y 4.
SEGUNDO.- Estimarlo en parte y anular, por disconformes a derecho, los artículos 11, 18, 38. 2, y 123.2 de la disposición reglamentaria, así como la frase del artículo 38.1.a) que dice así: “… y al respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero”.
TERCERO.- Dejar imprejuzgada la impugnación del artículo 10.2. a) y b), por planteamiento de cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, y hasta que dicho Tribunal se pronuncie sobre la cuestión de mención.
CUARTO.- Sin hacer especial condena en costas.
Así por esta nuestra sentencia, lo pronunciamos, mandamos y firmamos
PUBLICACIÓN.- Leída y publicada ha sido la anterior sentencia por el Excmo. Sr. Magistrado Ponente D. Juan Carlos Trillo Alonso, estando la Sala celebrando audiencia pública en el mismo día de su fecha, de lo que, como Secretario, certifico.