?>
1

Autor: Eric Gracia González. Abogado Derecho.com.

El pasado 15 de Julio de 2010, la Sala Tercera del Tribunal Supremo dictó tres sentencias resolviendo los recursos contencioso administrativos promovidos en 2008 por la Federación de Comercio Electrónico y Marketing Directo (antes FECEMD y ahora ADIGITAL), la Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) y el Experian Bureau de Crédito, S.A. contra el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, “Reglamento de Protección de Datos”).

 El resultado ha sido la anulación de los siguientes artículos de dicha norma:

 Art. 11. “Verificación de datos en solicitudes formuladas a las Administraciones públicas.

Cuando se formulen solicitudes por medios electrónicos en las que el interesado declare datos personales que obren en poder de las Administraciones públicas, el órgano destinatario de la solicitud podrá efectuar en el ejercicio de sus competencias las verificaciones necesarias para comprobar la autenticidad de los datos.”

El Tribunal Supremo considera que el artículo permite a las Administraciones públicas realizar cesiones de los datos contenidos en las solicitudes que se le presentan, sin atender a los requisitos establecidos por los artículos 6 y 11 de la LOPD.

Art. 18. “Acreditación del cumplimiento del deber de información.

1. El deber de información al que se refiere el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado.

2. El responsable del fichero o tratamiento deberá conservar el soporte en el que conste el cumplimiento del deber de informar. Para el almacenamiento de los soportes, el responsable del fichero o tratamiento podrá utilizar medios informáticos o telemáticos. En particular podrá proceder al escaneado de la documentación en soporte papel, siempre y cuando se garantice que en dicha automatización no ha mediado alteración alguna de los soportes originales.”

Es sin duda el “recorte” más relevante hecho al Reglamento de Protección de Datos, ya que este artículo regula una obligación que, en la práctica, afecta a todos los responsables de fichero con independencia de su sector de actividad.  

Así, el Tribunal Supremo interpreta que obligar a las empresas a que tengan que acreditar el cumplimiento de su deber de informar mediante una prueba que, necesariamente, deba constar documentalmente o en medios informáticos o telemáticos, constituye una obligación ex novo adicional al deber de información previsto en la LOPD, que nada dice en cuanto a la forma mediante la que debe facilitarse dicha información.

Por tanto, concluye que la LOPD ha optado por la libertad de forma a la hora de informar a un afectado (escrita, verbal, telemática, etc.), mientras que el Reglamento de Protección de Datos precisa la forma en que debe constar la prueba del cumplimiento de dicho deber, contraviniendo así la Ley.

Aunque muchos han querido ver en la anulación de este precepto la oportunidad para dejar de guardar prueba del cumplimiento de su obligación de informar a los afectados cuando recaban sus datos, en mi opinión poco ha cambiado la situación.

En primer lugar, hay que tener en cuenta que sigue vigente el artículo 12 del Reglamento de Protección de Datos, que literalmente establece:

“1. El responsable del tratamiento deberá obtener el consentimiento del interesado para el tratamiento de sus datos de carácter personal salvo en aquellos supuestos en que el mismo no sea exigible con arreglo a lo dispuesto en las leyes.

La solicitud del consentimiento deberá ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como de las restantes condiciones que concurran en el tratamiento o serie de tratamientos.

2. Cuando se solicite el consentimiento del afectado para la cesión de sus datos, éste deberá ser informado de forma que conozca inequívocamente la finalidad a la que se destinarán los datos respecto de cuya comunicación se solicita el consentimiento y el tipo de actividad desarrollada por el cesionario. En caso contrario, el consentimiento será nulo.

3. Corresponderá al responsable del tratamiento la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho.

Queda claro pues que subsiste la obligación de guardar la prueba del consentimiento dado por el afectado. Además, hemos visto que dicho consentimiento es informado, es decir, que debe estar referido a un tratamiento o serie de tratamientos concretos, con lo que, irremediablemente, dicha prueba deberá contener la información a que hace referencia el artículo 5.1 de la LOPD en cuanto a finalidad de la recogida de los datos, destinatarios de la información, etc.). Dicha prueba deberá constar en un medio de prueba admitido en Derecho.

Pero es que no hay que olvidar que si un particular denuncia a una empresa ante la Agencia Española de Protección de Datos por no haber sido informado tal y como establece el artículo 5.1 de la LOPD, recaerá en la empresa la carga de probar su cumplimiento de dicho deber de información, para lo cual deberá contar con un medio de prueba admisible en Derecho que lo demuestre.

 Art. 38.1. “Requisitos para la inclusión de los datos.

Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:

a) Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero.

b) Que no hayan transcurrido seis años desde la fecha en que hubo de    procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquélla fuera de vencimiento periódico.

c) Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.

De este artículo sólo se ha anulado la frase subrayada de la letra a), por entender el Tribunal Supremo que no responde a la previsión legal del artículo 4.3 de la LOPD: “Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.”

Así, se argumenta que la defectuosa redacción de la frase no concreta aquellos procedimientos que justifican la no inclusión en los ficheros de las deudas a que aquellos se refieren, vaguedad que permite considerar que incluso cuando la reclamación se formule por el acreedor existe la imposibilidad de incluir los datos en el fichero.

Art. 38.2. “No podrán incluirse en los ficheros de esta naturaleza datos personales sobre los que exista un principio de prueba que de forma indiciaria contradiga alguno de los requisitos anteriores.

Tal circunstancia determinará asimismo la cancelación cautelar del dato personal desfavorable en los supuestos en que ya se hubiera efectuado su inclusión en el fichero.”

Tal y como expone el Tribunal Supremo, este precepto viene a significar que si hay un principio de prueba que de forma indiciaria contradiga los requisitos exigidos en el apartado 1 del artículo 38 para la inclusión de los datos en los ficheros de solvencia económica, dichos datos no podrán incluirse en el fichero. Más aún, en el párrafo segundo del apartado 2 del artículo 38 se considera como suficiente ese principio de prueba para la cancelación cautelar del dato personal desfavorable que se hubiera incluido.

El problema está en que se traslada la carga de la prueba de la concurrencia de los requisitos previstos en el artículo 38.1 al encargado del tratamiento, haciéndolo en unos términos que originan una gran inseguridad jurídica que puede dar lugar a la apertura de expedientes sancionadores.

Art. 123.2. “En supuestos excepcionales, el Director de la Agencia Española de Protección de Datos podrá designar para la realización de actuaciones específicas a funcionarios de la propia Agencia no habilitados con carácter general para el ejercicio de funciones inspectoras o a funcionarios que no presten sus funciones en la Agencia, siempre que reúnan las condiciones de idoneidad y especialización necesarias para la realización de tales actuaciones. En estos casos, la autorización indicará expresamente la identificación del funcionario y las concretas actuaciones previas de inspección a realizar.”

La anulación del precepto se fundamenta en que ni la LOPD ni la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, contemplan o amparan esa facultad dada al Director de la Agencia por el Reglamento de Protección de Datos, máxime cuando no se concretan esos “supuestos especiales” a los que hace referencia.

Como valoración final, puede verse que la anulación de los artículos realizada por el Tribunal Supremo no tiene demasiada trascendencia para la mayoría de los responsables de fichero pertenecientes al sector privado, ya que, salvo el artículo 18, el resto hacen referencia a las administraciones Públicas o a cuestiones relacionadas con los ficheros de solvencia patrimonial y crédito.

One Response to “El Tribunal Supremo anula varios artículos del Reglamento de Protección de Datos”

  1. fernando says:

    Vamos que con esta chorizasentencia cualquier banco o multinacional nos puede incluir en un fichero de morosos, sin tener que aportar ninguna prueba de la deuda ni del requeremiento previo pago de manera fehaciente. Es decir, con enseñar una cartita que dicen te enviaron a tu domicilio, sin acuse de recibo ni nada, es suficiente.
    Todo eso estés o no deacuerdo con la cantidad que dicen que adeudas ni nada.
    Y esto es un estado de derecho?jajaja.Si cada vez teneomos menos derechos.Y en este caso los pocos que teniamos los ciudadanos nos los han quitado.
    Que verguenza!!!!!.No al Nuevo Orden Mundial!!!.

Leave a Reply