Ley
Orgánica de protección de datos de carácter personal (LOPD). STS sobre
el tratamiento basado en el “interés legítimo”
Cecilia Álvarez
Rigaudias
Madrid, 15 de
febrero de 2012
La prensa se
hace eco estos días de una sentencia del Tribunal Supremo de 8 de
febrero de 2012 con titulares que generan unas expectativas que no
responden en absoluto a la realidad: “Las empresas podrán
comercializar datos personales sin pedir permiso” (Expansión,
14/02/2012), “El Supremo mutila la protección de datos personales”
(Público, 15/02/2012), etc.
La sentencia del
Tribunal Supremo no hace más que aplicar la sentencia del Tribunal de
Justicia de la Unión Europea de 24 de noviembre de 2011 que reconoce el
efecto directo del denominado “interés legítimo” del artículo 7.f) de la
Directiva 95/46/CE al analizar en sede de cuestión prejudicial el art.
10.2b) del reglamento de desarrollo de la LOPD. El mencionado art. 7.f)
incluye como causa de legitimación del tratamiento a aquel “necesario
para la satisfacción del interés legítimo perseguido por el
responsable del tratamiento o por el tercero o terceros a los que se
comuniquen los datos, siempre que no prevalezca el interés o los
derechos y libertades fundamentales del interesado que requieran
protección (...)".
La LOPD -en su
art. 6.2- incorporó incorrectamente este art. 7.f). En efecto, limitó la
existencia de esta causa cuando los datos provenían de determinadas
fuentes denominadas "accesibles al público", que la LOPD reserva a una
lista exhaustiva de fuentes "públicas" tales como, entre otros, los
directorios telefónicos, las listas de colegios profesionales, los
medios de comunicación social y el "censo promocional" cuando este se
cree. El reglamento de desarrollo de la LOPD profundizó en este error en
su artículo 10.2.b) -que desarrolla el art. 6.2 de la LOPD-, subsumiendo
el "interés legítimo" en las demás causas de legitimación (la
habilitación legal, la celebración, desarrollo o control de una relación
contractual del que el interesado es parte, etc.), en vez de reconocerlo
como una causa de legitimación con sustantividad propia.
En respuesta a
la cuestión prejudicial planteada por el Tribunal Supremo respecto de la
conformidad de este art. 10.2.b) del reglamento con el art. 7.f) de la
Directiva 95/46/CE, el Tribunal de Justicia de la Unión Europea reconoce
el efecto directo de este último. Coherentemente, el Tribunal Supremo
anula el art. 10.2.b) del reglamento (pero no anula el art. 6.2 de la
LOPD del que este trae causa por falta de competencia). Se recoge pues
una conclusión que no es novedosa ni sorprendente. Sin embargo, la
sentencia es muy útil porque reconoce de forma expresa y sin
ambigüedades lo que la AEPD y los tribunales españoles habían venido
desconociendo hasta la fecha respecto de la incorrecta trasposición en
la LOPD del “interés legítimo”: esto es, los principios de "efecto
directo" y de "interpretación conforme" que se despliegan cuando las
disposiciones de una directiva son incondicionales y suficientemente
precisas y su adaptación nacional se ha realizado de modo incorrecto.
El principio de
interés legítimo es un concepto que, tal y como exige el art. 7.f) de la
Directiva 95/46/CE, debe ser interpretado en función del contexto ya que
debe ponderarse con el derecho fundamental a la protección de datos y demás derechos fundamentales de las personas físicas titulares de los
datos. En particular, contar con un interés económico en tratar un dato
no supone necesariamente que éste sea legítimo. Por tanto, apreciar la
presencia de este interés no consiste en una aplicación voluntarista ni
mecanicista, sino en ponderar los intereses en juego (tal y como han
venido haciendo todos aquellos Estados miembros que incorporaron
correctamente el “interés legítimo” a las causas de legitimación del
tratamiento de datos personales). En particular, ni antes ni ahora se
podrá realizar marketing directo sin consentimiento (las pocas
excepciones legales a este principio operan con independencia del
“interés legítimo” citado). Por otro lado, ni antes ni ahora las
cesiones de derechos de crédito deberían quedar sujetas al
consentimiento (tal y como siguen pretendiendo algunas sorprendentes
resoluciones administrativas y judiciales), pero no ya por el “interés
legítimo” sino porque este consentimiento no es necesario según
establece la norma con rango de ley que las regula (Código Civil, Código
de Comercio o la Ley de Regulación del Mercado Hipotecario Hipotecaria
respecto de los CTH). Sin embargo, el “interés legítimo” sí debería
poder amparar, adoptándose ciertas cautelas, las transferencias de datos
en sede de procedimientos de discovery, ciertos tratamientos en el contexto de esquemas de
whistle-blowing, el acceso a datos personales en operaciones de
compraventa con ocasión de las due diligences de los target
de la operación que no son nuestros clientes o la aportación de datos
personales en un juicio aún cuando el juez no lo hubiera solicitado
expresamente.
volver al inicio