La Federación de Comercio Electrónico y Marketing Directo (FECEMD), actualmente denominada ADIGITAL, ASNEF y otras partes interesadas interpusieron ante el Tribunal Supremo español un recurso para la impugnación de diversos artículos del Real Decreto 1720/2007, que aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.
Rafael García del Poyo y Miguel Ángel Serrano son abogados y socios de Cremades & Calvo Sotelo. Ambos intervinieron como abogados y representantes de ADIGITAL en los asuntos acumulados C-468/10 y C-469/10 seguidos ante el Tribunal de Justicia de la Unión Europea. Ésta es la crónica profesional que ofrecen de lo acaecido en sede europea:
Mediante Sentencia estimatoria parcial fechada el 15 de julio de 2010, el Tribunal Supremo español, por un lado, decretó la nulidad de cuatro preceptos de dicho Reglamento. Y por otro, decidió proceder a la remisión de una consulta al Tribunal de Justicia de la Unión Europea sobre el artículo 7, letra f), de la Directiva 95/46 de protección de datos y su compatibilidad con el artículo 10, apartado 2, letras a), supuesto primero, y b), párrafo primero, del mencionado Reglamento, lo que motivó que la impugnación de este último artículo quedara pendiente de resolver hasta que el Tribunal de Justicia de la Unión Europea se pronunciase sobre la referida consulta articulada a través de dos concretas cuestiones prejudiciales.
Con la formulación de las dos citadas cuestiones, el Tribunal Supremo español pretendía disponer de un criterio interpretativo por parte del Tribunal de Justicia de la Unión Europea en cuanto al alcance del artículo 7, letra f), de la Directiva 95/46 de protección de datos. Y de este modo, si el Tribunal de Justicia de la Unión Europea llegaba a estimar, contaría con una base jurídica sólida para pronunciarse sobre la posible nulidad del mencionado artículo 10 del Reglamento dado que (i) que no corresponde a los Estados miembros añadir requisitos adicionales a los establecidos en la Directiva, y (ii) que al referido artículo 7, letra f), puede reconocérsele efecto directo.
Pues bien, el Tribunal de Justicia de la Unión Europea ha resuelto, en su Sentencia de 24 de noviembre de 2011 (asuntos acumulados c-468/10 y C-469/10), en una resolución que constituye un hito, ya que es la primera vez que dicho Tribunal se pronuncia directamente sobre el artículo 7, letra f), de la Directiva 95/46, que:
a.) El artículo 7, letra f), establece dos requisitos acumulativos para que un tratamiento de datos personales sea lícito, a saber: (i) por una parte, que ese tratamiento de datos personales sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos; y (ii) por otra, que no prevalezcan los derechos y libertades fundamentales del interesado.
De ahí que este artículo se oponga a toda normativa nacional que, en el caso de que no exista consentimiento del interesado, imponga exigencias adicionales. Y por esta razón, la Sentencia considera que el Reglamento español sobre protección de datos se ha excedido al exigir el requisito de que los datos objeto de tratamiento figuren en fuentes accesibles al público.
b.) El artículo 7, letra f), de la Directiva 95/46 tiene efecto directo, ya que, se trata de una disposición suficientemente precisa para poder ser invocada por un particular y aplicada por los órganos jurisdiccionales nacionales.
Por tanto, a la luz de los pronunciamientos contenidos en la referida Sentencia, debemos concluir que:
(i) Se pueden realizar tratamientos de datos cuando exista el consentimiento de los interesados o cuando exista un interés legítimo de la entidad que trate los datos o del tercero o terceros a los que se cedan, siempre y cuando no se vulneren, en el caso concreto, los derechos y libertades de los afectados.
(ii) Si el Tribunal Supremo español no declarase nula la restricción añadida por el legislador español en el artículo 10, apartado 2, letras a), supuesto primero, y b), párrafo primero del Real Decreto 1720/2007 sobre protección de datos personales, el Reino de España estaría manteniendo un nivel distinto de protección al de los demás Estados miembros de la Unión Europea. Y esta situación, a su vez, dificultaría las actividades económicas en dicha Unión, impidiendo la libre circulación de datos personales y la libre prestación de servicios entre los Estados miembros.
Y no sobrará añadir, además, que supondría una seria desventaja competitiva para los operadores afectados por la aplicación del referido artículo 10, lo que, a buen seguro, afectaría a las libertades de establecimiento y de prestación de servicios en la medida en que se dificultaría o, simplemente, se haría menos atractivo el ejercicio de estas libertades en España.
"Alea jacta est"
