La prensa se hace eco estos días de una sentencia del Tribunal Supremo de 8 de febrero de 2012 y lo hace utilizando titulares que generan unas expectativas que no responden en absoluto a la realidad.
La sentencia del Tribunal Supremo no hace más que aplicar la sentencia del Tribunal de Justicia de la Unión Europea de 24 de noviembre de 2011 que reconoce el efecto directo del denominado "interés legítimo" del artículo 7.f) de la Directiva 95/46/CE al analizar en sede de cuestión prejudicial el art. 10.2b) del reglamento de desarrollo de la LOPD.
La LOPD incorporó incorrectamente este art. 7.f). En efecto, limitó la existencia de esta causa cuando los datos provenían de determinadas fuentes denominadas "accesibles al público", que la LOPD reserva a una lista exhaustiva de fuentes "públicas" (directorios telefónicos, listas de colegios profesionales, medios de comunicación social y "censo promocional" cuando este se cree). El reglamento de desarrollo de la LOPD profundizó en este error en su artículo 10.2.b), subsumiendo el "interés legítimo" en las demás causas de legitimación en vez de reconocerlo como una causa de legitimación con sustantividad propia.
En respuesta a la cuestión prejudicial planteada por el Tribunal Supremo respecto de la conformidad de este art. 10.2.b) del reglamento con el art. 7f) de la Directiva 95/46/CE, el Tribunal de Justicia de la Unión Europea reconoce el efecto directo de este último. Coherentemente, el Tribunal Supremo anula el art. 10.2.b) del reglamento (pero no anula el artículo de la LOPD del que este trae causa por falta de competencia). Se recoge pues una conclusión que ni anula el principio general de consentimiento, ni mutila ni supone cambios copernicanos en el régimen de protección de datos español. Sin embargo, tanto la sentencia del TUE como la del TS son muy útiles porque reconocen de forma expresa y sin ambigüedades lo que las autoridades administrativas y judiciales españolas han venido desconociendo en numerosas ocasiones respecto de la incorrecta trasposición en la LOPD del "interés legítimo": esto es, los principios de "efecto directo" y de "interpretación conforme" que se despliegan cuando las disposiciones de una directiva son incondicionales y suficientemente precisas y su adaptación nacional se ha realizado de modo incorrecto.
El principio de interés legítimo es una causa de legitimación de tratamiento siempre que, tal y como exige el art. 7.f) de la Directiva 95/46/CE, "no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección (…)". Por ello, la existencia de un interés económico o comercial en tratar un dato no supone necesariamente ni que este sea legítimo ni que no lo sea. Esto es, apreciar la presencia de este interés no consiste en una aplicación voluntarista ni mecanicista, sino en ponderar los intereses en juego (tal y como han venido haciendo por cierto desde hace años todos aquellos Estados miembros que incorporaron correctamente el "interés legítimo" a las causas de legitimación del tratamiento de datos personales). En particular, ni antes ni ahora se podrá realizar marketing directo sin consentimiento (las pocas excepciones legales a este principio siguen operando con independencia del "interés legítimo" citado). Por otro lado, ni antes ni ahora las cesiones de derechos de crédito deberían quedar sujetas al consentimiento (tal y como siguen pretendiendo algunas -sorprendentes aunque afortunadamente puntuales- resoluciones administrativas y judiciales), pero no ya tanto porque el "interés legítimo" cuenta con un reconocimiento expreso sino porque el consentimiento nunca ha debido de ser necesario al preverlo la norma con rango de ley que regula las cesiones de derechos de crédito (Código Civil, Código de Comercio o la Ley de Regulación del Mercado Hipotecario Hipotecaria respecto de los CTH). Sin embargo, el "interés legítimo" sí debería tener un importante papel que jugar, adoptándose ciertas cautelas, para las transferencias de datos en sede de procedimientos de discovery, ciertos tratamientos en el contexto de esquemas de whistle-blowing, el acceso a datos personales con ocasión de auditorías legales de la entidad objetivo de la operación de que se trate o la aportación de datos personales en un juicio aún cuando el juez no lo hubiera solicitado expresamente.