El Reglamento de desarrollo de la LOPD ¿derogado?

Desde que fue conocida la resolución del Tribunal de Justicia de la Unión Europea en los asuntos C-468/10 y C-469/10 el mundo blog y tuit ha estado repleto de afirmaciones del tipo “Reglamento derogado o anulado por el Tribunal de Justicia”,  “Varapalo a la AEPD”, o “nuevo golpe al Reglamento”, por citar algunos. Aunque ciertamente descriptivas, espectaculares y “retuiteables”, ninguna de estas afirmaciones es jurídicamente precisa.  El análisis de la STJUE requiere sin algo más de mesura y distancia y un cierto conocimiento del procedimiento y de las consecuencias de la resolución.

En primer lugar,  conforme al art. 267 TFUE la cuestión prejudicial es un mecanismo de colaboración de los órganos jurisdiccionales de los Estados miembros con el Tribunal de Justicia que permite al juez nacional dirigirse al TJUE con la finalidad de que le aclare dudas relevantes, para resolver un litigio. Estas dudas se refieren a la interpretación de los Tratados y de los actos adoptados por las instituciones, órganos u organismos de la Unión. En la práctica alcanza al Derecho  originario y al derivado, tratados internacionales, otras normas y principios y es un recurso que facilita la interpretación uniforme del Derecho de la UE. Por tanto, en este caso de lo que se trataba era de conocer el sentido del art. 7.f) de la Directiva 95/46/CE.

El objetivo del Tribunal de Justicia cuando se pronuncia sobre la interpretación o la validez del Derecho de la Unión es proporcionar una respuesta útil para la solución del litigio, pero es el órgano jurisdiccional nacional quien tendrá que deducir las consecuencias que corresponda y, en su caso, declarar inaplicable la norma nacional.  Por tanto ni resuelve un caso concreto, ni es un juicio de “compatibilidad” de la norma nacional con el derecho de la Unión.

Por otra parte, el Derecho procedente de las instituciones europeas se integra en los sistemas jurídicos de los Estados miembros que están obligados a respetarlo y se caracteriza por su primacía sobre los Derechos nacionales. La consecuencia es simple de exponer, aunque compleja en su aplicación: si una norma nacional es contraria a una disposición europea, las autoridades de los Estados miembros deben aplicar la disposición europea.  El Derecho nacional no se anula ni deroga, pero su carácter obligatorio queda suspendido. Se trata de un principio que deriva de la naturaleza específica de las comunidades europeas, de la  transferencia de competencias y del llamado principio de atribución. Tienen por objeto satisfacer la necesidad de garantizar una aplicación homogénea de los tratados en todos los Estados Miembros salvaguardando el carácter obligatorio de las normas comunitarias y en particular las  del art. 288 TFUE, reglamentos, directivas y decisiones, que son obligatorios en todos sus elementos.

La primacía del Derecho europeo sobre los Derechos nacionales es absoluta y el poder judicial está igualmente sujeto al principio de primacía. Por ello, corresponde al juez nacional hacer respetar el principio de primacía y hacer uso del procedimiento prejudicial, en caso de duda en cuanto a la aplicación de este principio. La primera consecuencia del principio de primacía es la inaplicación, -que no derogación del derecho nacional-, de modo que la norma interna incompatible anterior se inaplica y la norma interna incompatible posterior afecta, vicia, la producción de actos legislativos nacionales, que también si inaplicarán. El juez no debe esperar a la derogación o plantear la cuestión de inconstitucionalidad: debe excluir la norma  nacional posterior y aplicar la de la Unión. El deber de inaplicación alcanza a todos los poderes públicos y afecta a las relaciones entre particulares.

Por último el efecto directo, en el caso de las directivas se produce cuando no se trasponen en plazo o se trasponen inadecuadamente.

Imponen una obligación de resultado: por su naturaleza no implican eficacia directa. Para que un precepto de un Directiva posea efecto directo se requiere: 1) Expiración del plazo de trasposición. 2) Ausencia, insuficiencia o deficiencia en la adaptación. 3) Que la disposición sea clara, precisa, e incondicional.  La eficacia directa se predica en la relación particulares y el  Estado, y éste no puede beneficiarse del incumplimiento con independencia de la forma en la que actúe.

Sentados los principios básicos parece evidente que ni se deroga el Reglamento ni nada remotamente parecido. La consecuencia directa e inmediata de la STJCE es que el Tribunal Supremo recibe la respuesta que solicitó y ahora le corresponde decidir.

En tal sentido, cabe examinar la decisión del TJCE para evaluar qué caminos podría tomar el Tribunal Supremo.  En primer lugar, el tribunal pregunta si « si el artículo 7, letra f), de la Directiva 95/46 debe interpretarse en el sentido de que se opone a una normativa nacional que, para permitir el tratamiento de datos personales necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, exige, en el caso de que no exista consentimiento del interesado, no sólo que se respeten los derechos y libertades fundamentales de éste, sino además que dichos datos figuren en fuentes accesibles al público».

La respuesta del TJCE precisa cual es el margen de apreciación, esto es la capacidad de disponer más o menos ampliamente cuando trasponen una directiva, señalando que en este caso:

«los Estados miembros no pueden ni añadir al artículo 7 de la Directiva 95/46 nuevos principios relativos a la legitimación de los tratamientos de datos personales ni imponer exigencias adicionales que vendrían a modificar el alcance de alguno de los seis principios establecidos en dicho artículo».

Pero realiza un juicio de valor esencial. No es lo mismo introducir «exigencias adicionales que modifican el alcance de un principio fijado en el artículo 7» que «medidas nacionales que se limitan a precisar alguno de estos principios». En este último caso «los Estados miembros de un margen de apreciación, con arreglo al artículo 5 de la Directiva 95/46». Además, se precisa « tampoco pueden introducir, al amparo de lo dispuesto en el artículo 5 de la Directiva 95/46, principios relativos a la legitimación de los tratamientos de datos personales distintos a los enunciados en el artículo 7 de esa Directiva ni modificar, mediante exigencias adicionales, el alcance de los seis principios establecidos en dicho artículo 7».

Para finalizar con el examen de esta cuestión, es importante subrayar que el TJCE precisa que un “interés legítimo” no es cualquier interés, que se requiere un juicio de ponderación que tenga en cuenta los derechos y libertades de los afectados.

«38      Dicho artículo 7, letra f), establece dos requisitos acumulativos para que un tratamiento de datos personales sea lícito, a saber, por una parte, que ese tratamiento de datos personales sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, y, por otra parte, que no prevalezcan los derechos y libertades fundamentales del interesado».

En opinión del Tribunal, lo que no encaja con las previsiones de la Directiva es una norma que no permita esa ponderación y cierre completamente cualquier aplicación del principio de interés legítimo en todos y cada uno de los casos. Por ello concluye:

«49      Habida cuenta de estas consideraciones, procede responder a la primera cuestión que el artículo 7, letra f), de la Directiva 95/46 debe interpretarse en el sentido de que se opone a una normativa nacional que, para permitir el tratamiento de datos personales necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, exige, en el caso de que no exista consentimiento del interesado, no sólo que se respeten los derechos y libertades fundamentales de éste, sino además que dichos datos figuren en fuentes accesibles al público, excluyendo así de forma categórica y generalizada todo tratamiento de datos que no figuren en tales fuentes».

El TJCE afirma que lo que no cabe es la interpretación del art. 10 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal como un doble requisito excluyente. Como es sabido el interés legítimo aparece en dos supuestos:

«2. No obstante, será posible el tratamiento o la cesión de los datos de carácter personal sin necesidad del consentimiento del interesado cuando:

a) Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes:

El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre.

El tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas.

b) Los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

No obstante, las Administraciones públicas sólo podrán comunicar al amparo de este apartado los datos recogidos de fuentes accesibles al público a responsables de ficheros de titularidad privada cuando se encuentren autorizadas para ello por una norma con rango de ley».

Así pues, lo que el TJCE afirma no es que el art. 10 RLOPD sea contrario a la Directiva en sí mismo, sino simplemente si se entiende que fija un doble requisito que excluya toda ponderación de los intereses en presencia. Si por el contrario, interpretamos el art. 10 RLOPD en el sentido que enumera dos de los supuestos posibles en los que cabe encontrar un interés legítimo nada obsta a su perfecta regularidad y conformidad. Por tanto, ¿por qué no cabe una sentencia interpretativa y no derogatoria del Tribunal Supremo precisando el sentido que cabe atribuir al precepto?

Es necesario no obstante, rigor obliga, a subrayar un elemento crucial. Interés legítimo, no es cualquier interés. No es una carta blanca para que los responsables puedan tratar datos y la Agencia Española de Protección de Datos, muy oportunamente se ha apresurado a precisarlo:

«Ello no significa, sin embargo, que la mera invocación de un interés legítimo deba considerarse suficiente para legitimar el tratamiento de datos personales sin el consentimiento del afectado. En los fundamentos de la Sentencia, el propio Tribunal precisa la interpretación que debe darse a dicho artículo, subrayando la necesidad de realizar en cada caso concreto una ponderación entre el interés legítimo de quien va a tratar los datos y los derechos fundamentales de los ciudadanos afectados, con el fin de determinar cuál prevalece atendiendo a las circunstancias concurrentes».

Proteción de Datos, RLOPD, Directiva