Estamos en: 

1. Noticias >
2. El Tribunal Supremo anula, por disconformes a derecho, algunos artículos del Reglamento de la LOPD

El pasado 15 de julio, ante los recursos contencioso administrativos planteados por diversas asociaciones y entidades del ámbito de los Servicios de información sobre solvencia patrimonial y crédito y actividades de publicidad y prospección comercial, el Tribunal Supremo dicto sendas Sentencias que estimando parcialmente dichos recursos, anulan, por disconformes a derecho, los artículos 11, 18, 38.2, y 123.2 y parte del artículo 38.1a) del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal.

El Tribunal Supremo deja imprejuzgada la impugnación del artículo 10.2. a) y b), por planteamiento de cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, y hasta que dicho Tribunal se pronuncie sobre si el artículo 7, letra f), de la Directiva 95/46/CE debe interpretarse en el sentido de que se opone a una normativa nacional que, no mediando consentimiento del afectado y para permitir el tratamiento de sus datos de carácter personal que resulte necesario para satisfacer un interés legítimo del responsable o de los terceros a los que se van a comunicar, exige además de que no se lesionen los derechos y libertades fundamentales de aquel, que los datos consten en fuentes accesibles al público, y si concurren en el mencionado artículo 7, letra f), las condiciones que exige la jurisprudencia del Tribunal de Justicia de la Unión Europea para atribuirle efecto directo.

Se anula el artículo 11 del RDLOPD: "Cuando se formulen solicitudes por medios electrónicos en las que el interesado declare datos personales que obren en poder de las Administraciones públicas, el órgano destinatario de la solicitud podrá efectuar en el ejercicio de sus competencias las verificaciones necesarias para comprobar la autenticidad de los datos", por suponer un tratamiento o cesión de datos sin consentimiento y sin la habilitación legal exigida por los artículos 6 y 11 de la LOPD.

El artículo 18 del RDLOPD prevé en su apartado 1 que "El deber de información al que se refiere el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado" y en su apartado 2 que "El responsable del fichero o tratamiento deberá conservar el soporte en el que conste el cumplimiento del deber de informar. Para el almacenamiento de los soportes, el responsable del fichero o tratamiento podrá utilizar medios informáticos o telemáticos. En particular podrá proceder al escaneado de la documentación en soporte papel, siempre y cuando se garantice que en dicha automatización no ha mediado alteración alguna de los soportes originales"

Dicho artículo establece la obligación de que la prueba de ese efectivo cumplimiento conste documentalmente o por medios informáticos o telemáticos, añadiendo ex novo una obligación adicional a las reguladas por la LOPD. Puesto que el artículo 5 de la LOPD relativo al derecho de información no contiene ninguna referencia respecto a la forma de dar cumplimiento a dicha obligación, abriendo así múltiples posibilidades (escrita, verbal, telemática, etc.), debe considerarse que el legislador ha optado por la libertad de forma, por lo que concluye el Tribunal Supremo que la previsión del artículo 18 contraviene la Ley y debe por tanto ser anulada.

El artículo 38 del RDLOPD relativo a la regulación propia de los ficheros de información sobre solvencia patrimonial y crédito establece lo siguiente:

“1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:

a) Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero.

b) Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquella fuera de vencimiento periódico.

c) Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.

2. No podrán incluirse en los ficheros de esta naturaleza datos personales sobre los que exista un principio de prueba que de forma indiciaria contradiga alguno de los requisitos anteriores. Tal circunstancia determinará asimismo la cancelación cautelar del dato personal desfavorable en los supuestos en que ya se hubiera efectuado su inclusión en el fichero.”

El Tribunal Supremo estima la impugnación del artículo 38.1.a) en el sentido de eliminar del mismo la frase "... y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero", ya que no responde a la previsión legal del artículo 4.3 de la LOPD sobre calidad de los datos, en atención a la defectuosa redacción del precepto reglamentario por una inconcreción en su texto no solo de aquellos procedimientos que justifican la no inclusión en los ficheros de las deudas a que aquellos se refieren, sino también porque esa vaguedad permite considerar que incluso cuando la reclamación se formule por el acreedor exista la imposibilidad de inclusión de los datos en el fichero.

Respecto al apartado 2 de dicho artículo considera que origina una gran inseguridad jurídica, al no concretar qué principio de prueba exige (documental, pericial, testifical, etc.), junto a la dificultad de apreciación del grado exigible de la prueba indiciaria, que puede dar lugar a la apertura de expedientes sancionadores, no siendo por tanto conforme a derecho.

Por último, estima también al impugnación del artículo 123.2 “En supuestos excepcionales, el Director de la Agencia Española de Protección de datos podrá designar para la realización de actuaciones específicas a funcionarios de la propia Agencia no habilitados con carácter general para el ejercicio de funciones inspectoras o a funcionarios que no presten sus funciones en la Agencia, siempre que reúnan las condiciones de idoneidad y especialización necesarias para la realización de tales actuaciones. En estos casos, la autorización indicará expresamente la identificación del funcionario y las concretas actuaciones previas de inspección a realizar.”

Ya que ni los artículos 35, 37 y 40 de la LOPD, ni ningún otro artículo de la misma, contempla la facultad que al Director de la Agencia concede el precepto reglamentario y tampoco los artículos 12,13 y 15 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas, prevén la designación que se contempla en la norma reglamentaria impugnada.