El interés legítimo en el nuevo marco de protección de datos después de la sentencia del TS

En la entrada anterior hemos visto que el Tribunal Supremo entiende que si hay interés legitimo una empresa puede tratar datos de una persona física sin el consentimiento expreso del interesado, cuando hasta la sentencia del TS sólo se podía hacer en caso de que existiera una ley habilitante (por ejemplo el Estatuto de los Trabajadores en el caso de los datos de la nómina y contratos laborales) o se tratara de datos recogidos de fuentes accesibles al público.

En la web de la Agencia no se hace referencia a este cambio en las reglas del juego, al menos a día de hoy yo no lo he visto. Me parece increíble que no esté aun reflejada esta información. Espero que la razón no sea que el encargado está de vacaciones, ya que en los tiempos que corre hay internet y unas horas extras en materia tan importante no matan a nadie. Veremos si se dignan a hacer mención en días venideros a esta sentencia del TS.

Antes de entrar a analizar que se considera interés legítimo, dos cuestiones previas:

¿Puede el Tribunal Supremo modificar la Ley?

El Tribunal Supremo no puede anular una norma con rango de ley, pero si  puede anular artículos de un reglamento, que es lo que ha hecho con el RLOPD (PDF). Esa facultad deriva directamente de nuestra Constitución, que establece que los tribunales actúan sometidos únicamente al imperio de la Ley.

Los reglamentos, como normas de rango inferior a las leyes (aunque éstas también son disposiciones de carácter general), al emanar del Ejecutivo y no del Legislativo, no obligan a los jueces y tribunales, que pueden anularlas en caso de impugnación directa del reglamento, como ha sido el caso, o inaplicarlas en caso de que se impugne un acto concreto de aplicación del reglamento.

¿Afectará esta sentencia a las sanciones de forma retroactiva?

Veremos como se aplica el principio de retroactividad de las normas sancionadoras más favorables.

En opinión de mis fuentes jurídicas consultadas, la retroactividad alcanzaría sólo a las sanciones no firmes; si alguien tiene un procedimiento abierto en el que sea de aplicación algún artículo anulado o modificado, quedaría sin sanción.

En cambio, las sanciones que ya son firmes se mantendrían, como viene siendo doctrina en el ámbito administrativo.

Veamos ahora lo que dice el TS sobre el interés legitimo:

La normativa europea busca facilitar la libre circulación de datos personales entre Estados miembros, garantizando su debida protección. Para ello persigue unificar los criterios de los distintos Estados. La normativa española, al parecer, se excedió no aceptando el interés legitimo para tratar datos sin consentimiento expreso del afectado.

El TS ve indicios de que la normativa española es demasiado restrictiva al considerar que sólo si los datos proceden de una lista cerrada de «fuentes accesibles al público» estamos ante un interés legitimo que exime de obtener el consentimiento expreso del afectado, y plantea al Tribunal de Justicia de las Comunidades Europeas las siguientes cuestiones prejudiciales:

1ª) «¿Debe interpretarse el artículo 7, letra f), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en el sentido de que se opone a una normativa nacional que, no mediando consentimiento del afectado y para permitir el tratamiento de sus datos de carácter personal que resulte necesario para satisfacer un interés legítimo del responsable o de los terceros a los que se vayan a comunicar, exige además de que no se lesionen los derechos y libertades fundamentales de aquel que los datos consten en fuentes accesibles al público?»

2º) «¿Concurren en el mencionado artículo 7, letra f), las condiciones que exige la jurisprudencia del Tribunal de Justicia de la Unión Europea para atribuirle efecto directo?»

Es decir, ¿se ajusta al derecho comunitario las exigencias de la normativa española de que haya una ley habilitante o los datos se hayan obtenido de una fuente accesible al público cerrada para no obligar a solicitar el consentimiento expreso de los afectados?

Por ejemplo, actualmente los datos personales que uno publica en su web no se pueden tratar, cosa que tal vez sea una restricción demasiado severa para la normativa europea.