Como sabréis el pasado día 27 de julio se dieron a conocer tres sentencias del Tribunal Supremo en relación a diversos artículos del Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Se anulan, por ser contrarios a derecho, los siguientes artículos:

Art. 11: Verificación de datos en solicitudes formuladas a las Administraciones públicas.

Art. 18: Acreditación del cumplimiento del deber de información. Art. 38 apartados 1.a) y 2. Requisitos para la inclusión de los datos. Art. 123.2: Personal competente para la realización de las actuaciones previas.

El listado de las sentencias:

Recurso de casación 23/2008 interpuesto por la Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF).

Recurso de casación 25/2008 interpuesto la Federación de Comercio Electrónico y Marketing Directo (FECEMD, actualmente a-digital).

Recurso de casación 26/2008 interpuesto por Experian Bureau de Crédito S.A.

Entre las tres sentencias se eleva una cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas para que se pronuncie acerca del art. 10.2. a) y b); se suspende el procedimiento en relación a la impugnación a dicho artículo, es necesario indicar que el Tribunal de Justicia de las Comunidades Europeas es competente para llevar a cabo, en el marco del art. 177 TCE, la interpretación de la totalidad de las normas comunitarias; interpretación que ha de acometer a petición de un órgano jurisdiccional determinado. De ahí que el Tribunal Supremo plantee ambas cuestiones ante el Tribunal de Justicia de las Comunidades Europeas.

Por lo tanto, mientras el Tribunal de Justicia de las Comunidades Europeas no se pronuncie al respecto, se suspenderá el procedimiento respecto de la impugnación del artículo 10, apartados 2. a) y b) del Reglamento de la Ley Orgánica de Protección de Datos.

Visto lo anterior, procederemos a analizar el porqué de tales anulaciones:

Artículo 11 RLOPD: Verificación de datos en solicitudes formuladas a las Administraciones públicas. “Cuando se formulen solicitudes por medios electrónicos en las que el interesado declare datos personales que obren en poder de las Administraciones Públicas, el órgano destinatario de la solicitud podrá efectuar en el ejercicio de sus competencias las verificaciones necesarias para comprobar la autenticidad de los datos”.

El Tribunal Supremo considera que la redacción de este precepto supone un tratamiento o cesión de datos sin consentimiento y sin la habilitación legal exigida en los artículos 6 y 11 de la LOPD. Ya en el trámite parlamentario el Ministerio de Administraciones Públicas formulo ciertas objeciones proponiendo que este tipo de actuaciones contaran con la autorización del órgano destinatario, para que se verificara la autenticidad de los datos.

Según el Tribunal Supremo tal artículo es contrario a los preceptos de la Ley Orgánica 15/1999 ya que prescinden de la habilitación legal, cosa que tampoco cabe deducir de la circunstancia de que el precepto reglamentario limite la potestad de verificación de la Administración cuando se encuentre en el ejercicio de sus competencias, siendo distinta que el ámbito de competencias de las AA.PP. se encuentren habilitados legalmente, y otra cosa es que se encuentren amparados por una habilitación específica de la Ley Orgánica.

Artículo 18 del RLOPD: Acreditación del cumplimiento del deber de información.“1. El deber de información al que se refiere el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado.

2. El responsable del fichero o tratamiento deberá conservar el soporte en el que conste el cumplimiento del deber de informar.

Para el almacenamiento de los soportes, el responsable del fichero o tratamiento podrá utilizar medios informáticos o telemáticos. En particular podrá proceder al escaneado de la documentación en soporte papel, siempre y cuando se garantice que en dicha automatización no ha mediado alteración alguna de los soportes originales.”

El motivo de nulidad es que este artículo establece una obligación “ex novo”, al margen de las establecidas en la LOPD. Concretamente una obligación adicional para el responsable del fichero, la de conservar el soporte en el que conste el cumplimiento del deber de informar.

Ubicado en el "Deber de información al interesado”, no se limita dicho precepto a poner de manifiesto que la carga de probar el efectivo cumplimiento del deber de informar corre a cargo del responsable del fichero o tratamiento. Lo que establece es la obligación de que la prueba de ese efectivo cumplimiento conste documentalmente o por medios informáticos o telemáticos. No es posible inferir que la norma reduce el derecho a probar por cualquier medio de los admitidos en derecho, sí tiene razón cuando aduce que establece “ex novo”, al margen de la Ley, una obligación adicional.

La Ley reconoce en el artículo 5 el derecho a la información en la recogida de datos, concreta el contenido de la información, y advierte de que el deber de informar ha de ser previo a la recogida, y ha de ser expresa, precisa e inequívoca, ninguna referencia contiene a la forma, abriendo así múltiples posibilidades (escrita, verbal, telemática, etc.); en consecuencia, debe considerarse que el legislador ha optado por la libertad de forma.

Artículo 38.1 y 2 del RLOPD: Requisitos para la inclusión de los datos. “1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:

a. Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y respecto de la cual no se haya entablado reclamación judicial, arbitral o

administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero.

b. Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquélla fuera de vencimiento periódico.

c. Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.

2. No podrán incluirse en los ficheros de esta naturaleza datos personales sobre los que exista un principio de prueba que de forma indiciaria contradiga alguno de los requisitos anteriores.

Tal circunstancia determinará asimismo la cancelación cautelar del dato personal desfavorable en los supuestos en que ya se hubiera efectuado su inclusión en el fichero.”

Este precepto se anula porque traslada la carga de la prueba de la concurrencia de los requisitos previstos en el art. 38.1 al encargado del tratamiento, reconociendo que lo hace en términos tales que origina una gran inseguridad jurídica que puede dar lugar a la apertura de expedientes sancionadores.

La exigencia al inicio del apartado 1.a) del artículo 38 de que la deuda sea "cierta" responde al principio de veracidad y exactitud recogido en el artículo 4.3 de la Ley 15/1999, al expresar que "Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado".

Se pone de manifiesto un conflicto de intereses que a la luz de la doctrina constitucional debe resolverse exigiendo una mayor concreción en el precepto reglamentario que pondere los intereses en presencia en atención a las circunstancias concretas.

En cuanto a la impugnación del art. 38.2, viene a decir es que si hay un principio de prueba que de forma indiciaria contradiga los requisitos exigidos para la inclusión de los datos en los ficheros de solvencia económica, no pueden incluirse de manera que sea cautelar del dato personal desfavorable que se hubiera incluido, imponiendo la cancelación expresamente.

La norma, sin duda, quiere responder al principio de calidad de datos, y no tipifica “ex novo” ninguna infracción. Lo que hace es trasladar la carga de la prueba de la concurrencia de los requisitos previstos en el artículo 38.1 al encargado del tratamiento, pero ha de reconocerse que lo hace en términos tales que origina una gran inseguridad jurídica que puede dar lugar a la apertura de expedientes sancionadores.

Artículo 123.2 del RLOPD: Personal competente para la realización de las actuaciones previas. “En supuestos excepcionales, el Director de la Agencia Española de Protección de Datos podrá designar para la realización de actuaciones específicas a funcionarios de la propia Agencia no habilitados con carácter general para el ejercicio de funciones inspectoras o a funcionarios que no presten sus funciones en la Agencia, siempre que reúnan las condiciones de idoneidad y especialización necesarias para la realización de

tales actuaciones. En estos casos, la autorización indicará expresamente la identificación del funcionario y las concretas actuaciones previas de inspección a realizar.”

El artículo ha sido anulado por ser contrario a los arts, 35, 37 y 40 de la LOPD y 12, 13 y 15 de la Ley 30/1992 de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. El Supremo entiende que la AEPD podrá designar para la realización de actuaciones previas al inicio de un procedimiento sancionador a funcionarios no habilitados con carácter general para el ejercicio de funciones inspectoras o a funcionarios que no presten sus funciones en el organismo.

Espero que os resulte de interés, para mi lo más importante, el establecimiento de la libertad de forma que se establece para el artículo 18 con respecto al deber de información.