Información jurídica inteligente
 España | 900 649 672

STS 1720/2007, 15 de Julio de 2010

Sentencia Citas 107 Citado por 5 Mapa de Precedentes Relacionados
Vincent
JurisdicciónEspaña
EmisorTribunal Supremo, sala tercera, (Contencioso Administrativo)
Fecha15 Julio 2010
Número de resolución1720/2007

SENTENCIA

En la Villa de Madrid, a quince de Julio de dos mil diez.

Visto por la Sala Tercera del Tribunal Supremo, constituida en Sección por los señores al margen anotados, el recurso contencioso administrativo que con el número 25/08 ante la misma pende de resolución, interpuesto por la representación procesal de la FEDERACIÓN DE COMERCIO ELECTRONICO Y MARKETING DIRECTO contra Real Decreto 1720/2007, de 21 de diciembre, siendo parte recurrida la Administración General del Estado, la Asociación de Usuarios de la Comunicación y la Unión General de Trabajadores

ANTECEDENTES DE HECHO

PRIMERO

Por la representación procesal de la Federación de Comercio Electrónico y Marketing Directo, se interpuso recurso contencioso administrativo contra el Real Decreto 1720/07, el cual fue admitido por la Sala, motivando la publicación del preceptivo anuncio en el Boletín Oficial del Estado y la reclamación del expediente administrativo que, una vez recibido se entregó al Procurador Don Manuel Lanchares Prelado, para que, en la representación que ostenta, formalizase la demanda dentro del plazo de veinte días, lo que verificó con el oportuno escrito en el que, después de exponer los hechos y alegar los fundamentos de derecho que estimó oportunos, terminó suplicando que: "... previos los trámites oportunos proceda a:

  1. - Declarar la nulidad de pleno derecho del Real Decreto 1720/2007, nulidad que resulta de lo dispuesto en los artículo 23.2 de la Ley 50/1997 y 62.2 de la Ley 30/1992, dada la infracción de los preceptos legales y constitucionales mencionados en el cuerpo de este escrito, en particular la infracción grave y generalizada del procedimiento de elaboración de Reglamentos previsto en el artículo 24 de la Ley 50/1997 .

  2. - Subsidiariamente, declarar la nulidad de pleno derecho de los artículos del Real Decreto 1720/1997 mencionados a continuación, nulidad que resulta de lo dispuesto en los artículos 23.2 de la Ley 50/1997 y 62.2 de la Ley 30/1992, dada la infracción de los preceptos legales y constitucionales y la restricción de las libertades comunitarias de Libre Circulación mencionados en el cuerpo de este escrito y por los motivos manifestados. Así, se interesa la nulidad de:

    . Artículo 5.1 q) in fine RLOPD

    ..Artículo 49 RLOPD

    . Artículo 47 RLOPD

    . Art. 12.1, segundo párrafo

    . Art. 8.5 RLOPD . Art. 18 RLOPD

    . Art. 20.1 RLOPD

    . Apartados 2 a) y 2b) del Artículo 10 RLOPD

    . Artículo 45.1 b) in fine RLOPD

    . Artículo 46, apartados 2,3 y 4 RLOPD

    . Artículo 13.4 RLOPD

    . Artículo 42 RLOPD

    . Artículo 38, apartado 1a ) (la frase "y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero "), y apartado 1 b), 38.2 y 38.3 RLOPD

    . Artículo 41 LOPD

    . Artículo 15 LOPD

    . Artículo 83 LOPD .

  3. - Todo ello con imposición de costas a la Administración demandada, de conformidad con lo establecido en el artículo 139 de la Ley Jurisdiccional ."

    También instó el planteamiento de cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, proponiendo las siguientes cuestiones:

    "1. ¿Es compatible con el Derecho comunitario Europeo -en particular con la Directiva 95/46 / CE, de 24 de octubre de 1995 y/o con las libertades fundamentales consagradas en el Tratado Constitutivo de la Comunidad Europea -particularmente sus artículos 28 y/o 49 - que un Estado miembro apruebe o mantenga en vigor en sus disposiciones normativas nacionales obligaciones adicionales no contempladas en los siguientes artículos de la Directiva:

    - Artículo 2 d)

    - Artículo 14 b

    - Artículo 10

    - Artículo 12 c)

    - Artículo 11

    - Artículo 17.3

    - Artículo 7

    - Artículo 6

    que causen o supongan restricciones a la libre circulación de datos personales?

  4. ¿Es compatible con el Derecho comunitario Europeo -en particular con la Directiva 95/46 / CE, de 24 de octubre de 1995 y/o con las libertades fundamentales consagradas en el Tratado Constitutivo de la Comunidad Europea -particularmente sus artículos 28 y/o 49 - que un Estado miembro establezca nuevas restricciones y requisitos adicionales a los supuestos que legitiman el tratamiento de datos personales establecidos en el artículo 7 de la Directiva y/o que el supuesto establecido en el artículo 7.f) de la Directiva no se configure como un principio para la legitimación del tratamiento de carácter autónomo sino vinculado a la concurrencia de algún otro de los requisitos establecidos en el artículo 7 de la Directiva ? 3. ¿Es compatible con el Derecho comunitario Europeo -en particular con la Directiva 95/46 / CE, de 24 de octubre de 1995 y/o con las libertades fundamentales consagradas en el Tratado Constitutivo de la Comunidad Europea -particularmente sus artículos 28 y/o 49 - que un Estado miembro apruebe o mantenga en vigor en sus disposiciones normativas nacionales materias que excedan el ámbito de la Directiva como los establecidos en

    - Artículo 5.1.q) in fine Real Decreto 1720/2007

    - Artículo 49 Real Decreto 1720/2007

    - Artículo 12.1, segundo párrafo Real Decreto 1720/2007

    - Artículo 8.5 Real Decreto 1720/2007

    - Artículo 18 Real Decreto 1720/2007

    - Artículo 20.1 Real Decreto 1720/2007

    - Artículo, apartados 10.2a) y 10.2 b) Real Decreto 1720/2007

    - Artículo 42 Real Decreto 1720/2007

    que causen o supongan restricciones a la libre circulación de datos personales?"

SEGUNDO

El Abogado del Estado, la Asociación de Usuarios de la Comunicación y la Unión General de Trabajadores se opusieron a la demanda con escritos en los que, después de exponer los hechos y fundamentos de derecho que estimaron procedentes, terminaron suplicando a la Sala, por el Abogado el Estado, que dicte sentencia "..declarando la falta de legitimación activa de la parte recurrente para impugnar los artículos 38, 41 y 42 RLOPD impugnado o, subsidiariamente de lo anterior, desestimando el presente recurso contencioso administrativo en su integridad por ser el citado RLOPD, aprobado por el Real Decreto 1720/2007, de 21 de diciembre, plenamente conforme a derecho", por el Letrado de la Asociación de Usuarios de la Comunicación, que proceda "... a dictar sentencia por la que se desestime íntegramente el recurso contencioso administrativo interpuesto por FECEMD contra el Real Decreto 1720/2007, de 21 de diciembre, por manifiestamente infundado, con los demás pronunciamientos legales que procedan", y por el Letrado de la Unión General de Trabajadores, que "... dicte en su día sentencia inadmitiendo la demanda presentada por la Federación de Comercio Electrónico y Marketing directo y, subsidiariamente, la desestime, con expresa imposición de costas a la recurrente" .

TERCERO

Por auto de fecha 16 de abril de 2009 se acordó el recibimiento a prueba del recurso por término de treinta días comunes a las partes para proponer y practicarla, verificándose la realización de las que fueron admitidas con el resultado que se recoge en las actuaciones.

CUARTO

Acordándose sustanciar este pleito por conclusiones sucintas, se concedió a las partes el término sucesivo de quince días cumplimentándolos con sus respectivos escritos en los que tras alegar lo que estimaron conveniente, terminaron dando por reproducidas las súplicas de demanda y contestación.

QUINTO

Conclusas las actuaciones, se señaló para votación y fallo la audiencia del día VEINTISEIS DE MAYO DE DOS MIL DIEZ, en cuyo acto tuvo lugar su celebración.

SEXTO

Por providencia de 16 de junio del presente, se acordó oír a las partes por plazo común de cinco días para que alegaran sobre la posibilidad de plantear cuestión prejudicial respecto de alguno de los preceptos impugnados, dictando sentencia respecto de los demás, con el resultado que obra en autos.

SEPTIMO

Con esta misma fecha se ha dictado auto del tenor literal siguiente:

"En la Villa de Madrid, a quince de julio de dos mil diez.

HECHOS

  1. La «Federación Comercio Electrónico y Marketing Directo» (en lo sucesivo, «FECEMD») ha interpuesto recurso contencioso- administrativo contra numerosos artículos del Real Decreto 1720/2007, de 21 de diciembre (Boletín Oficial del Estado -en adelante-, «BOE», de 19 de enero de 2008, p. 4103), por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (BOE de 14 de diciembre, p. 43088).

  2. Entre los preceptos impugnados se encuentra el artículo 10, apartado 2.a), supuesto primero, y

  3. b), párrafo primero, a los que FECEMD imputa la infracción del artículo 7, letra f), de la Directiva 95/46 / CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281, p. 31).

  4. No obstante, y para el caso de que este Tribunal albergara dudas sobre esa oposición de la norma reglamentaria a las previsiones de la Directiva 95/46 /CE, FECEMD solicita en la demanda que se plantee al Tribunal de Justicia de la Unión Europea la siguiente cuestión prejudicial:

    "¿Es compatible con el Derecho Comunitario Europeo -en particular con la Directiva 95/46 / CE, de 24 de octubre de 1995 y/o con las libertades fundamentales consagradas en el Tratado Constitutivo de la Comunidad Europea -particularmente sus artículos 28 y/o 49 - que un Estado miembro establezca nuevas restricciones y requisitos adicionales a los supuestos que legitiman el tratamiento de datos personales establecidos en el artículo 7 de la Directiva y/o que el supuesto establecido en el artículo 7.f) de la Directiva no se configure como un principio para la legitimación del tratamiento de carácter autónomo sino vinculado a la concurrencia de algún otro de los requisitos establecidos en el artículo 7 de la Directiva ?".

  5. Quienes han intervenido como partes demandadas se han opuesto al reenvío de una cuestión prejudicial.

    Siendo Ponente el Excmo. Sr. D. Juan Carlos Trillo Alonso, Magistrado de la Sala

RAZONAMIENTOS JURÍDICOS

  1. - El marco jurídico interno.

    1.1. La Ley Orgánica 15/1999, que transpone al derecho español la Directiva 95/46 /CE, exige para que los datos puedan ser tratados la mediación del inequívoco consentimiento del afectado, salvo que la ley disponga otra cosa (artículo 6.1 ).

    1.2. Por excepción, no considera preciso el consentimiento, entre otros supuestos (artículo 6.2, in fine):

    [...] cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

    1.3. El artículo 11, apartado 1, reitera la necesidad del consentimiento para que puedan comunicarse a terceros los datos de carácter personal, exigencia que no estima precisa, según el apartado 2:

    [...]

    b) Cuando se trate de datos recogidos de fuentes accesibles al público.

    1.4. El artículo 3 .j) define las «fuentes accesibles al público» como:

    [...] aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la condición de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, titulo, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.

    1.4. El Gobierno español ha desarrollado la Ley Orgánica 15/1999 mediante el Real Decreto 1720/2007, que, en su artículo 10, después de permitir el tratamiento y la cesión de los datos de carácter personal si el interesado presta previamente su consentimiento (apartado 1), dispone en el apartado 2: «No obstante, será posible el tratamiento o la cesión de datos de carácter personal sin necesidad del consentimiento del interesado cuando:

    1. Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes:

      El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre .

      El tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas.

    2. Los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tengan un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

      No obstante, las Administraciones públicas sólo podrán comunicar al amparo de este apartado los datos recogidos de fuentes accesibles al público a responsables de ficheros de titularidad privada cuando se encuentren autorizadas para ello con una norma con rango de ley.»

  2. - El derecho comunitario.

    2.1. La Carta de los derechos fundamentales de la Unión Europea (última publicación oficial, DO C 83, p. 389 ), dentro del título III, dedicado a las «Libertades», dispone en el artículo 8 que:

    1. Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.

    2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley [...]

    2.2. Por su parte, la Directiva 95/46 /CE, que aspira a realizar una armonización completa (sentencia del Tribunal de Justicia de la Unión Europea de 6 de noviembre de 2003, Lindqvist, asunto C-101/01, apartado 96 ), tiene por designio el asegurar la libre circulación de datos personales de unos Estados miembros a otros, sin menoscabo de la protección de los derechos fundamentales (tercer considerando).

    2.2. Como quiera que las diferencias existentes en la tutela dispensada por los distintos países, achacables a la disparidad de las disposiciones nacionales sobre el particular, son susceptibles de obstaculizar esa libre transmisión de datos, aspira a equiparar los niveles de protección entre todos los Estados miembros, coordinando sus legislaciones, de modo que dispensen una protección equivalente, sin perjuicio de reconocerles un margen de maniobra, que han de ejercer de conformidad con el derecho comunitario y dentro de los límites de la propia Directiva (considerandos séptimo a noveno, artículo 5 y sentencia Lindqvist, ya citada, apartado 97 ).

    2.3. Con ese propósito, obliga a los Estados miembros a garantizar, con arreglo a su texto, las libertades y los derechos fundamentales de los individuos en lo que respecta al tratamiento de los datos personales, sin que les quepa restringir ni prohibir la libre circulación de esos datos por motivos relacionados con tal tutela (artículo 1º, cuyo apartado 1 se transpone en el artículo 1º de nuestra Ley Orgánica 15/1999 ).

    2.4. Con el anterior propósito, el legislador de la Unión proclamó el principio, hoy incluido en la Carta, de que el tratamiento de datos personales sólo puede efectuarse si el interesado ha dado su consentimiento de forma inequívoca [artículo 7, letra a)] o concurren otras causas legítimas, que relaciona en las letras siguientes, y entre las que se encuentra la de resultar el tratamiento:

    [...] necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o los terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva .

    3. Los presupuestos del reenvío prejudicial

    3.1. Esta Sala se enfrenta con un litigio en el que FECEMD demanda la nulidad del artículo 10, apartado 2, letra b), del Real Decreto 1720/2007 porque considera que, al igual que las normas legales que le sirven de cobertura (los artículos 6 y 11 de la Ley Orgánica 15/1999 ), no traspone debidamente el artículo 7, letra f), de la Directiva 95/46 /CE, infringiendo esta norma de derecho comunitario.

    3.2. En particular, considera que el derecho español añade al interés legítimo como presupuesto del tratamiento de los datos sin consentimiento del titular un requisito que no está presente en la mencionada Directiva: que los datos consten en fuentes accesibles al público.

    3.3. La respuesta a esa pretensión depende, en gran medida, de la interpretación que el Tribunal de Justicia dé al artículo 7, letra f), de la Directiva 95/46 /CE, pues si concluye que nada impide que los Estados miembros exijan, además de la concurrencia del repetido interés, la presencia de los datos en fuentes accesibles al público, habrá que concluir que la Ley española y el Reglamento que la desarrolla se ajustan en este punto al ordenamiento jurídico de la Unión.

    3.4. Si, por el contrario, es criterio del Tribunal de Justicia que no les cabe a los Estados miembros añadir requisitos adicionales a aquella exigencia, debería inaplicarse, para el caso de que se pueda reconocer al repetido artículo 7, apartado ñ), efecto directo, la previsión legislativa interna, quedando huérfano de cobertura el artículo 10, apartado 2, letra b), del Real Decreto 1720/2007 .

    3.5. La pertinencia del diálogo prejudicial depende, en segundo lugar, de que haya dudas razonables sobre la interpretación del derecho comunitario, esto es, que no quepa deducir de los términos de la norma comunitaria una sola solución hermenéutica, que se impondría por su propia evidencia no sólo al órgano jurisdiccional remitente sino al resto de órganos jurisdiccionales de los diferentes Estados miembros, incluido el propio Tribunal de Justicia [sentencia de 6 de octubre de 1982, CILFIT (283/81, apartado 16 )].

    En el caso de autos, la existencia de esas dudas resulta patente. Las respectivas posiciones de las partes, manifestadas en el debate procesal, son divergentes. Por otro lado, como sabemos, la Directiva 95/46 /CE aspira a una armonización completa de las legislaciones nacionales, al tiempo que quiere establecer un equilibrio entre los dos pilares sobre los que pivota su regulación: la libre circulación entre los Estados miembros de los datos de carácter personal sin merma alguna de los derechos y libertades fundamentales del interesado. Duda esta Sala, si como excepción al principio de consentimiento inequívoco de este último para el tratamiento y circulación de los datos, la concurrencia de un interés legítimo en el responsable de aquél o en los destinatarios de éstos, debe operar como única exigencia, bastando su presencia para que el consentimiento resulte innecesario o si, por el contrario, en garantía de aquellos derechos y libertades fundamentales pueden los Estados miembros añadir exigencia adicionales.

  3. Las cuestiones prejudiciales

    4.1. Primera cuestión prejudicial

    4.1.1. Ya hemos indicado que resulta presupuesto insoslayable para el tratamiento de los datos de carácter personal que medie el con sentimiento inequívoco del interesado [artículo 7, letra a), de la Directiva 95/46 /CE], no obstante cabe que, sin mediar el mismo, el tratamiento pueda llevarse a cabo si concurre un interés legítimo del responsable del tratamiento o de los destinatarios de los datos, siempre que no deba prevalecer el interés de los derechos y libertades fundamentales del titular de los datos [letra f) del mismo precepto].

    4.1.2. El legislador español ha asumido dicha regulación (artículo 6 de la Ley Orgánica 15/1999 ), pero ha adicionado a la concurrencia de aquel interés legítimo la condición de que los datos figuren en fuentes accesibles al público (apartado 2, in fine).

    4.1.3. El titular de la potestad reglamentaria ha reproducido dicha previsión del legislador, matizando, sin embargo, que las Administraciones sólo pueden comunicar a los responsables de ficheros de titularidad privada los datos recogidos en fuentes accesibles al público sin están autorizadas para ello por una norma con rango de ley [artículo 10, apartado 2, letra b), del Real Decreto 1720/2007 ].

    4.1.4. La Ley española considera fuentes accesibles al público los ficheros que puedan ser consultados libremente sin más requisito que el pago de una contraprestación. A renglón seguido relaciona esos ficheros mediante una lista exhaustiva y cerrada: «el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, titulo, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación» [artículo 3, letra j), de la Ley Orgánica 15/1999 ].

    4.1.5. La conclusión parece evidente; aún mediando el interés legítimo del responsable del tratamiento o de los destinatarios de los datos, sino media consentimiento inequívoco del titular sólo cabe tratar y comunicar los datos que constan en los ficheros relacionados. De este modo, la ley española y el reglamento que la desarrolla restringen el ámbito del artículo 7, letra f), de la Directiva 95/46 /CE.

    4.1.6. A juicio de esta Sala, esa restricción erige un obstáculo a la libre circulación de los datos de carácter personal no querido, en principio, por la norma comunitaria, que sólo limita en tales supuestos la libre circulación si así lo demanda el interés de los derechos y las libertades fundamentales del titular de los datos.

    4.1.7. La única posibilidad de salvar la contradicción sería entender que, por definición y en abstracto, la circulación de datos de carácter personal que consten en otros ficheros distintos de los relacionados por el legislador español sin el consentimiento del afectado vulnera sus derechos y libertades fundamentales. Pero no parece que este desenlace sea el querido por el legislador comunitario.

    4.1.8. En primer lugar, porque rompe la armonización total perseguida por la norma de derecho comunitario, al establecer una lista cerrada y exhaustiva de fuentes accesibles al público, siendo plausible que otros Estados miembros puedan considerar como tales otro tipo de ficheros. En segundo término, porque a nuestro entender, el artículo 7, letra f), de la Directiva, está pensando en coyunturas singulares, atendibles y susceptibles de análisis en función de las características del caso concreto y no acudiendo a categorizaciones genéricas y abstractas. En otros términos, si, no mediando consentimiento del afectado, concurre un interés legítimo del responsable o de los destinatarios de los datos, el tratamiento resulta posible salvo que, en atención a la naturaleza de los datos y del soporte, a las condiciones subjetivas del afectado, a la finalidad perseguida, etc., deba darse prevalencia a los derechos fundamentales, en particular, al derecho a la intimidad del titular de los datos, en esa tensión que preside su convivencia con la necesidad de garantizar en el territorio de la Unión la libre circulación de tal clase de datos.

    4.1.9. Cabe añadir a lo anterior que el artículo 1, apartado 2, de la Directiva 95/46 /CE, prohíbe a los Estados miembros restringir la libre circulación de los datos personales por motivos relacionados con la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta a su tratamiento. Por ello, lo que hace la norma comunitaria es disciplinar esa circulación sin merma de la garantía de los citados derechos y libertades fundamentales, por lo que no cabe que los Estados miembros impongan mayores restricciones que las prevista por el legislador comunitario. Los Estados miembros no pueden establecer otras excepciones y limitaciones que las que se contemplan en el artículo 13 de la repetida Directiva, entre los que no es encuentra un restricción como la añadida por el legislador español en el artículo 6, apartado 2, in fine, de la Ley Orgánica 15/1999 y en el 10, apartado 2, letra b), del Real Decreto 1720/2007 .

    4.1.10. En este sentido y en relación con otra de las finalidades que legitiman el tratamiento de los datos personales sin consentimiento del titular [resultar «necesario para el cumplimiento de una misión de interés público» (artículo 7, letra e)], el Tribunal de Justicia ha señalado que la noción de «necesidad» no puede tener un contenido variable en función de los Estados miembros [sentencia de 16 de diciembre de 2008, Heinz Huber (C- 524/06, apartado 52 )].

    4.1.11. Debe tenerse en cuenta también que, para el Tribunal de Justicia, los ficheros que tengan por objeto información publicada están comprendidos en el ámbito de aplicación de la Directiva 95/46 / CE [sentencia de 16 de diciembre de 2008, Tietosuojavaltuutettu (C- 73/07, apartado 49 y punto 3 de la parte dispositiva)], por lo que, en principio, un legislador nacional no puede definir y acotar unilateralmente los ficheros que tienen tal condición, pues se trata de una noción de derecho comunitario necesitada de una aplicación y, por consiguiente, interpretación uniformes.

    4.1.12 En suma, procede preguntar al Tribunal de Justicia si el artículo 7, letra f), de la Directiva 95/46 /CE debe interpretarse en el sentido de que se opone a una normativa nacional que, no mediando consentimiento del afectado y para permitir el tratamiento de sus datos de carácter personal que resulte necesario para satisfacer un interés legítimo del responsable o de los terceros a los que se van a comunicar, exige además de que no se lesionen los derechos y libertades fundamentales de aquel que los datos consten en fuentes accesibles al público. 4.2. Segunda cuestión prejudicial

    4.2.1. Si la respuesta del Tribunal de Justicia fuere afirmativa, esta Sala de enfrentaría a una norma reglamentaria (el artículo 10, apartado 2, letra b), del Real Decreto 1720/2007) que desarrolla una previsión legal (el artículo 6, apartado 2, in fine, de la Ley Orgánica 15/1999 ) contraria al ordenamiento jurídico de la Unión Europea

    4.2.2. Las consecuencias de esta constatación son distintas según que pueda reconocerse al artículo 7, letra f), de la Directiva 95/46 /CE efecto directo, pues, en tal circunstancia, nos veríamos obligados a desplazar la norma legal interna [sentencia de 9 de marzo de 1978, Simmenthal (asunto 106/77, passim)]. En esta tesitura, la disposición reglamentaria quedaría carente de la necesaria cobertura legal, insoslayable en el sistema jurídico español, procediendo declarar su nulidad.

    4.2.3. Por consiguiente, ha de preguntarse también al Tribunal de Justicia si el artículo 7, letra f), de la Directiva 95/46 /CE reúne los requisitos que exige la jurisprudencia comunitaria para reconocerle efecto directo, esto es, si, desde el punto de vista de su contenido, es incondicional y suficientemente preciso, pudiendo ser invocado por los justiciables ante sus jueces nacionales en la medida en la que les reconoce derechos esgrimibles frente al poder público [sentencia de 19 de enero de 1982, Becker (asunto 8/81, apartado 25 ].

  4. Sobre la suspensión del procedimiento.

    Circunscrita la duda interpretativa de los preceptos reglamentarios impugnados, con relación al derecho comunitario, a las expresadas en el precedente, en atención al carácter preferente que para el señalamiento de los recursos directos interpuestos contra las disposiciones generales prevé el artículo 66 de la Ley Jurisdiccional, y a la circunstancia no menos relevante del elevado número de preceptos objeto de impugnación, se entiende adecuado limitar la suspensión de dictar sentencia única y exclusivamente respecto al artículo 10 del Reglamento, siendo de significar al efecto la inexistencia de una conexión tal entre dicho precepto y los demás recurridos que pudieran verse afectados por la sentencia que en su día dicte el Tribunal de Justicia de las Comunidades Europeas, así como la conveniencia de no demorar por más tiempo la resolución de éstos.

    LA SALA ACUERDA :

Primero

Suspender única y exclusivamente el procedimiento respecto de la impugnación del artículo 10, apartados 2. a) y b) del Reglamento de la Ley Orgánica de Protección de Datos, hasta la resolución del incidente prejudicial planteado y dictar sentencia con relación a los demás artículos impugnados.

Segundo

Plantear al Tribunal de Justicia de las Comunidades Europeas las siguientes cuestiones prejudiciales:

  1. ) «¿Debe interpretarse el artículo 7, letra f), de la Directiva 95/46 / CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en el sentido de que se opone a una normativa nacional que, no mediando consentimiento del afectado y para permitir el tratamiento de sus datos de carácter personal que resulte necesario para satisfacer un interés legítimo del responsable o de los terceros a los que se vayan a comunicar, exige además de que no se lesionen los derechos y libertades fundamentales de aquel que los datos consten en fuentes accesibles al público?»

  1. ) «¿Concurren en el mencionado artículo 7, letra f), las condiciones que exige la jurisprudencia del Tribunal de Justicia de la Unión Europea para atribuirle efecto directo?»

Lo mandó la Sala y firman los Magistrados Excmos. Sres. al inicio designados."

Siendo Ponente el Excmo. Sr. D. Juan Carlos Trillo Alonso, .

FUNDAMENTOS DE DERECHO

PRIMERO

Es objeto de impugnación en el presente recurso contencioso administrativo el Real Decreto 1720/07, de 22 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal. En armonía con lo expresado en el auto de esta misma fecha, trascrito en el antecedente de hecho sexto, en el que decidimos, pese al planteamiento de cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, limitar la suspensión del procedimiento, solo y exclusivamente, en relación al único precepto que de los impugnados ofrece dudas a este Tribunal sobre su adecuación a la Directiva 95/46 / CE del Parlamento Europeo y del Consejo, de 24 de octubre, como consideración previa que justifica en definitiva la razón de tal proceder, y aunque ya exteriorizada en dicho auto, aconseja insistir ahora en aquellas circunstancias singulares tenidas en cuenta para la decisión de mención, amparada, sin duda, o mejor demandada, por el artículo 24 del Texto Constitucional que proscribe las dilaciones indebidas como manifestación del derecho a la tutela judicial efectiva que dicho precepto constitucional proclama y que, en definitiva, también se recoge en el artículo 6 del Convenio Europeo de Derechos Humanos al aludir al concepto indeterminado de plazo razonable.

Al respecto, lo primero que debe destacarse es la naturaleza de disposición general del Real Decreto 1720/07, cuyo señalamiento preferente se prevé en el artículo 66 de la Ley Jurisdiccional en atención, conforme se expresa en su exposición de motivos, a "evitar innecesarios vacíos normativos y situaciones de inseguridad o interinidad en torno a la validez y vigencia de las normas" .

Otra circunstancia también a destacar es el elevado número de los preceptos objeto de impugnación como se tendrá ocasión de comprobar con la lectura del fundamento de derecho segundo y la incuestionable relevancia de la decisión que adoptemos sobre ellos, a la que implícitamente alude la recurrente cuando en sus alegaciones hace mención a que su vulneración puede dar origen a expedientes sancionadores.

Pues bien, si a las circunstancias referenciadas debe unirse la no menos trascendente de la inexistencia de una conexión tal entre el artículo 10 del Reglamento, único que plantea dudas sobre su adaptación a la Directiva, y los demás objeto de impugnación, circunstancia ésta última que aleja toda posibilidad de que en un futuro pronunciamiento del Tribunal de Justicia pudieran verse afectados otros preceptos de los impugnados, resulta claro que demorar por más tiempo el pronunciamiento sobre éstos supondría una vulneración del expresado derecho fundamental a un procedimiento sin dilaciones indebidas.

SEGUNDO

Son dos las líneas argumentales utilizadas por la recurrente en su escrito de demanda para recurrir la disposición reglamentaria: Una de naturaleza formal, relativa a irregularidades en el procedimiento de elaboración del Reglamento que, a su juicio, infringen lo dispuesto en el artículo 24 de la Ley 50/1997, de 27 de noviembre, de Organización, Competencia y Funcionamiento del Gobierno (en adelante Ley del Gobierno), lo que le lleva a instar en el > del escrito de mención la nulidad de pleno derecho de la disposición recurrida en su totalidad. Otra, de carácter material o de fondo que fundamentada en la nulidad de concretos preceptos del Reglamento, bien por establecer obligaciones adicionales o > a las previstas en la directiva 95/46 / CE del Parlamento Europeo y del Consejo, de 24 de octubre de 2005 (en adelante, Directiva ) o en la ya citada Ley Orgánica 15/1999 (en adelante, Ley Orgánica), bien por establecer restricciones y requisitos adicionales a los supuestos que legitiman el tratamiento o la cesión de datos, bien por regular materias no previstas ni en la Directiva ni en la Ley Orgánica, determinan a la recurrente a solicitar en el suplico del mencionado escrito rector, con carácter subsidiario, la declaración de nulidad de pleno derecho de los siguientes artículos del Reglamento: 5.1.q), in fine; 49; 47; 12.1, segundo párrafo; 8.5; 18; 20.1; 10, apartados 2 a) y 2 b); 45.1 b), in fine; 46, apartados 2,3, y 4; 13.4; 42; la frase del apartado 1. a) del 38 que comienza por "y respecto de la cual ..." y finaliza por " ... de 20 de febrero" ; los apartados 1.b), 2 y 3 del citado artículo 38 ; 41; 75 y 83.

Por un tercer > insta que, tras los trámites oportunos, se plantee cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, en los términos ya expresados en el antecedente de hecho primero.

TERCERO

En lo que se refiere a los vicios procedimentales o de elaboración del Reglamento, antes de entrar en el examen singular de aquellos que se denuncian en el escrito de demanda, es oportuno recordar, siguiendo jurisprudencia de esta Sala plasmada en numerosas y reiteradas sentencias, que el trámite mediante el que se elabora y aprueba una disposición general constituye un procedimiento especial, previsto por el artículo 105, apartado 1, de la Constitución, y regulado con carácter general en el artículo 24 de la Ley 50/1997, al tiempo que un límite formal al ejercicio de la potestad reglamentaria. Su observancia, dice la sentencia de 12 de mayo de 2009 (recurso nº 130/2007 ), con cita de la de 13 de noviembre de 2000 (recurso nº 513/1998), tiene, por tanto, un carácter >, de modo que su omisión o su defectuoso cumplimiento, traducido en un olvido trascendente para la finalidad a que tiende su exigencia, arrastra la nulidad de la disposición que se dicta. Con el término trascendente se alude, conforme también se expresa en la sentencia de referencia, con cita de la de 15 de diciembre de 1997 (recurso nº 715/95 ), a una interpretación funcional y teleológica de las garantías procedimentales establecidas para la elaboración de las disposiciones generales, que no se justifican por el puro formalismo sino por la finalidad a que responden y que no es otra que garantizar, como decía el artículo 129 de la Ley de Procedimiento Administrativo de 17 de julio de 1958, la legalidad, acierto y oportunidad de las disposiciones reglamentarias, siempre exigible, pero más si cabe o, al menos, con el máximo rigor, cuando inciden en materias especialmente sensibles, cuales son las relativas a la protección de datos de carácter personal, constitutivo de un derecho fundamental con entidad propia y autónoma en el artículo 18.4 de la Constitución, en el que el valor o bien protegido es la libertad del individuo frente a los abusos y presiones a que puede verse sometido como consecuencia del tratamiento automatizado de datos.

Sobre la consideración del derecho a la protección de datos de carácter personal como un derecho fundamental autónomo se ha pronunciado el Tribunal Constitucional en numerosas sentencias. En la 292/2000, de 30 de noviembre, se expresa que este Tribunal ya ha declarado que el artículo 18.4 CE contiene, en los términos de la STC 254/1993, un instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los restantes derechos del ciudadano que, además, es en si mismo "un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de las personas provinientes de un uso ilegítimo del tratamiento mecanizado de datos, lo que la constitución llama >, lo que se ha dado en llamar >" .

Tendremos ocasión de insistir en la naturaleza singular de ese derecho fundamental. Baste ahora constatarlo para aseverar la rigurosidad exigible en su regulación no solo desde la prespectiva sustantiva sino también desde la procedimental.

CUARTO

El artículo 24.1 de la Ley 50/1997 exige que con la iniciación del procedimiento de elaboración de un reglamento se acompañe una memoria económica que contenga la estimación del coste a que dará lugar.

Conforme señala entre otras muchas sentencias la de 27 de noviembre de 2006 (recurso 51/2005 ), tanto la memoria económica como la justificativa pueden ser sucintas, como dice el artículo 24.1,f) de la Ley del Gobierno, pero deben cumplir la finalidad a que responden, la cual no es otra que proporcionar al Gobierno una información sobre los costes que las medidas adoptadas pueden suponer a fin de que, contraponiendo éstas con las ventajas que aquellas hayan de representar, evidenciadas en la memoria justificativa, la decisión se adopte con conocimiento de todos los aspectos, tanto negativos como positivos, que la aprobación del reglamento puede significar.

En la sentencia ya citada de 12 de mayo de 2009 se concretan aquellos extremos que la memoria económica debe contener, a saber: 1.- Si va a suponer incremento de los gastos ya presupuestados por el Estado. 2.- Si es ejecución de una partida presupuestaria aprobada. 3.- Si tiene incidencia económica en la sociedad o en sus destinatarios.

Sin duda la memoria económica es un documento de relevancia singular en el procedimiento de elaboración reglamentaria. Los conceptos de buena administración y de calidad de la actividad administrativa, cobran todo su protagonismo en el momento de concretar los costes económicos y financieros que la aplicación de una norma reglamentaria puede suponer. El deber de buena administración, de un buen hacer administrativo en el ejercicio de la potestad reglamentaria, exige un especial cuidado a la hora de estudiar las consecuencias económicas que la implantación de la nueva normativa conlleva.

La ausencia de un estudio económico riguroso puede producir, y ejemplos hay de ello, que las disposiciones reglamentarias se queden >, carentes de virtualidad práctica, bien por ausencia de partidas presupuestarias o vías de financiación, sin duda los supuestos más frecuentes, bien por no haber ponderado la carga económica que a la sociedad en general, y, en particular, a los singularmente afectados, supone la aplicación de la norma reglamentaria.

Hechas las consideraciones anteriores que han de utilizarse como pautas interpretativas para valorar si se ha dado cumplimiento a la exigencia del artículo 24.1.a) de la Ley del Gobierno, reconociendo que la memoria económica elaborada no contiene una sola cifra, aún así, contrariamente a lo que sostiene la recurrente, no cabe observar sin más la ausencia de un estudio económico de la futura regulación, si por tal debe entenderse aquel que proporciona un conocimiento de los costes de implantación.

No exigiéndose más que una memoria sucinta (artículo 24.1 .f) Ley 50/1997 ), no puede pretenderse que la elaborada para el Reglamento que nos ocupa contenga cifras económicas. Tal pretensión excede del carácter conciso que previene el citado artículo 24.1 .f).

La lectura de la memoria elaborada, obrante a los folios 970 a 988 del expediente (documento número 9) revela, sin ningún género de duda, que contiene un estudio económico suficiente que en modo alguno puede calificarse de vago, genérico e inservible, adjetivos todos ellos utilizados por la recurrente.

La afirmación en la memoria económica de que la disposición proyectada no implica incremento de gasto ni disminución de ingreso alguno para la Hacienda Pública y que solo desde la prespectiva económica que le corresponde merecen especial atención las medidas de seguridad exigibles para los tratamientos de datos, con la advertencia de que los automatizados no tienen costes económicos, dado que la mayor parte de las medidas ya fueron implantadas con la anterior normativa, y con la precisión de que las de los no automatizados inciden esencialmente en cuestiones de tipo organizativo y en la adquisición de mobiliario de seguridad (armarios cerrados, puertas, llaves, ....), ciertamente no hay razón para dudar de la suficiencia de la memoria, máxime cuando, pese a las consideraciones precedentes, con apoyo en un muestreo de 893.568 ficheros, se realiza un estudio de los costes de la aplicación de las medidas a lo largo de ocho páginas que además se acompaña de un anexo de otras 25 páginas en el que se refleja, con marcado detalle, la incidencia económica que esa aplicación puede suponer.

Para insistir en la falta de razón que asiste a la recurrente es de indicar que en el desarrollo argumental del motivo impugnatorio no se expresan cuales preceptos reglamentarios tienen una incidencia económica y cuales, a pesar de esa incidencia, no son objeto de estudio en la memoria. Cierto es que hace mención al informe del Ministerio de Economía y Hacienda, transcribiéndolo parcialmente, pudiendo leerse en el texto trascrito lo siguiente: "Sería conveniente contar con unas Memorias Justificativas y Económicas más completas que permitan el adecuado análisis del Proyecto. En particular, se echa en falta un análisis específico de las condiciones en que se desarrolla la actividad de determinados sectores como los dedicados al tratamiento de datos sobre insolvencia o para usos promocionales, en los que el reglamento tiene una incidencia más significativa" . Pero fácil es colegir de la lectura del texto que no se afirma en él un insuficiente estudio económico sobre los sectores que refiere y sí la inexistencia de un análisis específico de la actividad que en ellos se desarrolla, cuya repercusión económica al menos implícitamente se niega en la memoria o se considera de escasa trascendencia.

La afirmación de la recurrente relativa a que las carencias denunciadas han producido un descalabro económico generalizado en el sector, con el consiguiente cierre de numerosas empresas, además de carecer de apoyo probatorio, de ser cierta ni siquiera constituiría un indicio de hipotéticas deficiencias de la memoria.

La idea o consideración de que el estudio económico de la implantación de una norma como la que nos ocupa ofrece grandes dificultades en cuanto afecta esencialmente al sector privado, a la economía de las empresas, así como la relativa a que la repercusión económica en las distintas empresas del sector depende de múltiples factores (tamaño de los ficheros, medidas de seguridad con anterioridad adoptadas, etc.), junto a la de las consecuencias que comporta la nulidad de una norma reglamentaria que incide en derechos fundamentales, impide, sin duda alguna, apreciar el defecto procedimental denunciado de insuficiencia de la memoria.

Aunque el expuesto se trata de un argumento que contrapone el interés general representado por el mantenimiento de la norma frente al concepto de buena administración, relegando la nulidad del procedimiento a los supuestos de extrema gravedad, y que obviamente ha de ser aplicado con cautela, en atención al caso concreto, ningún inconveniente hay para su aplicación en el caso de autos en que las deficiencias de la memoria económica, incluso con independencia de las dificultades en su elaboración, no alcanzan un grado de importancia tal que permitan considerarla como inútil o insuficiente. Así lo entendió también el informe del Consejo de Estado cuando concluye que entiende suficientemente atendidas las prescripciones normativas que para la elaboración de las disposiciones reglamentarias previene el ordenamiento jurídico. Cierto es que el informe de dicho órgano consultivo es crítico cuando expresa que "... la memoria económica proporciona estimaciones aproximadas del número y porcentaje de ficheros que se verán potencialmente afectados por el nuevo Reglamento, ofreciendo cifras estimativas de los costes que la implantación de las medidas de seguridad representarán para los responsables de ficheros privados automatizados y no automatizados, y los que habrán de asumir los titulares de los ficheros que hayan de implantar, en virtud de la nueva regulación, un nivel mayor de seguridad" y cuando advierte que la conclusión de la memoria relativa a la ausencia de impacto económico en la Hacienda Pública contrasta con el informe del Ministerio del Interior que expresa que la adaptación de las medidas de seguridad afecta a los ficheros de utilidad pública; pero aún cuando se aceptara o se diera por buena dicha crítica, aún así las carencias apuntadas no determinan la nulidad pretendida.

QUINTO

El artículo 24.3 de la tantas veces citada Ley 50/1997 exige el informe previo del Ministerio de Administraciones Públicas cuando la norma reglamentaria pudiera afectar a la distribución de las competencias entre el Estado y las Comunidades Autónomas.

Con relación al incumplimiento de dicho precepto el tema esencial de debate se centra en si se ha emitido o no ese informe previo. No se cuestiona su necesidad en la elaboración del Reglamento que nos ocupa. Frente al extenso alegato de la recurrente en relación a la incidencia de algunas de sus disposiciones reglamentarias en aspectos competenciales propios de las Comunidades Autónomas, las codemandadas se limitan a aducir que el informe se ha emitido.

Circunscrito así el tema de debate, la tarea que incumbe a este Tribunal debe limitarse, con absoluto respeto al principio de congruencia, a observar si, tal como sostiene el Abogado del Estado, se ha emitido el informe de referencia.

La respuesta necesariamente debe ser positiva. Lo relevante es si el informe se emitió y no si el emitido responde o se confeccionó en cumplimiento de la exigencia del artículo 67.4 de la Ley 6/1997, de 14 de abril, de Organización y Funcionamiento de la Administración General del Estado, que previene que en cualquier caso, antes de ser sometidos al órgano competente para promulgarlos, los proyectos de disposiciones de carácter general que afectan a las materias a que se refiere el apartado 1 del artículo anterior, requerirán la aprobación previa del Ministro de Administraciones Públicas.

Lo realmente trascendente es si el informe emitido y que obra unido al expediente como documento nº 6 (folios 905 y siguientes) cumple por su contenido la finalidad que persigue el artículo 24.3 de la Ley 50/1997, esto es, si contempla la incidencia que la norma reglamentaria puede tener en la distribución de competencias entre el Estado y las Comunidades Autónomas, y al respecto, también a ese interrogante debemos contestar positivamente. Así resulta de la lectura de las páginas 907 a 909 del informe, en las que bajo el epígrafe "Materia competencial" analiza la incidencia de la normativa proyectada en esferas competenciales propias de las Comunidades Autónomas. Tan es así que incluso en el informe se apunta el riesgo de que determinadas Comunidades Autónomas puedan promover controversias competenciales alegando un exceso en la actividad reguladora estatal.

El artículo 66.1 de la Ley 6/1997, al que se remite el artículo 67.4 de igual Texto en la forma ya expresada, contempla las competencias que en materia de organización administrativa, régimen de personal, procedimientos e inspección de servicios, no están atribuidos específicamente por Ley a ningún órgano de la Administración General del Estado, ni al Gobierno, asignando dicha competencia al Ministerio de Administraciones Públicas. Es precisamente en esa atribución en la que se encuentra la razón de que el citado artículo 67.4 adjudique al Ministerio de mención la prerrogativa de aprobación previa de las disposiciones de carácter general que afecten a las indicadas materias que claramente nada tienen que ver con las cuestiones competenciales entre el Estado y las Comunidades Autónomas a las que se refiere el artículo 24.3 de la Ley 50/97 .

Por ello, hay que concluir que el documento nº 6, obrante en el expediente a los folios 905 y siguientes, cuando hace mención a cuestiones competenciales, acredita la emisión del informe que exige el artículo 24.3 de la Ley del Gobierno .

SEXTO

El artículo 24.1.b) de la Ley 50/97 además de exigir en el proceso de elaboración de los reglamentos la emisión de los informes, dictámenes y aprobaciones previas preceptivas, extiende dicha exigencia a cuantos estudios y consultas se estimen convenientes para garantizar el acierto y la legalidad del texto.

La norma de referencia concede a la Administración un cierto grado de discrecionalidad a la hora de decidir si se estima o no conveniente, para garantizar el acierto y la legalidad del texto, recabar, además de los informes, dictámenes y aprobaciones previas preceptivas, otros estudios y consultas, pero debemos insistir en que se trata de una discrecionalidad limitada en cuanto que si por la índole de la norma se revela como necesario el recabar esos otros estudios y consultas, es obligado solicitarlos.

Sostiene la recurrente que la omisión de un informe previo del Consejo Superior de Administración Electrónica, por su absoluta necesidad, contraviene el artículo de mención.

Antes de entrar en el examen del motivo es preciso puntualizar, en respuesta a la alegación del Abogado del Estado relativa al asombro que le causa que la recurrente aduzca la falta de un informe no preceptivo, que precisamente por no contemplarse en el artículo 24.1 .b) una libertad absoluta de la Administración para decidir si recaba informes o consultas no previstas como preceptivas, ninguna sorpresa supone la denuncia de la omisión de un informe que la expresada parte considera, acertadamente o no, como absolutamente necesario. Quizá convenga recordar que la discrecionalidad no está exenta de enjuiciamiento en cuanto sujeta al principio de interdicción de la arbitrariedad de los poderes públicos que garantiza el artículo 9.3 de la Constitución y a la obligación que les impone el artículo 103.1 de igual Texto de servir con objetividad los intereses generales.

Hecha la puntualización precedente, la primera cuestión que procede analizar es si el informe previo del Consejo Superior de Administración Electrónica se revela con un grado de necesidad tal que permite inferir que su falta de solicitud responde a una conducta arbitraria de la Administración o a un incumplimiento por su parte del deber de servir con objetividad los intereses generales.

Una respuesta negativa a esa primera cuestión conllevaría la desestimación del motivo impugnatorio y exoneraría de la necesidad de entrar a examinar en qué concreto apartado del artículo 62 o 63 de la Ley 30/1992, de 26 de noviembre, del Régimen Jurídico de las Administraciones Públicas y Procedimiento Administrativo Común, tiene ubicación la irregularidad denunciada.

Pues bien, la respuesta necesariamente debe ser negativa.

La circunstancia de que el artículo 4.1.c) del Real Decreto 589/2005, de 20 de mayo, por el que se reestructuran los órganos colegiados responsables de la Administración Electrónica, prevea que corresponde el Consejo Superior de Administración Electrónica "El informe de los anteproyectos de ley y de los proyectos de disposiciones generales que le sean sometidos por los órganos proponentes cuyo objeto sea la regulación de los recursos, los proyectos y los sistemas de tecnologías de la información de aplicación común en la Administración General del Estado, o que estén directamente relacionados con el desarrollo de las líneas estratégicas en estas materias y con la implantación de Administración electrónica", unido a que en la exposición de motivos del citado Real Decreto se reconozca que "La Administración electrónica es una de las líneas básicas de actuación en la Administración General del Estado, dado que el desarrollo de la sociedad de la información en el ámbito de las Administraciones públicas y su conversión en realidades tangibles en forma de servicios a los ciudadanos tiene, por su carácter de ejemplo y motor, una gran trascendencia pública", y que "De acuerdo con la mayor parte de los expertos mundiales, el concepto > comprende tanto la captura, el almacenamiento, el procesamiento y la distribución de datos en formato digital, lo que se llama habitualmente >, como su transporte a destino a través de redes, lo que se llama > o >", no permite sostener que el informe que la recurrente echa en falta se revele como absolutamente necesario y que por ello su omisión suponga una actuación arbitraria de la Administración y en clara confrontación o lejanía con interés público que está obligada a perseguir.

El apartado 4.1.c), en armonía con la exposición de motivos del Real Decreto, está refiriéndose al aspecto técnico de los proyectos de disposiciones generales que contempla, materia en la que sin duda no incide el Real Decreto aquí impugnado.

SEPTIMO

El artículo 24.1.b), párrafo segundo, en su redacción dada por la Ley 30/2003, de 13 de octubre, exige que, en todo caso, los reglamentos vayan acompañados de un informe sobre el impacto por razón de género de las medidas que se adopten en el mismo.

Sin dudar este Tribunal de la indiscutida relevancia que el informe sobre el impacto por razón de género tiene en los proyectos de elaboración normativa (Directiva 2002/73/CE, de 23 de septiembre, del Parlamento Europeo y del Consejo, Ley 30/2003, de 13 de octubre, y Ley Orgánica 3/2007, de 22 de marzo ), lo que no puede compartir es que con el informe emitido por el Ministerio de Justicia (documento nº 10, obrante al folio 989 del expediente administrativo) no se de cumplimiento a la exigencia legal.

La afirmación que en dicho informe se contiene relativa a que "las medidas que se incluyen en este Proyecto de Real Decreto no conllevan impacto alguno por razón de género", cumple sin duda, bien es cierto que con parquedad, la obligación legal. Sosteniéndose en el informe emitido que la normativa proyectada en la disposición reglamentaria no origina impacto de ningún tipo por razón de género, no se alcanza a entender la necesidad de que se hubiera seguido en la emisión del informe la "Guía de aplicación práctica para la elaboración de informes de impacto de género de las disposiciones normativas que elabore el Gobierno, de acuerdo a la Ley 30/2003 ", publicada por el Instituto de la Mujer en septiembre de 2005.

Con independencia de la indiscutible utilidad de la Guía, de las observaciones o recomendaciones que en ella se contienen para la elaboración de informes sobre impacto de género, realmente no se entiende la necesidad de que en el caso concreto que nos ocupa se hubieran seguido las pautas en ella marcadas. Y es que si no se observa impacto alguno es innecesario una "información básica para valorar la situación de mujeres y hombres", una valoración "sobre la igualdad de oportunidades" o recoger recomendaciones al respecto.

OCTAVO

Ya para finalizar el examen de las irregularidades procedimentales que en la elaboración del Reglamento aduce la recurrente procede indicar lo siguiente:

  1. - La demora en la elaboración de la disposición reglamentaria por el trascurso del plazo de doce años previsto en el artículo 32.2 de la Directiva 95/46 /CE, no permite afirmar que ha determinado una falta de diligencia en su confección. En cualquier caso, es de significar que sí se ha dado cumplimiento al plazo también de doce años contemplado en la Disposición Adicional Primera de la ley 15/1999, y que aún cuando se admitiera la demora que se denuncia, carecería de relevancia anulatoria.

    El retraso en la transposición de una Directiva por los Estados miembros puede tener trascendencia en cuanto que, en virtud del llamado efecto útil, impide que un Estado pueda oponer a los particulares el incumplimiento de las obligaciones que la Directiva impone (sentencias del Tribunal de Justicia de las Comunidades Europeas de 4 de diciembre de 1974 -asunto 41/74, Van Duyn-, 5 de abril de 1979 -asunto 148/1978, Ratti-, 19 de enero de 1982 -asunto 8/1981, Becker-, 10 de septiembre de 2002, -asunto 145/2000, Kügler-), puede considerarse aplicable directamente una Directiva, pero carece de ella cuando la transposición se ha llevado a efecto aún cuando lo fuera con retraso.

  2. - La no incorporación, como exige el artículo 24.1 .a), de la memoria justificativa y de la memoria económica al inicio del procedimiento, aunque supone una irregularidad procedimental, carece del carácter invalidante que pretende la recurrente. Recordar lo que se expresaba en el fundamento de derecho segundo con cita de las sentencias de 12 de mayo de 2009, 17 de noviembre de 2000 y 15 de noviembre de 1997, sobre el carácter > del procedimiento de elaboración reglamentaria, para concluir que el retraso en la confección o incorporación de la memoria justificativa y económica no supone que no hubiera cumplido la finalidad que le es propia: ilustrar al Gobierno, como ha dicho esta Sala en sentencia de 17 de junio de 1998 (recurso nº 75/1996 ), sobre los elementos económicos, técnico-jurídicos y de oportunidad que concurren en el proyecto remitido.

  3. - La insuficiencia del informe de la Secretaría General Técnica del Ministerio de Justicia, exigido por el artículo 24.2, puesta de relieve por el informe del Consejo de Estado con fundamento en que no constan las razones que han llevado a aceptar o rechazar las observaciones que han formulado la Agencia Catalana de Protección de Datos y el Ministerio de Administraciones Públicas, revela una irregularidad formal carente, al igual que la precedentemente analizada, de efectos invalidantes, máxime cuando la recurrente no es quien formuló las alegaciones y no expresa ni la trascendencia de la falta de motivación ni la medida en que le afecta.

  4. - La obligación de conservación que de todos los estudios y consultas evacuados y demás actuaciones practicadas que previene el artículo 24.1 f) de la Ley 50/1997 y que se denuncia incumplida por no estar incorporados al expediente una serie de actuaciones, consultas y estudios referidos en la inicial memoria justificativa y en la actualizada, tampoco puede dar lugar al acogimiento de la pretensión anulatoria por motivos formales. Además de que incumbía a la recurrente indicar a qué concretas actuaciones, consultas e informes se refiere, con expresa referencia a la relevancia de aquello que echa en falta, tampoco se observa que esa documentación tenga trascendencia para valorar la conformidad a derecho del procedimiento seguido para la aprobación del Reglamento.

NOVENO

Para examinar las infracciones de carácter sustantivo que en el escrito de demanda se imputan al Real Decreto impugnado, por razones de método, antes del análisis singular de los preceptos reglamentarios cuya declaración de nulidad de pleno derecho se insta de forma subsidiaria en el suplico de aquel, parece oportuno exteriorizar algunas consideraciones que en gran medida han de servir de pautas interpretativas ya no solo en la exégesis de aquellos, sino también para decidir sobre el planteamiento de la cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas:

Primera

En cuanto la Ley Orgánica 15/1999, de 13 de diciembre, al igual que la anterior 5/1992, de 29 de octubre, es desarrollo del artículo 18.4 de la Constitución, en el que se previene que "La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos", debe quedar fuera de toda duda que dicho precepto necesariamente ha de servir de instrumento interpretativo a la hora de analizar el alcance no solo de los preceptos de la Ley sino también de los del Reglamento que con el presente recurso se impugnan. Y al respecto es obligado constatar que el constituyente, con la redacción del artículo 18.4, estableció la necesidad de que una futura ley impusiera limitaciones a eventuales abusos provenientes del uso de la informática, extendido posteriormente a tratamientos manuales, y ello con la finalidad de garantizar el derecho constitucional al honor y a la intimidad personal y familiar de los ciudadanos y al pleno uso de sus derechos (art. 18.4 CE ).

El precepto pretende, como ya tuvo oportunidad de expresar el Tribunal Constitucional, proteger la libertad del individuo frente a las potenciales agresiones a la dignidad y a la libertad provenientes del uso legítimo de datos mecanizados (STC 254/93, de 20 de julio ).

En el sentido expuesto el artículo 1 de la Ley Orgánica 15/1999 expresa que "La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar" . Y en parecidos términos se pronuncia el artículo 1 de la Directiva 95/46 / CE, de 24 de octubre, al decir en su apartado 1, que "Los estados miembros garantizarán, con arreglo a las disposiciones de la presente Directiva, la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de datos personales" .

Al respecto interesa resaltar que el derecho a la protección de datos de carácter personal es reconocido con el carácter indicado en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea 2000/C 364/1, previniendo en el apartado 2 que "Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley", y que "Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación".

De los artículos de mención fácil resulta inferir que tanto la Directiva como la Ley tiene por finalidad delimitar el derecho a la circulación de datos personales en función del nivel de protección que exigen las libertades públicas y los derechos fundamentales de las personas; en definitiva, marcar las reglas que han de regir los conflictos que pueden surgir entre los expresados derechos.

En sentencia del Pleno del Tribunal Constitucional nº 292/2000, de 30 de noviembre, de la que ya hicimos mención en el fundamento de derecho segundo, se expresa que "... con la inclusión del vigente art.

18.4 CE el constituyente puso de relieve que era consciente de los riesgos que podría entrañar el uso de la informática y encomendó al legislador la garantía tanto de ciertos derechos fundamentales como del pleno ejercicio de los derechos de la persona. Esto es, incorporando un instituto de garantía >, pero que es también, > (STC 254/1993, de 20 de julio, F.6 )" y que "La garantía de la vida privada de la persona y de su reputación poseen hoy una dimensión positiva que excede el ámbito propio del derecho fundamental a la intimidad (art. 18.1 CE ), y que se traduce en un derecho de control sobre los datos relativos a la propia persona. La llamada > es así derecho a controlar el uso de los mismos datos insertos en un programa informático ( >) y comprende, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención (SSTC 11/1998, F.5, 94/1998, F.4

.)" .

Continúa diciendo el Tribunal Constitucional en la sentencia de referencia que "Este derecho fundamental a la protección de datos, a diferencia del derecho a la intimidad del art. 18.1 CE, con quien comparte el objetivo de ofrecer una eficaz protección constitucional de la vida privada personal y familiar, atribuye a su titular un haz de facultades que consiste en su mayor parte en el poder jurídico de imponer a terceros la realización y omisión de determinados comportamientos cuya concreta regulación debe establecer la Ley, aquella que conforme al art. 18.4 CE debe limitar el uso de la informática, bien desarrollando el derecho fundamental a la protección de datos (art. 81.1 CE ), bien regulando su ejercicio (art. 53.1 CE ). La peculiaridad de este derecho fundamental a la protección de datos respecto de aquel derecho fundamental tan afín como es el de la intimidad radica, pues, en su distinta función, lo que apareja, por consiguiente, que también su objeto y contenido difieran" y precisa en su fundamento jurídico 11 sus límites al expresar que "... el derecho a la protección de datos no es ilimitado, y aunque la Constitución no le imponga expresamente límites específicos, ni remita a los Poderes Públicos para su determinación como ha hecho con otros derechos fundamentales, no cabe duda de que han de encontrarlos en los restantes derechos fundamentales y bienes jurídicos constitucionalmente protegidos, pues así lo exige el principio de unidad de la Constitución (SSTC 11/1981, de 8 de abril, F.7; 196/1987, de 11 de diciembre, F.6 ; y respecto del art. 18, la STC 110/1984, F.5 ). Esos límites o bien pueden ser restricciones directas del derecho fundamental mismo, a las que antes se ha aludido, o bien pueden ser restricciones al modo, tiempo o lugar de ejercicio del derecho fundamental. En el primer caso, regular esos límites es una forma de desarrollo del derecho fundamental. En el segundo, los límites que se fijan lo son a la forma concreta en la que cabe ejercer el haz de facultades que compone el contenido del derecho fundamental en cuestión, constituyendo una manera de regular su ejercicio, lo que puede hacer el legislador ordinario a tenor de lo dispuesto en el art. 53.1 CE. La primera constatación que debe hacerse, que no por evidente es menos capital, es que la Constitución ha querido que la Ley, y sólo la Ley, pueda fijar los límites a un derecho fundamental. Los derechos fundamentales pueden ceder, desde luego, ante bienes, e incluso intereses constitucionalmente relevantes, siempre que el recorte que experimenten sea necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho fundamental restringido (SSTC 57/1994, de 28 de febrero, F.6; 18/1999, de 22 de febrero, F2)." .

Segunda

A diferencia de los Reglamentos, con incuestionable alcance general normativo inmediato en los Estados miembros, con carácter obligatorio en todos ellos, expresamente reconocido en el artículo 249 de la versión consolidada del Tratado Constitutivo de la Comunidad Europea y, por ello, de aplicación prevalente con respecto a cualquiera disposición general interna, las Directivas obligan al Estado miembro destinatario, siguiendo el precepto citado del Tratado "en cuanto el resultado que deba conseguirse, dejando, sin embargo, a las autoridades nacionales la elección de la forma y de los medios" . No tienen por regla general efecto directo y sí la de armonizar o aproximar la legislación de los países de los Estados miembros, condicionando así la labor legislativa de éstos. Solo en aquellos casos en que el Estado miembro no haya introducido en su legislación el resultado pretendido por la Directiva, podría reconocerse, en atención a la definición del artículo 249 del Tratado, un efecto directo a la Directiva. Ya hacíamos referencia a ello en el apartado 1 del fundamento de derecho precedente con cita de la jurisprudencia del Tribunal de Justicia de las Comunidades Europeas.

A la necesidad de coordinar o aproximar las legislaciones de los Estados miembros en la concreción del nivel de protección de los derechos y libertades de las personas con relación al tratamiento de datos personales hace mención el > de la Directiva 95/46 /CE, expresando que "... para eliminar los obstáculos a la circulación de datos personales, el nivel de protección de los derechos y libertades de las personas, por lo que se refiere al tratamiento de dichos datos, debe ser equivalente en todos los Estados miembros; que ese objetivo, esencial para el mercado interior, no puede lograrse mediante la mera actuación de los Estados miembros, teniendo en cuenta, en particular, las grandes diferencias existentes en la actualidad entre las legislaciones nacionales aplicables en la materia y la necesidad de coordinar las legislaciones de los Estados miembros para que el flujo transfronterizo de datos personales sea regulado de forma coherente y de conformidad con el objetivo del mercado interior definido en el art. 7 A del Tratado; que, por tanto, es necesario que la Comunidad intervenga para aproximar las legislaciones", para a continuación admitir en el > un cierto grado de maniobra de los Estados miembros al decir que "... a causa de la protección equivalente que resulta de la aproximación de las legislaciones nacionales, los Estados miembros ya no podrán obstaculizar la libre circulación entre ellos de datos personales por motivos de protección de los derechos y libertades de las personas físicas, y, en particular, del derecho a la intimidad; que los Estados miembros dispondrán de un margen de maniobra del cual podrán servirse, en el contexto de la aplicación de la presente Directiva, los interlocutores económicos y sociales; que los Estados miembros podrán, por tanto, precisar en su derecho nacional las condiciones generales de licitud del tratamiento de datos; que al actuar así, los Estados miembros procurarán mejorar la protección que proporciona su legislación en la actualidad; que dentro de los límites de dicho margen de maniobra y de conformidad con el Derecho comunitario, podrán surgir disparidades en la aplicación de la presente Directiva, y que ello podrá tener repercusiones en la circulación de datos tanto en el interior de un Estado miembro como en la Comunidad", y concluir en el 10, que "... las legislaciones nacionales relativas al tratamiento de datos personales tienen por objeto garantizar el respeto de los derechos y libertades fundamentales, particularmente del derecho al respeto de la vida privada reconocido en el art. 8 del Convenido Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, así como en los principios generales del Derecho comunitario; que, por lo tanto, la aproximación de dichas legislaciones no debe conducir a una disminución de la protección que garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección dentro de la Comunidad" .

Tercera

Para afirmar que el alcance del control judicial del ejercicio de la actividad reglamentaria viene delimitado por una reiterada jurisprudencia de la que es claro exponente la de 10 de marzo de 2009, dictada en el recurso contencioso administrativo nº 85/2007. Dice así en su fundamento de derecho segundo:

"Planteándose en este recurso el control judicial del ejercicio de la potestad reglamentaria, conviene señalar que tal actividad reglamentaria está subordinada a la Ley en sentido material (arts. 97 CE, 51 Ley 30/92 y 23 Ley 50/97 ), en cuanto no podrán regularse reglamentariamente materias objeto de reserva de ley, material y formal, y sin perjuicio de la función de desarrollo o colaboración con respecto a la Ley, los reglamentos no pueden abordar determinadas materias, como las que indica el citado artículo 23 de la Ley 50/97, de 27 de noviembre, del Gobierno (tipificar delitos, faltas o infracciones administrativas, establecer penas o sanciones, así como tributos, cánones u otras cargas o prestaciones personales o patrimoniales de carácter público).

Desde el punto de vista formal el ejercicio de la potestad reglamentaria ha de sujetarse al procedimiento de elaboración legalmente establecido (arts. 24 y 25 Ley 50/97 ), con respeto al principio de jerarquía normativa y de inderogabilidad singular de los reglamentos, así como la publicidad necesaria para su efectividad (art. 9.3 CE ), según establece el art. 52 de la Ley 30/92 .

Las delimitaciones sustantivas y formales de la potestad reglamentaria determinan el ámbito del control judicial de su ejercicio, atribuido por el art. 106 de la Constitución, en relación con el art. 26 de la Ley 50/97 y el art. 1 de la Ley 29/98 a la Jurisdicción Contencioso Administrativa, lo que se plasma en el juicio de legalidad de la disposición general en atención a las referidas previsiones de la Constitución y el resto del ordenamiento, que incluye los principios generales del Derecho (interdicción de la arbitrariedad, proporcionalidad,...), y que conforman las referidas exigencias sustantivas y formales a las que ha de sujetarse, cumplidas las cuales, queda a salvo y ha respetarse la determinación del contenido y sentido de la norma, que corresponde al titular de la potestad reglamentaria que se ejercita y que no puede sustituirse por las valoraciones subjetivas de la parte o del propio Tribunal que controla la legalidad de la actuación, como resulta expresamente del artículo 71.2 de la Ley reguladora de esta Jurisdicción, que aun en el supuesto de anulación de un precepto de una disposición general no permite determinar la forma en que ha de quedar redactado el mismo.

Este alcance del control judicial del ejercicio de la potestad reglamentaria se recoge en la sentencia de 28 de junio de 2004, según la cual: SSTS 26 de febrero y 17 de mayo de 1999, 13 de noviembre, 29 de mayo y 9 de julio de 2001, entre otras).>>

Estas consideraciones generales las traemos a colación ante el planteamiento del recurso por la parte, que en los fundamentos de derecho comienza por señalar que no se trata de que el Real Decreto impugnado haya contravenido disposiciones concretas, con lo cual se está excluyendo el principal motivo y criterio de control de legalidad de la potestad reglamentaria, cual es el respeto al principio de jerarquía normativa, en cuanto la disposición general queda subordinada a las normas legales de superior rango, cuyo contenido ha de respetar.

Por otra parte, el control de la potestad reglamentaria, cumplidas las exigencias sustantivas y formales, deja a salvo la determinación del contenido y sentido de la norma y la elección de las distintas opciones legítimamente posibles que corresponde al titular de la potestad reglamentaria que se ejercita y que no pueden sustituirse por las valoraciones y apreciaciones subjetivas de la parte o de los Tribunales, de manera que la invocación de criterios de oportunidad, posicionamientos técnico jurídicos, discrepancia en la ponderación de los intereses afectados y elección de los que se entienden preferentes y otros planteamiento de semejante naturaleza no constituyen motivo de nulidad de la disposición general, salvo que se anuden a la vulneración de los citados límites sustantivos y formales a los que debe sujetarse el ejercicio de la potestad reglamentaria. Por eso, carecen de virtualidad a los efectos pretendidos en este recurso las valoraciones que la parte efectúa sobre su concepción del Notariado, a diferencia de la que se desprende del Reglamento impugnado, o la defensa de la utilidad del Notariado Honorario, en cuanto ello no se anuda a concretas infracciones de los límites sustantivos y formales de la norma reglamentaria, infracciones que sólo se reflejan en los seis puntos que como fundamentos de derecho se han indicado antes y que pasamos a examinar."

En aplicación de la doctrina expuesta debe admitirse que las disposiciones reglamentarias no solo pueden sino que deben incidir en todo aquello que resulte indispensable para asegurar la correcta aplicación y la plena efectividad de la ley que desarrollan.

El reglamento ejecutivo sin duda no puede instaurar > o agravar cargas y obligaciones no previstas en la ley que desarrolla, debiendo limitarse a establecer, sin ampliar su ámbito, aquellas normas indispensables que, bien por motivos técnicos, bien para optimizar el cumplimiento de aquella, sean precisas para asegurar la efectividad de esta. En ningún caso pueden limitar derechos, facultades o posibilidades contenidas en la Ley misma, pero su naturaleza de complemento indispensable para su aplicación habilita para que incluyan además de normas de organización y procedimiento, aquellas otras que complementen disposiciones vagas o imprecisas o enunciadas en la ley solo a nivel de principios.

Cuarta

El Reglamento impugnado es un Reglamento de desarrollo o ejecución que viene a dar respuesta a la habilitación genérica prevista en la disposición final primera de la Ley 15/1999, en la que se dice, bajo el epígrafe "Habilitación para el desarrollo reglamentario", que "El Gobierno aprobará o modificará las disposiciones reglamentarias necesarias para la aplicación y desarrollo de la presente Ley" . Pero también responde a concretas remisiones o habilitaciones legales específicas, como son las de los artículos 4,5, párrafo tercero, 9.3, 20.1, 26.2, 37.2, párrafo segundo, 38, 39.3, 45.7, 48.1 y las de la disposición transitoria segunda .

Quinta

La obligación de someter una cuestión prejudicial al Tribunal de Justicia, prevista en el párrafo 3º del artículo 234 del Tratado de la Comunidad Europea "se inscribe", como se dice en la sentencia de 12 de junio de 2008 de dicho Tribunal (asunto 458/2006, Skatteverker), "en el marco de la colaboración entre los órganos jurisdiccionales nacionales, en su condición de ... encargados de aplicar el Derecho comunitario y el Tribunal de Justicia, establecida a fin de garantizar la aplicación correcta y la interpretación uniforme del Derecho comunitario en todos los Estados miembros. Esta obligación tiene por objetivo principal impedir que se consolide en un Estado miembro cualquiera una jurisprudencia nacional que no se ajuste a las normas del derecho comunitario" .

La decisión de plantear una cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas corresponde exclusivamente al órgano jurisdiccional nacional que conoce del litigio y está en función de la necesidad de contar con una interpretación del Derecho comunitario que se presenta como esencial para que el órgano jurisdiccional nacional pueda resolver con absoluto respeto de ese derecho, la cuestión jurídica sometida a su decisión.

Haciendo uso de esa facultad, por auto de esta fecha referenciado en el antecedente de hecho séptimo, se plantea cuestión prejudicial con respecto al artículo 10.2.b) del Reglamento impugnado.

Sexta

Pero previamente al examen de los concretos preceptos reglamentarios impugnados ha de darse respuesta a la falta de legitimación que de la recurrente denuncia el Abogado del Estado para impugnar los artículo 38, 41 y 42 del Reglamento .

Una reiterada jurisprudencia tanto constitucional como ordinaria delimita el concepto de > contemplado en el artículo 19.1 de la Ley Jurisdiccional en atención a la pretensión ejercitada. Si la anulación que se pretende del acto o disposición impugnados supone un beneficio o la evitación de un perjuicio a quien ejercita la acción, esto es, le reporta algún beneficio o utilidad específico más allá del interés genérico de que las Administraciones Públicas actúen conforme a derecho, aún cuando ese interés específico no sea actual y aún cuando no responda necesariamente a razones económicas, cabe apreciar la legitimación.

En sentencia del Pleno de esta Sala de 31 de mayo de 2006 se dice lo siguiente:

"La legitimación es un presupuesto inexcusable del proceso e implica en el proceso contencioso-administrativo, como hemos señalado en la doctrina de esta Sala (por todas, sentencias de 11 de febrero de 2003, recurso nº 53/2000, 6 de abril de 2004 y 23 de abril de 2005, recurso 6154/2002 ), una relación material unívoca entre el sujeto y el objeto de la pretensión, de tal forma que su anulación produzca automáticamente un efecto positivo (beneficio) o negativo (perjuicio), actual o futuro, pero cierto, que debe repercutir de manera clara y suficiente en la esfera jurídica de quien acude al proceso y este criterio lo reitera la jurisprudencia constitucional (por todas, en SSTC núms. 197/88, 99/89, 91/95, 129/95, 123/96 y 129/2001, entre otras), pudiéndose concretar algunos criterios interpretativos de la doctrina jurisprudencial en los siguientes puntos:

  1. La importancia del interés, que desde el punto de vista procedimental administrativo y procesal jurisdiccional es una situación reaccional, en evitación de un potencial perjuicio ilegítimo temido, de modo que el interés se reputa que existe siempre que pueda presumirse que la declaración jurídica pretendida coloque al accionante en condiciones legales y naturales de conseguir un determinado beneficio material o jurídico o la persistencia de la situación fáctica creada o que pudiera crear el acto administrativo al ocasionar un perjuicio, como resultado inmediato de la resolución dictada.

  2. Ese interés legítimo, que abarca todo interés que pueda resultar beneficiado con la estimación de la pretensión ejercitada, puede prescindir de las notas de personal y directo y al diferenciar el interés directo y el interés legítimo, éste no sólo es más amplio que aquél y también es autosuficiente, en cuanto presupone que la resolución administrativa o jurisdiccional ha repercutido o puede repercutir, directa o indirectamente, pero de un modo efectivo y acreditado, es decir, no meramente hipotético, potencial y futuro, en la correspondiente esfera jurídica de quien se persona, ésto es, verse afectado por el acto o resolución impugnada.

  3. La genérica legitimación en la Ley Jurisdiccional que se establece a favor de corporaciones, asociaciones, sindicatos, grupos de afectados, uniones sin personalidad o patrimonios independientes o autónomos y la legitimación que no ampara el puro interés por la legalidad, salvo en los limitados casos de la acción popular.

  4. Esta Sala, en Auto de 21 de Noviembre de 1997, ya declaró la imposibilidad de reconocer el interés legitimador cuando resultaba únicamente de una autoatribución estatutaria, por cuanto aceptar tal posibilidad equivaldría a admitir como legitimada a cualquier asociación que se constituyera con el objeto de impugnar disposiciones de carácter general o determinadas clases de actos administrativos.

  5. Es cierto que debe mantenerse un criterio interpretativo de los requisitos de admisibilidad del recurso contencioso- administrativo acorde al principio >, de manera no formalista y de forma favorable a la producción del efecto perseguido por el derecho fundamental a la tutela judicial efectiva de derechos e intereses legítimos a que responde el art. 24.1 de la Constitución, pero también hay que considerar la reiterada jurisprudencia constitucional que señala como el derecho prestacional de la tutela ha de sujetarse al plano de la estricta legalidad, pues sólo inciden en la vulneración del contenido constitucional del artículo 24.1 de la CE aquellas resoluciones que generan interpretaciones arbitrarias e irracionales, lo que no sucede en este caso.

    Una cosa es que una Fundación constituida para la defensa de cualesquiera intereses o para el logro de cualesquiera finalidades resulte legitimada plenamente para impugnar actos administrativos, cuando esos intereses resulten afectados o, a juicio del propio ente, deban ser defendidos, tal y como se infiere, con toda claridad, del art. 19.1.aps. a) y b) de la Ley de esta Jurisdicción y otra bien diferente es que tal legitimación se reconozca indiferenciadamente sobre la base de perseguir fines genéricos, incluso de contenido moral, respecto de la actuación de las Administraciones públicas o la prestación de los servicios públicos, cuando, en este caso, el Acuerdo impugnado sólo incidía directamente en los participantes en la convocatoria, cuyo interés profesional sí estaba afectado.

  6. Otro de los ejes sobre los que se ha producido la expansión del concepto de la legitimación activa ha sido la acentuación de la idea de los intereses colectivos o de grupo, como refleja la regulación que hoy hacen las Leyes 29/1998 y 1/2000, acogiendo la evolución iniciada por la jurisprudencia del Tribunal Supremo y continuada por el Tribunal Constitucional.

    Pero también, en este aspecto, la ampliación experimentada tiene sus límites y así resulta en cuanto a los intereses colectivos cuya diferencia con los intereses difusos -reconocidos por el art. 7 de la LOPJ, como aptos también para generar un título legitimador- se encuentra en que se residencia en tales entes, asociaciones o corporaciones representativas específicos y determinados intereses colectivos.

    A diferencia de éstos, los intereses difusos no tienen depositarios concretos y son intereses generales que, en principio, afectan a todos los ciudadanos y que, por su interés prevalente, han obtenido reconocimiento público, plasmado en algún instrumento, incluso en normas constitucionales, y que no deben confundirse con la legitimación que nace, excepcionalmente, de la acción popular, que corresponde a cualquier ciudadano y que debe ser reconocida expresamente por la Ley o de una acción de alcance general como reconoce la STEDH 4/81 de 22 de octubre (asunto Dudgeon contra Reino Unido)".

    Tratándose, como aquí se trata, de la legitimación de una persona jurídica y muy concretamente de una federación profesional cuyo ámbito de actuación es el comercio electrónico y el marketing directo, se requiere para su apreciación que actúe en representación y defensa de intereses profesionales de sus federados, y ello es evidente que no ocurre cuando impugna unos preceptos reglamentarios que se refieren a una actividad diferente de la que caracteriza a los profesionales que la integran.

    En el sentido expresado parece oportuna la cita de la sentencia de esta Sala de 26 de noviembre de 2008 . En ella se perfila el concepto de legitimación en el orden contencioso administrativo expresándose lo siguiente:

    ... debe tenerse en cuenta que la legitimación en el orden contencioso-administrativo, superando el concepto de interés directo a que se refería el art. 28 de la Ley de Jurisdicción de 1956, viene determinada por la invocación en el proceso de la titularidad de un derecho o interés legítimo (art. 24.1 C.E . y art. 19.1

    .

    a) Ley 29/98 ) que suponga una relación material entre el sujeto y el objeto de la pretensión, de manera que la estimación del recurso produzca un beneficio o la eliminación de un perjuicio que no necesariamente ha de revestir un contenido patrimonial (S. 29-6-2004 ).

    Como señala la sentencia de 19 de mayo de 2000, el mismo Tribunal Constitucional ha precisado que la expresión «interés legítimo», utilizada en el artículo 24.1 de la Norma Fundamental, aun cuando sea un concepto diferente y más amplio que el de «interés directo», ha de entenderse referida a un interés en sentido propio, cualificado o específico (sentencia del Tribunal Constitucional 257/1989, de 22 de diciembre ), lo que en el ámbito de esta Sala del Tribunal Supremo ha llevado a insistir que la relación unívoca entre el sujeto y el objeto de la pretensión (acto impugnado), con la que se define la legitimación activa, comporta el que su anulación produzca de modo inmediato un efecto positivo (beneficio) o evitación de un efecto negativo (perjuicio) actual o futuro, pero cierto (sentencia de este Tribunal Supremo de 1 de octubre de 1990 ), y presupone, por tanto, que la resolución administrativa pueda repercutir, directa o indirectamente, pero de modo efectivo y acreditado, es decir, no meramente hipotético, potencial y futuro, en la correspondiente esfera jurídica de quien alega su legitimación, y, en todo caso, ha de ser cierto y concreto, sin que baste, por tanto, su mera invocación abstracta y general o la mera posibilidad de su acaecimiento (SSTS de 4 de febrero de 1991, de 17 de marzo y 30 de junio de 1995 y 12 de febrero de 1996, 9 de junio de 1997 y 8 de febrero de 1999, entre otras muchas; SSTC 60/1982, 62/1983, 257/1988, 97/1991, 195/1992, 143/1994 y ATC 327/1997 ).

    En tal sentido y como recoge la sentencia de 23 de mayo de 2003, >. Por decirlo con palabras del Tribunal Constitucional (S. T.C. 143/1987 ) el interés legítimo, al que se refiere el art. 24.1, (SS.T.C. 60/1982, 62/1983, 257/1988 y 97/1991, entre otras)>>.

    Tratándose de la impugnación de disposiciones generales que afectan a intereses profesionales, como señala la sentencia de 4 de febrero de 2004, la jurisprudencia reconoce legitimación a los profesionales y a las entidades asociativas cuya finalidad estatutaria sea atender y promover tales intereses. Pero (sentencias, entre otras, de 24 de febrero de 2000, 22 de mayo de 2000, 31 de enero de 2001, 12 de marzo de 2001 y 12 de febrero de 2002 ). Cuando se impugna la totalidad o varios preceptos de un reglamento, la legitimación debe entenderse restringida a la impugnación de aquellos preceptos de la disposición general que afecten directamente al profesional recurrente o a los intereses profesionales representados por la asociación que ejercita la acción

    (v. gr., sentencia, ya citada, de 12 de marzo de 2001 )>>.

DECIMO

Hechas las consideraciones precedentes procede entrar a examinar los concretos preceptos que del Reglamento son objeto de impugnación por la recurrente, advirtiendo del evidente error material que sufre al expresar en el suplico de la demanda que impugna los artículos 15, 41 y 83 de la Ley Orgánica 15/99, cuando del desarrollo argumental de dicho escrito resulta claro que se refiere a los artículos del Reglamento.

Dictada con esta misma fecha sentencia en el recurso ordinario nº 23/2008, en atención a la coincidencia de preceptos objeto de impugnación y de la también coincidencia sustancial de los argumentos aducidos por las partes, nos remitimos a lo expresado en la indicada sentencia en los fundamentos de derecho cuarto, quinto, octavo y noveno, relativos a la impugnación de los artículos 5.1.q), 8.5, 13.4 y 18, respectivamente.

En ellos se expresa lo siguiente:

"CUARTO .- Aduce la recurrente como primer artículo infractor el 5.1 .q), por el que se define conjuntamente al responsable del fichero y al del tratamiento como la "Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que solo o conjuntamente con otros decide sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente" .

Ante la solicitud de planteamiento de cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, es oportuno recordar lo que expresábamos en la consideración segunda del fundamento de derecho precedente en orden al margen de maniobra que a los Estados miembros reconoce la Directiva en su "considerando 9 ", corroborado por la sentencia del Tribunal de Justicia de las Comunidades Europeas, de fecha 6 de noviembre de 2003, en la que, en respuesta a la séptima pregunta planteada por el órgano jurisdiccional remitente, relativa, en esencia, a si los "Estados miembros pueden establecer una protección más rigurosa de los datos personales o un ámbito de aplicación más amplio que los que resultan de la Directiva 95/46 ", dice lo siguiente:

"95. La Directiva 95/46 tiene por objeto, tal y como se desprende, en particular, de su octavo considerando, equiparar el nivel de protección de los derechos y libertades de las personas por lo que se refiere al tratamiento de datos personales en todos los Estados miembros. Su décimo considerando añade que la aproximación de las legislaciones nacionales en la materia no debe conducir a una disminución de la protección que garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección dentro de la Comunidad.

  1. Por tanto, la armonización de dichas legislaciones nacionales no se limita a una armonización mínima, sino que constituye, en principio, una armonización completa. Desde este punto de vista, la Directiva 95/46 trata de asegurar la libre circulación de datos personales, garantizando al mismo tiempo un alto nivel de protección de los derechos e intereses de las personas titulares de dichos datos.

  2. Es cierto que la Directiva 95/46 reconoce a los Estados miembros un margen de apreciación en ciertos aspectos y que les permite mantener o establecer regímenes particulares para situaciones específicas, tal y como lo demuestra un gran número de sus disposiciones. No obstante, dichas posibilidades deben emplearse tal y como dispone la Directiva y de conformidad con su objetivo, que consiste en mantener un equilibrio entre la libre circulación de datos personales y la tutela del derecho a la intimidad.

  3. En cambio, nada impide que un Estado miembro extienda el alcance de la normativa nacional que adapta el Derecho interno a la Directiva a situaciones que no están comprendidas en el ámbito de aplicación de esta última, siempre que ninguna otra norma de Derecho comunitario se oponga a ello.

  4. A la luz de estas consideraciones, procede responder a la séptima cuestión que las medidas adoptadas por los Estados miembros para garantizar la protección de los datos personales deben atenerse tanto a las disposiciones de la Directiva 95/46 como a su objetivo, que consiste en mantener el equilibrio entre la libre circulación de datos personales y la tutela del derecho a la intimidad. En cambio, nada impide que un Estado miembro extienda el alcance de la normativa nacional que adapta el Derecho interno a la Directiva 95/46 a situaciones que no están comprendidas en el ámbito de aplicación de esta última, siempre que ninguna otra norma de Derecho comunitario se oponga a ello" .

Y es que si de la fundamentación de la sentencia de referencia y, en definitiva, de los apartados 5 y 6 de su parte dispositiva, en los que se declara que "Las disposiciones de la Directiva 95/46 no entrañan, por si mismas, una restricción contraria al principio general de la libertad de expresión o a otros derechos y libertades vigentes en la Unión Europea y que tienen su equivalente, entre otros, en el artículo 10 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, firmado en Roma el 4 de noviembre de 1950. Incumbe a las autoridades y a los órganos jurisdiccionales nacionales encargados de aplicar la normativa nacional que adapta el Derecho interno a la Directiva 95/46 garantizar el justo equilibrio entre los derechos e intereses en juego, incluidos los derechos fundamentales tutelados por el ordenamiento jurídico comunitario" y que "Las medidas adoptadas por los Estados miembros para garantizar la protección de los datos personales deben atenerse tanto a las disposiciones de la Directiva 95/46 como a su objetivo, que consiste en mantener el equilibrio entre la libre circulación de datos personales y la tutela del derecho a la intimidad. En cambio, nada impide que un Estado miembro extienda el alcance de la normativa nacional que adapta el Derecho interno a lo dispuesto en la Directiva 95/46 a situaciones que no están comprendidas en el ámbito de aplicación de esta última, siempre que ninguna otra norma de derecho comunitario se oponga a ello", cabe concluir que ningún inconveniente existe para que un Estado miembro prevea en su normativa interna situaciones que no están contempladas en la Directiva, salvo la existencia de una norma comunitaria que se oponga a ello.

La definición del artículo 5.1.a) del Reglamento coincide con la del artículo 3.d) de la Ley 15/1999, si bien añadiendo el texto reglamentario con respecto al legal, las frases "solo o conjuntamente con otros" y "aunque no lo realizase materialmente" .

Es precisamente esta última frase la que singularmente considera la recurrente para aducir que con ella se amplían los supuestos obligados por las normas de protección de datos, al permitir declarar responsables a personas que no realizaron materialmente los tratamientos, las cuales solo podrían ser consideradas como terceros.

Si así fuera, si en efecto, tal como sostiene la recurrente, el Reglamento amplía, con la inclusión de la frase "aunque no lo realizase personalmente", los sujetos obligados por las normas de protección de datos, permitiendo su declaración de responsabilidad, sin duda habría un exceso en la potestad reglamentaria pues es claro que la determinación de los sujetos responsables es materia reservada a ley, conforme ya indicamos en el fundamento precedente.

Pero olvida quien así argumenta que tanto en la definición que del responsable del tratamiento ofrece el artículo 2.d) de la Directiva, como la que de éste dan los artículos 3.d) de la Ley y el artículo 5.1.a) del Reglamento, la circunstancia esencial que caracteriza al responsable del tratamiento no es la de que realice de manera directa las operaciones de tratamiento y sí el que "determine los fines y los medios de tratamiento" (en palabras del art. 2 .d) de la Directiva), o que "decida sobre la finalidad, contenido y uso del tratamiento" (según el texto del artículo 3 .d) de la Ley y 5.1 .a) del Reglamento).

Y no repara quien así argumenta en que quien realiza de forma material el tratamiento de datos no tiene porque ser el "encargado del tratamiento", ni el responsable del mismo. Recordemos que el encargado es definido de manera exactamente igual en el art. 2.f) de la Directiva y 3 .g) de la Ley como "la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento", y sustancialmente, idéntica en el art. 5.1.a) del Reglamento, como "La persona física o jurídica, pública o privada, u organismo administrativo que, sólo o conjuntamente con otros trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio" .

Si hemos de estar a la definición aislada que de tercero ofrece el artículo 2.f) de la Directiva, y de forma sustancialmente igual el art. 5.1.r) del Reglamento - no se define en la Ley-, diciendo aquella que es >>: "la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento", es claro que no puede considerarse como tercero a aquellas personas físicas o jurídicas que sí tienen un poder de decisión sobre la finalidad, contenido y uso del tratamiento, característica definitoria, como ya dijimos, del responsable del tratamiento o del fichero en los términos del citado artículo 3.c) de la Ley y 5.1 a) del Reglamento, o, en palabras del artículo 2 .d), aquellas personas que tienen capacidad de determinación sobre los fines y los medios del tratamiento. Recordemos, por si alguna duda interpretativa pudiera surgir a la hora de determinar el alcance de la normativa analizada precedentemente, lo que expresábamos en el anterior fundamento de derecho en orden a que la Ley Orgánica 15/1999 es desarrollo del artículo 18 de la Constitución, por la que debe servir, en consecuencia, como instrumento interpretativo, y que la finalidad que persigue el precepto no es otra que la de establecer unas normas de protección de la libertad del individuo frente a las potenciales agresiones a la dignidad y a la libertad provenientes del uso legítimo de datos, esto es, instaurar una normativa que debe ser utilizada ante un conflicto de intereses entre el derecho constitucional reconocido en dicho precepto y el de libertad en el tratamiento de datos personales.

Pues bien, en atención a lo expuesto, mal puede sostenerse que la frase del artículo 5.1.a) del Reglamento "aunque no lo realizase materialmente" suponga una ampliación de las personas responsables. Ni la tesis que en tal sentido propugna la recurrente es defendible en una interpretación de los artículos 2.

d), e) y f) de la Directiva y 3 .d) y g) de la Ley a la luz del precepto constitucional, en cuanto excluye de toda responsabilidad, con independencia de que lo considere o no como tercero, a quien con sus decisiones marca las directrices a seguir en el tratamiento de los datos personales, con la consiguiente desprotección de las personas físicas que el precepto constitucional quiere defender, ni lo es tampoco en atención a las definiciones que ofrecen dichos preceptos, de cuyos textos se infiere, sin margen de duda, que el concepto de persona responsable se anuda al poder de determinación o de decisión sobre la finalidad, contenido y uso del tratamiento.

La Ley, concretamente el artículo 43.1, contempla como sujetos activos de las infracciones que en ella se tipifican, a los responsables de los ficheros y a los encargados de los tratamientos.

En consecuencia con lo expuesto, ni hay razón para el planteamiento de cuestión prejudicial, ni para apreciar la nulidad del precepto reglamentario objeto de análisis.

QUINTO

El segundo precepto impugnado, por entender la recurrente que establece obligaciones adicionales con respecto a la Directiva y a la Ley, es el apartado 5 del artículo 8, concretamente su párrafo tercero que previene que "Cuando los datos hubieran sido comunicados previamente, el responsable del fichero o tratamiento deberá notificar al cesionario, en el plazo de diez días, la rectificación o cancelación efectuada, siempre que el cesionario sea conocido" .

Ubicado el artículo 8 en el Título II, Capítulo I, que tiene por rúbrica "Calidad de los datos", sostiene la recurrente que la expresada norma impone una obligación no prevista en la Ley al limitar ésta, en su artículo 16.4, el deber de notificación al cesionario solo en caso de que se mantenga el tratamiento por este último. Añade que tanto la Ley como el Reglamento contravienen el artículo 12.c) de la Directiva, que exime del deber de notificación cuando resulta imposible o supone un esfuerzo desproporcionado.

Aunque no lo reconoce expresamente la recurrente, de manera implícita sienta como punto de partida de su argumentación que el texto del artículo 8.5 del Reglamento es desarrollo del artículo 16 de la Ley 15/1999 en el que, en efecto, se restringe, concretamente en su apartado 4, la obligación que impone al responsable del tratamiento de notificar la rectificación o cancelación efectuada a quien se haya comunicado los datos "en el caso de que se mantenga el tratamiento por éste último" .

Si dicho artículo 8.5 del Reglamento fuera en efecto desarrollo del artículo 16.4 de la Ley, la no contemplación en la norma reglamentaria de la circunstancia prevista en la Ley relativa al mantenimiento del tratamiento, permitiría aceptar la tesis de la recurrente del establecimiento por el Reglamento de una nueva obligación, pero como no se ajusta a la realidad que el artículo 8.5 del Reglamento responda al desarrollo del artículo 16.4 de la Ley, mal puede compartirse tal posicionamiento.

El artículo 16 de la Ley reconoce al afectado el derecho de rectificación o cancelación de datos y encuentra su desarrollo reglamentario en los artículos 31 y siguientes del Reglamento y no, como con error considera la recurrente, en su artículo 8.5 .

El artículo 8 del Reglamento, bajo la rúbrica "Principios relativos a la calidad de los datos", desarrolla el artículo 4 de la Ley que, con el título "Calidad de los datos", previene en su apartado 3 que "Los datos de caracter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado", y en su apartado 4 que "Si los datos de carácter personal registrados resultaren inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16 " . Confunde en efecto la recurrente el procedimiento de cancelación y sustitución de oficio previsto en el artículo 4 de la Ley, cuyo desarrollo reglamentario está en el artículo 8 del Reglamento, con el correspondiente al ejercicio por el afectado del derecho de rectificación y cancelación regulado en el artículo 16 de la Ley y artículos 31 y siguientes del Reglamento, condenando así toda su argumentación y pretensión impugnatoria al fracaso.

Significar que la Ley, a diferencia de lo que sucede con la regulación que ofrece del derecho de rectificación y cancelación en el artículo 16, ninguna disposición contiene sobre el procedimiento de cancelación y sustitución de oficio, lo que además de justificar la necesidad de la normativa reglamentaria, revela una imposibilidad material de que ésta contravenga la Ley.

E igualmente se equivoca la recurrente cuando argumenta que el artículo 16.4 de la Ley y el artículo

8.5 del Reglamento contravienen el artículo 12.c) de la Directiva 95/46 /CE que excepciona de la necesidad de notificar a quienes se hayan comunicado los datos de toda rectificación, supresión o bloqueo efectuado por no ajustarse a las normas de la Directiva y, especialmente por el carácter incompleto o inexacto de los datos, cuando "resulta imposible o supone un esfuerzo desproporcionado", pues el artículo 12 de la Directiva se refiere al ejercicio por el interesado del derecho de rectificación y cancelación y no a la obligación de cancelación y sustitución de oficio que contemplan los expresados preceptos de derecho interno, y que responden a la genérica previsión del artículo 6.d) de la citada Directiva que exige que los Estados miembros vigilen que los datos personales sean exactos, actualizándolos cuando sean necesarios, y tomen "todas las medidas razonables para que los datos inexactos o incompletos, con respecto a los fines para los que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o rectificados."

Puntualizar que el artículo 31 del Reglamento previene en su párrafo segundo, apartado 2, para aquellos supuestos en que el interesado invoque el ejercicio del derecho de cancelación, que "se estará a lo dispuesto en el Ley Orgánica 15/1999, de 13 de diciembre, y en el presente Reglamento" .

OCTAVO

El siguiente artículo del Reglamento objeto de impugnación por la recurrente es el 13.4 que bajo el epígrafe "Consentimiento para el tratamiento de datos de menores de edad", previene que "Corresponderá al responsable del fichero o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales" .

Ubicado el precepto impugnado, al igual que el anterior, en la Sección Primera del Capítulo II, del Título II, sostiene la recurrente que además de imponer una obligación > al margen de la Ley Orgánica y de la Directiva, tal obligación es de difícil o imposible cumplimiento y desproporcionada. Añade, con una redacción confusa, en cuanto no utiliza otro argumento que la transcripción parcial del documento 1/2008 del Grupo de Trabajo del artículo 29 de la Directiva, sobre protección de los datos personales de los niños, que la Directiva debe ser interpretada en base al principio del interés del niño; que en numerosas ocasiones ese interés no coincide con el de sus representantes; que hay supuestos en que el tratamiento de datos personales es legítimo sin contar con el consentimiento del menor y que además ha de tenerse en cuenta su grado de madurez. Y termina el desarrollo argumental impugnatorio del artículo 13.4 mediante la formulación de una serie de interrogantes relativos a la posibilidad de representación voluntaria para el tratamiento de datos de menores, a la necesidad de establecer garantías sobre la autenticidad de esa representación, a la forma de resolver un hipotético conflicto de intereses entre el menor y sus representantes legales, y a si debe resolverlo el responsable del fichero o del tratamiento.

En relación al extremo relativo a que dicho apartado 4 impone una obligación al margen de la Ley es de indicar que la norma se limita a recoger, en atención a lo dispuesto en el apartado 1, en el que se admite, salvo excepción legal, el consentimiento de mayores de 14 años, la necesaria comprobación del cumplimiento de esa edad y de la autenticidad del consentimiento prestado por los padres, tutores o representantes legales, y ello en garantía de futuras demandas de nulidad.

Parece oportuno advertirlo pues a falta de una comprensible explicación por la recurrente, lo cierto es que no se alcanza a entender la razón de su impugnación.

Si lo que trata de denunciar es que el apartado del precepto impugnado limita los supuestos en que de conformidad con la Directiva no es necesario el consentimiento, procede indicar que de la lectura del expresado apartado 4 del artículo 13 no se deduce que establezca límite alguno a las excepciones previstas en la disposición comunitaria sobre la necesidad del consentimiento. Tampoco a las excepciones de igual naturaleza consideradas en el artículo 6.2 de la Ley 15/1999 . Si lo que en realidad denuncia es pura y simplemente que los procedimientos de garantía referenciados en el precepto reglamentario no están contemplados ni en la Ley ni en la Directiva, es de significar que los artículos 6 y siguientes de estas dos últimas disposiciones, relativas al consentimiento del afectado, no contienen una regulación específica del consentimiento de los menores, habilitando así el desarrollo reglamentario que en nada infringe, ni siquiera se sostiene, las previsiones de las indicadas normas.

No parece reparar la recurrente en que el apartado 4 del artículo 13 es complemento del apartado 1 que prevé que "Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores" . Tan es así que en su argumentación confusa se vislumbra un cierto grado de incongruencia cuando hace mención y transcribe formalmente el documento 1/2008 ya citado.

Cierto es que la comprobación de la edad del menor puede presentarse en ocasiones como difícil, pero ello no debe de servir de excusa para la adopción de las medidas de garantía adecuadas que, en definitiva, es lo único que exige el precepto reglamentario impugnado, razón esta última que impide considerar la exigencia que previene como desproporcionada, cuando afecta o incide en un ámbito especialmente sensible.

Y cierto también que en ocasiones pueden surgir conflictos de intereses entre el menor y su representante legal, pero obviamente lo que no puede pretenderse es que a un hipotético conflicto de tal naturaleza tenga que dar solución la disposición reglamentaria, máxime cuando es objeto de regulación en los artículos 162 y 163 del Código Civil .

NOVENO

El artículo 18 del Reglamento prevé en su apartado 1 que "El deber de información al que se refiere el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado" y en su apartado 2 que "El responsable del fichero o tratamiento deberá conservar el soporte en el que conste el cumplimiento del deber de informar", con la puntualización a continuación de lo siguiente: "Para el almacenamiento de los soportes, el responsable del fichero o tratamiento podrá utilizar medios informáticos o telemáticos. En particular podrá proceder al escaneado de la documentación en soporte papel, siempre y cuando se garantice que en dicha automatización no ha mediado alteración alguna de los soportes originales" .

Ubicado en la Sección Segunda del Capítulo II, del Título II, cuya rúbrica es la de "Deber de información al interesado ", contrariamente a lo que sostiene el Abogado del Estado, no se limita dicho precepto a poner de manifiesto que la carga de probar el efectivo cumplimiento del deber de informar corre a cargo del responsable del fichero o tratamiento. Lo que en realidad establece es la obligación de que la prueba de ese efectivo cumplimiento conste documentalmente o por medios informáticos o telemáticos. Y aunque no es posible inferir, como con error sostiene la recurrente, que la norma reduce el derecho a probar por cualquier medio de los admitidos en derecho, sí tiene razón cuando aduce que establece >, al margen de la Ley, una obligación adicional. Es más, con la obligación impuesta en el precepto reglamentario puede originar que se aprecie con un cierto grado de desconfianza la conducta de quienes pudiendo preconstituir, sin grandes dificultades apreciables, un medio probatorio exigido por el Reglamento, hace caso omiso a la exigencia.

La Ley reconoce en el artículo 5 el derecho a la información en la recogida de datos, concreta el contenido de la información, y advierte de que el deber de informar ha de ser previo a la recogida, pero salvo la indicación de que la información ha de ser expresa, precisa e inequívoca, ninguna referencia contiene a la forma, abriendo así múltiples posibilidades (escrita, verbal, telemática, etc.) Solo en el apartado 2 del artículo de mención prevé la posibilidad de que se utilicen cuestionarios u otros impresos para la recogida de datos para advertir, pensando sin duda en medios estandarizados, que se han de contener y de forma claramente legible las advertencias expresadas en el apartado 1.

En consecuencia, debe considerarse que el legislador ha optado por la libertad de forma.

Pues bien, siendo ello así, cabe concluir que la disposición reglamentaria que examinamos contraviene la Ley y que por ello debe ser anulada.

Solución distinta se alcanzaría si la letra del precepto impugnado pudiera interpretarse en el sentido de que el medio que previene para cumplir el deber de información se realiza como una mera recomendación, > de una dificultad probatoria futura, pero los términos categóricos e imperativos utilizados ( "deberá llevarse a cabo", "deberá conservar el soporte" ), impiden esa valoración.

En consecuencia, la impugnación del artículo 18 del Reglamento debe estimarse."

DECIMOPRIMERO

Así mismo impugna la recurrente el artículo 12.1, párrafo segundo, que tras expresar en el párrafo primero que "El responsable del tratamiento deberá obtener el consentimiento del interesado para el tratamiento de su datos de carácter personal salvo en aquellos supuestos en que el mismo no sea exigible con arreglo a lo dispuesto en las leyes", previene en el segundo que "La solicitud del consentimiento deberá ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como de las restantes condiciones que concurran en el tratamiento o serie de tratamientos" .

Ubicado en el Título II, Capítulo II, relativo al consentimiento para el tratamiento de los datos y al deber de información, más concretamente, en la Sección Primera, en la que se da regulación a la obtención del consentimiento del afectado, en armonía con su epígrafe, el artículo se limita a establecer unos principios generales.

Afirma la recurrente que al ir referida en el párrafo impugnado del precepto la solicitud del consentimiento a un tratamiento o serie de tratamientos y al exigir que con la solicitud se delimite no solo la finalidad para la que se recaba sino también "las restantes condiciones que concurran en el tratamiento o serie de tratamiento", se impone una obligación no prevista en el artículo 10 de la Directiva ni en el artículo

5.1 de la Ley .

El artículo 10 de la Directiva dice así: "Los Estados miembros dispondrán que el responsable del tratamiento o su representante deberán comunicar a la persona de quien se recaben los datos que le conciernan, por lo menos la información que se enumera a continuación, salvo si la persona ya hubiera sido informada de ello:

  1. la identidad del responsable del tratamiento y, en su caso, de su representante;

  2. los fines del tratamiento de que van a ser objeto los datos;

  3. cualquier otra información tal como:

    - los destinatarios o las categorías de destinatarios de los datos,

    - el carácter obligatorio o no de la respuesta y las consecuencias que tendría para la persona interesada una negativa a responder,

    - la existencia de derechos de acceso y rectificación de los datos que la conciernen,

    en la medida en que, habida cuenta de las circunstancias específicas en que se obtengan los datos, dicha información suplementaria resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado" .

    Por su parte el artículo 5.1 de la Ley, relativo al derecho de información en la recogida de datos, dispone que "Los interesados a los que soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

  4. De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

  5. Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

  6. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

  7. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

  8. De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante" . En efecto, tal como sostiene la recurrente, ni el artículo 10 de la Directiva, ni el artículo 5.1 de la Ley, ni ningún otro precepto de los indicados textos, contempla expresamente la obligación de informar respecto de una "serie de tratamientos concretos, con mención específica de la finalidad para los que se recaba" y de "las restantes condiciones que concurran" . Tanto uno como otro artículo no hacen referencia a una "serie de tratamientos concretos", hacen mención al tratamiento en singular. Pero de la constatación de la realidad normativa expuesta no cabe colegir infracción alguna.

    El que los preceptos citados de la Directiva y de la Ley hagan mención al > y el que también el singular sea el utilizado a la hora de definir el tratamiento de datos en el artículo 2.c) de la Directiva y en el artículo 3.c) de la Ley, no permite inferir, como con error sostiene la recurrente, que la mención reglamentaria a una "serie de tratamientos" excede de la habilitación legal con la imposición de una obligación adicional >.

    Parece no reparar la recurrente en que el consentimiento constituye, en armonía con la finalidad propia de la totalidad de la normativa reguladora, el eje o elemento central de esa normativa, y en que precisamente por ello requiere para su validez la concurrencia de unos requisitos descritos con concisión en el artículo 2.h) de la Directiva y en el artículo 3.h) de la Ley : manifestación de voluntad libre, específica e informada en el texto de la Directiva, añadiendo la Ley el término inequívoco.

    Pues bien, si lo específico es sinónimo de exclusivo, individual, intrínseco, etc., ninguna duda puede ofrecer que la disposición impugnada del Reglamento que exige, en definitiva, la información individualizada de los tratamientos a seguir, está en absoluta armonía con la Directiva y con la Ley.

DECIMOSEGUNDO

El artículo 15, ubicado en el Título II, Capítulo II, Sección Primera, que lleva por rúbrica "Obtención del consentimiento del interesado" con el título "Solicitud del consentimiento en el marco de una relación contractual para fines no relacionados directamente con la misma", dice así:

"Si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos.

En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento" .

Argumenta la recurrente en su impugnación que la obligación o posibilidad que de marcar una casilla contempla el precepto impugnado supone una forma expresa de solicitud del consentimiento, no exigida por el artículo 2.h) de la Directiva que define el "consentimiento del interesado" como "toda manifestación de voluntad, libre, específica o informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan" .

Pues bien, si como equivocadamente sostiene la recurrente, el precepto reglamentario impugnado impusiera como única forma de solicitar el consentimiento al tratamiento de datos que refiere, la marcación en una casilla, habría que convenir con ella que la indicada norma establece una obligación adicional, pero como no es cierto que imponga la marcación como única forma de expresar el consentimiento, toda su argumentación se cae.

El precepto reglamentario se limita a expresar en su párrafo primero la necesidad de que el responsable del tratamiento permita al afectado manifestar de forma expresa su negativa al tratamiento o a la comunicación de datos pero no restringe a la manifestación expresa la declaración de voluntad, y tampoco lo hace en el párrafo segundo, en el que prevé como una de las formas de entenderse cumplido el deber que impone el párrafo primero (permitir al afectado que se manifieste expresamente) la marcación de mención.

DECIMOTERCERO

Otra de las disposiciones reglamentarias impugnadas en la demanda es el artículo 20.1 del Reglamento que, bajo la rúbrica "Relaciones entre el responsable y el encargado del tratamiento", prevé lo siguiente: "El acceso a los datos por parte de un encargado del tratamiento que resulte necesario para la prestación de un servicio al responsable no se considerará comunicación de datos, siempre y cuando se cumpla lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre y en el presente capítulo. El servicio prestado por el encargado del tratamiento podrá tener o no carácter remunerado y ser temporal o indefinido. No obstante, se considerará que existe comunicación de datos cuando el acceso tenga por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el afectado" .

Aunque en el suplico de la demanda se impugna en su totalidad el apartado 1, la argumentación del motivo se centra exclusivamente en el párrafo tercero.

Entiende la recurrente que en dicho párrafo tercero se introduce al margen de la Ley un nuevo supuesto en el que el tratamiento de los datos se considera como comunicación. Advierte que el término "nuevo vínculo" utilizado en la norma crea inseguridad jurídica al no encontrarse definido ni ser tradicionalmente utilizado y que si bien la finalidad del precepto no es otra que la de dar cobertura a resoluciones de la Agencia de Protección de Datos relativas a la cesión virtual de datos personales entre el responsable y el encargado del tratamiento, que trataban de evitar que se produjeran cesiones de datos no identificadas o sin suficientes garantías entre el responsable y el encargado del tratamiento, en el marco de una prestación de servicios, puede abarcar otros supuestos en los que se trate de establecer un vínculo de otras características que no implique necesariamente una cesión de datos, como sucede en caso de patrocinios o del denominado >.

El párrafo tercero del artículo 20.1, único impugnado como ya anunciamos, constituye una excepción a la previsión del párrafo primero que se limita a ratificar el artículo 12.1 de la Ley .

Aunque el término "nuevo vínculo" no se encuentra definido y se introduce por primera vez en la disposición reglamentaria impugnada, en modo alguno puede compartir esta Sala la afirmación de la recurrente relativa a que crea inseguridad jurídica. En atención a su contexto es posible afirmar, sin ningún género de duda, que el término hace referencia a aquellos supuestos en que el responsable del tratamiento encarga a un tercero un servicio que excede de la actividad propia y exclusiva de aquel.

Constituye un ejemplo paradigmático el contemplado en la sentencia de la Sección Primera de la Audiencia Nacional, de fecha 13 de septiembre de 2002 . Se trataba de un caso en el que una compañía aseguradora firma un contrato con otra compañía entre cuyas actividades está la venta de carburantes en estaciones de servicio, para que esta segunda compañía remita a los clientes de la primera una tarjeta gratuita para pagar la adquisición de carburantes, encargándose esta segunda compañía de la gestión del uso de la tarjeta, asumiendo el riesgo correspondiente.

Y la recurrente tiene conocimiento del ejemplo o de otros análogos, como lo demuestra su afirmación relativa a que la norma impugnada trata de dar cobertura a resoluciones de la Agencia Estatal de Protección de Datos y su reconocimiento de que en el caso de que se estableciera una nueva relación jurídica con el interesado se produciría una cesión de datos.

Por ello mal puede aducirse con éxito causación de inseguridad jurídica con la disposición analizada, concretamente, por la utilización en su texto del término "nuevo vínculo" . Pero es que incluso es la propia argumentación de la recurrente la que conduce a la desestimación de la impugnación con apoyo en el exceso del precepto reglamentario con respecto a la Directiva y la Ley. La admisión de que en aquellos supuestos de establecimiento de una nueva relación jurídica se produce una cesión de datos perseguible exime de otra consideración. Si hay supuestos de excepción a la apreciación expuesta y si deben considerarse como tales aquellos que alude dicha parte excede del enjuiciamiento que ahora corresponde, limitado a decir si concurre el exceso denunciado.

DECIMOCUARTO

Es también objeto de impugnación el artículo 45, que bajo el epígrafe "Datos susceptibles de tratamiento e información al interesado", prevé en su apartado 1 lo siguiente: "Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial y otras actividades análogas, así como quienes realicen estas actividades con el fin de comercializar sus propios productos o servicios o los de terceros, sólo podrán utilizar nombres y direcciones u otros datos de carácter personal cuando los mismos se encuentren en uno de los siguientes casos: a) Figuren en alguna de las fuentes accesibles al público a las que se refiere la letra j) del artículo 3 de la Ley Orgánica 15/1999, de 13 de diciembre y el artículo 7 de este reglamento y el interesado no haya manifestado su negativa u oposición a que sus datos sean objeto de tratamiento para las actividades descritas en este apartado. b) Hayan sido facilitados por los propios interesados y obtenidos con su consentimiento para finalidades determinadas, explícitas y legítimas relacionadas con la actividad de publicidad o prospección comercial, habiéndose informado a los interesados sobre los sectores específicos y concretos de actividad respecto de los que podrá recibir información o publicidad" .

Sostiene la recurrente que al obligar el último párrafo de la letra b) a informar a los interesados sobre los sectores específicos y concretos de la actividad respecto de la que se va a recibir información o publicidad, se impone un deber adicional e innecesario, carente de sustento legal.

Ubicado el artículo en el Capítulo II del Título IV, dedicado a los tratamientos para actividades de publicidad y prospección comercial, contrariamente a lo que sostiene la recurrente, la información que requiere sobre los sectores específicos y concretos de la actividad respecto de la que se va a recibir información o publicidad, no carece de amparo legal.

El artículo 3.h) de la Ley 15/1999 cuando define el "consentimiento del interesado" como "toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consiente el tratamiento de datos personales que le conciernen" y el artículo 11.3 cuando expresa que "Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a que se destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretende comunicar", revelan la preocupación del legislador en defender el derecho fundamental del poder de disposición y de control de los datos personales, exigiendo un consentimiento revestido de todas las garantías entre las que interesa destacar la relativa a que el interesado conozca que se va a realizar un tratamiento con sus datos y que es lo que se va a hacer con ellos, mostrándose singularmente contundente cuando de la comunicación de datos se trata al prever la nulidad del consentimiento cuando la información facilitada no es suficiente para conocer la finalidad a que se destinarán o el "tipo de actividad" de aquel a quien se pretende comunicar.

Lo que persigue el legislador es impedir que una información carente de concreción pueda servir para apreciar un consentimiento informado.

Pues bien, sin traspasar esa línea que marca el legislador, el último párrafo de la letra b) del artículo

45.1, concreta para un ámbito especialmente sensible, cual es el de las actividades de publicidad y prospección comercial, el derecho de información.

Cuando el precepto impugnado exige que se informe a los interesados sobre los sectores específicos y concretos de la actividad de publicidad o prospección comercial realmente no establece ninguna obligación adicional al deber de informar que impone el artículo 3 .h) y el artículo 11.3. Si el primero de los indicados preceptos exigen un consentimiento informado y el segundo concreta que la información debe abarcar todos aquellos datos y circunstancias que permitan conocer al interesado no solo la finalidad a la que van a ser destinados los datos que facilita, sino también la actividad de aquel a quien se pretende comunicarlos, mal puede entenderse que se da cumplimiento al mandato legal si no se ofrece en la información facilitada una puntual descripción de los sectores específicos y concretos en que incide la actividad publicitaria o de prospección comercial.

DECIMOQUINTO

El artículo 46, cuyos apartados 2, 3 y 4 impugna la recurrente, dice así:

" 1.- Para que una entidad pueda realizar por si misma una actividad publicitaria de sus productos o servicios entre sus clientes será preciso que el tratamiento se ampare en alguno de los supuestos contemplados en el artículo 6 de la Ley orgánica 15/1999, de 13 de diciembre .

  1. - En caso de que una entidad contrate o encomiende a terceros la realización de una determinada campaña publicitaria de sus productos o servicios, encomendándole el tratamiento de determinados datos, se aplicarán las siguientes normas:

    1. Cuando los parámetros identificativos de los destinatarios de la campaña sean fijados por la entidad que contrate la campaña, ésta será responsable del tratamiento de los datos.

    2. Cuando los parámetros fueran determinados únicamente por la entidad o entidades contratadas, dichas entidades serán las responsables del tratamiento.

    3. Cuando en la determinación de los parámetros intervengan ambas entidades, serán ambas responsables del tratamiento.

  2. - En el supuesto contemplado en el apartado anterior, la entidad que encargue la realización de la campaña publicitaria deberá adoptar las medidas necesarias para asegurarse de que la entidad contratada ha recabado los datos cumpliendo las exigencias establecidas en la Ley Orgánica 15/1999, de 13 de diciembre, y en el presente reglamento.

  3. - A los efectos previstos en este artículo, se consideran parámetros identificativos de los destinatarios las variables utilizadas para identificar el público objetivo o destinatario de una campaña o promoción comercial de productos o servicios que permitan acotar los destinatarios individuales de la misma" .

    Sostiene la indicada parte que el artículo 46.2 impone una obligación > a las entidades que deseen contratar o encomendar a un tercero la realización de una campaña publicitaria de sus productos o servicios, al considerarla responsable del tratamiento de los datos cuando los llamados parámetros identificativos definidos en el apartado 4 son fijados exclusivamente por la empresa que encarga la campaña publicitaria o conjuntamente con la empresa de publicidad. Entiende que al no tener la empresa que contrata la campaña acceso a los datos contenidos en la base de datos de la empresa contratada no puede la primera ser responsable del tratamiento.

    La respuesta a la impugnación del artículo 46.2 debe ser desestimatoria.

    Con independencia de que la norma de mención no impone ninguna obligación >, y ello por la sencilla razón de que no prevé obligación alguna, limitándose a concretar la entidad o entidades responsables del tratamiento de datos en campañas publicitarias, es de significar que la regulación que al respecto contempla nada añade a la previsión del artículo 5.1.q) que, conforme ya vimos (fundamento de derecho noveno ) define al responsable del fichero o del tratamiento como la "persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que solo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente" .

    Si en el expresado fundamento llegábamos a la conclusión, frente a la impugnación de la recurrente de dicho artículo 5.1.q), que la previsión que contiene ninguna extralimitación supone en relación a la Ley, no otra solución cabe adoptar respecto a la pretensión impugnatoria que ahora nos ocupa.

    No mejor suerte que la de la impugnación del artículo 46.2 deben correr la de los apartados 3 y 4 .

    Rechazada la nulidad pretendida del artículo 46.2, obviamente no puede tener acogida la también demandada nulidad del artículo 46.4, cuando se fundamenta exclusivamente en que la nulidad del artículo

    46.2 deja vacío de contenido el artículo 46.4 .

    Respecto al artículo 46.3 ha de reconocerse que en efecto establece una obligación a la entidad que encarga a otra la realización de una campaña publicitaria, cual es la adopción de las medidas necesarias que aseguren que la entidad contratada ha recabado los datos cumpliendo las exigencias establecidas no solo en la Ley Orgánica 15/1999, sino también en el Reglamento, pero por ser ello consecuencia de la intervención en la determinación de los parámetros de la entidad que encarga la campaña publicitaria y la contratada, supuesto previsto en la letra c) del apartado 2 del artículo impugnado, único al que se refiere el apartado 3 con una redacción mejorable, no hay razón para su impugnación por lo ya expresado al examinar la del apartado 2.

DECIMOSEXTO

También es objeto de impugnación el artículo 47 que ubicado al igual que el analizado en el fundamento de derecho precedente en el Título IV, Capítulo II, relativo a tratamientos para actividades de publicidad y prospección comercial, bajo el título "Depuración de datos personales", previene que "Cuando dos o más responsables por si mismos o mediante encargo a terceros pretendieran constatar sin consentimiento de los afectados, con fines de promoción o comercialización de sus productos o servicios y mediante un tratamiento cruzado de sus ficheros quiénes ostentan la condición de clientes de una u otra o de varios de ellos, el tratamiento así realizado constituirá una cesión o comunicación de datos" .

Sostiene la recurrente que para que se produzca una cesión de datos es necesario una revelación de los mismos y que ello no tiene lugar por la constatación que en el artículo 47 se contempla, máxime si el cruzado de datos se encarga a terceros .

El artículo 3.j) de la Ley define la cesión o comunicación de datos como "toda revelación de datos realizada a una persona distinta del interesado" y el art. 5.1.c) del Reglamento como el "tratamiento de datos que supone su revelación a una persona distinta del interesado ".

Es claro que en uno y en otro texto la acción de revelar aparece como elemento esencial de las definiciones que ofrecen. Si no hay revelación no cabe apreciar cesión o comunicación de datos. Pero no es menos claro que mediante el tratamiento cruzado de los ficheros previsto en el artículo 47 del Reglamento se produce la revelación. Constatar "quiénes ostentan la condición de clientes de una y otra o de varios de ellas" por medio del tratamiento cruzado de ficheros, supone, sin duda, la transmisión o revelación de datos. La circunstancia de que el cruzado de datos se encargue a terceros no es obstáculo que impida apreciar la responsabilidad pues, conforme ya dijimos al examinar la impugnación del artículo 5.1 a), el elemento esencial definitorio del responsable del fichero o del tratamiento es, en la Ley y en el Reglamento, el poder de decisión sobre la finalidad, contenido y uso del tratamiento, y en el cruzado de datos previsto en el art. 47 del Reglamento tal poder de decisión lo tienen aquellos que realizan el encargo.

Es la propia recurrente quien reconoce que en efecto se produce una cesión de datos cuando la operación de cruzado tiene por finalidad nutrir la base de datos de los responsables, afirmando que en cambio tiene poco sentido apreciar la cesión cuando el fin perseguido es evitar que los afectados reciban una comunicación comercial por duplicado, supuesto que dice se da en la práctica en la mayoría de los casos.

Con independencia de que no consta a esta Sala que el uso del mercado de datos tiene en la mayoría de los supuestos la finalidad de evitar duplicidad publicitaria, circunstancia que no se molesta la recurrente en acreditar y además resulta difícilmente creíble en un mercado de competitividad, la alegación no sería motivo suficiente para declarar la nulidad del precepto reglamentario, en cuanto que con la utilización de la frase "mayoría de los casos" implícitamente se admiten otros supuestos distintos a los de evitar la duplicidad. Pero es que incluso cuando la finalidad perseguida fuera ésta, aún así no hay razón alguna para prescindir del consentimiento de los afectados, principio esencial en la materia.

No se puede dejar de tener en consideración que el precepto reglamentario contempla el acuerdo de dos o más responsables y que la loable finalidad perseguida de evitar la duplicidad puede traducirse en el futuro, bien deliberadamente, bien por negligencia, en la utilización de los datos para otros fines. En el posicionamiento más favorable para la recurrente podría en su caso admitirse una exención o atenuación de responsabilidad siempre que resultara acreditado de forma contundente, ya no solo que la finalidad perseguida es la de evitar la duplicidad sino también la imposibilidad futura de utilización de datos obtenidos para otros fines distintos.

DECIMOSEPTIMO

Otro de los preceptos que del Reglamento impugna la recurrente es el artículo 49 .

Ubicado en el Título I, Capítulo II, relativo a los tratamientos para actividades de publicidad y de prospección comercial, prevé, en su apartado 1, la posibilidad de "... creación de ficheros comunes, de carácter general o sectorial, en los que sean objeto de tratamiento los datos de carácter personal que resulten necesarios para evitar el envío de comunicaciones comerciales a los interesados que manifiesten su negativa u oposición a recibir publicidad" ; en su apartado 2, párrafos primero y segundo, que "Cuando el afectado manifieste ante un concreto responsable su negativa u oposición a que sus datos sean tratados con fines de publicidad o prospección comercial, aquel deberá ser informado de la existencia de los ficheros comunes de exclusión generales o sectoriales, así como de la identidad de su responsable, su domicilio y la finalidad del tratamiento" y que " El afectado podrá solicitar su exclusión respecto de un fichero o tratamiento concreto o su inclusión en ficheros comunes de excluidos de carácter general o sectorial", y en su apartado 4, que "Quienes pretendan efectuar un tratamiento relacionado con actividades de publicidad o prospección comercial deberán previamente consultar los ficheros comunes que pudieran afectar a su actuación, a fin de evitar que sean objeto de tratamiento los datos de los afectados que hubieran manifestado su oposición o negativa a ese tratamiento" .

Sostiene la indicada parte en su argumentación impugnatoria lo siguiente: 1) que la previsión reglamentaria de creación de los ficheros comunes del apartado 1 no encuentra sustento ni en la Directiva ni en la Ley; 2) que tampoco encuentra dicho sustento la obligación de consulta previa prevista en el apartado 4; 3) que dichos ficheros, por suponer una excepción al principio del consentimiento prestado por los afectados, deben ser regulados por Ley; 4) que el precepto impugnado en sus apartados 2 y 4 impone a las entidades que vaya a realizar tratamientos relacionados con actividades de publicidad o prospección comercial nuevas obligaciones: informar de la existencia de los ficheros comunes y consultarlos antes de realizar un tratamiento con finalidades de publicidad.

El artículo 14 de la Directiva y el artículo 30.4 de la Ley, prevén la posibilidad de que los interesados puedan oponerse al tratamiento de datos con fines comerciales. En efecto el artículo 14, apartado b) de la Directiva, establece la obligación de que los Estados miembros reconozcan al interesado el derecho a "oponerse, previa petición y sin gastos, al tratamiento de los datos de carácter personal que le conciernan respecto de los cuales el responsable prevea un tratamiento destinado a la prospección; o ser informado antes de que los datos se comuniquen por primera vez a terceros o se usen en nombre de éstos a efectos de prospección, y a que se le ofrezca expresamente el derecho de oponerse, sin gastos, a dicha comunicación o utilización" y ciertamente ese derecho es reconocido en el art. 30.4 de la Ley, que bajo el epígrafe "Tratamientos con fines de publicidad y de prospección comercial", expresa en análogos términos que "Los interesados tendrán derecho a oponerse, previa petición y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja del tratamiento, cancelándose las informaciones que sobre ellos figuren en aquel, a su simple solicitud".

Pero ni uno ni otro precepto delimita la forma en que ha de manifestar el interesado su oposición al tratamiento. El último párrafo del artículo 14 de la Directiva se limita a expresar que "Los estados miembros adoptarán todas las medidas necesarias para garantizar que los interesados conozcan la existencia del derecho a que se refiere el párrafo primero de la letra b)", y nada al respecto se previene en el artículo 30 de la Ley .

Es el artículo 6 del Texto Legal en donde el legislador nacional da cumplimiento al mandato del último párrafo del art. 14 de la Directiva, al regular el consentimiento del afectado en los siguientes términos: "1.-El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa. 2 .- No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del art. 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado. 3.- El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos. 4.- En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado", dedicando los artículos 7 y 8 a supuestos especiales de consentimiento por afectar a datos especialmente protegidos (ideología, religión, creencias, raza, infracciones penales, salud, etc.). Salvo la mención en el artículo 6.1 al "consentimiento inequívoco" ; y en el artículo 7.2 a la advertencia "al interesado acerca de su derecho a no prestarlo" y en el artículo 7.3 a la necesidad del "consentimiento y por escrito del afectado", con relación a los datos especialmente protegidos que en dicho apartado se contemplan. Y salvo la remisión del artículo 8, con respecto a datos relativos a la salud, a la legislación estatal o autonómica sobre sanidad, no se encuentra en la Ley ningún precepto que concrete la forma en que se ha de recabar y prestar el consentimiento.

Y es el reglamento el que en sus artículos 12 a 16 regula con detenimiento la forma de recabar y prestar el consentimiento.

Pues bien, es esa insuficiencia legislativa a la hora de concretar la forma de recabar y de obtener el consentimiento lo que impide entender, de conformidad con lo expuesto en el fundamento de derecho segundo, que nos encontramos ante una materia reservada a la Ley, y, en consecuencia, acoger los argumentos de la recurrente en que fundamenta la anulación del art. 49 del Reglamento .

El artículo 49. 1 y 2 nada nuevo añade a las formas de manifestación negativa y oposición al tratamiento de datos prevista en la Ley, y la creación de los ficheros que contempla también en el apartado 1 no supone nada más que la adopción de una medida por la que se materializa el derecho a oponerse al tratamiento de datos reconocido en el artículo 14 de la Directiva y artículo 30.4 de la Ley .

La circunstancia de que en el artículo 49.1, párrafo segundo, se prevea que puedan contener "los mínimos datos imprescindibles para identificar al afectado" no supone, contrariamente al parecer de la recurrente, una excepción al principio del consentimiento.

Además de que al responder el consentimiento del interesado a la finalidad de proteger, en términos del artículo 1 de la Ley, "las libertades públicas y los derechos fundamentales de las personas físicas" frente a los ataques que a tales derechos pueden constituir el uso abusivo del tratamiento de datos personales, resulta extraño que por las actividades de las empresas que aglutina la federación recurrente, a saber el comercio electrónico y el marketing directo, sea ella quien defienda los intereses de los afectados frente al envío de comunicaciones comerciales, debe afirmarse con rotundidad que la previsión del artículo

49.1, párrafo segundo, no supone, en una interpretación recta y objetiva de la norma, ninguna excepción al principio del consentimiento. Una interpretación imparcial, ajena a los reales intereses de la recurrente, permite entender, sin gran esfuerzo, que la manifestación negativa y oposición del interesado, en el ejercicio del derecho reconocido en el artículo 30.4 de la Ley a recibir publicidad, encierra la autorización a la creación de un fichero en el que se contengan los mínimos datos imprescindibles que permiten conocer a quienes se manifestaron negativamente. Es llamativo que un precepto cuya finalidad no es otra que la defensa de aquellos que no quieren recibir propaganda pueda utilizarse por una confederación de empresas cuyas actividades precisamente están presididas, o al menos muy condicionadas, por actuaciones que el precepto impugnado trata de salvaguardar.

Tampoco puede compartir este Tribunal la alegación de la recurrente relativa a que los ficheros de exclusión puedan ser encuadrados en los códigos tipo previstos en el artículo 32 de la Ley o en los códigos de conducta contemplados en el artículo 27 de la Directiva .

La naturaleza y el limitado alcance subjetivo y objetivo de estos códigos, a saber, siguiendo el citado artículo 32, códigos de carácter deontológico o de buena práctica profesional, fruto de acuerdos sectoriales, convenios administrativos o decisiones de empresa y con una finalidad esencialmente autoorganizativa, no permite considerar que a través de dichos códigos se alcance la garantía que el artículo 49 del Reglamento ofrece.

Cierto es que en los apartados 2 y 4 se establece para los responsables del tratamiento de datos con fines de publicidad o prospección comercial la obligación de información sobre la existencia de los ficheros comunes y de consulta previa antes de la realización de cualquier tratamiento para los fines indicados, pero ello no supone, en contra del parecer de la recurrente, ni la introducción de unas obligaciones >, ni, en consecuencia, una vulneración del principio de reserva de Ley. Ello porque la información sobre la existencia de los ficheros y su consulta no excede realmente de los derechos de información que en la recogida de datos delimita el artículo 5.1 de la Ley, y del derecho de oposición al tratamiento previsto en el artículo 30.4 .

Resta indicar, en respuesta a las argumentaciones de la recurrente, que el relativo a la grave carga que supone la obligación de consultar los ficheros, por fundamentarse en que no todos los tratamientos relacionados con actividades de publicidad o prospección comercial implican necesariamente el envío de publicidad o prospección comercial, está condenado al fracaso pues el precepto solo contempla esas dos concretas actividades, y que también lo está el relativo a las lagunas normativas del precepto, apoyado en que establece solo como posible la creación de los ficheros y en que no regula aspectos tan importantes como quien puede crearlos y en qué circunstancias, pues obviamente, aunque nada se diga al respecto, es claro que la posibilidad de su creación está reservada a quien ostenta la potestad de decisión, quien decidirá el momento oportuno de su creación en atención a las circunstancias concurrentes, relacionadas con la finalidad que se persigue, y que no necesariamente tienen que estar preestablecidas.

DECIMOCTAVO

El artículo 83, ubicado en el Título VIII, Capítulo I, relativo a las disposiciones generales en orden a las medidas de seguridad en el tratamiento de datos de carácter personal, con el epígrafe "Prestaciones de servicios sin acceso a datos personales", previene en su párrafo primero, que "El responsable del fichero o tratamiento adoptará las medidas adecuadas para limitar el acceso del personal a datos personales, a los soportes que los contengan o a los recursos del sistema de información, para la realización de trabajos que no impliquen el tratamiento de datos personales", y en su párrafo segundo. que "Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio" .

Aunque en el suplico de la demanda se insta la declaración de nulidad de pleno derecho de la totalidad del precepto, la argumentación impugnatoria se contrae exclusivamente al párrafo segundo, limitando así el ámbito de enjuiciamiento.

La argumentación de la recurrente relativa a que con la norma impugnada se vulnera el principio de libertad de forma, en cuanto que con la necesaria inclusión de la cláusula que prevé se está impidiendo la posibilidad de la contratación no escrita, con vulneración del artículo 1278 del Código Civil, sólo puede entenderse desde una errónea consideración por quien de tal manera argumenta del principio de libertad de forma contractual. La exigencia de una determinada cláusula contractual, como lo es la prohibición contemplada en el párrafo segundo del artículo 83, no es incompatible con la posibilidad de que el contrato se celebre de forma verbal, telemática, etc. No supone, contrariamente a lo que sostiene, un rechazo a la posibilidad de que la contratación no sea escrita.

En consecuencia, la impugnación debe desestimarse, pues no parece que sea otra distinta que la expuesta la argumentación de la actora. No obstante, y dado que en el hilo argumental refiere que el precepto reglamentario carece de norma habilitante, no es ocioso indicar que el artículo 9 de la Ley, al prever en su apartado 1 que "El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural", habilita, como también lo hace el artículo 17.1 de la Directiva al expresar que "Los Estados miembros establecerán la obligación del responsable del tratamiento de aplicar las medidas técnicas y de organización adecuadas, para la protección de los datos personales contra la destrucción, accidental o ilícita, la pérdida accidental y contra la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, y contra cualquier otro tratamiento ilícito de datos personales" y que "Dichas medidas deberán garantizar, habida cuenta de los conocimientos técnicos existentes y del coste de su aplicación, un nivel de seguridad apropiado en relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que deban protegerse", que el precepto reglamentario impugnado exija que en el contrato de prestación de servicios se incluya la prohibición y el deber de secreto que su texto contempla.

Se trata de una medida organizativa dirigida a garantizar la seguridad de los datos ante la prestación de unos servicios que pueden ponerse en riesgo. Sirvan de ejemplo los servicios de limpieza o los de mantenimiento de los medios informáticos.

DECIMONOVENO

No se aprecian motivos para hacer un especial pronunciamiento de condena en costas (artículo 139.1 LRJCA ).

FALLAMOS

PRIMERO

DECLARAR LA INADMISIBILIDAD del recurso contencioso administrativo interpuesto por la FEDERACIÓN DE COMERCIO ELECTRONICO Y MARKETING DIRECTO, contra Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en el extremo que impugna los artículos 38, 41 y 42 .

SEGUNDO

Estimarlo en parte y anular, por disconforme a derecho, el artículo 18 de la disposición reglamentaria.

TERCERO

Dejar imprejuzgada la impugnación del artículo 10.2 .a) y b), por planteamiento de cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, y hasta que dicho Tribunal se pronuncie sobre la cuestión de mención.

CUARTO

Sin hacer especial condena en costas.

Así por esta nuestra sentencia, lo pronunciamos, mandamos y firmamos

Índice de navegación
Voces del tesauro
Funcionalidades premium
  • Acceso al fondo completo de jurisprudencia
  • Búsqueda por voces
  • Búsqueda por legislación citada
  • Filtros avanzados
  • Alertas de búsqueda
  • Interrelación con modelos, doctrina y legislación
Solicita tu prueba
4 sentencias
  • STSJ Comunidad Valenciana 69/2023, 22 de Febrero de 2023
    • España
    • February 22, 2023
    ...proyecto así como de una memoria económica sobre la estimación del coste previsto que pueda incidir en la administración. Acudiendo a la STS de 15-7-2010, relativa al art. 24.1.a de la Ley 50/97 de 27 de noviembre, del Gobierno de España, precepto del que aquél es un trasunto, considera que......
  • STSJ Aragón 47/2021, 18 de Febrero de 2021
    • España
    • February 18, 2021
    ...sexual, expresión o identidad de género, y una estimación del coste a que dará lugar y su forma de f‌inanciación ". Acudiendo a la STS 15-7-2010, relativa al art. 24.1.a de la ley 50/1997, de 27 de noviembre, del Gobierno de España, precepto del que aquél es un trasunto, considera que debe ......
  • STSJ Andalucía , 10 de Marzo de 2011
    • España
    • March 10, 2011
    ...preceptos concretos son los que se ven afectados -de alguna manera- respecto de su pretensión jurídica de nulidad. Como dice la STS de 15-7-2010, rec. 25/2008 "Una reiterada jurisprudencia tanto constitucional como ordinaria delimita el concepto de derecho o interés legítimo contemplado en ......
  • STSJ Cataluña 693/2019, 29 de Julio de 2019
    • España
    • July 29, 2019
    ...no sea actual y aún cuando no responda necesariamente a razones económicas, cabe apreciar la legitimación. La sentencia del Tribunal Supremo de 15/07/2010, recurso 25/2008, recuerda la doctrina reiterada sobre esta "En sentencia del Pleno de esta Sala de 31 de mayo de 2006 se dice lo siguie......

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR