STS 1062/2019, 12 de Julio de 2019

• Ponente: DIEGO CORDOBA CASTROVERDE
• ECLI: ES:TS:2019:2484
• Número de Recurso: 4980/2018
• Procedimiento: Recurso de Casación Contencioso-Administrativo (L.O. 7/2015)
• Número de Resolución: 1062/2019
• Fecha de Resolución: 12 de Julio de 2019
• Emisor: Tribunal Supremo - Sala Tercera, de lo Contencioso-Administrativo

Sentencia citada en: 2 sentencias, una resolución administrativa

T R I B U N A L S U P R E M O

Sala de lo Contencioso-Administrativo

Sección Tercera

Sentencia núm. 1.062/2019

Fecha de sentencia: 12/07/2019

Tipo de procedimiento: R. CASACION

Número del procedimiento: 4980/2018

Fallo/Acuerdo:

Fecha de Vista: 02/07/2019

Ponente: Excmo. Sr. D. Diego Cordoba Castroverde

Procedencia: AUD.NACIONAL SALA C/A. SECCION 4

Letrado de la Administración de Justicia: Ilmo. Sr. D. Luis Martín Contreras

Transcrito por: AVJ

Nota:

R. CASACION núm.: 4980/2018

Ponente: Excmo. Sr. D. Diego Cordoba Castroverde

Letrado de la Administración de Justicia: Ilmo. Sr. D. Luis Martín Contreras

TRIBUNAL SUPREMO

Sala de lo Contencioso-Administrativo

Sección Tercera

Sentencia núm. 1062/2019

Excmos. Sres.

D. Eduardo Espin Templado, presidente

D. Jose Manuel Bandres Sanchez-Cruzat

D. Eduardo Calvo Rojas

D. Jose Maria del Riego Valledor

D. Diego Cordoba Castroverde

D. Angel Ramon Arozamena Laso

En Madrid, a 12 de julio de 2019.

Esta Sala ha visto en su Sección Tercera por los magistrados indicados al margen, el recurso de casación número 4980/2018, interpuesto por Iberdrola Distribución Eléctrica, S.A.U., representada por el procurador de los tribunales don José Luis Martín Jaureguibeitia y bajo la dirección letrada de don Jaime Almenar Belenguer, contra la sentencia dictada por la Sección Cuarta de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional en fecha 28 de marzo de 2018 en el recurso contencioso-administrativo número 412/2015 .

Han sido partes recurridas el procurador de los tribunales don Luis Fernando Granados en nombre y representación de Red Eléctrica de España, S.A.U., bajo la dirección letrada de don Gervasio Martínez-Villaseñor y de don Gonzalo Rubio Hernández-Sampelayo, y la Administración General del Estado, representada por el Sr. Abogado del Estado.

Ha sido ponente el Excmo. Sr. D. Diego Cordoba Castroverde.

ANTECEDENTES DE HECHO

PRIMERO

El representante legal de Iberdrola Distribución Eléctricas SAU (en adelante Iberdrola) interpone recurso de casación contra la sentencia de la Sala de lo contencioso- administrativo de la Audiencia Nacional, de 28 de marzo de 2018 (rec. 412/2015 ), por la que se desestimó el recurso interpuesto por dicha entidad contra la resolución de 2 de junio de 2015 de la Secretaria de Estado de Energía por la que se aprueban determinados procedimientos de operación para el tratamiento de los datos procedentes de los equipos de medida tipo 5 a efectos de facturación y de liquidación de la energía.

SEGUNDO

Mediante Auto de 2 de noviembre de 2018 se acordó la admisión considerando que el litigio presentaba interés casacional objetivo para la formación de la jurisprudencia consistía en interpretar el alcance de la definición de datos de carácter personal ( artículo 3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal ) a fin de determinar si los datos contenidos en las Curvas de Carga Horaria (CCH) integran dicha noción a efectos de aplicar los mecanismos de protección previstos en la citada Ley; y ello en la medida en que los datos de las CCH sólo permiten la identificación del consumidor si se combinan o se ponen en relación con otros datos a los que se puede tener acceso de forma indirecta o a través de terceros, como puedan ser los datos incorporados al Sistema de Puntos de Suministro de Gas y Electricidad (SIPS) o a través de las inspecciones de las instalaciones.

TERCERO

En el escrito de interposición de Iberdrola se argumenta, en síntesis, que la remisión de datos sobre la curva de carga horaria de los consumidores de los puntos de medida supone una comunicación ilegal de datos de carácter personal.

Los puntos de medida de suministro eléctrico de tipo 5 son, según el artículo 7.5 del Real Decreto 1110/2007, de 24 de agosto , por el que se aprueba el Reglamento unificado de puntos de medida del sistema eléctrico ("RUPM"), aquellos que se instalan por clientes cuya potencia contratada en cualquier periodo sea igual o inferior a 15 kW. Dado que la gran mayoría de los consumidores cuentan con potencias contratadas inferiores a 15 kW, estos puntos de medida son los ordinarios para los consumidores domésticos.

La resolución impugnada, dictada por la Secretaria de Estado de Energía, aprueba determinados procedimientos de operación para el tratamiento de datos de medida procedentes de los equipos de tipo 5, a efectos de facturación y de liquidación de energía, obligando a los distribuidores (que son los responsables de la lectura de los contadores de los consumidores, según el artículo 3.12.1 del Reglamento unificado de puntos de medida del sistema eléctrico aprobado por Real Decreto 1110/2007, de 24 de agosto ) a enviar las mediciones de la curvas de carga horaria (en adelante CCH) individualizada, es decir las medidas horarias de consumo de cada consumidor desde los concentradores secundarios, gestionados por las distribuidoras para poder ejercer la lectura de los contadores, al concentrador principal gestionado por el operador del sistema.

Afirma la entidad recurrente que estos datos de CCH individualizado, con desglose horario, permiten a quien tenga acceso a esa información conocer los hábitos de conducta privados de los consumidores, tales como las horas ordinarias de entrada y salida del domicilio, la hora en la que se va a dormir, las zonas horarias en la que hay más actividad en la vivienda o en local de negocio, el nivel de electrificación, la utilización de aparatos de refrigeración o calefacción, entre otros. Datos que atañen sustancialmente a la esfera privada de la intimidad de cada consumidor.

Hasta la aprobación de dicha resolución, las distribuidoras remitían los datos de CCH de forma agregada, y no individualizada, al operador del sistema, por lo que el operador del sistema no tenía acceso a esa información privada de los consumidores, ejerciendo su función en base a los datos agregados, pero ahora puede saber qué hace cada consumidor privadamente en su casa.

La sentencia impugnada, en su fundamento de derecho cuarto, considera que la remisión de las CCH al operador del sistema se basa en que era necesaria para que el operador del sistema "pueda cumplir con sus funciones (que no derechos) de centro de datos del conjunto de mediciones del sistema eléctrico nacional y, en definitiva, de responsable "del sistema de medidas del sistema eléctrico nacional, debiendo velar por su buen funcionamiento y correcta gestión y ejerciendo las funciones de encargado de lectura de los puntos frontera que reglamentariamente se establezcan ( art. 30.2.x LSE ).". La Sentencia añade que esta remisión comporta otras ventajas, como la utilización del concentrador principal como servidor alternativo y complementario de los concentradores secundarios de las distribuidoras para la liquidación de la energía por los comercializadores.

Por otro lado, la Sentencia niega que la remisión de los datos de CCH, junto al código universal de puntos de suministro ("CUPS"), que es el conjunto de caracteres que identifica individualmente cada punto de suministro, sea un dato de carácter personal, cuya cesión exija el consentimiento del titular de los datos, o al menos, la concurrencia de algunas de las excepciones legales, conforme al artículo 11, apartados 1 y 2 de la LOPD . Para llegar a esta conclusión, la Sentencia dice que el CUPS, por sí solo, no permite identificar al titular del punto de suministro (fundamento de derecho sexto de la Sentencia), y que tampoco es posible identificar al titular, indirectamente, mediante una inspección in situ del punto de suministro por parte del operador del sistema (fundamento de derecho séptimo de la Sentencia). La Sentencia termina diciendo que, aun cuando pudiera indirectamente conocerse al titular del punto de suministro, ello sería un sacrificio proporcionado a la vista de las funciones que tiene encomendadas el operador del sistema.

Este recurso de casación tiene por objeto determinar dos cuestiones:

1. si los datos de CCH asociados a cada punto de suministro son datos de carácter personal, porque pueda indirectamente llegarse a conocer quién es su titular ( artículo 3.a de la LOPD ).

2. Y si son datos de carácter personal, analizar si su remisión al operador del sistema, sin consentimiento del interesado, se halla incluida dentro de las excepciones previstas en la LOPD ( artículo 6.1 de la LOPD ) y, en concreto, dentro de la excepción que permite la comunicación de datos sin el consentimiento de su titular cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros ( artículo 11.2.c de la LOPD ).

1. Así, por lo que respecta a la cuestión de si nos encontramos ante un dato de carácter personal, según el artículo 3.a) de la LOPD .

   El artículo 3.a) de la LOPD define este concepto como cualquier información concerniente a personas físicas identificadas o identificables.

   El Tribunal de Justicia de la Unión Europea ("TJUE") en Sentencia de 20 de diciembre de 2017 ha precisado que el concepto de información tiene "un significado muy amplio, que no se ciñe a los datos confidenciales o relacionados con la intimidad, sino que puede abarcar todo género de información, tanto objetiva como subjetiva, en forma de opiniones o apreciaciones, siempre que sean "sobre" la persona en cuestión". De este modo la recurrente entiende que las mediciones sobre los consumos horarios individuales constituyen información, en el sentido del artículo 3.a) de la LOPD .

   La Sentencia ahora recurrida sostiene que los datos de CCH, asociados al CUPS, no son datos de carácter personal porque no permiten identificar, directa ni indirectamente, al titular del punto de suministro, por lo que nunca se podría considerar que los datos de CCH constituyen información concerniente a una persona física identificada o identificable. Sin embargo, la recurrente considera que, si los datos se pueden asociar indirectamente a una persona, aunque sea con la ayuda de terceros, con un esfuerzo razonable, tales datos serán personales. Así, tanto si se trata de datos relativos a personas físicas identificadas como si son personas físicas identificables, los datos serán datos personales y se aplicará la LOPD.

   El artículo 5.1.f) del Real Decreto 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal ("RLOPD") aclara que la información que constituye el dato puede ser de cualquier naturaleza. Y respecto al concepto de "persona identificable" se define en el artículo 5.1 .o) del RLPOD, como "toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social", a lo que se añade a continuación que "una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados".

   Invoca a tal efecto la doctrina fijada por la sentencia del TJUE, en su Sentencia de 19 de octubre de 2016 respecto de persona "identificable", a los efectos del régimen de protección de datos, en la que se entiende que si existen mecanismos que permiten asociar un dato con una persona, aunque estén en principio fuera del alcance de quien posee esos datos, se entenderá que la persona es identificable siempre que, incluso con ayuda de otras personas, pueda razonablemente identificar a la persona de cuyos datos se trata. Esa Sentencia considera las direcciones IP dinámicas, que constituyen series de números, de manera similar a los CUPS, como datos de carácter personal.

   En nuestro caso, el hecho de "que a partir del Código de punto de suministro es posible identificar al consumidor al que se refiere la información" lo reconoce expresamente la propia Agencia Española de Protección de Datos ("AEPD"), en la página 9 de su Informe 2015/29, de 22 de junio de 2015, relativo al Proyecto de Real Decreto por el que se modifican distintas disposiciones en el sector eléctrico (documento 3 del complemento del expediente administrativo). En la práctica, es muy sencillo para el operador del sistema, una vez conoce los datos del CUPS, averiguar quién es su titular. En efecto, el artículo 4 del RUPM establece que en el uso de sus atribuciones, el operador del sistema podrá verificar todas las instalaciones del sistema de medidas de conformidad con el presente reglamento y sus instrucciones técnicas complementarias. Del mismo modo, el apartado 7 (penúltimo párrafo) del PO 10.5 dispone que "el operador del sistema podrá, si lo estima conveniente para la elaboración de este informe, inspeccionar in situ las instalaciones de medida afectadas (o una muestra de las mismas)". De manera que si el operador del sistema puede inspeccionar in situ los equipos de medida, puede identificar de modo sencillo al titular del punto de suministro, sin ningún procedimiento desproporcionado (por ejemplo, comprobando el buzón o los nombres del portero automático para averiguar quién vive en ese punto de suministro, o puede incluso preguntar al conserje de la finca, a cualquier vecino o al propio poseedor del inmueble la identidad del titular del punto de suministro) cualquiera de ellos permitiría identificar al titular del punto de suministro, de forma simple, lo que convierte a los datos de CCH en datos de carácter personal.

   Esta conclusión se ratifica en el tercer párrafo del artículo 7.2 del Real Decreto 1435/2002, de 27 de diciembre , por el que se regulan las condiciones básicas de los contratos de adquisición de energía y de acceso a las redes en baja tensión ("RD 1435/2002"), en el que, cuando describe a qué información podrán acceder la CNMC o las comercializadoras distintas de aquella que preste el suministro al cliente concreto, dice expresamente que el simple conocimiento de la ubicación del punto de suministro ( apartado 1.c del artículo 7 del RD 1435/2002 ) permite identificar directamente al titular del punto de suministro, y por ese motivo, ni la CNMC ni las comercializadoras distintas de la que suministra en cada punto de suministro pueden conocer dónde se halla cada punto de suministro ("En todo caso, ni las empresas comercializadoras ni la Comisión Nacional de los Mercados y la Competencia podrán acceder a cualquier información que directamente identifique al titular del punto de suministro, y en particular, a los datos recogidos en los apartados c), z) y aa) del apartado 1."). Por tanto, el artículo 7.2 del RD 1435/2002 reconoce expresamente que el dato relativo a la ubicación de un punto de suministro identifica directamente al titular de un punto de suministro, y no cabe duda de que una inspección in situ de un punto de suministro permite conocer su ubicación, y a continuación, conocer a su titular, de manera sencilla.

   Por este motivo, debemos concluir que los datos de CCH, asociados a un CUPS constituyen datos de carácter personal, en el sentido del artículo 3.a) de la LOPD , porque se trata de información que concierne a personas identificables sin necesidad de utilizar recursos desproporcionados. Tanto los datos de CCH como el CUPS son así datos personales.

   Esta conclusión se ve reforzada tras la entrada en vigor de la nueva normativa en materia de protección de datos, donde se desarrolla el concepto de dato personal, para dar cabida, dentro de ella, a los datos seudonimizados.

   El artículo 4.1 del RGPD establece un concepto de datos personales que se asemeja a lo establecido en la normativa vigente al tiempo de dictarse la sentencia, toda vez que considera que tiene tal carácter "toda información sobre una persona física identificada o identificable ("el interesado"); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona".

   A fin de interpretar dicha definición, el considerando 26 del RGPS añade que "Los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable. Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable. Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física".

   De este modo, el concepto de dato personal, conforme al RGPD, incluiría los denominados "datos seudonimizados". El RGPD define en su artículo 4.5 la seudonimización como "el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable".

   Pues bien, no cabría duda de que los datos de CCH, cuando menos, participan de la naturaleza de los datos seudonimizados, por cuanto identificarían unívoca, individual y singularizadamente a los usuarios del sistema, mediante el uso de información adicional, siendo así que el RGPD señala que sus disposiciones serían de plena aplicación a los citados datos, lo que conduce a la conclusión de que los datos de la CCH son datos personales.

2. La comunicación de datos de CCH (y del CUPS) al operador del sistema no responde a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de tercero.

   Nadie duda de que los titulares de los puntos de suministro no han prestado su consentimiento para que las distribuidoras comuniquen sus datos personales de CCH al operador del sistema. Según el artículo 6.1 de la LOPD , "el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa". Esta misma idea se repite en el artículo 11.1 de la LOPD , conforme al cual "los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado".

   En nuestro caso, no existe consentimiento de ningún tipo prestado por los titulares de los puntos de suministro para la comunicación de datos de CCH al operador del sistema.

   Por ello, habrá que analizar si concurre alguno de los supuestos excepcionales del artículo 11.2 de la LOPD (ahora, del artículo 6.1, apartados b ) a f) del RGPD) que permiten la comunicación de datos de carácter personal a terceros sin el consentimiento de su titular, en concreto, si concurre la causa de exclusión del consentimiento del titular, recogida en el artículo 11.2.c) de la LOPD .

   La Sentencia recurrida, después de negar que los datos de CCH (y del CUPS) sean datos de carácter personal, considera que la comunicación de datos de CCH al operador del sistema es necesaria para que pueda cumplir con sus funciones de centro de datos del conjunto de mediciones del sistema eléctrico nacional y, en definitiva, de responsable del sistema de medidas del sistema eléctrico nacional, debiendo velar por su buen funcionamiento y correcta gestión y ejerciendo las funciones de encargado de lectura de los puntos frontera que reglamentariamente se establezcan, con arreglo al artículo 30.2.x) de la Ley 24/2013, de 26 de diciembre, del Sector Eléctrico ("LSE"). La Sentencia también afirma que esta remisión tiene otras ventajas, como la utilización del concentrador principal como servidor alternativo y complementario de los concentradores secundarios de las distribuidoras para la liquidación de la energía por los comercializadores.

   Pero la entidad recurrente cuestiona que esa comunicación sea conforme al ordenamiento jurídico por varias razones:

   En primer lugar, no es cierto que esta comunicación sea necesaria para el ejercicio de las funciones del operador del Sistema, pues si bien el artículo 30.2.x) de la LSE atribuye al operador del sistema "la responsabilidad del sistema de medidas del sistema eléctrico nacional, debiendo velar por su buen funcionamiento y correcta gestión y ejerciendo las funciones de encargado de lectura de los puntos frontera que reglamentariamente se establezcan", de esta competencia no se deduce, en ningún caso, que el operador del sistema deba necesariamente conocer los datos individuales, desagregados, de cada hora de consumo en todos y cada uno de los puntos de medida de tipo 5. La mejor prueba de que no es necesario que el operador del sistema conozca los datos individuales de CCH de todos los puntos de medida es que hasta la fecha de la Resolución, el operador del sistema tenía encomendada la misma responsabilidad sobre el sistema de medidas y no recibía información desagregada de las medidas.

   En segundo lugar, el operador del sistema, aunque sea el responsable general del sistema de medidas, no es el encargado de la lectura de los puntos de medida de tipo 5, sino de otros puntos de medida (artículo 3.12 del RUPM), por lo que no tiene necesidad de tener toda la información desagregada de todos y cada los puntos de medida de tipo 5.

   En tercer lugar, la función de velar por el buen funcionamiento de los equipos de medida exige que los equipos de medida funcionen correctamente, no que se manden las mediciones de todos los consumos individuales, sin distinción, para su almacenamiento, al concentrador principal del operador del sistema, sin más.

   En nuestro modelo eléctrico, la relación nominal con cada consumidor la tienen exclusivamente la comercializadora contratada por el consumidor y la distribuidora responsable de su punto de suministro. Ambos disponen de información sensible sobre los hábitos personales del consumidor. Con la resolución, también el operador del sistema dispone de esa información sensible, sin que ello quede justificado por sus funciones de manera necesaria.

   El parágrafo 31 del Preámbulo del RGPD prohíbe expresamente la comunicación general de datos a las autoridades públicas con fines de supervisión. Sólo cabe esa remisión para investigaciones concretas.

   Por ello, entiende que este tratamiento no responde a la libre y legítima aceptación de una relación jurídica cuyo desarrollo dependa de la comunicación de datos. Esto es así porque los titulares de los puntos de suministro de tipo 5 no sabían, cuando contrataron el suministro, que esa información acabaría en el operador del sistema, y, en cualquier caso, no parece que la aceptación del contrato de acceso a la red exija que el operador del sistema conozca los hábitos de consumo de todos los consumidores. Y tampoco la prestación del suministro implica necesariamente que el operador del sistema conozca todos los datos desagregados de consumo.

   En una ponderación razonable entre la invasión del derecho a la privacidad y la justificación legítima de la comunicación, habría que ser especialmente riguroso en la exigencia de justificación de la comunicación de esos datos. Este rigor no se cumple con la simple referencia a que el operador del sistema es el responsable general del sistema de medidas.

   La Sentencia del TJUE de 21 de diciembre de 2016 recoge la necesidad de considerar proporcionadamente el alcance de la invasión en la protección de datos personales y la justificación ofrecida en cada caso para esa invasión, y concluye que sólo podía admitirse esta imposición del deber de conservación de estos datos que revelaban los hábitos personales de los consumidores ante circunstancias especialmente graves, a partir del principio de proporcionalidad. Sin embargo, nada de esto ocurre en nuestro caso, en el que no consta ventaja alguna, y menos aún de entidad suficiente como para anular, con tal intensidad, el derecho a la privacidad de los titulares de los datos de CCH, en favor del operador del sistema. Cuando los datos de CCH se remitían agregados al operador del sistema, ninguna invasión se producía en la esfera de la intimidad de los consumidores, dado que estos datos no se individualizaban. Pero ahora, la remisión individualizada de los datos de CCH pone en serio peligro el mantenimiento de la privacidad de los consumidores.

   La aplicación del artículo 11.2.c) de la LOPD exige necesariamente la aplicación del principio de proporcionalidad ("En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique"). Esta conclusión es tanto más evidente si consideramos la grave injerencia que sobre la privacidad de todos y cada uno de los consumidores se produce con la disponibilidad de estos datos individualizados por parte de un tercero, como es el operador del sistema.

   De este modo, para que la cesión de los datos de la CCH controvertidos en el presente proceso pudiera considerarse amparada por el artículo 6.1 b) del RGPD (similar a la norma que trasponía el artículo 11.2 c) de la LOPD ), sería preciso que dicha comunicación fuese indispensable para la adecuada ejecución del contrato de suministro eléctrico, sin que fuese posible la adopción de ninguna otra medida que lograse el objetivo perseguido con la comunicación de los datos personales sin implicar esa injerencia o restricción del derecho fundamental, de forma que la comunicación al concentrador principal del operador del sistema fuese imprescindible para el logro de dicha finalidad.

   Como ya se ha expresado a lo largo de este escrito esta conclusión no concurre en el presente caso, toda vez que el funcionamiento del sistema, y en consecuencia la correcta ejecución de los contratos de suministro eléctrico, hasta la adopción de la Resolución recurrida, no había exigido la comunicación de los datos de las CCH de forma no agregada, como ahora establece la resolución.

   Descartada como se ha indicado la existencia de consentimiento del interesado, al que se refiere el artículo 6.1 a) del RGPD y no tratándose de un supuesto de comunicación necesaria para la atención de un interés vital del usuario (a la que se refiere el artículo 6.1 d) del RGPD), la cesión sólo podría fundarse en una de las tres bases jurídicas restantes previstas en el artículo 6.1, es decir que "el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento" (apartado c), que "el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento" (apartado e), o que "el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño" (apartado f).

   En cuanto a las causas establecidas en las letras c ) y e) del artículo 6.1, debe tenerse en cuenta que a las mismas se refiere el artículo 8 de la actualmente vigente LOPD , que tiene por objeto la adaptación del derecho español al RGPD, que consagra el principio de reserva de ley para que sea posible amparar un tratamiento en una de estas bases jurídicas, de conformidad con lo exigido por el artículo 53.1 CE . Así el citado artículo, que lleva por rúbrica "Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos", dispone:

   "1. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) del Reglamento (UE) 2016/679, cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV del Reglamento (UE) 2016/679.

   2. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el artículo 6.1 e) del Reglamento (UE) 2016/679, cuando derive de una competencia atribuida por una norma con rango de ley.".

   Como ya se ha indicado en el presente escrito, la comunicación planteada sólo trae su causa de un acto administrativo, como es la Resolución.

   En cuanto a la aplicabilidad del artículo 6.1 f) del RGPD, resultan aplicables los principios de minimización y necesidad, de forma que si el funcionamiento del sistema se había producido adecuadamente sin llevar a cabo la medida intrusiva en los derechos y libertades de los usuarios que implicaba la comunicación de los datos individualizados de sus CCH, no puede considerarse que pueda existir un interés legítimo prevalente del operador del sistema que justifique la comunicación de tales datos.

CUARTO

Red eléctrica de España SAU se opuso al recurso.

Empieza por afirmar que la Curva de Carga Horaria (CCH) puede ser definida como la representación gráfica de la demanda eléctrica de un consumidor a lo largo del tiempo, esto es, la medida horaria de la energía que consumo. La CCH remitida al operador del sistema comprende las medidas horarias y estimaciones de consumo eléctrico y el número del condigo universal del punto de suministro (CUPS) al que se refieren tales medidas.

Dicha remisión obedece a las funciones que el operador del sistema tiene legalmente encomendadas. La resolución impugnada no impone una nueva obligación a las distribuidoras ni altera el volumen ni el detalle de la información que debe registrarse en el concentrador principal del Sistema de Información de Medidas eléctricas, gestionado por el Operador del sistema, pues antes de la resolución las distribuidoras ya debían remitir "la información de medidas eléctricas detallada al mismo nivel" que figura en los equipos de medida ( art. 5 del RD 1110/2007 en relación con la Instrucción Técnica complementaria aprobada por la Orden de 12 de abril de 1999).

Argumenta que al Operador del sistema no le resulta posible identificar al consumidor. La Curva de carga horaria es un dato anónimo (disociado) y la información que lo integra no permite identificar al consumidor al que se refieren las medidas, ni tampoco puede cruzarse con otros daos para realizar dicha identificación. El operador del sistema conoce las mediciones de consumo de un punto de suministro, pero no dispone de información que le permita identificarlo personalmente.

El informe de la Comisión Nacional de los Mercados y la Competencia, de 9 de diciembre de 2016, que tenía por objeto saber si el simple conocimiento del CUPS (Código Universal de Punto de suministros). En dicho informe se afirma:

- Respecto a si el dato concerniente al Cups permite identificar a los consumidores, se afirma que el "PO.10.8 no incluye en el formato del CUPS ninguna información relacionada con las direcciones de los puntos de suministro. Por tanto, para obtener la dirección concreta a la que pertenece un determinado CUPS, será necesario obtenerla mediante procedimientos alternativos"

- Analiza si la identidad del consumidor puede obtenerse por el operador del sistema por procedimientos alternativos, afirma que si bien las empresas distribuidores deben disponer de una base de datos, denominada SIPS (sistema de información de puntos de suministro) -en la que se incluyen los puntos de suministros conectados a sus redes, y en la que para cada punto de suministro, se conoce la dirección, el nombre y apellidos o, en su caso, la denominación social y forma societaria, del titular del punto de suministro- el Operador del sistema no tiene acceso a dicha base de datos. Por ello, concluye que por el simple conocimiento de un CUPS de un punto de suministro sin tener acceso a los restantes datos obrantes en el SIPS, ni mantener relación contractual con el consumidor, no es posible identificar al titular del punto de suministro, ni su dirección, ni la dirección de consumo.

La recurrente afirma que el operador del sistema podría identificar al consumidor en el ejercicio de la función inspectora prevista en el art. 4 del RD 1110/2007 Reglamento de puntos de medida, pero esta función de inspección in situ, prevista en el apartado 7 del Procedimiento de operación 10.5 de la resolución impugnada, tiene por objeto determinar el correcto funcionamiento del sistema de medidas que se encomienda al operador del sistema, en su condición de responsable del sistema de medidas del sistema eléctrico nacional, debiendo velar por su buen funcionamiento y correcta gestión ( art. 4 del Reglamento de Puntos de medida). Esta función solo la desarrolla previo mandato de la Administración (a petición del Ministerio de Industria, Energía y Turismo o de la CNMC) y solo respecto de los puntos y periodos solicitados, operando sobre los puntos de medida sin tener relación alguna con la identidad del titular. Y para el desempeño de esta función el operador del sistema necesita del auxilio de los distribuidores, dado que desconoce la localización geográfica de las instalaciones que tiene que comprobar.

La curva de carga horaria remitida al operador del sistema contiene la información precisa y específica en relación con las medidas de consumo eléctrico pero no permite que el operador del sistema identifique a los consumidores, sino tan solo la información necesaria para que dicha entidad pueda desarrollar las funciones que tiene legalmente encomendadas, y tiene por objeto garantizar el adecuado funcionamiento del sistema de medidas del sistema eléctrico nacional y no está en condiciones de adoptar una postura activa destinada a cruzar esa información en poder de terceros con la finalidad de identificar a los consumidores.

Por ello, entiende que la curva de carga horaria no es un dato de carácter personal, pues no constituye un dato concerniente a una persona identificada ni identificable, pues el operador del sistema no dispone de medios indirectos o indirectos que le permita identificar al consumidor al que se asocian los consumos de energía, pues ni puede acceder a la base de datos donde se contiene esa información ni el ejercicio de la función inspectora, limitada a lo ordenado por la Administración, persigue esa finalidad, pues se persigue solo analizar y comprobar los equipos de medida y no identificar al consumidor.

Subsidiariamente considera que la remisión de la curva de carga horaria al operador del sistema no infringe la LOPD. La resolución no impone una obligación nueva, pues antes de dicha resolución las distribuidoras ya debían remitir al concentrador principal que recogía la información de medidas eléctrica, con el mismo nivel que figurase en los equipos de medida, según la sexta instrucción complementaria. Para realizar las funciones de inspección necesitaría el auxilio de los distribuidores para conocer la localización geográfica de las instalaciones de medida y en ese momento los distribuidores solicitarán el consentimiento de los usuarios antes de ceder la oportuna información. Y, en todo caso, sería de aplicación la exención para necesitar el consentimiento prevista en el art. 11.2.c) de la LOPD pues los consumidores de electricidad mantienen, paralelamente dos relaciones contractuales, una con su compañía comercializadora (contrato de suministro) y otra con el titular de la red (contrato de acceso a la red de distribución o transporte). Ambas tienen por objeto el suministro eléctrico al consumidor. La función de inspección del operador del sistema tiene por objeto verificar que en la ejecución de los contratos de acceso y suministro se aplican las prescripciones del Reglamento de puntos de Medida, y por ello la Administración tiene potestades de control y el operador del sistema actúa como agente de aquella. La inspección in situ prevista en el apartado 7 del PO 10.5 tendría como objetivo verificar que las medidas de un contador que se han remitido por un distribuidor al concentrador principal coinciden con las medidas registradas en el contador de un consumidor. Esta inspección está vinculada con contratos libre y legítimamente aceptados por el titular y cuya ejecución requiere, según las normas sectoriales, la realización de controles.

QUINTO

El Abogado del Estado se opone al recurso.

La sentencia recurrida niega que de los datos cedidos pueda identificarse la persona a que se refieren, estando disociados, y, por tanto. no existe una cesión de datos personales. El OS no tiene ni puede tener acceso al SIPS. Y en cuanto a las inspecciones no afecta a la recurrente, por cuanto su involucración en el tratamiento y la cesión de los posibles datos acaba con su transmisión al concentrador principal del OS. No teniendo responsabilidad desde entonces, y careciendo de legitimación para inmiscuirse en los avatares posteriores de los datos. Cualquier conocimiento de los datos personales por el OS tiene su fundamento y licitud en el artículo 6 del Reglamento 2016/679 , como luego se examina.

Aunque los datos de consumo tengan la consideración de datos personales sobre una persona física identificada, su tratamiento es lícito, de acuerdo con el Reglamento 2016/679 de Protección de Datos. El OS es el responsable del sistema de medidas, y tiene como función garantizar el suministro de electricidad, debiendo prever la demanda de electricidad. Teniendo, en todo caso, acceso a los equipos de medida para su lectura, comprobación, verificación e inspección. Por lo que el tratamiento de los datos es necesario para la ejecución de un contrato en que el interesado es parte, cual es el de suministro de electricidad. Siendo obligación legal del OS el sistema de medidas -y por ello su inspección-, la garantía del suministro de electricidad y la previsión de la demanda. Teniendo además los distribuidores la obligación legal de dar la información de las medidas.

Por todo ello, concluye no existe tratamiento de datos de carácter personal, en unto no son atribuibles a personas físicas identificadas o identificables, y, aunque lo fueran el tratamiento está amparado en el cumplimiento de un contrato suscrito por el consumidor de electricidad y por el cumplimiento de una obligación legal del distribuidor y el Operador del Sistema. Según el artículo 6 del Reglamento 2016/679 .

SEXTO

De conformidad con el artículo 92.6 de la Ley de la Ley de la Jurisdicción Contencioso-Administrativa , por providencia de 3 de junio de 2019, se acordó el señalamiento de este recurso para vista pública el día 2 de julio de 2019, fecha en que tuvo lugar el acto.

FUNDAMENTOS DE DERECHO

PRIMERO

El presente recurso de casación, interpuesto por el representante legal de Iberdrola Distribución Eléctricas SAU (en adelante Iberdrola), impugna la sentencia de la Sala de lo contencioso-administrativo de la Audiencia Nacional, de 28 de marzo de 2018 (rec. 412/2015 ), por la que se desestimó el recurso interpuesto por dicha entidad contra la resolución de 2 de junio de 2015 de la Secretaria de Estado de Energía por la que se aprueban determinados procedimientos de operación para el tratamiento de los datos procedentes de los equipos de medida tipo 5 a efectos de facturación y de liquidación de la energía.

La resolución impugnada, dictada por la Secretaria de Estado de Energía, aprueba determinados procedimientos de operación para el tratamiento de datos de medida procedentes de los equipos de tipo 5, a efectos de facturación y de liquidación de energía, obligando a los distribuidores (responsables de la lectura de los contadores de los consumidores, según el artículo 3.12.1 del Reglamento unificado de puntos de medida del sistema eléctrico aprobado por Real Decreto 1110/2007, de 24 de agosto ) a enviar las mediciones de la curvas de carga horaria individualizada de cada punto de suministro, es decir las medidas horarias de consumo de cada punto de suministro, gestionados por las distribuidoras, al concentrador principal gestionado por el operador del sistema.

La Sentencia impugnada niega que la remisión por las distribuidoras al operador del sistema de los datos de consumo individual de cada punto de suministro, junto al código universal que identifica cada punto de suministro ("CUPS"), puedan ser considerados como datos de carácter personal, cuya cesión exija el consentimiento del titular de los datos. Para llegar a esta conclusión, la Sentencia dice que el CUPS, por sí solo, no permite identificar al titular del punto de suministro ya que "ninguno de los caracteres que lo integran es revelador del consumidor al que se corresponde, de modo que no puede decirse que la información que se transmite al OS (operador del sistema) permita la correlación de los consumos horarios con el consumidor correspondiente ... el datos de consumo energético horario (CCH) se facilita al OS de modo disociado, lo cual excluye la necesidad de recabar el consentimiento previo para la cesión de los datos personales de con el artículo 11.6 de la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de carácter personal ". Y más adelante añade que "[...] lo que permite su identificación es su combinación con los datos incorporados al SIPS al que no tiene acceso el operador del sistema. No es ocioso recordar que las funciones del operador del sistema en cuanto al sistema de medida en el ámbito del sector eléctrico se proyectan sobre el hecho del consumo mismo y no sobre a quién haya de facturarse" y que la facultad de inspeccionar las instalaciones de medida, a fin de elaborar un informe sobre el cumplimiento de los requisitos del Reglamento unificado de puntos de medida de los procesos y fronteras solicitados resulta imprescindible para el cumplimiento de las funciones del operador del sistema.

SEGUNDO

Sobre el objeto de la presente controversia.

En el Auto de admisión se consideró que la cuestión litigiosa que presentaba interés casacional consistía en determinar si los datos contenidos en las Curvas de Carga Horaria (CCH) tienen la consideración de datos de carácter personal, a efectos de aplicar los mecanismos de protección previstos en la citada Ley Orgánica de Protección de Datos. La información remitida por las empresas distribuidoras al operador del sistema no contienen los datos de identidad del consumidor y solo es posible su identificación si se combinan o se ponen en relación con otros datos a los que solo se puede acceder de forma indirecta o a través de terceros.

Por ello, el recurso centra el objeto de la presente controversia en dos aspectos diferenciados, pero íntimamente relacionados entre sí:

1. por un lado, determinar si los datos de las curvas de carga horaria, asociados a cada punto de suministro, son datos de carácter personal, porque pueda indirectamente llegarse a conocer quién es su titular ( artículo 3.a de la LOPD ).

2. Y para el caso de que se considerase que se trata de datos de carácter personal, analizar si la remisión de estos datos al operador del sistema, se encuentra dentro de los supuestos en los que se permite entender que la transmisión de datos a un tercero está excepcionada de obtener el consentimiento del interesado ( artículo 6.1 de la LOPD ), en concreto, si sería de aplicación la excepción que permite la comunicación de datos sin el consentimiento de su titular cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros ( artículo 11.2.c de la LOPD ).

TERCERO

Sobre si los datos referidos a la curva de carga horaria suministrados por las distribuidoras al operador del sistema eléctrico tienen la consideración de datos de carácter personal.

El primero de los temas a tratar se centra en determinar si el envío, por parte de las distribuidoras de energía eléctrica al operador del sistema, de los datos de consumo horario, asociados a cada punto de suministro, pueden ser considerados como una transmisión de datos de carácter personal.

El art. 2. a) de la Directiva 95/46/CE y en idénticos términos el art. 3.a) de la Ley Orgánica de Protección de Datos 15/1999, de 13 de diciembre, aplicables por razones temporales al supuesto que nos ocupa, definen el dato personal como "cualquier información concerniente a personas físicas identificadas o identificables".

Los datos de consumo de energía eléctrica individualizados y con desglose horario, permiten a quien tenga acceso a esa información y la vincule con la identidad del titular del contrato de suministro, conocer los hábitos de conducta privados de dicho consumidor, tales como las horas ordinarias de entrada y salida del domicilio, la hora en la que se va a dormir, las zonas horarias en la que hay más actividad en la vivienda o en local de negocio, el nivel de electrificación, la utilización de aparatos de refrigeración o calefacción, incluso si vive sola o no, entre otros. En definitiva, proporciona una información objetiva que afecta a la esfera privada de cada consumidor y que puede proporcionar unas pautas de comportamiento diario de una persona.

Estos datos de consumo están relacionados con un punto de suministro concreto y son recabados por las empresas distribuidoras, responsables de la lectura de los contadores de los consumidores con una potencia contratada igual o inferior a 15 KW ( artículo 3.12 en relación con el artículo 7 del Reglamento unificado de puntos de medida del sistema eléctrico aprobado por Real Decreto 1110/2007, de 24 de agosto ).

La información que las empresas distribuidoras están obligadas a suministrar al operador del sistema es la curva de carga horaria de cada punto de suministro y el Código Universal del Punto de Suministro (CUPS), código de 20 a 22 caracteres alfanumérico. Este código, único por cada punto de suministro, no identifica directamente al usuario ni al titular del contrato de suministro, sino al aparato de medición.

Esta información no puede considerarse referida a una "persona física identificada", pues el código alfanumérico no revela directamente la identidad del usuario.

Corresponde, por tanto, analizar si la información remitida puede entenderse referida a una persona "identificable". A tal efecto, es preciso señalar que el artículo 2 de la Directiva 95/46/CE como el art. 5.1. o) del Real Decreto 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, definen como persona identificable a "toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social". Y el considerando 26 de la Directiva 95/46 afirma que, para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona para identificar a dicha persona.

A tal efecto, el TJUE en su sentencia de 19 de octubre de 2016 (Asunto C-582/14 ) ha afirmado que "...del tenor del artículo 2, letra a), de la Directiva 95/46 se desprende que se considera identificable a la persona que puede ser identificada no sólo directamente sino también indirectamente"y que "El uso por el legislador de la Unión del término "indirectamente" muestra que, para calificar una información de dato personal, no es necesario que dicha información permita, por sí sola, identificar al interesado(apartado 41)". Añadiendo que "En la medida en que el citado considerando hace referencia a los medios que puedan ser razonablemente utilizados tanto por el responsable del tratamiento como por "cualquier otra persona", su tenor sugiere que, para que un dato pueda ser calificado de "dato personal", en el sentido del artículo 2, letra a), de dicha Directiva, no es necesario que toda la información que permita identificar al interesado deba encontrarse en poder de una sola persona" (apartado 43). Y, por el contrario, el Tribunal, por referencia a las conclusiones emitidas por el Abogado General, no se considerará un medio razonable "[...] cuando la identificación del interesado esté prohibida por la ley o sea prácticamente irrealizable, por ejemplo, porque implique un esfuerzo desmesurado en cuanto a tiempo, costes y recursos humanos, de modo que el riesgo de identificación sea en realidad insignificante".

Tal y como destaco el informe del Abogado General D. Manuel Campos, de 12 de mayo de 2016, (en el Asunto C-582/14 , las IP dinámicas) se debe considerar un medio razonable una eventualidad factible en el marco de la ley. Los medios de acceso razonables que menciona la Directiva 95/46 han de ser, por definición, medios lícitos. Pero mientras estas existan, por restrictivas que puedan ser en su aplicación práctica, suponen un "medio razonable", en el sentido de la Directiva 95/46. Consideraciones que se vieron reflejadas en la sentencia del TJUE de 19 de octubre de 2016 (Asunto C-582/14 ) al considerar como un medio razonable, a los efectos de conseguir datos adicionales para identificar al afectado, la existencia de vías legales para la obtención de dicha información.

Por ello, se trata de determinar si el operador del sistema, aun de forma indirecta, dispone de medios razonables a su alcance, en los términos expuestos, para vincular el Código Universal del Punto de Suministro (CUPS) y, por ende, los consumos individuales remitidos, con la identidad de la persona física titular del contrato de suministro o con el usuario de la vivienda.

La vinculación de un punto de suministro concreto con los datos referidos a la identidad titular del contrato figura en una base de datos denominada "el sistema de información de los puntos de suministro" (SIPS) en la que junto con el Código Universal de Punto de Suministro (CUPS) se contiene la información sobre la ubicación del punto de suministro (tipo de vía, nombre de la vía, número, piso y puerta), la población, la provincia, el nombre y apellidos del titular del punto de suministro, dirección completa del titular del punto de suministro y si el titular es persona física si se trata de su "Vivienda habitual" o "No vivienda habitual", art. 7 del RD 1435/2002 ). Pero esta base de datos está en posesión de las distribuidoras, sin que el operador del sistema tenga acceso a la misma. Tan solo pueden acceder los comercializadores y la CNMC, pero tampoco a ellas podrán accede a cualquier información que directamente identifique al titular del punto de suministro ( art. 2 del RD 1074/2015, de 27 de noviembre .

La recurrente alega, sin embargo, que la identificación del usuario puede obtenerse por el operador del sistema, de forma indirecta, en el ejercicio de las funciones inspectoras.

El Real Decreto 1110/2007, de 24 de agosto, por el que se aprueba el Reglamento unificado de puntos de medida del sistema eléctrico, dispone en el artículo 4 que:

"El operador del sistema es el responsable del sistema de medidas del sistema eléctrico nacional, debiendo velar por su buen funcionamiento y correcta gestión. A estos efectos, la Dirección General de Política Energética y Minas establecerá, a propuesta del operador del sistema y previo informe de la Comisión Nacional de Energía, un procedimiento de comprobación de los procesos de lectura, alta o modificación de fronteras y tratamiento e intercambios de la información, con objeto de determinar el correcto funcionamiento del sistema de medidas.

En el uso de sus atribuciones, el operador del sistema podrá verificar todas las instalaciones del sistema de medidas de conformidad con el presente reglamento y sus instrucciones técnicas complementarias".

Y el apartado 7 del Procedimiento de operación 10.5 de la resolución impugnada, establece que a petición del Ministerio de Industria, Energía y Turismo o de la Comisión Nacional de los Mercados y la Competencia, el operador del sistema efectuará una comprobación de los procesos de lectura de los datos de las fronteras (puntos de suministro) y periodos solicitados, y emitirá un informe sobre el cumplimiento de los requisitos del Reglamento Unificado de Puntos de Medidas. Y en función del alcance de la comprobación solicitada, el operador del sistema solicitará a los distribuidores, encargados de la lectura, la información requerida en función de la comprobación o puntos a comprobar, y los encargados de la lectura remitirán los datos solicitados antes de 30 días desde su solicitud. Y añade "el operador del sistema podrá, si lo estima conveniente para la elaboración de este informe, inspeccionar in situ las instalaciones de medida afectadas (o una muestra de las mismas)".

En definitiva, el operador del sistema con la información relativa a la curva de consumo horario y el código del punto de suministro no puede conocer la identidad del usuario, pero posteriormente, en su condición de responsable del sistema de medidas, puede hacer uso de las facultades de inspección y, en el curso de una investigación concreta sobre el correcto funcionamiento de los sistemas de medición, solicitar de las distribuidoras los datos de ubicación concreta de los puntos de suministro inspeccionados y éstas estarán obligadas a proporcionárselos. Existe, por tanto, una via legal para que el operador del sistema pueda solicitar y obtener de la compañía distribuidora los datos adicionales que permitan determinar la ubicación concreta del punto de consumo (su dirección) y con esta información, y sin mucha dificultad, poder conocer la identidad del titular de la vivienda o el usuario de la misma.

El hecho de que la posibilidad de llevar a cabo inspecciones in situ no se haya utilizado hasta ahora, no descalifica este medio como razonable, porque tal y como afirma el Abogado General D. Manuel Campos de 12 de mayo de 2016 (en el Asunto C-582/14 , las IP dinámicas) "[...] lo determinante, a tenor de la Directiva 95/46, es la posibilidad - razonable- de la existencia de un tercero "accesible", que posea los medios necesarios para propiciar la identificación de una persona, no que la posibilidad de recurrir a ese tercero se materialice", o dicho de otra forma, la simple posibilidad real de utilizar un medio lícito para obtener los datos adicionales que le permitan identificar al titular de la información de que se trata, permite entender que nos encontramos ante una información referida a una persona física "identificable".

Por ello, estimamos que las mediciones referidas al consumo individual de energía eléctrica asociadas a cada punto de suministro y su código, que las empresas distribuidoras están obligadas a remitir al operador del sistema, en cuanto contienen una información concerniente a los hábitos de conducta de una persona física identificable, son datos personales ( art. 2 a) de la Directiva 95/46/CE y el art. 3.a) de la Ley Orgánica de Protección de Datos 15/1999, de 13 de diciembre), y, como tales, se encuentran protegidos por las garantías establecidas por la normativa de protección de datos.

CUARTO

Sobre la exigencia de consentimiento previo del usuario.

La segunda de las cuestiones que se plantean consiste en determinar si la comunicación al operador del sistema de los datos de consumo horario de cada punto de suministro, en los términos ya expuestos, implica una cesión de datos que exija el consentimiento del usuario.

El artículo 11 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , aplicable por razones temporales al supuesto que nos ocupa, dispone que:

"1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado".

La necesidad de obtener el previo consentimiento del interesado, puede ser excepcionada en determinados supuestos. Así, el propio articulo 11 en su apartado segundo dispone que:

"El consentimiento exigido en el apartado anterior no será preciso:

[...]

3. Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros.

En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique".

La recurrente niega que dicha excepción sea aplicable. Argumenta que: a) esta comunicación no es necesaria para el ejercicio de las funciones del operador del sistema, pues de la competencia prevista en el artículo 30.2.x) de la LSE no se desprende, a su juicio, que el operador del sistema deba necesariamente conocer los datos individuales, desagregados, de cada hora de consumo en todos y cada uno de los puntos de medida de tipo 5. La mejor prueba de ello es que hasta la fecha de la resolución, el operador del sistema tenía encomendada la misma responsabilidad sobre el sistema de medidas y no recibía información desagregada de las medidas; b) por otro lado, entiende que el parágrafo 31 del Preámbulo del RGPD prohíbe expresamente la comunicación general de datos a las autoridades públicas con fines de supervisión. Sólo cabe esa remisión para investigaciones concretas. Y este tratamiento no responde a la libre y legítima aceptación de una relación jurídica cuyo desarrollo dependa de la comunicación de datos, porque los titulares de los puntos de suministro de tipo 5 no sabían, cuando contrataron el suministro, que esa información acabaría en el operador del sistema, y en cualquier caso, no parece que la aceptación del contrato de acceso a la red exija que el operador del sistema conozca todos los datos desagregados de consumo y la posibilidad de conocer los hábitos de consumo de todos los consumidores.

La respuesta a este motivo exige partir de que el tratamiento de los datos personales del usuario en relación con el suministro de energía eléctrica, se basa en una doble relación contractual: del usuario con la compañía comercializadora (contrato de suministro) y con el titular de la red (contrato de acceso a la red de distribución y transporte).

Pero, al margen del consentimiento prestado por los usuarios para que sus datos personales sean tratados por las compañías distribuidoras y comercializadoras, el cumplimiento de la normativa vigente obliga a las compañías distribuidoras a remitir determinados datos a terceros, en concreto a la Administración y al operador del sistema eléctrico, con el fin de garantizar y controlar el correcto funcionamiento de la red.

A tal efecto, es preciso destacar que el distribuidor, según la Ley 24/2013, de 26 de diciembre del Sector eléctrico, tiene, entre otras, las siguientes obligaciones: "Aportar la información requerida por la Administración General del Estado para el establecimiento de la retribución, así como cualquier información que se solicite en tiempo y forma necesarios para permitir la adecuada supervisión y control de su actividad por parte de las autoridades reguladoras" (art. 40.1), "Proceder a la medición y lectura de la energía que circule por sus puntos frontera en la forma que reglamentariamente se determine" (art. 40.2.f)

"Mantener actualizada su base de datos de puntos de suministro, y facilitar a la información de acuerdo a lo que se determine reglamentariamente" (art. 40.2.m) y "Reservar el carácter confidencial de la información de la que tenga conocimiento en el desempeño de su actividad, cuando de su divulgación puedan derivarse problemas de índole comercial, sin perjuicio de la obligación de información a las Administraciones Públicas" (art. 40.2.n).

Paralelamente, el operador del sistema tiene encomendada como función la de prever indicativamente y controlar el nivel de garantía de abastecimiento de electricidad del sistema a corto y medio plazo; prever a corto y medio plazo la demanda de energía eléctrica (art. 30.2 apartados a) y b); y, más concretamente, por lo que respecta a la correcta utilización de los aparatos de medición y la lectura y obtención de los datos de consumo, se le encomienda "La responsabilidad del sistema de medidas del sistema eléctrico nacional, debiendo velar por su buen funcionamiento y correcta gestión [...]"(art. 30.2.x).

Y es en este contexto contractual y legal en el que se enmarca: por un lado, la obligación de la empresa distribuidora, encargada de la lectura de los aparatos de medición del consumo del usuario, de remitir al operador del sistema la información los datos de consumo de los usuarios que con ellas contratan para su tratamiento conjunto ( art. 5 del Real Decreto 1110/2007, de 24 de agosto , por el que se aprueba el Reglamento unificado de puntos de medida del sistema eléctrico); y por otro, la posibilidad de que el operador del sistema, en cuando responsable del sistema de medidas que debe velar por su buen funcionamiento y correcta gestión, pueda instaurar un procedimiento de comprobación de los procesos de lectura con el objeto de determinar el correcto funcionamiento del sistema de medidas, recogiéndose específicamente la posibilidad de que el operador del sistema, "podrá verificar todas las instalaciones del sistema de medidas de conformidad con el presente reglamento y sus instrucciones técnicas complementarias" ( artículo 4 del Reglamento de puntos de medida, aprobado por el Real Decreto 1110/2007, de 24 de agosto , por el que se aprueba el Reglamento unificado de puntos de medida del sistema eléctrico).

Por ello, la comunicación por las distribuidoras a la Administración y al operador del sistema de los consumos de energía eléctrica referidos a los puntos de suministro sirve al cumplimiento de fines directamente relacionados con las funciones legítimas tanto del cedente como del cesionario.

La función de inspección tiene por objeto verificar que en la ejecución de los contratos de acceso y suministro se aplican las prescripciones del Reglamento de puntos de Medida, y por ello la Administración tiene potestades de control y el operador del sistema actúa como agente de aquella. Y para el cumplimiento de esta función el conocimiento de los datos de consumo referidos a cada uno de los puntos de suministro permite un control más exhaustivo y completo, permitiendo detectar e individualizar el mal funcionamiento o las irregularidades de alguno de ellos, pues no puede olvidarse que, según la Ley del Sector eléctrico, el operador del sistema tiene, entre otras, la función de "poner en conocimiento de las autoridades públicas competentes y de los sujetos que pudieran verse afectados si los hubiere, las situaciones de fraude y otras situaciones anómalas" (art. 30.2 ab). El hecho de que anteriormente los datos referidos a los consumos de los diferentes puntos de suministro se remitieran de forma agregada no implica que la posibilidad de remisión de forma individualizada, a tenor de los avances técnicos producidos, sea innecesaria, pues contribuye al mejor funcionamiento del sistema y facilita las funciones de supervisión y control de la red eléctrica.

La inspección in situ de los equipos de medida, prevista en el apartado 7 del PO 10.5 de la resolución impugnada, tiene como objetivo verificar que las medidas de un contador que se han remitido por un distribuidor al concentrador principal coinciden con las medidas registradas en el contador de un consumidor o, en todo caso, verificar el correcto funcionamiento de los equipos. Esta inspección está vinculada con contratos libre y legítimamente aceptados por el usuario y cuya ejecución requiere, según las normas sectoriales, la realización de controles.

Por otra parte, la función de inspección in situ, prevista en la resolución impugnada y cuestionada en este recurso, parte de una previa solicitud por la Administración o la CNMC sobre el proceso de lectura, alta, baja o modificación de frontera de los datos y para unos determinados periodos. En definitiva, cuando así lo solicite la Administración y con el fin de realizar un informe sobre la comprobación de los procesos de lectura en relación con determinados puestos y periodos, "los solicitados", puede, previa petición de los datos de ubicación de tales puntos de suministro a las distribuidoras, realizar una inspección "in situ" de dichos puestos, o una muestra de los mismos.

Se trata de una actividad de inspección normativamente reconocida, ordenada previamente por la Administración o por un ente regulador y limitada a determinados puestos y/periodos. Para poder realizar esta inspección, en relación con un determinado punto de suministro, el operador del sistema ha de solicitar a las distribuidoras que le faciliten la ubicación concreta de dicho puesto, pues hasta ese momento la información de consumo de un punto de suministro de la que dispone el operador está disociada de su ubicación concreta y de la identidad del usuario. En definitiva, se considera que la remisión por las distribuidoras de los datos relativos a la ubicación concreta de uno o varios puestos de suministro, que es la que permite entender que nos encontramos ante un usuario identificable, solo se produce en relación con investigaciones concretas que persigue un fin de interés general

Por todo ello, se considera que concurre la excepción prevista en el art. 11.2.c) de la LOPD de 1999 , sin que, por lo tanto, sea necesario obtener el consentimiento previo de los afectados.

QUINTO

Doctrina jurisprudencial que se establece.

En respuesta a las cuestiones que según el Auto de admisión presentan interés casacional objetivo para la formación de la jurisprudencia se considera que los datos de consumo energético individualizados para cada punto de suministro, contenidos en las Curvas de Carga Horaria (CCH), junto al código universal que identifica cada punto de suministro ("CUPS"), que las distribuidoras remiten al operador del sistema, pueden ser considerados datos de carácter personal, en cuanto referidos a una persona identificable, dado que el operador del sistema, utilizando medios lícitos y razonables a su alcance, puede llegar a conocer la identidad del titular del contrato de suministro o del usuario de que se trata.

Dada su consideración de datos de carácter personal quedan sometidos a la normativa referida a la protección de datos personales.

SEXTO

Costas.

De conformidad con lo dispuesto en el art 93.4 LJ cada parte abonará las costas causadas a su instancia y las comunes por mitad sin que se aprecien razones de temeridad o mala fe en el presente litigio que justifiquen la imposición de las costas a ninguna de las partes intervinientes.

F A L L O

Por todo lo expuesto, en nombre del Rey y por la autoridad que le confiere la Constitución, esta Sala ha decidido de acuerdo con la doctrina jurisprudencial fijada en el fundamento jurídico quinto de esta sentencia, y a tenor de todo lo expuesto en la misma.

Declaramos no haber lugar al recurso de casación interpuesto por la representación procesal de Iberdrola Distribución Eléctricas SAU, contra la sentencia de la Sala de lo contencioso-administrativo de la Audiencia Nacional, de 28 de marzo de 2018 (rec. 412/2015 ).

Notifíquese esta resolución a las partes e insértese en la colección legislativa.

Así se acuerda y firma.

D. Eduardo Espin Templado D. Jose Manuel Bandres Sanchez-Cruzat

D. Eduardo Calvo Rojas D. Jose Maria del Riego Valledor

D. Diego Cordoba Castroverde D. Angel Ramon Arozamena Laso

PUBLICACIÓN.- Leída y publicada ha sido la anterior sentencia por el Excmo. Sr. Magistrado Ponente D.Diego Cordoba Castroverde , estando constituida la Sala en Audiencia Pública, de lo que certifico. Doy fe.