El nuevo reglamento de desarrollo de la LOPD

• Autor: Cecilia Álvarez Rigaudias
• Cargo: Abogado, del Area de Derecho Mercantil de Uría Menéndez (Madrid). Especialista en protección de datos
• Páginas: 25-33

Page 25

El 19 de enero de 2008 se publicó en el BOE el Reglamento 1720/2007, de 21 de diciembre de 2007, que desarrolla la Ley Orgánica de Datos de Carácter Personal (el «Reglamento» y la «LOPD»).

El Reglamento, que entró en vigor el 19 de abril de 2008, pretende (i) desarrollar la LOPD de forma completa, adaptando la regulación reglamentaria parcial existente (que es anterior a su entrada en vigor) y (ii) plasmar ciertos criterios interpretativos de los tribunales y de la Agencia Española de Protección de Datos (la «AEPD»).

Se resumen a continuación las principales novedades o precisiones que introduce el Reglamento y se sugieren determinadas acciones a adoptar a la luz de éstas.

1 · Ámbito objetivo de aplicación

El Reglamento excluye de su ámbito de aplicación objetiva a ciertos ficheros de datos de contacto de las personas jurídicas así como a los ficheros relativos a la actividad de comerciante del empresario individual.

Respecto de los primeros, el artículo 2.2 del Reglamento establece que:

Este Reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales

.

Para que esta excepción sea de aplicación, es necesario que se cumplan dos condiciones: (i) que los datos tratados se limiten a los listados en el Reglamento (por ello, no se encontrarían excluidos los ficheros en los que, por ejemplo, constara el DNI); y (ii) la finalidad del tratamiento debe corresponderse con el contacto con la persona jurídica, siendo el dato del afectado únicamente el medio para lograr esa finalidad.

Por otra parte, respecto de los datos del empresario individual, el Reglamento excluye de su ámbito de aplicación, en su artículo 2.3, a los datos del comerciante que hagan únicamente referencia a su actividad empresarial (a su condición de comerciante, industrial o naviero). De nuevo, el uso de los datos deberá quedar limitado a las actividades empresariales tal y como expresa la AEPD:

El sujeto respecto del que pretende llevarse a cabo el tratamiento es la empresa constituida por el comerciante industrial o naviero y no el empresario mismo que la hubiese constituido. Si la utilización de dichos datos se produjera en relación con un ámbito distinto quedaría plenamente sometida a las disposiciones de la Ley Orgánica.

¹

Page 26

2 · Legitimidad del tratamiento

El Reglamento regula de manera sistemática las causas que determinan la legitimidad del tratamiento, destacando, en particular, la regulación del interés legítimo, las previsiones específicas relativas al consentimiento tácito y la información que ha facilitarse para la validez del consentimiento para la cesión.

2. 1 · Interés legítimo

Es conocida la —aparente— dificultad que ha expresado en ocasiones la AEPD respecto del reconocimiento del «interés legítimo del responsable» como causa legitimadora del tratamiento, por causa de la incorrecta transposición en la LOPD de la Directiva 95/46/CE, del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (la «Directiva 95/46/CE»).

El interés legítimo del responsable se expresa como sigue en el artículo 7 de la Directiva 95/46/CE:

«Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si: [...]

f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.»

A este respecto, de acuerdo con el principio de «interpretación conforme» desarrollado por la jurisprudencia del Tribunal de Justicia de las Comunidades Europeas, la norma nacional de transposición, y el Derecho nacional en su conjunto, han de interpretarse y aplicarse a la luz del texto y la finalidad de la Directiva comunitaria (vid. TJCE, sentencia de 10 de abril de 1984, Von Colson y Kamann, asunto 14/83; sentencia de 13.11.1990, Marleasing, asunto C-106/89; TJCE, sentencia de 16.12.1993, Wagner Miret, asunto C-334/92; sentencia de 11.7.2002, Marks & Spencer, asunto C-62/00).

En palabras de nuestro Tribunal Supremo:

Las normas del ordenamiento jurídico interno deben ser interpretadas por todos los tribunales en el sentido más conforme al Derecho Comunitario, con independencia de que la norma sea anterior o posterior a una Directiva, y que ésta haya sido o no transpuesta mediante Ley interna.

(Sentencia núm. 428/2007, de 16 abril de 2007).

De conformidad con esta doctrina, al aplicar el Derecho interno, el órgano jurisdiccional nacional está obligado a hacer todo lo posible, a la luz de la letra y de la finalidad de la Directiva, para, al efectuar dicha interpretación, alcanzar el resultado que persigue la Directiva y de esta forma atenerse al artículo 189.3 del Tratado CE (actualmente artículo 249 TCE, párrafo tercero). De hecho, si dicha interpretación conforme no es posible, el órgano jurisdiccional nacional debe aplicar íntegramente el Derecho comunitario y proteger los derechos que éste concede a los particulares, así como abstenerse de aplicar, en su caso, cualquier disposición en la medida en que tal aplicación conduzca, en las circunstancias del litigio, a un resultado contrario al Derecho comunitario.

Por tanto, el «interés legítimo» debe entenderse incorporado a nuestro ordenamiento por el principio de interpretación conforme desarrollado por la jurisprudencia del TJCE, en este caso, del artículo 6.2 de la LOPD con el artículo 7.1 de la Directiva que (a diferencia del Reglamento), como hemos visto, prevé este supuesto como una causa legitimadora autónoma del tratamiento, distinta de otras tales como el consentimiento del afectado, la habilitación legal o el desarrollo del contrato con el afectado. Por ello, a nuestro juicio, es incorrecto subsumir el «interés legítimo» en las otras causas que legitiman el tratamiento como hace el Reglamento (el amparo en una norma con rango de ley, el desarrollo del contrato entre el responsable y el afectado, etc.), sin haberlo tratado como una categoría propia.

2. 2 · Consentimiento tácito

Para la validez del consentimiento tácito, se establecen las siguientes condiciones:

(i) otorgamiento de un plazo de treinta días para que el afectado manifieste su oposición, en su caso;

(ii) información precisa al afectado de que su silencio será considerado como consentimiento al tratamiento de sus datos personales;

(iii) puesta a disposición de un medio sencillo y gratuito para que el afectado manifieste su oposición (el Reglamento cita expresamente a estos efectos, con carácter ejemplificativo, los envíos prefranqueados o los números telefónicos gratuitos o a los servicios de atención al público);

(iv) que no se haya solicitado el consentimiento para los mismos tratamientos y finalidades sin que haya transcurrido al menos un año; y

Page 27

(v) constancia de que el afectado ha recibido la solicitud.

Respecto de la prueba de este último requisito, la AEPD se ha mostrado particularmente estricta en casos similares²:

«— La mera contratación de un medio independiente para la notificación no acredita más que la existencia del contrato, pero no que se ha hecho el envío.

— La prueba del envío de una notificación no acredita por sí misma su recepción por el afectado.

— Si el destinatario niega la recepción, la carga de la prueba del envío recae sobre el responsable del tratamiento.

— El que se hayan efectuado otras notificaciones al afectado no es suficiente para probar la notificación del «documento» respecto del cual se niega la recepción.»

Si la remisión de la solicitud del consentimiento es encargada a un tercero, el responsable debe asegurarse que en el contrato de prestación de servicios se garantice este extremo (además del contenido obligatorio del artículo 12.2 de la LOPD).

A estos efectos, basándonos en algunos precedentes valorados positivamente por la AEPD, sería adecuado que en el contrato se prevea expresamente que el prestador de servicios certifique el proceso de generación e impresión de las comunicaciones (fecha, número de cartas identificadas e incidencias) y la puesta a disposición del servicio de correos para su posterior distribución por parte de dicho servicio (fecha y número de cartas identificadas e incidencias) y proporcione copia de la nota de entrega en Correos y Telégrafos (número de cartas y fecha) a nombre del responsable y albarán de entrega. El consentimiento no se podrá entender prestado por aquéllos que consten en las listas de devoluciones o respecto de los cuales haya habido incidencias en el proceso de generación e impresión de las comunicaciones o de su puesta a disposición al servicio de correos.

2. 3 · Cesión

Respecto de la información que ha facilitarse para la validez del consentimiento para la...