20 de octubre de 2019, 20:51:38
Derecho

www.iustel.com


Aprobado el Reglamento de Protección de Datos de Carácter Personal


El Alto Tribunal, en sus sentencias de 15 de julio de 2010, Recursos números 23/2008, 25/2008 y 26/2008, anula los arts. 11, 18, 38.1 a) y 2 y 123.2 del RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LO 15/1999, de Protección de Datos de Carácter Personal (RI §1043849)


Se anulan los arts. 11, 18, 38.2 y 123.2 del RD 1720/2007, por el que se aprueba el Reglamento de desarrollo de la LO 15/1999, de Protección de Datos de Carácter Personal, así como la frase del art. 38.1 a) que señala: “… y al respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por RD 303/2004”. Por lo que se refiere al art. 11, introduce un tratamiento o cesión de datos sin consentimiento ni habilitación de los arts. 6 y 11 de la LOPD. En cuanto al art. 18, introduce “ex novo” una obligación adicional, esto es, que el efectivo cumplimiento del deber de informar a cargo del responsable del fichero o tratamiento de datos, conste documentalmente o por medios informáticos o telemáticos. Por otro lado, del art. 38, la Sala anula la frase anteriormente mencionada del apartado 1 a), por su falta de concreción; en relación al apartado 2 del precepto, al introducir la prueba indiciaria lo que hace es trasladar la carga de la prueba de la concurrencia de los requisitos previstos en el art. 38.1 al encargado del tratamiento de los datos, pero lo hace en unos términos que origina una gran inseguridad jurídica, pues no concreta qué principio de prueba exige, lo que puede dar lugar a la apertura de expedientes sancionadores. Finalmente, la nulidad del art. 123.2, relativo a las actuaciones previas al inicio del expediente sancionador, se basa en que, en supuestos excepcionales, se otorga al Director de la Agencia Española de Protección de datos una facultad no contemplada en la LOPD, facultad consistente en designar para la realización de actuaciones específicas a funcionarios de la propia Agencia no habilitados con carácter general para el ejercicio de funciones inspectoras o a funcionarios que no presten sus funciones en la Agencia.

T R I B U N A L S U P R E M O

Sala de lo Contencioso-Administrativo

Sección: SEXTA

S E N T E N C I A

Ponente: Excmo. Sr. D. Juan Carlos Trillo Alonso

REC.ORDINARIO(c/d) Num.: 23/2008

En la Villa de Madrid, a quince de Julio de dos mil diez.

Visto por la Sala Tercera del Tribunal Supremo, constituida en Sección por los señores al margen anotados, el recurso contencioso administrativo que con el número 23/08 ante la misma pende de resolución, interpuesto por la representación procesal de la ASOCIACION NACIONAL DE ESTABLECIMIENTOS FINANCIEROS DE CREDITO (ASNEF), contra Real Decreto 1720/2007, de 21 de diciembre, siendo parte recurrida la Administración General del Estado.

ANTECEDENTES DE HECHO

PRIMERO.- Por la representación procesal de la Asociación Nacional de establecimientos Financieros de Crédito (ASNEF), se interpuso recurso contencioso administrativo contra el Real Decreto 1720/07, el cual fue admitido por la Sala, motivando la publicación del preceptivo anuncio en el Boletín Oficial del Estado y la reclamación del expediente administrativo que, una vez recibido se entregó a la Procuradora Doña Beatriz Calvillo Rodríguez, para que, en la representación que ostenta, formalizase la demanda dentro del plazo de veinte días, lo que verificó con el oportuno escrito en el que, después de exponer los hechos y alegar los fundamentos de derecho que estimó oportunos, terminó suplicando que: "... tras los trámites oportunos, se dicte Sentencia en la que:

A) Declare la nulidad y deje sin efecto los siguientes preceptos del Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre:

- Artículo 5. Definiciones. Del apartado 1.q), el inciso ““aunque no lo realizase materialmente”“.

- Artículo 8. Principios relativos a la calidad de los datos, en el párrafo 3.º de su apartado 5.

Artículo 10. supuestos que legitiman el tratamiento o cesión de los datos, en los apartados 2.a), supuesto primero, y 2.b), párrafo primero.

- Artículo 11. Verificación de datos en solicitudes formuladas a las Administraciones Públicas.

- Artículo 12. Principios generales, en su apartado 2.

- Artículo 13. Consentimiento para el tratamiento de datos de menores de edad, en su apartado 4.

- Artículo 18. Acreditación del cumplimiento del deber de información. En el inciso final de su apartado 1 y en su apartado 2.

- Artículo 21. Posibilidad de subcontratación de los servicios. En su apartado 2.a).

- Artículo 23. Carácter personalísimo, en su apartado 2.c).

- Artículo 24. Condiciones generales para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, el inciso final del párrafo 1.º del artículo 24.3 y el párrafo 2.º del mismo artículo.

- Enunciado de la Sección 2.ª, del Capítulo I del Título IV, en cuanto se refiere también al ““cumplimiento”“ de obligaciones dinerarias.

- Artículo 38. Requisitos para la inclusión de los datos, en sus apartados 1.a) (en el inciso ““y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero”“) y b) (en el inciso ““o del plazo concreto si aquélla fuera de vencimiento periódico”“), 2 y 3.

- Artículo 39. Información previa a la inclusión, en el inciso ““en el momento en que se celebre el contrato”“.

- Artículo 40. Notificación de inclusión, en su apartado 2.

- Artículo 41. Conservación de los datos, en el párrafo segundo del apartado 1 y en el apartado 2 (en el inciso ““o del plazo concreto si aquélla fuera de vencimiento periódico”“).

- Artículo 42. Acceso a la información contenida en el fichero, en su apartado 2, inciso ““por escrito”“ del párrafo primero y todo el párrafo segundo.

- Artículo 44. Ejercicio de los derechos de acceso, rectificación, cancelación y oposición, en su apartado 3, 1.ª, en el inciso ““en el plazo de siete días”“.

- Artículo 45. Datos susceptibles de tratamiento e información. En el inciso ““habiéndose informado a los interesados sobre los sectores específicos y concretos de actividad respecto de los que podrá recibir información o publicidad”“, del apartado 1.b).

- Artículo 46. Tratamiento de datos en campañas publicitarias. En las letras b) y c) del apartado 2, y en todo su apartado 3.

- Artículo 47. Depuración de datos personales.

-Art. 49. Ficheros comunes de exclusión del envío de comunicaciones comerciales. En sus apartados 2 y 4.

- Artículo 69. Suspensión temporal de las transferencias, en su apartado 1.b) (inciso ““o no van a adoptar en el futuro”“).

- Artículo 70. Transferencias sujetas a autorización del Director de la Agencia Española de Protección de datos, en su apartado 3. letras c) (inciso ““o no serán respetadas”“), d (inciso ““o no serán”“) y d).

- Artículo 123. Personal competente para la realización de las actuaciones previas, en su apartado 2, inciso ““o a funcionarios que no presten sus funciones en la Agencia”“.

B) Condene en costas a la Administración demanda conforme dispone el art. 139.1 de la Ley reguladora de este orden jurisdiccional."

También instó que se planteara Cuestión Prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, con suspensión del recurso en tanto no recaiga Sentencia por parte del citado Tribunal, proponiendo las siguientes cuestiones:

"Primera: ¿Deben interpretarse las disposiciones de Derecho comunitario relativas a la protección de datos, en particular el artículo 2.d) de la Directiva 95/46/CE, en el sentido de que se oponen a una normativa nacional que, como el art. 5.1q) del Reglamento español de desarrollo de la Ley Orgánica 15/1999, de protección de datos de carácter personal, define responsable del fichero o tratamiento a la ““Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobe la finalidad, contenido y uso del tratamiento”“, aunque no lo realizase materialmente?

Segunda: ¿Deben interpretarse las disposiciones de Derecho comunitario relativas a la protección de datos, en particular el artículo 7.f) de la Directiva 95/46/CE, en el sentido de que se opone a una normativa nacional que, como el art. 10.2.a) del Reglamento de desarrollo de la Ley Orgánica 15/1999, de protección de datos de carácter personal exige que el interés legítimo del responsable del tratamiento o del cesionario esté en todo caso amparado por una norma con rango de ley o una norma de derecho comunitario?

Tercera: ¿Deben interpretarse las disposiciones de Derecho comunitario relativas a la protección de datos, en particular el artículo 7.f) de la Directiva 95/46/CE, en el sentido de que se opone a una normativa nacional que, como el art. 10.2b) del Reglamento de desarrollo de la Ley Orgánica 15/1999, de protección de datos de carácter personal, exige que para que el responsable del fichero, o el tercero a quien se comuniquen los datos, pueda llevar a cabo un tratamiento en virtud de un interés legítimo, tales datos deben en todo caso figurar en fuentes accesibles al público entendiendo por tales fuentes las que de forma taxativa se recogen en el artículo 3.j) de la Ley Orgánica 15/1999, de 13 de diciembre, y en el artículo 7 del mencionado reglamento?

Cuarta: ¿Deben interpretarse las disposiciones de Derecho comunitario relativas a la protección de datos, en particular la Directiva 95/46/CE, y las disposiciones sobre crédito al consumo, en particular la Directiva 2008/48/CE, en el sentido de que se oponen a una normativa nacional que, como el Reglamento de desarrollo de la Ley Orgánica 15/1999, de protección de datos de carácter personal, prohíbe los ficheros de información sobre el cumplimiento de obligaciones dinerarias, o ficheros positivos, salvo que el tratamiento de datos se lleve a cabo con el consentimiento inequívoco de los afectados?

Quinta: ¿Deben interpretarse las disposiciones de Derecho comunitario relativas a la protección de datos, en particular el artículo 6.1.d) de la Directiva 95/46/CE, en el sentido de que se oponen a una normativa nacional que, como el artículo 41.1 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de protección de datos de carácter personal, y en relación con los ficheros sobre solvencia patrimonial y crédito, obliga a la cancelación inmediata de todo dato relativo a una deuda una vez producido el pago o cumplimiento y que por tanto prohíbe mantener cualquier anotación relativa a una deuda determinada una vez que la misma ha sido satisfecha?

Sexta: ¿Deben interpretarse las disposiciones de Derecho comunitario relativas a la protección de datos, en particular el artículo 7.f) de la Directiva 95/46/CE, en el sentido de que se oponen a una normativa nacional que, como el artículo 41.1 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de protección de datos de carácter personal, prohíbe que en los ficheros de incumplimiento de obligaciones dinerarias se mantenga cualquier anotación relativa a una deuda determinada una vez que la misma ha sido satisfecha?

Séptima: ¿Deben interpretarse las disposiciones de Derecho comunitario relativas a la libre circulación de mercancías, en particular los art. 23, 24 y 28 a 30 del Tratado Constitutivo de la Comunidad Europea; a la libre circulación de servicios, en particular los artículos 49 y 50 del Tratado; a la competencia, en particular el artículo 80 del Tratado; y a la apertura de los contratos públicos, en particular la Directiva 2004/18/CE, del Parlamento y del Consejo, de 31 de marzo de 2004, en el sentido de que se oponen a una normativa nacional que, como la Disposición Adicional única del Reglamento español de desarrollo de la Ley Orgánica 15/1999, de protección de datos de carácter personal, establece que los productos de sofware destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en el título VIII del citado reglamento?"

SEGUNDO.- El Abogado del Estado, en la representación que ostenta, se opuso a la demanda con escrito en el que, después de exponer los hechos y fundamentos de derecho que estimó procedentes, terminó suplicando a la Sala que dicte sentencia "... declarando la falta de legitimación activa de la parte recurrente para impugnar los artículos 45.1.b); 46.2. b) y c) y 46.3; 49.2 y 4 del RLOPD impugnado o, subsidiariamente de lo anterior, desestimando el presente recurso contencioso administrativo en su integridad por ser el citado RLOPD, aprobado por el Real Decreto 1720/2007, de 21 de diciembre, plenamente conforme a Derecho".

TERCERO.- Acordándose sustanciar este pleito por conclusiones sucintas, se concedió a las partes el término sucesivo de quince días cumplimentándolos con sus respectivos escritos en los que tras alegar lo que estimaron conveniente, terminaron dando por reproducidas las súplicas de demanda y contestación.

CUARTO.- Conclusas las actuaciones, se señaló para votación y fallo la audiencia del día VEINTISEIS DE MAYO DE DOS MIL DIEZ, en cuyo acto tuvo lugar su celebración.

QUINTO.- Por providencia de 16 de junio del presente, se acordó oír a las partes por plazo común de cinco días para que alegaran sobre la posibilidad de plantear cuestión prejudicial respecto de alguno de los preceptos impugnados, dictando sentencia respecto de los demás, con el resultado que obra en autos.

SEXTO.- Con esta misma fecha se ha dictado auto del tenor literal siguiente:

"En la Villa de Madrid, a quince de julio de dos mil diez.

HECHOS

1. La “Asociación Nacional de Establecimientos Financieros de Crédito” (en lo sucesivo, “ASNEF”) ha interpuesto recurso contencioso-administrativo contra numerosos artículos del Real Decreto 1720/2007, de 21 de diciembre (Boletín Oficial del Estado -en adelante-, “BOE”, de 19 de enero de 2008, p. 4103), por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (BOE de 14 de diciembre, p. 43088).

2. Entre los preceptos impugnados se encuentra el artículo 10, apartado 2.a), supuesto primero, y 2.b), párrafo primero, a los que ASNEF imputa la infracción del artículo 7, letra f), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281, p. 31).

3. No obstante, y para el caso de que este Tribunal albergara dudas sobre esa oposición de la norma reglamentaria a las previsiones de la Directiva 95/46/CE, ASNEF solicita en la demanda que se planteen al Tribunal de Justicia de la Unión Europea las siguientes cuestiones prejudiciales:

1.“¿Deben interpretarse las disposiciones de derecho comunitario relativas a la protección de datos, en particular el artículo 7.f) de la Directiva 95/46/CE, en el sentido de que se oponen a una normativa nacional que, como el artículo 10.2.b) del Reglamento de desarrollo de la Ley Orgánica 15/1999, de protección de datos de carácter personal, exige que el interés legítimo del responsable del tratamiento o del cesionario esté en todo caso amparado por una norma con rango de ley o una norma de derecho comunitario?”

2.“¿Deben interpretarse las disposiciones de derecho comunitario relativas a la protección de datos, en particular el artículo 7, letra f), de la Directiva 95/46/CE, en el sentido de que se oponen a una normativa nacional que, como el artículo 10.2.b) del Reglamento de desarrollo de la Ley Orgánica 15/1999, de protección de datos de carácter personal, exige que para que el responsable del fichero, o el tercero a quien se comuniquen los datos, pueda llevar a cabo un tratamiento en virtud de un interés legítimo, tales datos deben en todo caso figurar en fuentes accesibles al público, entendiendo por tales fuentes las que de forma taxativa se recogen en el artículo 3.j) de la Ley Orgánica 15/1999, de 13 de diciembre, y en el artículo 7 del mencionado Reglamento?”

4. Quienes han intervenido como partes demandadas se han opuesto al reenvío de una cuestión prejudicial.

Siendo Ponente el Excmo. Sr. D. Juan Carlos Trillo Alonso, Magistrado de la Sala

RAZONAMIENTOS JURÍDICOS

1.- El marco jurídico interno.

1.1. La Ley Orgánica 15/1999, que transpone al derecho español la Directiva 95/46/CE, exige para que los datos puedan ser tratados la mediación del inequívoco consentimiento del afectado, salvo que la ley disponga otra cosa (artículo 6.1).

1.2. Por excepción, no considera preciso el consentimiento, entre otros supuestos (artículo 6.2, in fine):

“[...] cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.”

1.3. El artículo 11, apartado 1, reitera la necesidad del consentimiento para que puedan comunicarse a terceros los datos de carácter personal, exigencia que no estima precisa, según el apartado 2:

“[...]

b)Cuando se trate de datos recogidos de fuentes accesibles al público.”

1.4. El artículo 3.j) define las “fuentes accesibles al público” como:

“[...] aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la condición de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, titulo, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.”

1.4. El Gobierno español ha desarrollado la Ley Orgánica 15/1999 mediante el Real Decreto 1720/2007, que, en su artículo 10, después de permitir el tratamiento y la cesión de los datos de carácter personal si el interesado presta previamente su consentimiento (apartado 1), dispone en el apartado 2:

“No obstante, será posible el tratamiento o la cesión de datos de carácter personal sin necesidad del consentimiento del interesado cuando:

a) Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes:

El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre.

El tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas.

b) Los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tengan un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

No obstante, las Administraciones públicas sólo podrán comunicar al amparo de este apartado los datos recogidos de fuentes accesibles al público a responsables de ficheros de titularidad privada cuando se encuentren autorizadas para ello con una norma con rango de ley.”

2.- El derecho comunitario.

2.1. La Carta de los derechos fundamentales de la Unión Europea (última publicación oficial, DO C 83, p. 389), dentro del título III, dedicado a las “Libertades”, dispone en el artículo 8 que:

“1. Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.

2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley [...]”

2.2. Por su parte, la Directiva 95/46/CE, que aspira a realizar una armonización completa (sentencia del Tribunal de Justicia de la Unión Europea de 6 de noviembre de 2003, Lindqvist, asunto C-101/01, apartado 96), tiene por designio el asegurar la libre circulación de datos personales de unos Estados miembros a otros, sin menoscabo de la protección de los derechos fundamentales (tercer considerando).

2.2. Como quiera que las diferencias existentes en la tutela dispensada por los distintos países, achacables a la disparidad de las disposiciones nacionales sobre el particular, son susceptibles de obstaculizar esa libre transmisión de datos, aspira a equiparar los niveles de protección entre todos los Estados miembros, coordinando sus legislaciones, de modo que dispensen una protección equivalente, sin perjuicio de reconocerles un margen de maniobra, que han de ejercer de conformidad con el derecho comunitario y dentro de los límites de la propia Directiva (considerandos séptimo a noveno, artículo 5 y sentencia Lindqvist, ya citada, apartado 97).

2.3. Con ese propósito, obliga a los Estados miembros a garantizar, con arreglo a su texto, las libertades y los derechos fundamentales de los individuos en lo que respecta al tratamiento de los datos personales, sin que les quepa restringir ni prohibir la libre circulación de esos datos por motivos relacionados con tal tutela (artículo 1.º, cuyo apartado 1 se transpone en el artículo 1.º de nuestra Ley Orgánica 15/1999).

2.4. Con el anterior propósito, el legislador de la Unión proclamó el principio, hoy incluido en la Carta, de que el tratamiento de datos personales sólo puede efectuarse si el interesado ha dado su consentimiento de forma inequívoca [artículo 7, letra a)] o concurren otras causas legítimas, que relaciona en las letras siguientes, y entre las que se encuentra la de resultar el tratamiento:

“[...] necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o los terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.”

3. Los presupuestos del reenvío prejudicial

3.1. Esta Sala se enfrenta con un litigio en el que ASNEF demanda la nulidad del artículo 10, apartado 2, letra b), del Real Decreto 1720/2007 porque considera que, al igual que las normas legales que le sirven de cobertura (los artículos 6 y 11 de la Ley Orgánica 15/1999), no traspone debidamente el artículo 7, letra f), de la Directiva 95/46/CE, infringiendo esta norma de derecho comunitario.

3.2. En particular, considera que el derecho español añade al interés legítimo como presupuesto del tratamiento de los datos sin consentimiento del titular un requisito que no está presente en la mencionada Directiva: que los datos consten en fuentes accesibles al público.

3.3. La respuesta a esa pretensión depende, en gran medida, de la interpretación que el Tribunal de Justicia dé al artículo 7, letra f), de la Directiva 95/46/CE, pues si concluye que nada impide que los Estados miembros exijan, además de la concurrencia del repetido interés, la presencia de los datos en fuentes accesibles al público, habrá que concluir que la Ley española y el Reglamento que la desarrolla se ajustan en este punto al ordenamiento jurídico de la Unión.

3.4. Si, por el contrario, es criterio del Tribunal de Justicia que no les cabe a los Estados miembros añadir requisitos adicionales a aquella exigencia, debería inaplicarse, para el caso de que se pueda reconocer al repetido artículo 7, apartado ñ), efecto directo, la previsión legislativa interna, quedando huérfano de cobertura el artículo 10, apartado 2, letra b), del Real Decreto 1720/2007.

3.5. La pertinencia del diálogo prejudicial depende, en segundo lugar, de que haya dudas razonables sobre la interpretación del derecho comunitario, esto es, que no quepa deducir de los términos de la norma comunitaria una sola solución hermenéutica, que se impondría por su propia evidencia no sólo al órgano jurisdiccional remitente sino al resto de órganos jurisdiccionales de los diferentes Estados miembros, incluido el propio Tribunal de Justicia [sentencia de 6 de octubre de 1982, CILFIT (283/81, apartado 16)].

En el caso de autos, la existencia de esas dudas resulta patente. Las respectivas posiciones de las partes, manifestadas en el debate procesal, son divergentes. Por otro lado, como sabemos, la Directiva 95/46/CE aspira a una armonización completa de las legislaciones nacionales, al tiempo que quiere establecer un equilibrio entre los dos pilares sobre los que pivota su regulación: la libre circulación entre los Estados miembros de los datos de carácter personal sin merma alguna de los derechos y libertades fundamentales del interesado. Duda esta Sala, si como excepción al principio de consentimiento inequívoco de este último para el tratamiento y circulación de los datos, la concurrencia de un interés legítimo en el responsable de aquél o en los destinatarios de éstos, debe operar como única exigencia, bastando su presencia para que el consentimiento resulte innecesario o si, por el contrario, en garantía de aquellos derechos y libertades fundamentales pueden los Estados miembros añadir exigencia adicionales.

4. Las cuestiones prejudiciales

4.1. Primera cuestión prejudicial

4.1.1. Ya hemos indicado que resulta presupuesto insoslayable para el tratamiento de los datos de carácter personal que medie el con sentimiento inequívoco del interesado [artículo 7, letra a), de la Directiva 95/46/CE], no obstante cabe que, sin mediar el mismo, el tratamiento pueda llevarse a cabo si concurre un interés legítimo del responsable del tratamiento o de los destinatarios de los datos, siempre que no deba prevalecer el interés de los derechos y libertades fundamentales del titular de los datos [letra f) del mismo precepto].

4.1.2. El legislador español ha asumido dicha regulación (artículo 6 de la Ley Orgánica 15/1999), pero ha adicionado a la concurrencia de aquel interés legítimo la condición de que los datos figuren en fuentes accesibles al público (apartado 2, in fine).

4.1.3. El titular de la potestad reglamentaria ha reproducido dicha previsión del legislador, matizando, sin embargo, que las Administraciones sólo pueden comunicar a los responsables de ficheros de titularidad privada los datos recogidos en fuentes accesibles al público sin están autorizadas para ello por una norma con rango de ley [artículo 10, apartado 2, letra b), del Real Decreto 1720/2007].

4.1.4. La Ley española considera fuentes accesibles al público los ficheros que puedan ser consultados libremente sin más requisito que el pago de una contraprestación. A renglón seguido relaciona esos ficheros mediante una lista exhaustiva y cerrada: “el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, titulo, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación” [artículo 3, letra j), de la Ley Orgánica 15/1999].

4.1.5. La conclusión parece evidente; aún mediando el interés legítimo del responsable del tratamiento o de los destinatarios de los datos, sino media consentimiento inequívoco del titular sólo cabe tratar y comunicar los datos que constan en los ficheros relacionados. De este modo, la ley española y el reglamento que la desarrolla restringen el ámbito del artículo 7, letra f), de la Directiva 95/46/CE.

4.1.6. A juicio de esta Sala, esa restricción erige un obstáculo a la libre circulación de los datos de carácter personal no querido, en principio, por la norma comunitaria, que sólo limita en tales supuestos la libre circulación si así lo demanda el interés de los derechos y las libertades fundamentales del titular de los datos.

4.1.7. La única posibilidad de salvar la contradicción sería entender que, por definición y en abstracto, la circulación de datos de carácter personal que consten en otros ficheros distintos de los relacionados por el legislador español sin el consentimiento del afectado vulnera sus derechos y libertades fundamentales. Pero no parece que este desenlace sea el querido por el legislador comunitario.

4.1.8. En primer lugar, porque rompe la armonización total perseguida por la norma de derecho comunitario, al establecer una lista cerrada y exhaustiva de fuentes accesibles al público, siendo plausible que otros Estados miembros puedan considerar como tales otro tipo de ficheros. En segundo término, porque a nuestro entender, el artículo 7, letra f), de la Directiva, está pensando en coyunturas singulares, atendibles y susceptibles de análisis en función de las características del caso concreto y no acudiendo a categorizaciones genéricas y abstractas. En otros términos, si, no mediando consentimiento del afectado, concurre un interés legítimo del responsable o de los destinatarios de los datos, el tratamiento resulta posible salvo que, en atención a la naturaleza de los datos y del soporte, a las condiciones subjetivas del afectado, a la finalidad perseguida, etc., deba darse prevalencia a los derechos fundamentales, en particular, al derecho a la intimidad del titular de los datos, en esa tensión que preside su convivencia con la necesidad de garantizar en el territorio de la Unión la libre circulación de tal clase de datos.

4.1.9. Cabe añadir a lo anterior que el artículo 1, apartado 2, de la Directiva 95/46/CE, prohíbe a los Estados miembros restringir la libre circulación de los datos personales por motivos relacionados con la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta a su tratamiento. Por ello, lo que hace la norma comunitaria es disciplinar esa circulación sin merma de la garantía de los citados derechos y libertades fundamentales, por lo que no cabe que los Estados miembros impongan mayores restricciones que las prevista por el legislador comunitario. Los Estados miembros no pueden establecer otras excepciones y limitaciones que las que se contemplan en el artículo 13 de la repetida Directiva, entre los que no es encuentra un restricción como la añadida por el legislador español en el artículo 6, apartado 2, in fine, de la Ley Orgánica 15/1999 y en el 10, apartado 2, letra b), del Real Decreto 1720/2007.

4.1.10. En este sentido y en relación con otra de las finalidades que legitiman el tratamiento de los datos personales sin consentimiento del titular [resultar “necesario para el cumplimiento de una misión de interés público” (artículo 7, letra e)], el Tribunal de Justicia ha señalado que la noción de “necesidad” no puede tener un contenido variable en función de los Estados miembros [sentencia de 16 de diciembre de 2008, Heinz Huber (C- 524/06, apartado 52)].

4.1.11. Debe tenerse en cuenta también que, para el Tribunal de Justicia, los ficheros que tengan por objeto información publicada están comprendidos en el ámbito de aplicación de la Directiva 95/46/CE [sentencia de 16 de diciembre de 2008, Tietosuojavaltuutettu (C- 73/07, apartado 49 y punto 3 de la parte dispositiva)], por lo que, en principio, un legislador nacional no puede definir y acotar unilateralmente los ficheros que tienen tal condición, pues se trata de una noción de derecho comunitario necesitada de una aplicación y, por consiguiente, interpretación uniformes.

4.1.12 En suma, procede preguntar al Tribunal de Justicia si el artículo 7, letra f), de la Directiva 95/46/CE debe interpretarse en el sentido de que se opone a una normativa nacional que, no mediando consentimiento del afectado y para permitir el tratamiento de sus datos de carácter personal que resulte necesario para satisfacer un interés legítimo del responsable o de los terceros a los que se van a comunicar, exige además de que no se lesionen los derechos y libertades fundamentales de aquel que los datos consten en fuentes accesibles al público.

4.2. Segunda cuestión prejudicial

4.2.1. Si la respuesta del Tribunal de Justicia fuere afirmativa, esta Sala de enfrentaría a una norma reglamentaria (el artículo 10, apartado 2, letra b), del Real Decreto 1720/2007) que desarrolla una previsión legal (el artículo 6, apartado 2, in fine, de la Ley Orgánica 15/1999) contraria al ordenamiento jurídico de la Unión Europea

4.2.2. Las consecuencias de esta constatación son distintas según que pueda reconocerse al artículo 7, letra f), de la Directiva 95/46/CE efecto directo, pues, en tal circunstancia, nos veríamos obligados a desplazar la norma legal interna [sentencia de 9 de marzo de 1978, Simmenthal (asunto 106/77, passim)]. En esta tesitura, la disposición reglamentaria quedaría carente de la necesaria cobertura legal, insoslayable en el sistema jurídico español, procediendo declarar su nulidad.

4.2.3. Por consiguiente, ha de preguntarse también al Tribunal de Justicia si el artículo 7, letra f), de la Directiva 95/46/CE reúne los requisitos que exige la jurisprudencia comunitaria para reconocerle efecto directo, esto es, si, desde el punto de vista de su contenido, es incondicional y suficientemente preciso, pudiendo ser invocado por los justiciables ante sus jueces nacionales en la medida en la que les reconoce derechos esgrimibles frente al poder público [sentencia de 19 de enero de 1982, Becker (asunto 8/81, apartado 25].

5. Sobre la suspensión del procedimiento.

Circunscrita la duda interpretativa de los preceptos reglamentarios impugnados, con relación al derecho comunitario, a las expresadas en el precedente, en atención al carácter preferente que para el señalamiento de los recursos directos interpuestos contra las disposiciones generales prevé el artículo 66 de la Ley Jurisdiccional, y a la circunstancia no menos relevante del elevado número de preceptos objeto de impugnación, se entiende adecuado limitar la suspensión de dictar sentencia única y exclusivamente respecto al artículo 10 del Reglamento, siendo de significar al efecto la inexistencia de una conexión tal entre dicho precepto y los demás recurridos que pudieran verse afectados por la sentencia que en su día dicte el Tribunal de Justicia de las Comunidades Europeas, así como la conveniencia de no demorar por más tiempo la resolución de éstos.

LA SALA ACUERDA:

Primero.- Suspender única y exclusivamente el procedimiento respecto de la impugnación del artículo 10, apartados 2. a) y b) del Reglamento de la Ley Orgánica de Protección de Datos, hasta la resolución del incidente prejudicial planteado y dictar sentencia con relación a los demás artículos impugnados.

Segundo.- Plantear al Tribunal de Justicia de las Comunidades Europeas las siguientes cuestiones prejudiciales:

1.ª) “¿Debe interpretarse el artículo 7, letra f), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en el sentido de que se opone a una normativa nacional que, no mediando consentimiento del afectado y para permitir el tratamiento de sus datos de carácter personal que resulte necesario para satisfacer un interés legítimo del responsable o de los terceros a los que se vayan a comunicar, exige además de que no se lesionen los derechos y libertades fundamentales de aquel que los datos consten en fuentes accesibles al público?”

2.º) “¿Concurren en el mencionado artículo 7, letra f), las condiciones que exige la jurisprudencia del Tribunal de Justicia de la Unión Europea para atribuirle efecto directo?”

Lo mandó la Sala y firman los Magistrados Excmos. Sres. al inicio designados."

Siendo Ponente el Excmo. Sr. D. JUAN CARLOS TRILLO ALONSO, Magistrado de la Sección.

FUNDAMENTOS DE DERECHO

PRIMERO.- Es objeto de impugnación en el presente recurso contencioso administrativo el Real Decreto 1720/07, de 22 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

En armonía con lo expresado en el auto de esta misma fecha, trascrito en el antecedente de hecho sexto, en el que decidimos, pese al planteamiento de cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, limitar la suspensión del procedimiento, solo y exclusivamente, en relación al único precepto que de los impugnados ofrece dudas a este Tribunal sobre su adecuación a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre, como consideración previa que justifica en definitiva la razón de tal proceder, y aunque ya exteriorizada en dicho auto, aconseja insistir ahora en aquellas circunstancias singulares tenidas en cuenta para la decisión de mención, amparada, sin duda, o mejor demandada, por el artículo 24 del Texto Constitucional que proscribe las dilaciones indebidas como manifestación del derecho a la tutela judicial efectiva que dicho precepto constitucional proclama y que, en definitiva, también se recoge en el artículo 6 del Convenio Europeo de Derechos Humanos al aludir al concepto indeterminado de plazo razonable.

Al respecto, lo primero que debe destacarse es la naturaleza de disposición general del Real Decreto 1720/07, cuyo señalamiento preferente se prevé en el artículo 66 de la Ley Jurisdiccional en atención, conforme se expresa en su exposición de motivos, a "evitar innecesarios vacíos normativos y situaciones de inseguridad o interinidad en torno a la validez y vigencia de las normas".

Otra circunstancia también a destacar es el elevado número de los preceptos objeto de impugnación y la incuestionable relevancia de la decisión que adoptemos sobre ellos, a la que implícitamente alude la recurrente cuando en sus alegaciones hace mención a que su vulneración puede dar origen a expedientes sancionadores.

Concretamente la impugnación se dirige contra los siguientes artículos: 5.1.q), in fine; 8.5, párrafo tercero; 10.2, apartados a) y b); 11; 12.2; 13.4; 18; 21.2.a); 23.2.c); 24.3, párrafo primero, último inciso, y párrafo segundo; 38.1.a) y b), 2 y 3; 39; 40.2; 41.1, párrafo segundo, y 2; 42.2; 44, apartado 3, regla primera; 45.1.b) in fine; 46.2, 3 y 4; 47; 49; 69.1.b); 70.3.c), d) y e), y 123.2. También se impugna en el escrito de demanda la rúbrica de la Sección Segunda, del Capítulo I, del Título IV, y la disposición adicional única. Interesándose además que, tras los trámites oportunos, se plantee cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, en los términos expresados en el antecedente de hecho primero.

Pues bien, si a las circunstancias referenciadas debe unirse la no menos trascendente de la inexistencia de una conexión tal entre el artículo 10 del Reglamento, único que plantea dudas sobre su adaptación a la Directiva, y los demás objeto de impugnación, circunstancia ésta última que aleja toda posibilidad de que en un futuro pronunciamiento del Tribunal de Justicia pudieran verse afectados otros preceptos de los impugnados, resulta claro que demorar por más tiempo el pronunciamiento sobre éstos supondría una vulneración del expresado derecho fundamental a un procedimiento sin dilaciones indebidas.

SEGUNDO.- Previamente al examen singular de las normas reglamentarias cuya declaración de nulidad se insta en el suplico del escrito de demanda, en la que también se solicita el planteamiento de cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas sobre los artículos 5.1.q), 10.2. a) y b), 38 y siguientes, y 41.1, así como sobre la disposición adicional única, por razones de método, parece oportuno exteriorizar algunas consideraciones que en gran medida han de servir de pauta interpretativa ya no solo en la exégesis de las disposiciones reglamentarias impugnadas, sino también para decidir sobre el planteamiento de la cuestión prejudicial.

Primera.- En cuanto la Ley Orgánica 15/1999, de 13 de diciembre, al igual que la anterior 5/1992, de 29 de octubre, es desarrollo del artículo 18.4 de la Constitución, en el que se previene que "La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos", debe quedar fuera de toda duda que dicho precepto necesariamente ha de servir de instrumento interpretativo a la hora de analizar el alcance no solo de los preceptos de la Ley sino también de los del Reglamento que con el presente recurso se impugnan.

Y al respecto es obligado constatar que el constituyente, con la redacción del artículo 18.4, estableció la necesidad de que una futura ley impusiera limitaciones a eventuales abusos provenientes del uso de la informática, extendido posteriormente a tratamientos manuales, y ello con la finalidad de garantizar el derecho constitucional al honor y a la intimidad personal y familiar de los ciudadanos y al pleno uso de sus derechos (art. 18.4 CE).

El precepto pretende, como ya tuvo oportunidad de decir el Tribunal Constitucional, proteger la libertad del individuo frente a las potenciales agresiones a la dignidad y a la libertad provenientes del uso ilegítimo de datos mecanizados (STC 254/93, de 20 de julio).

En el sentido expuesto el artículo 1 de la Ley Orgánica 15/1999 expresa que "La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar". Y en parecidos términos se pronuncia el artículo 1 de la Directiva 95/46/CE, de 24 de octubre, al decir, en su apartado 1, que "Los estados miembros garantizarán, con arreglo a las disposiciones de la presente Directiva, la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de datos personales".

Al respecto interesa resaltar que el derecho a la protección de datos de carácter personal es reconocido con el carácter indicado en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea 2000/C 364/1, previniendo en el apartado 2 que "Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley", y que "Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación".

De los artículos de mención fácil resulta inferir que tanto la Directiva como la Ley regulan el derecho a la circulación de datos personales en función del nivel de protección que exigen las libertades públicas y los derechos fundamentales de las personas; en definitiva, marcar las reglas que han de regir los conflictos que pueden surgir entre los expresados derechos.

En sentencia del Pleno del Tribunal Constitucional n.º 292/2000, de 30 de noviembre, se expresa que "... con la inclusión del vigente art. 18.4 CE el constituyente puso de relieve que era consciente de los riesgos que podría entrañar el uso de la informática y encomendó al legislador la garantía tanto de ciertos derechos fundamentales como del pleno ejercicio de los derechos de la persona. Esto es, incorporando un instituto de garantía ““como forma de respuesta a una nueva forma de amenaza concreta a la dignidad y a los derechos de la persona”“, pero que es también, ““en si mismo, un derecho o libertad fundamental”“ (STC 254/1993, de 20 de julio, F.6)" y que "La garantía de la vida privada de la persona y de su reputación poseen hoy una dimensión positiva que excede del ámbito propio del derecho fundamental a la intimidad (art. 18.1 CE), y que se traduce en un derecho de control sobre los datos relativos a la propia persona. La llamada ““libertad informática”“ es así derecho a controlar el uso de los mismos datos insertos en un programa informático (““habeas data”“) y comprende, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención (SSTC 11/1998, F.5, 94/1998, F.4.)".

Continúa diciendo el Tribunal Constitucional en la sentencia de referencia que "Este derecho fundamental a la protección de datos, a diferencia del derecho a la intimidad del art. 18.1 CE, con quien comparte el objetivo de ofrecer una eficaz protección constitucional de la vida privada personal y familiar, atribuye a su titular un haz de facultades que consiste en su mayor parte en el poder jurídico de imponer a terceros la realización y omisión de determinados comportamientos cuya concreta regulación debe establecer la Ley, aquella que conforme al art. 18.4 CE debe limitar el uso de la informática, bien desarrollando el derecho fundamental a la protección de datos (art. 81.1 CE), bien regulando su ejercicio (art. 53.1 CE). La peculiaridad de este derecho fundamental a la protección de datos respecto de aquel derecho fundamental tan afín como es el de la intimidad radica, pues, en su distinta función, lo que apareja, por consiguiente, que también su objeto y contenido difieran" y precisa en su fundamento jurídico 11 sus límites al expresar que "... el derecho a la protección de datos no es ilimitado, y aunque la Constitución no le imponga expresamente límites específicos, ni remita a los Poderes Públicos para su determinación como ha hecho con otros derechos fundamentales, no cabe duda de que han de encontrarlos en los restantes derechos fundamentales y bienes jurídicos constitucionalmente protegidos, pues así lo exige el principio de unidad de la Constitución (SSTC 11/1981, de 8 de abril, F.7; 196/1987, de 11 de diciembre, F.6; y respecto del art. 18, la STC 110/1984, F.5). Esos límites o bien pueden ser restricciones directas del derecho fundamental mismo, a las que antes se ha aludido, o bien pueden ser restricciones al modo, tiempo o lugar de ejercicio del derecho fundamental. En el primer caso, regular esos límites es una forma de desarrollo del derecho fundamental. En el segundo, los límites que se fijan lo son a la forma concreta en la que cabe ejercer el haz de facultades que compone el contenido del derecho fundamental en cuestión, constituyendo una manera de regular su ejercicio, lo que puede hacer el legislador ordinario a tenor de lo dispuesto en el art. 53.1 CE. La primera constatación que debe hacerse, que no por evidente es menos capital, es que la Constitución ha querido que la Ley, y sólo la Ley, pueda fijar los límites a un derecho fundamental. Los derechos fundamentales pueden ceder, desde luego, ante bienes, e incluso intereses constitucionalmente relevantes, siempre que el recorte que experimenten sea necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho fundamental restringido (SSTC 57/1994, de 28 de febrero, F.6; 18/1999, de 22 de febrero, F2).".

Segunda.- A diferencia de los Reglamentos, con incuestionable alcance general normativo inmediato en los Estados miembros, con carácter obligatorio en todos ellos, expresamente reconocido en el artículo 249 de la versión consolidada del Tratado Constitutivo de la Comunidad Europea y, por ello, de aplicación prevalente con respecto a cualquiera disposición general interna, las Directivas obligan al Estado miembro destinatario, siguiendo el precepto citado del Tratado, "en cuanto el resultado que deba conseguirse, dejando, sin embargo, a las autoridades nacionales la elección de la forma y de los medios". No tienen por regla general efecto directo y sí la de armonizar o aproximar la legislación de los países de los Estados miembros, condicionando así la labor legislativa de éstos. Solo en aquellos casos en que el Estado miembro no haya introducido en su legislación el resultado pretendido por la Directiva, podría reconocerse, en atención a la definición del artículo 249 del Tratado, un efecto directo a la Directiva.

El retraso en la transposición de una Directiva por los Estados miembros puede tener trascendencia en cuanto, en virtud del llamado efecto útil, que impide que un Estado pueda oponer a los particulares el incumplimiento de las obligaciones que la Directiva impone (sentencias del Tribunal de Justicia de las Comunidades Europeas de 4 de diciembre de 1974 -asunto 41/74, Van Duyn-, 5 de abril de 1979 -asunto 148/1978, Ratti-, 19 de enero de 1982 -asunto 8/1981, Becker-, 10 de septiembre de 2002, -asunto 145/2000, Kügler-), puede considerarse aplicable directamente.

A la necesidad de coordinar o aproximar las legislaciones de los Estados miembros en la concreción del nivel de protección de los derechos y libertades de las personas con relación al tratamiento de datos personales hace mención el "considerando 8" de la Directiva 95/46/CE, expresando que "... para eliminar los obstáculos a la circulación de datos personales, el nivel de protección de los derechos y libertades de las personas, por lo que se refiere al tratamiento de dichos datos, debe ser equivalente en todos los Estados miembros; que ese objetivo, esencial para el mercado interior, no puede lograrse mediante la mera actuación de los Estados miembros, teniendo en cuenta, en particular, las grandes diferencias existentes en la actualidad entre las legislaciones nacionales aplicables en la materia y la necesidad de coordinar las legislaciones de los Estados miembros para que el flujo transfronterizo de datos personales sea regulado de forma coherente y de conformidad con el objetivo del mercado interior definido en el art. 7 A del Tratado; que, por tanto, es necesario que la Comunidad intervenga para aproximar las legislaciones", para admitir a continuación en el "considerando 9" un cierto grado de maniobra de los Estados miembros al decir que "... a causa de la protección equivalente que resulta de la aproximación de las legislaciones nacionales, los Estados miembros ya no podrán obstaculizar la libre circulación entre ellos de datos personales por motivos de protección de los derechos y libertades de las personas físicas, y, en particular, del derecho a la intimidad; que los Estados miembros dispondrán de un margen de maniobra del cual podrán servirse, en el contexto de la aplicación de la presente Directiva, los interlocutores económicos y sociales; que los Estados miembros podrán, por tanto, precisar en su derecho nacional las condiciones generales de licitud del tratamiento de datos; que al actuar así, los Estados miembros procurarán mejorar la protección que proporciona su legislación en la actualidad; que dentro de los límites de dicho margen de maniobra y de conformidad con el Derecho comunitario, podrán surgir disparidades en la aplicación de la presente Directiva, y que ello podrá tener repercusiones en la circulación de datos tanto en el interior de un Estado miembro como en la Comunidad", y concluir en el 10, que "... las legislaciones nacionales relativas al tratamiento de datos personales tienen por objeto garantizar el respeto de los derechos y libertades fundamentales, particularmente del derecho al respeto de la vida privada reconocido en el art. 8 del Convenido Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, así como en los principios generales del Derecho comunitario; que, por lo tanto, la aproximación de dichas legislaciones no debe conducir a una disminución de la protección que garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección dentro de la Comunidad".

Tercera.- Para afirmar que el alcance del control judicial del ejercicio de la actividad reglamentaria viene delimitado por una reiterada jurisprudencia de la que es claro exponente la de 10 de marzo de 2009, dictada en el recurso contencioso administrativo n.º 85/2007. Dice así en su fundamento de derecho segundo:

"Planteándose en este recurso el control judicial del ejercicio de la potestad reglamentaria, conviene señalar que tal actividad reglamentaria está subordinada a la Ley en sentido material (arts. 97 CE, 51 Ley 30/92 y 23 Ley 50/97), en cuanto no podrán regularse reglamentariamente materias objeto de reserva de ley, material y formal, y sin perjuicio de la función de desarrollo o colaboración con respecto a la Ley, los reglamentos no pueden abordar determinadas materias, como las que indica el citado artículo 23 de la Ley 50/97, de 27 de noviembre, del Gobierno (tipificar delitos, faltas o infracciones administrativas, establecer penas o sanciones, así como tributos, cánones u otras cargas o prestaciones personales o patrimoniales de carácter público).

Desde el punto de vista formal el ejercicio de la potestad reglamentaria ha de sujetarse al procedimiento de elaboración legalmente establecido (arts. 24 y 25 Ley 50/97), con respeto al principio de jerarquía normativa y de inderogabilidad singular de los reglamentos, así como la publicidad necesaria para su efectividad (art. 9.3 CE), según establece el art. 52 de la Ley 30/92.

Las delimitaciones sustantivas y formales de la potestad reglamentaria determinan el ámbito del control judicial de su ejercicio, atribuido por el art. 106 de la Constitución, en relación con el art. 26 de la Ley 50/97 y el art. 1 de la Ley 29/98 a la Jurisdicción Contencioso Administrativa, lo que se plasma en el juicio de legalidad de la disposición general en atención a las referidas previsiones de la Constitución y el resto del ordenamiento, que incluye los principios generales del Derecho (interdicción de la arbitrariedad, proporcionalidad,...), y que conforman las referidas exigencias sustantivas y formales a las que ha de sujetarse, cumplidas las cuales, queda a salvo y ha respetarse la determinación del contenido y sentido de la norma, que corresponde al titular de la potestad reglamentaria que se ejercita y que no puede sustituirse por las valoraciones subjetivas de la parte o del propio Tribunal que controla la legalidad de la actuación, como resulta expresamente del artículo 71.2 de la Ley reguladora de esta Jurisdicción, que aun en el supuesto de anulación de un precepto de una disposición general no permite determinar la forma en que ha de quedar redactado el mismo.

Este alcance del control judicial del ejercicio de la potestad reglamentaria se recoge en la sentencia de 28 de junio de 2004, según la cual: ““además de la titularidad o competencia de la potestad reglamentaria, tradicionalmente se consideran exigencias y límites formales del reglamento, cuyo incumplimiento puede fundamentar la pretensión impugnatoria: la observancia de la jerarquía normativa, tanto respecto a la Constitución y a la Ley (arts. 9.3, 97 y 103 CE), como interna respecto de los propios Reglamentos, según resulta del artículo 23 de la Ley del Gobierno; la inderogabilidad singular de los reglamentos (art. 52.2 de la Ley 30/1992; LRJ y PAC, en adelante); y el procedimiento de elaboración de reglamentos, previsto en el artículo 105 CE y regulado en el artículo 24 de la Ley 50/97. Y se entiende que son exigencias y límites materiales, que afectan al contenido de la norma reglamentaria, la reserva de ley, material y formal, y el respeto a los principios generales del Derecho. Pues, como establece el artículo 103 CE, la Administración está sometida a la Ley y al Derecho; un Derecho que no se reduce al expresado en la Ley sino que comprende dichos Principios en su doble función legitimadora y de integración del ordenamiento jurídico, como principios técnicos y objetivos que expresan las ideas básicas de la comunidad y que inspiran dicho ordenamiento.

En nuestra más reciente jurisprudencia se ha acogido también, de manera concreta, como límite de la potestad reglamentaria la interdicción de la arbitrariedad, establecida para todos los poderes públicos en el artículo 9.3 CE. Principio que supone la necesidad de que el contenido de la norma no sea incongruente o contradictorio con la realidad que se pretende regular, ni con la "naturaleza de las cosas" o la esencia de las instituciones.

Ahora bien, respetadas tales exigencias, el Gobierno, titular de la potestad reglamentaria (art. 97 CE y 23 de la Ley del Gobierno, Ley 50/1997, de 27 de noviembre), puede utilizar las diversas opciones legítimas que permite la discrecionalidad que es inherente a dicha potestad. O, dicho en otros términos, nuestro control jurisdiccional, en el extremo que se analiza, se extiende a la constatación de la existencia de la necesaria coherencia entre la regulación reglamentaria y la realidad sobre la que se proyecta, pero no alcanza a valorar, como no sea desde el parámetro del Derecho, los distintos intereses que subyacen en el conflicto que aquélla trata de ordenar, careciendo este Tribunal de un poder de sustitución con respecto a la ponderación efectuada por el Gobierno. Y ni siquiera procede declarar la invalidez de la norma por razón de la preferencia que de aquellos intereses refleje la disposición reglamentaria, como no suponga una infracción del ordenamiento jurídico, aunque sea entendido en el sentido institucional con que es concebido tradicionalmente en el ámbito de esta jurisdicción (arts. 83 de la Ley de la Jurisdicción de 1956, y 70 y 71 de la Ley de 1998), y que se corresponde con el sentido del citado artículo 9 de la Constitución (Cfr. SSTS 26 de febrero y 17 de mayo de 1999, 13 de noviembre, 29 de mayo y 9 de julio de 2001, entre otras)”“."

En aplicación de la doctrina expuesta debe admitirse que las disposiciones reglamentarias no solo pueden sino que deben incidir en todo aquello que resulte indispensable para asegurar la correcta aplicación y la plena efectividad de la ley que desarrollan.

El reglamento ejecutivo no puede, sin duda, instaurar "ex novo" o agravar cargas y obligaciones no previstas en la ley que desarrolla, debiendo limitarse a establecer, sin ampliar el ámbito de la ley, aquellas normas indispensables que, bien por motivos técnicos, bien para optimizar el cumplimiento de aquella, sean precisas para asegurar la efectividad de esta. En ningún caso pueden limitar derechos, facultades o posibilidades contenidas en la Ley misma, pero su naturaleza de complemento indispensable para la aplicación de la ley habilita para que incluyan además de normas de organización y procedimiento, aquellas otras que complementen disposiciones vagas o imprecisas o enunciadas en la ley solo a nivel de principios.

Cuarta.- El Reglamento impugnado es un Reglamento de desarrollo o ejecución que viene a dar respuesta a la habilitación genérica prevista en la disposición final primera de la Ley 15/1999, en la que se dice, bajo el epígrafe "Habilitación para el desarrollo reglamentario", que "El Gobierno aprobará o modificará las disposiciones reglamentarias necesarias para la aplicación y desarrollo de la presente Ley". Pero también responde a concretas remisiones o habilitaciones legales específicas, como son las de los artículos 4,5, párrafo tercero, 9.3, 20.1, 26.2, 37.2, párrafo segundo, 38, 39.3, 45.7, 48.1 y las de la disposición transitoria segunda.

Quinta.- La obligación de someter una cuestión prejudicial al Tribunal de Justicia, prevista en el párrafo 3.º del artículo 234 del Tratado de la Comunidad Europea "se inscribe", como se dice en la sentencia de 12 de junio de 2008 de dicho Tribunal (asunto 458/2006, Skatteverker), "en el marco de la colaboración entre los órganos jurisdiccionales nacionales, en su condición de... encargados de aplicar el Derecho comunitario y el Tribunal de Justicia, establecida a fin de garantizar la aplicación correcta y la interpretación uniforme del Derecho comunitario en todos los Estados miembros. Esta obligación tiene por objetivo principal impedir que se consolide en un Estado miembro cualquiera una jurisprudencia nacional que no se ajuste a las normas del derecho comunitario".

La decisión de plantear una cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas corresponde exclusivamente al órgano jurisdiccional nacional que conoce del litigio y está en función de la necesidad de contar con una interpretación del Derecho comunitario que se presenta como esencial para que el órgano jurisdiccional nacional pueda resolver con absoluto respeto de ese derecho, la cuestión jurídica sometida a su decisión.

Haciendo uso de esa facultad, por auto de esta fecha referenciado en el antecedente de hecho sexto, se plantea cuestión prejudicial con respecto al artículo 10.2.b) del Reglamento impugnado.

TERCERO.- Hechas las consideraciones precedentes procede entrar a examinar las concretas disposiciones que del Reglamento son objeto de impugnación por la recurrente, en cuyo análisis daremos también respuesta a la propuesta de planteamiento de las cuestiones prejudiciales, no sin antes advertir, acogiendo la argumentación del Abogado del Estado, que la Asociación recurrente carece de legitimación para impugnar los artículos 45.1.b), 46.2 b) y c), y 3, 47 y 49.1 y 4, y que, en consecuencia, incurre el recurso en causa de inadmisibilidad parcial (artículo 68.1.a) en relación con el artículo 69 b), ambos de la Ley Jurisdiccional).

Ubicados los artículos de mención en el Capítulo II del Título IV, relativo a los tratamientos para actividades de publicidad y prospección comercial, está fuera de toda duda que, en aplicación de una reiterada jurisprudencia tanto constitucional como ordinaria, la recurrente carece del derecho o interés legítimo que se contempla en el artículo 19.1 de la Ley Jurisdiccional. Delimitado el concepto de ““derecho o interés legítimo”“ en atención a la pretensión ejercitada, en función de si la anulación que se pretende del acto o disposición impugnados supone un concreto beneficio o la evitación de un singular perjuicio a quien ejercita la acción, esto es, una utilidad específica que va más allá del interés genérico de que las Administraciones Públicas actúen conforme a derecho, no cabe apreciar legitimación impugnatoria a quien como la Asociación recurrente, no le guía en el ejercicio de su acción otro interés que el genérico de referencia.

En sentencia del Pleno de esta Sala de 31 de mayo de 2006 se dice que:

"La legitimación es un presupuesto inexcusable del proceso e implica en el proceso contencioso-administrativo, como hemos señalado en la doctrina de esta Sala (por todas, sentencias de 11 de febrero de 2003, recurso n.º 53/2000, 6 de abril de 2004 y 23 de abril de 2005, recurso 6154/2002), una relación material unívoca entre el sujeto y el objeto de la pretensión, de tal forma que su anulación produzca automáticamente un efecto positivo (beneficio) o negativo (perjuicio), actual o futuro, pero cierto, que debe repercutir de manera clara y suficiente en la esfera jurídica de quien acude al proceso y este criterio lo reitera la jurisprudencia constitucional (por todas, en SSTC núms. 197/88, 99/89, 91/95, 129/95, 123/96 y 129/2001, entre otras), pudiéndose concretar algunos criterios interpretativos de la doctrina jurisprudencial en los siguientes puntos:

a) La importancia del interés, que desde el punto de vista procedimental administrativo y procesal jurisdiccional es una situación reaccional, en evi
El Imparcial.  Todos los derechos reservados.  ®2019   |  www.elimparcial.es