El Tribunal Supremo declara nulos varios preceptos del RLOPD

El Tribunal Supremo declara nulos varios preceptos del RLOPD

El pasado 27 de julio el Tribunal Supremo dio a conocer tres sentencias (sobre los recursos contenciosos administrativos 23/2008, 25/2008 y 26/2008) en que se declaran nulos, por ser contrarios a derecho, los artículos 11, 18, 38. 2, y 123.2 así como de la última frase del artículo 38.1.a), del Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, RLOPD y LOPD, respectivamente).

El Tribunal considera que el artículo 11 del RLOPD que permitía la verificación por las Administraciones Públicas de datos en solicitudes formuladas por los ciudadanos sin requerir consentimiento de estos, habilita una cesión de datos al margen de los supuestos autorizados por los artículos 6 y 11 de la LOPD. La declaración de nulidad del precepto conlleva una garantía de protección de los datos de personas físicas ante la gestión de las Administraciones Públicas, pero también una incomodidad para el ciudadano, que deberá volver a declarar los datos personales de que se trate o acreditar su autenticidad. Este problema podría resolverse incorporando en los formularios que rellenen los ciudadanos una autorización expresa para la verificación o comunicación de datos por parte de la Administración correspondiente.

El Tribunal declara nulo el artículo 18 del RLOPD (“Acreditación del cumplimiento del deber de información”) por imponer al responsable del fichero, ilegítimamente y sin respaldo en la LOPD, la obligación de la constancia documental o acreditación del deber de información al afectado. El Supremo expresa que la LOPD “ninguna referencia contiene a la forma, abriendo así múltiples posibilidades (escrita, verbal, telemática, etc.) (…). En consecuencia, debe considerarse que el legislador ha optado por la libertad de forma”. La Sentencia suprime, con este artículo, dos obligaciones: la de informar por un medio que permita acreditarlo, y la de conservar el soporte en el que conste el cumplimiento del deber de informar.

En el artículo 38 (sobre requisitos para la inclusión de los datos en ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado) se expresa que es requisito para esa inclusión la “existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada”. Se elimina la frase “y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero”. La supresión de esta frase, por defectuosa redacción e inconcreción de su contenido (ya que permite considerar que incluso cuando la reclamación se formule por el acreedor exista la imposibilidad de inclusión de los datos en el fichero), afecta a la defensa del ciudadano ante las prácticas de empresas que ante una deuda incluyen los datos de sus “deudores” en un fichero de morosos por deudas sobre cuya existencia o cuantía puede haber discrepancia.

La declaración de nulidad del artículo 38.2 beneficia a las empresas y demás responsables de fichero, ya que este párrafo trasladaba a estos la carga de la prueba de la concurrencia de los requisitos del artículo 38.1 en términos que originan una inseguridad jurídica que podría dar lugar a apertura de expedientes sancionadores. Sin embargo, para el ciudadano aumenta la desprotección, ya que no puede combatir la presunción del declarante. Deberá seguir observándose el derecho a la impugnación de las valoraciones (art. 13 LOPD), “Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos, sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad”, debiendo admitir las empresas titulares de ficheros de solvencia patrimonial la impugnación de las deudas inscritas y del acceso de entidades a los datos, por ejemplo, para decidir la denegación de crédito.

Por último, el artículo 123.2 (“Personal competente para la realización de actuaciones previas”) trata la potestad de designación del Director de la AEPD en relación con supuestos excepcionales no delimitados, con una falta de concreción que supone una libertad de designación incompatible con el limitado y específico de la encomienda de gestión de los artículos 35, 37 y 40 de la LOPD.

Áudea, Seguridad de la Información

www.audea.com