06
abril
2016

NOTAS DE URGENCIA SOBRE LA SENTENCIA DEL TRIBUNAL DE JUSTICIA DE LA UE DE 1 DE OCTUBRE DE 2015 Y SUS CONSECUENCIAS PARA EL MARCO EUROPEO DE INTEROPERABILIDAD

TRIBUNAL JUSTICIA UE
Dicha Sentencia se dicta en el marco de un procedimiento prejudicial en el que un Tribunal Rumano cuestiona la adecuación de la Ley de ese país a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que se refiere a los principios relativos a la calidad de los datos.

Se analiza el marco jurídico relativo al tratamiento de datos personales, la obligación de informar a los interesados, sus excepciones y limitaciones y su aplicación al caso concreto de una transmisión por una administración pública de un Estado miembro de datos fiscales personales para su tratamiento por otra administración pública.

La cuestión se planteó en el marco de un litigio entre, por un lado, unos particulares y, por otro lado, la Caja Nacional del Seguro de Enfermedad; en lo sucesivo, «CNAS») y la Agencia Nacional de Administración Tributaria; en lo sucesivo, «ANAF», a propósito del tratamiento de ciertos datos.

Los recurrentes en el procedimiento principal obtienen ingresos de actividades por cuenta propia. La ANAF transmitió a la CNAS los datos relativos a sus ingresos declarados. Basándose en estos datos, la CNAS reclamó el pago de atrasos de cotizaciones al régimen de seguro de enfermedad. Es decir, la Agencia Tributaria cruzó sus datos con la Administración de la Seguridad Social para verificar si los recurrentes estaban al corriente en el pago de sus cotizaciones. Autrement dit, se hace efectiva la interoperabilidad con menoscabo del principio de proporcionalidad de los datos en términos de la directiva.

Los recurrentes en el procedimiento principal interpusieron un recurso ante la Curtea de Apel Cluj (tribunal de apelación ed Cluj, Rumanía) impugnando la legalidad de la transmisión de los datos fiscales relativos a sus ingresos con arreglo a la Directiva 95/46. Alegan que esos datos personales fueron transmitidos y utilizados, sin otra base que un mero protocolo interno, para fines distintos de aquéllos para los que habían sido inicialmente comunicados a la ANAF, sin su consentimiento expreso y sin haber sido previamente informados de ello.

Se desprende de la resolución de remisión que los organismos públicos están facultados, en virtud de la Ley nº 95/2006, para transmitir datos personales a las cajas de seguro de enfermedad con el fin de que éstas puedan determinar la condición de asegurado de los interesados. Tales datos se refieren a la identificación de las personas (nombre, apellido, número de identificación personal, domicilio), pero no incluyen los relativos a los ingresos obtenidos.

El órgano jurisdiccional remitente pretende dilucidar si el tratamiento de los datos por la CNAS requería la previa información de los interesados acerca de la identidad del responsable del tratamiento de los datos y de la finalidad con que se transmitían esos datos. Dicho órgano jurisdiccional ha de pronunciarse asimismo acerca de si la transmisión de los datos basada en el Protocolo de 2007 es contraria a las disposiciones de la Directiva 95/46, que exigen que cualquier restricción de los derechos de los interesados esté prevista por la Ley y vaya acompañada de garantías, especialmente cuando los datos se utilizan en su contra.

En tales circunstancias, la Curtea de Apel Cluj decidió suspender el procedimiento y plantear al Tribunal de Justicia, entre otras, la siguiente cuestión prejudicial:

 

«4) ¿Puede tratar los datos personales una autoridad que no era destinataria de los mismos, si dicha operación crea, de modo retroactivo, un perjuicio patrimonial?»

Para analizar la cuestión, el TJUE toma en consideración, de una parte, el marco jurídico de la propia directiva así como la legislación rumana.

 

Marco jurídico de la Directiva

 

El artículo 6 de la Directiva 95/46/CE:

«1. Los Estados miembros dispondrán que los datos personales sean:

a) tratados de manera leal y lícita;

b) recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dichos fines; no se considerará incompatible el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando los Estados miembros establezcan las garantías oportunas;

c) adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente;

d) exactos y, cuando sea necesario, actualizados; deberán tomarse todas las medidas razonables para que los datos inexactos o incompletos, con respecto a los fines para los que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o rectificados;

e) conservados en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente. Los Estados miembros establecerán las garantías apropiadas para los datos personales archivados por un período más largo del mencionado, con fines históricos, estadísticos o científicos. »

 

El artículo 7 de esta misma Directiva, que trata sobre los principios relativos a la legitimación del tratamiento de datos, declara:

«Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si:

a) el interesado ha dado su consentimiento de forma inequívoca, o

b) es necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado, o

c) es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o

d) es necesario para proteger el interés vital del interesado, o

e) es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos, o

f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.»

 

El artículo 10 de la Directiva 95/46, bajo el título «Información en caso de obtención de datos recabados del propio interesado», establece lo siguiente:

«Los Estados miembros dispondrán que el responsable del tratamiento o su representante deberán comunicar a la persona de quien se recaben los datos que le conciernan, por lo menos la información que se enumera a continuación, salvo si la persona ya hubiera sido informada de ello:

a) la identidad del responsable del tratamiento y, en su caso, de su representante;

b) los fines del tratamiento de que van a ser objeto los datos;

c) cualquier otra información tal como:

- los destinatarios o las categorías de destinatarios de los datos,

- el carácter obligatorio o no de la respuesta y las consecuencias que tendría para la persona interesada una negativa a responder,

- la existencia de derechos de acceso y rectificación de los datos que la conciernen, en la medida en que, habida cuenta de las circunstancias específicas en que se hayan obtenido los datos, dicha información suplementaria resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado.»

 

El artículo 11 de esta Directiva, titulado «Información cuando los datos no han sido recabados del propio interesado», está redactado en los siguientes términos:

«1. Cuando los datos no hayan sido recabados del interesado, los Estados miembros dispondrán que el responsable del tratamiento o su representante deberán, desde el momento del registro de los datos o, en caso de que se piense comunicar datos a un tercero, a más tardar, en el momento de la primera comunicación de datos, comunicar al interesado por lo menos la información que se enumera a continuación, salvo si el interesado ya hubiera sido informado de ello:

a) la identidad del responsable del tratamiento y, en su caso, de su representante;

b) los fines del tratamiento de que van a ser objeto los datos;

c) cualquier información adicional como:

- las categorías de los datos de que se trate,

- los destinatarios o las categorías de destinatarios de los datos,

- la existencia de derechos de acceso y rectificación de los datos que la conciernen, en la medida en que, habida cuenta de las circunstancias específicas en que se hayan obtenido los datos, dicha información suplementaria resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado.

2. Las disposiciones del apartado 1 no se aplicarán, en particular para el tratamiento con fines estadísticos o de investigación histórica o científica, cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados o el registro o la comunicación a un tercero estén expresamente prescritos por ley. En tales casos, los Estados miembros establecerán las garantías apropiadas.»

 

A tenor del artículo 13 de la Directiva, titulado «Excepciones y limitaciones»:

«1. Los Estados miembros podrán adoptar medidas legales para limitar el alcance de las obligaciones y los derechos previstos en el apartado 1 del artículo 6, en el artículo 10, en el apartado 1 del artículo 11, y en los artículos 12 y 21 cuando tal limitación constituya una medida necesaria para la salvaguardia de:

a) la seguridad del Estado;

b) la defensa;

c) la seguridad pública;

d) la prevención, la investigación, la detección y la represión de infracciones penales o de las infracciones de la deontología en las profesiones reglamentadas;

e) un interés económico y financiero importante de un Estado miembro o de la Unión Europea, incluidos los asuntos monetarios, presupuestarios y fiscales;

f) una función de control, de inspección o reglamentaria relacionada, aunque sólo sea ocasionalmente, con el ejercicio de la autoridad pública en los casos a que hacen referencia las letras c), d) y e);

g) la protección del interesado o de los derechos y libertades de otras personas.

2. Sin perjuicio de las garantías legales apropiadas, que excluyen, en particular, que los datos puedan ser utilizados en relación con medidas o decisiones relativas a personas concretas, los Estados miembros podrán, en los casos en que manifiestamente no exista ningún riesgo de atentado contra la intimidad del interesado, limitar mediante una disposición legal los derechos contemplados en el artículo 12 cuando los datos se vayan a tratar exclusivamente con fines de investigación científica o se guarden en forma de archivos de carácter personal durante un período que no supere el tiempo necesario para la exclusiva finalidad de la elaboración de estadísticas.»

 

Marco jurídico de la ley rumana

 

El artículo 215 de la Ley n 95/2006 sobre la reforma del sector sanitario, de 14 de abril de 2006, dispone lo siguiente:

«1) La obligación de abonar la cotización para el seguro de enfermedad incumbe a la persona física o jurídica que contrata personal sobre la base de un contrato individual de trabajo o de un estatuto especial previsto por la Ley, así como, en su caso, a las personas físicas.

2) Las personas jurídicas o físicas para las cuales los asegurados efectúan su actividad están obligadas a presentar cada mes a la caja de seguro de enfermedad que elija libremente el asegurado las declaraciones nominativas sobre las obligaciones que les incumben respecto del fondo y la prueba de haber efectuado el pago de las cotizaciones.

[...]»

 

El artículo 315 de dicha Ley dispone lo siguiente:

«Las autoridades, instituciones públicas y otras instituciones transmitirán gratuitamente a las cajas del seguro de enfermedad, sobre la base de un protocolo, los datos necesarios para determinar la condición de asegurado.»

 

El artículo 35 de la Orden nº 617/2007 del Presidente de la Caja Nacional del Seguro de Enfermedad, de 13 de agosto de 2007, por la que se aprueban las normas de ejecución relativas a la determinación de los documentos justificativos para la adquisición de la condición de asegurado, o de asegurado sin pago de cotización, y a la aplicación de medidas de ejecución forzosa para el cobro de las cantidades adeudadas al Fondo nacional único del seguro de enfermedad, dispone lo siguiente:

«[...] para las obligaciones de pago al fondo a cargo de las personas físicas que se aseguran mediante contrato de seguro, distintas de aquéllas respecto de las cuales la ANAF efectúa el pago, constituyen título de deuda, según los casos, la declaración […], la liquidación expedida por el organismo competente de la CAS [Caja del Seguro de Enfermedad], y las resoluciones judiciales sobre los créditos del fondo. La liquidación podrá ser expedida por el organismo competente de la CAS y sobre la base de la información transmitida en virtud del Protocolo de la ANAF.»

 

A tenor del artículo 4 del Protocolo nº P 5282/26.10.2007/95896/30.10.2007 celebrado entre la CNAS y la ANAF (en lo sucesivo, «Protocolo de 2007»):

«Tras la entrada en vigor del presente Protocolo, la [ANAF] transmitirá en formato electrónico, a través de sus unidades especiales subordinadas, la base de datos inicial relativa a:

a. los ingresos de las personas que pertenecen a las categorías contempladas en el artículo 1, apartado 1, del presente Protocolo y, cada tres meses, la actualización de dicha base de datos, a la [CNAS], en una forma que permita su tratamiento automatizado, con arreglo al anexo I del presente Protocolo [...]»

 

Marco jurídico español

 

El art. 11 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal dispone:

«1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

2. El consentimiento exigido en el apartado anterior no será preciso:

a) Cuando la cesión está autorizada en una ley.

b) Cuando se trate de datos recogidos de fuentes accesibles al público.

c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros.

En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

e) Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

3. Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar.

4. El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.

5. Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley.

6. Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.»

 

Por su parte, el art. 21.1 de la LOPD dice que los datos de carácter personal recogidos o elaborados por las Administraciones públicas para el desempeño de sus atribuciones no serán comunicados a otras Administraciones públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la comunicación hubiere sido prevista por las disposiciones de creación del fichero o por disposición de superior rango que regule su uso, o cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

 

El inciso resaltado en negrita fue declarado inconstitucional por la Sentencia del TC 292/2000, de 30 de noviembre que, entre otras consideraciones, argumentaba lo siguiente:

«El interés público en sancionar infracciones administrativas no resulta, en efecto, suficiente, como se evidencia en que ni siquiera se prevé como límite para el simple acceso a los archivos y registros administrativos contemplados en el art. 105 b) C.E. Por lo que la posibilidad de que, con arreglo al art. 24.1 L.O.P.D., la Administración pueda sustraer al interesado información relativa al fichero y sus datos según dispone el art. 5.1 y 2 L.O.P.D., invocando los perjuicios que semejante información pueda acarrear a la persecución de una infracción administrativa, supone una grave restricción de los derechos a la intimidad y a la protección de datos carente de todo fundamento constitucional. Y cabe observar que se trata, además, de una práctica que puede causar grave indefensión en el interesado, que puede verse impedido de articular adecuadamente su defensa frente a un posible expediente sancionador por la comisión de infracciones administrativas al negarle la propia Administración acceso a los datos que sobre su persona pueda poseer y que puedan ser empleados en su contra sin posibilidad de defensa alguna al no poder rebatirlos por resultarle ignotos al afectado. La propia L.O.P.D. establece en su art. 13 que los ciudadanos "tienen derecho a no verse sometidos a una decisión con efectos jurídicos, sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad". Criterios difícilmente compatibles con la denegación del derecho a ser informado del art. 5 L.O.P.D. acordada por la Administración Pública con el único fundamento de la persecución de una infracción administrativa.»

La propia AEPD (Informe 0516/2008) dice que «lo decisivo es la prohibición expresa de que los datos se comuniquen para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas a aquellas que motivaron la recogida de los datos, de modo que para que pueda procederse a la cesión descrita en la consulta sin el consentimiento de los interesados, la petición de datos formulada por el Ayuntamiento debería determinar con claridad que los datos se solicitan para el ejercicio de competencias sobre la misma materia.»

 

Decisión del TJUE

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Tercera) declara:

Los artículos 10, 11 y 13 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, deben interpretarse en el sentido de que se oponen a medidas nacionales, como las que son objeto del procedimiento principal, que permiten a una administración pública de un Estado miembro transmitir datos personales a otra administración pública y el subsiguiente tratamiento de esos datos, sin que los interesados hayan sido informados de esa transmisión ni de ese tratamiento.

 

Conclusiones

De la lectura de la decisión de la Sentencia comentada parece deducirse que toda transmisión de datos entre AAPP debe estar prevista en una norma con rango de Ley que concrete los supuestos habilitantes contemplados en la Directiva. El propio TC declaró inconstitucional la posibilidad de excepcionar la regla el consentimiento de manera genérica y ahora el TJUE viene a reforzar el requisito de que la posibilidad de la transmisión y tratamiento de los datos debe ser objeto de información a los interesados, haciéndoles saber que los datos que pongan a disposición del Ayuntamiento pueden ser objeto de transmisión a otras AAPP en ejercicio de sus funciones y competencias, salvo que los datos que se vayan a transmitir sean necesarios para el ejercicio de competencias sobre la misma materia.

De este modo, el Ayuntamiento sólo podrá solicitar la transmisión de datos relativos a materias propias de su competencia y que hayan sido recogidos para el ejercicio de la misma competencia por otras AAPP. En sentido contrario, el Ayuntamiento sólo podrá transmitir datos para el ejercicio de la misma competencia por otras AAPP.

Ahora bien, vistos los arts. 25, 26 y 27 de la LRBRL ¿Cuándo se podrá entender que se trata del ejercicio de la misma competencia por parte del Ayuntamiento en relación con otras AAPP? Parece que lo más prudente es reformular las cláusulas de todos los formularios de toma de datos personales para dejar muy claro que los interesados autorizan la transmisión.

No hay que olvidar que el art. 13.h) de la Ley 39/2015 reconoce el derecho a la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.

Sin embargo, el art. 28.2 de esta Ley dice que los interesados no estarán obligados a aportar documentos que hayan sido elaborados por cualquier Administración, con independencia de que la presentación de los citados documentos tenga carácter preceptivo o facultativo en el procedimiento de que se trate, siempre que el interesado haya expresado su consentimiento a que sean consultados o recabados dichos documentos. Se presumirá que la consulta u obtención es autorizada por los interesados salvo que conste en el procedimiento su oposición expresa o la ley especial aplicable requiera consentimiento expreso.

En ausencia de oposición del interesado, las Administraciones Públicas deberán recabar los documentos electrónicamente a través de sus redes corporativas o mediante consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto.

Esta previsión ¿se ajusta a la interpretación de la Directiva contenida en la Sentencia comentada? La presunción de autorización de la consulta ¿se extiende al tratamiento y transmisión de datos si dicha operación crea, de modo retroactivo, un perjuicio patrimonial?

 

César Herrero

Abril de 2016

Etiquetas
3 comentarios
1
M.A. Lázaro Transmisión de información de pagos presupuestarios
miércoles, 6 de abril de 2016 14:36:43
Se me plantea la duda de si la remisión de información de pagos presupuestarios (modelo 997) a la Agencia Tributaria estaría dentro de este tipo de información que se intercambia y crea un "perjuicio patrimonial". Esta información se remite electrónicamente como obligación derivada de un convenio de intercambio de información en materia de recaudación. Sin embargo, a los proveedores no se les ha anticipado la posibilidad de que su pago presupuestario sea embargado. No se les ha hecho firmar en la ficha de terceros esta autorización. Por otro lado, la Agencia Tributaria recauda en ejercicio de una competencia propia.
2
cesar herrero Transmisión de pagos prespuestarios
jueves, 7 de abril de 2016 8:33:15
Pues parece que el supuesto de hecho encaja como anillo al dedo en el caso de la Sentencia comentada. Por prudencia, parece que habría que requerirles el consentimiento en el momento de la captura de los datos o, al menos, advertirles que esa información va a ser transmitida. Otra cosa es que el art. 28.2 de la Ley 39/2015 (cuando entre en vigor) se adapte a esta doctrina. Saludos
3
a001@tavernes.org Reglamento UE 2016/379
lunes, 16 de mayo de 2016 14:19:27
Se ha publicado el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Según el art. 99, será aplicable a partir del 25 de mayo de 2018. En su considerando 32) se dice: <<El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que...
Añadir un nuevo comentario