Para que en nuestro país se pueda proceder al conocimiento, tratamiento o cesión de los datos de carácter personal sin el preceptivo consentimiento de su titular, es necesario cumplir con los siguientes requisitos, establecidos tanto por la Ley Orgánica 15/1999 de Protección de datos de carácter personal como su Reglamento de desarrollo aprobado por el Real Decreto 1720/2007:
- Que los datos figuren en algunas de las denominadas “Fuentes de acceso público” que la propia LOPD se encarga de señalar, estricto sensu, los repertorios telefónicos, el censo promocional, las listas de personas pertenecientes a grupos profesionales, los Diarios y Boletines Oficiales y los medios de comunicación.
- La existencia de un interés legítimo por el responsable del fichero que pretenda tratar los datos o por el tercero a quien se comuniquen los mismos.
- Y que con el mero conocimiento, o el tratamiento o la cesión de datos, no se vulneren derechos y libertades fundamentales del titular de los datos.
Sin embargo, la Directiva europea 95/46/CE sobre Protección de Datos Personales, cuyos principios deben transponerse a nuestro Derecho nacional, establece que para que los datos personales puedan ser tratados sin el consentimiento de su titular basta con que se cumplan los dos últimos requisitos mencionados, sin que exista mención alguna en su texto a la necesidad de la obtención de los mismos de Fuentes de acceso público.
Esta diferencia en la regulación normativa española parece contravenir la norma comunitaria, cuya finalidad principal es disciplinar la libre circulación de datos de carácter personal entre los países de la unión sin mermar la garantía de los citados derechos y libertades fundamentales, por lo que no cabe que los Estados miembros impongan mayores restricciones que las prevista por el legislador comunitario. Es decir los Estados miembros no pueden establecer otras excepciones y limitaciones que las que se contemplan en el artículo 13 de la Directiva, entre los que no se encuentra una restricción como la añadida sobre las Fuentes de acceso público por el legislador español en el artículo 6, apartado 2, in fine, de la LOPD y en el 10, apartado 2, letra b), de su Reglamento.
Pues bien, la resolución a este conflicto, está pendiente de ser tomada por el Tribunal de Justicia de la Unión Europea, tras habérsele planteado por nuestro Tribunal Supremo una Cuestión Prejudicial a través de la Sentencia de 15 de julio de 2010 que vino a desestimar parcialmente el recurso contencioso administrativo que en el año 2008 interpuso la Federación Comercio Electrónico y Marketing Directo (FECEMD) contra el Real Decreto 1720/2007.
Si finalmente el Tribunal de la Unión falla en la línea de lo que nuestra instancia suprema considera, y por tanto entiende que los Estados miembros no pueden añadir requisitos adicionales en esta cuestión, quedaría sin efecto el artículo 10.2b) del Reglamento, lo que a la postre podría suponer para el mercado el poder ampliar los orígenes de la obtención y tratamiento de datos de carácter personal y reducir la restricción actual de las Fuentes de acceso público a tener en cuenta por el Titular de cualquier fichero, si bien como ya sucede en otros Estados de la Unión, la Agencia de Protección de datos, deberá analizar caso por caso, determinando con sus Recomendaciones y Opiniones la frontera para salvaguardar el equilibrio necesario entre el interés legítimo y los derechos del titular.
En esta línea, y aún siendo diferente el precepto legal aplicable (art. 6.2. mención segunda de la LOPD), ya existe en nuestro país una reciente modificación de los criterios de interpretación que la Agencia ha venido manteniendo con anterioridad sobre las restricciones aplicables en relación a la indagación de datos de carácter personal por parte de las entidades dedicadas a la comercialización de ficheros o la realización de gestiones de cobro y recobro para obtener información adicional de localización del deudor a fin de poder comunicarle la existencia de la deuda y lograr proceder a su cobro, en supuestos en los que se haya producido un cambio en los datos inicialmente proporcionados por el mismo en el momento de la contratación del servicio solicitado al acreedor.
La nueva doctrina, viene referida por los pronunciamientos de la Audiencia Nacional en estas dos Sentencias de fechas 14.05.2009 y 21.01.2010 de tal forma, que la recolección de los datos actualizados se podrá llevar a cabo tanto a través de fuentes accesibles al público, detectives privados o incluso familiares del deudor, siempre que se realice por la propia entidad titular del contrato, o través de un encargado del tratamiento que opere en su nombre.
En axesor mantenemos el tratamiento de los datos de carácter personal escrupulosamente ceñido a la normativa en vigor.
Jose Ramón Moreno Navarro, Responsable del Departamento Jurídico de axesor.