La sentencia de la Sala Tercera del Tribunal de Justicia de la Unión Europea, que tiene su sede en Luxemburgo, está fechada el 24 de noviembre, tras una vista celebrada el 15 de septiembre. Con el presidente de la Sala, K. Lenaerts, como ponente, responde a una petición de decisión prejudicial planteada por el Tribunal Supremo español recibida el 28 de septiembre de 2010. El Supremo remite un recurso planteado por la Asociación Nacional de Establecimientos Financieros de Crédito (Asnef), la Federación de Comercio Electrónico y Marketing Directo (Fecemd), el sindicato UGT, Telefónica de España, France Telecom España, Telefónica Móviles de España, Vodafone España y la Asociación de Usuarios de la Comunicación. Por la parte contraria, la Administración del Estado.
La cuestión central es la interpretación del artículo 7, letra f), de la Directiva 95/46/CE, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de éstos. La sentencia considera que "las diferencias entre los niveles de protección de los derechos y libertades de las personas y, en particular, de la intimidad, garantizados en los Estados miembros por lo que respecta al tratamiento de datos personales, pueden impedir la transmisión de dichos datos del territorio de un Estado miembro al de otro". Y que, por tanto, "estas diferencias pueden constituir un obstáculo para el ejercicio de una serie de actividades económicas a escala comunitaria, falsear la competencia".
Y concluye que "estas diferencias en los niveles de protección se deben a la disparidad existente entre las disposiciones legales, reglamentarias y administrativas de los Estados miembros".
También argumenta que "para eliminar los obstáculos a la circulación de datos personales, el nivel de protección de los derechos y libertades de las personas, por lo que se refiere al tratamiento de dichos datos, debe ser equivalente en todos los Estados miembros". Y que "ese objetivo, esencial para el mercado interior, no puede lograrse mediante la mera actuación de los Estados miembros, teniendo en cuenta, en particular, las grandes diferencias existentes en la actualidad entre las legislaciones nacionales aplicables en la materia y la necesidad de coordinar las legislaciones de los Estados miembros para que el flujo transfronterizo de datos personales sea regulado de forma coherente y de conformidad con el objetivo del mercado interior". Por tanto, "es necesario que la Comunidad intervenga para aproximar las legislaciones", señala la Sala Tercera del Tribunal de Justicia de la Unión Europea.
Pero esa aproximación de las legislaciones nacionales sobre protección de datos "no debe conducir a una disminución de la protección que garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección dentro de la Comunidad", subraya la sentencia.
Resulta que en España la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que adapta el Derecho nacional a la Directiva 95/46, "supedita el tratamiento de los datos a la prestación del consentimiento inequívoco del afectado". El artículo 6, apartado 2, de dicha Ley dispone que no será preciso el consentimiento, entre otros supuestos, "cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado".
El artículo 11, apartado 1, recuerda la necesidad del consentimiento del interesado para poder comunicar a terceros los datos de carácter personal, si bien el apartado 2 dispone que el consentimiento no será necesario, en particular, cuando se trate de datos recogidos de fuentes accesibles al público.
El recurso de Asnef y de las otras entidades se basa en que la normativa española "añade al requisito del interés legítimo como presupuesto del tratamiento de los datos sin consentimiento del titular un requisito que no está presente en la Directiva 95/46: que los datos consten en fuentes accesibles al público". El Tribunal Supremo argumenta que si el Tribunal de Justicia estimase que no corresponde a los Estados miembros añadir requisitos adicionales a los establecidos, éstos deberían inaplicarse.
La sentencia del Tribunal de Justicia de la Unión Europea es clara en este sentido. La legislación comunitaria establece dos requisitos para que un tratamiento de datos personales sea lícito: que resulte necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por los terceros a los que se comuniquen los datos, y que se respeten los derechos y libertades fundamentales del interesado.
Además, el fallo resalta que los Estados miembros no pueden añadir requisitos adicionales, porque "la armonización de dichas legislaciones nacionales no se limita a una armonización mínima, sino que constituye, en principio, una armonización completa". La Directiva 95/46 "trata de asegurar la libre circulación de datos personales, garantizando al mismo tiempo un alto nivel de protección de los derechos e intereses de las personas a las que se refieren dichos datos".
"De ello se desprende que los Estados miembros no pueden ni añadir al artículo 7 de la Directiva 95/46 nuevos principios relativos a la legitimación de los tratamientos de datos personales ni imponer exigencias adicionales que vendrían a modificar el alcance de alguno de los seis principios establecidos en dicho artículo", argumenta el Tribunal de Justicia de Luxemburgo.
Por tanto, la Directiva comunitaria "se opone a toda normativa nacional que, en el caso de que no exista consentimiento del interesado, imponga exigencias adicionales". Concretamente, "se opone a una normativa nacional que, para permitir el tratamiento de datos personales necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, exige, en el caso de que no exista consentimiento del interesado, no sólo que se respeten los derechos y libertades fundamentales de éste, sino además que dichos datos figuren en fuentes accesibles al público, excluyendo así de forma categórica y generalizada todo tratamiento de datos que no figuren en tales fuentes".