La Asociación Española de la Economía Digital (ADIGITAL), interpuso ante el Tribunal Supremo español, en 2008, un recurso para la impugnación de diversos artículos del Real Decreto 1720/2007, que aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
El Tribunal Supremo, mediante Sentencia de 15 de julio de 2010, declaró la nulidad de la mayoría de los artículos impugnados y remitió una consulta, articulada mediante varias cuestiones prejudiciales, al Tribunal de Justicia de la Unión Europea, con objeto de que éste se pronunciase y establecer un criterio interpretativo uniforme sobre el alcance del artículo 7.f), de la Directiva 95/46 de protección de datos.
El Tribunal de Justicia de la Unión Europea se pronunció, en su Sentencia de 24 de noviembre de 2011, en el sentido de que es posible “realizar tratamientos de datos cuando exista el consentimiento de los interesados o cuando exista un interés legítimo de la entidad que trate los datos o del tercero o terceros a los que se cedan, siempre y cuando no se vulneren, en el caso concreto, los derechos y libertades de los afectados”.
Mediante este nuevo marco legal de referencia, está permitido el uso, tratamiento y cesión datos sin la necesidad del consentimiento, siempre y cuando dichas acciones y tratamientos tengan un interés legítimo. Este nuevo marco de referencia facilita y amplia las posibilidades de interacción y realización de acciones comerciales de las empresas.
Entendemos que debemos tener en cuenta lo siguiente:
– El principio de interés legítimo es un concepto jurídico indeterminado que debe ser interpretado en función del contexto y del caso concreto. Es por ello que no se pueden establecer instrucciones de tipo genérico, será la casuística la que indique la concurrencia de tal interés.
– Que este principio viene limitado por la protección del derecho fundamental a la protección de datos y a los demás derechos fundamentales del afectado, según establece la normativa de protección de datos vigente.
– Que, independientemente, de que concurra o no ese interés legítimo, cuando se proceda a un tratamiento de datos personales sin consentimiento hay que extremar la diligencia y enfatizar con el deber de información previsto en el art.5 LOPD, requisito imprescindible.
– Como parte integrante del deber de información, hay que hacer clara alusión a los derechos de acceso, rectificación, cancelación y sobretodo oposición, estableciendo el procedimiento más conveniente para garantizar su ejercicio en los plazos legalmente exigibles.
