La sentencia resuelve parcialmente un recurso contencioso-administrativo interpuesto por la Asociación Nacional de Establecimientos Financieros de Crédito contra el Real Decreto 1720/2007. La demanda solicita la nulidad de varios artículos del reglamento alegando su oposición a la normativa comunitaria sobre protección de datos. El Abogado del Estado se opone a la demanda. La sentencia analiza la posibilidad de plantear cuestión prejudicial ante el Tribunal de Justicia de la UE respecto de algunos preceptos impugn

1. TRIBUNAL SUPREMO
Sala de lo
Contencioso-Administrativo
Sección: SEXTA
SENTENCIA
Fecha de Sentencia: 15/07/2010
REC.ORDINARIO(c/d)
Recurso Núm.: 23/2008
Fallo/Acuerdo: Sentencia Estimatoria Parcial
Votación: 26/05/2010
Procedencia:
Ponente: Excmo. Sr. D. Juan Carlos Trillo Alonso
Secretaría de Sala : Ilmo. Sr. D. Gonzalo Núñez Ispa
Escrito por: EAL
Nota:
Real Decreto 1720/2007.

2. REC.ORDINARIO(c/d) Num.: 23/2008
Votación: 26/05/2010
Ponente Excmo. Sr. D.: Juan Carlos Trillo Alonso
Secretaría Sr./Sra.: Ilmo. Sr. D. Gonzalo Núñez Ispa
SENTENCIA
TRIBUNAL SUPREMO.
SALA DE LO CONTENCIOSO-ADMINISTRATIVO
SECCIÓN: SEXTA
Excmos. Sres.:
Presidente:
D. José Manuel Sieira Míguez
Magistrados:
D. Octavio Juan Herrero Pina
D. Luis María Díez-Picazo Giménez
D. Juan Carlos Trillo Alonso
D. Carlos Lesmes Serrano
En la Villa de Madrid, a quince de Julio de dos mil diez.
Visto por la Sala Tercera del Tribunal Supremo, constituida en Sección por los
señores al margen anotados, el recurso contencioso administrativo que con el número
23/08 ante la misma pende de resolución, interpuesto por la representación procesal
de la ASOCIACION NACIONAL DE ESTABLECIMIENTOS FINANCIEROS
DE CREDITO (ASNEF), contra Real Decreto 1720/2007, de 21 de diciembre,
siendo parte recurrida la Administración General del Estado.

3. ANTECEDENTES DE HECHO
PRIMERO.- Por la representación procesal de la Asociación Nacional de
establecimientos Financieros de Crédito (ASNEF), se interpuso recurso contencioso
administrativo contra el Real Decreto 1720/07, el cual fue admitido por la Sala,
motivando la publicación del preceptivo anuncio en el Boletín Oficial del Estado y la
reclamación del expediente administrativo que, una vez recibido se entregó a la
Procuradora Doña Beatriz Calvillo Rodríguez, para que, en la representación que
ostenta, formalizase la demanda dentro del plazo de veinte días, lo que verificó con
el oportuno escrito en el que, después de exponer los hechos y alegar los
fundamentos de derecho que estimó oportunos, terminó suplicando que: "... tras los
trámites oportunos, se dicte Sentencia en la que:
A) Declare la nulidad y deje sin efecto los siguientes preceptos del Reglamento
de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección
de Datos de carácter personal, aprobado por Real Decreto 1720/2007, de 21 de
diciembre:
- Artículo 5. Definiciones. Del apartado 1.q), el inciso <<aunque no lo
realizase materialmente>>.
- Artículo 8. Principios relativos a la calidad de los datos, en el párrafo 3º
de su apartado 5.
Artículo 10. supuestos que legitiman el tratamiento o cesión de los datos,
en los apartados 2.a), supuesto primero, y 2.b), párrafo primero.
- Artículo 11. Verificación de datos en solicitudes formuladas a las
Administraciones Públicas.
- Artículo 12. Principios generales, en su apartado 2.
- Artículo 13. Consentimiento para el tratamiento de datos de menores de
edad, en su apartado 4.
- Artículo 18. Acreditación del cumplimiento del deber de información. En
el inciso final de su apartado 1 y en su apartado 2.
- Artículo 21. Posibilidad de subcontratación de los servicios. En su
apartado 2.a).
- Artículo 23. Carácter personalísimo, en su apartado 2.c).

4. - Artículo 24. Condiciones generales para el ejercicio de los derechos de
acceso, rectificación, cancelación y oposición, el inciso final del párrafo 1º del
artículo 24.3 y el párrafo 2º del mismo artículo.
- Enunciado de la Sección 2ª, del Capítulo I del Título IV, en cuanto se
refiere también al <<cumplimiento>> de obligaciones dinerarias.
- Artículo 38. Requisitos para la inclusión de los datos, en sus apartados
1.a) (en el inciso <<y respecto de la cual no se haya entablado reclamación
judicial, arbitral o administrativa, o tratándose de servicios financieros, no se
haya planteado una reclamación en los términos previstos en el Reglamento de
los Comisionados para la defensa del cliente de servicios financieros, aprobado
por Real Decreto 303/2004, de 20 de febrero>>) y b) (en el inciso <<o del plazo
concreto si aquélla fuera de vencimiento periódico>>), 2 y 3.
- Artículo 39. Información previa a la inclusión, en el inciso <<en el
momento en que se celebre el contrato>>.
- Artículo 40. Notificación de inclusión, en su apartado 2.
- Artículo 41. Conservación de los datos, en el párrafo segundo del
apartado 1 y en el apartado 2 (en el inciso <<o del plazo concreto si aquélla
fuera de vencimiento periódico>>).
- Artículo 42. Acceso a la información contenida en el fichero, en su
apartado 2, inciso <<por escrito>> del párrafo primero y todo el párrafo segundo.
- Artículo 44. Ejercicio de los derechos de acceso, rectificación,
cancelación y oposición, en su apartado 3, 1ª, en el inciso <<en el plazo de siete
días>>.
- Artículo 45. Datos susceptibles de tratamiento e información. En el
inciso << habiéndose informado a los interesados sobre los sectores específicos
y concretos de actividad respecto de los que podrá recibir información o
publicidad >>, del apartado 1.b).
- Artículo 46. Tratamiento de datos en campañas publicitarias. En las
letras b) y c) del apartado 2, y en todo su apartado 3.
- Artículo 47. Depuración de datos personales.
-Art. 49. Ficheros comunes de exclusión del envío de comunicaciones
comerciales. En sus apartados 2 y 4.
- Artículo 69. Suspensión temporal de las transferencias, en su apartado
1.b) (inciso <<o no van a adoptar en el futuro>>).

5. - Artículo 70. Transferencias sujetas a autorización del Director de la
Agencia Española de Protección de datos, en su apartado 3. letras c) (inciso << o
no serán respetadas>>), d (inciso <<o no serán>>) y d).
- Artículo 123. Personal competente para la realización de las
actuaciones previas, en su apartado 2, inciso <<o a funcionarios que no presten
sus funciones en la Agencia>>.
B) Condene en costas a la Administración demanda conforme dispone el art.
139.1 de la Ley reguladora de este orden jurisdiccional."
También instó que se planteara Cuestión Prejudicial ante el Tribunal de
Justicia de las Comunidades Europeas, con suspensión del recurso en tanto no
recaiga Sentencia por parte del citado Tribunal, proponiendo las siguientes
cuestiones:
"Primera: ¿Deben interpretarse las disposiciones de Derecho
comunitario relativas a la protección de datos, en particular el artículo 2.d) de la
Directiva 95/46/CE, en el sentido de que se oponen a una normativa nacional
que, como el art. 5.1q) del Reglamento español de desarrollo de la Ley
Orgánica 15/1999, de protección de datos de carácter personal, define
responsable del fichero o tratamiento a la <<Persona física o jurídica, de
naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente
con otros decida sobe la finalidad, contenido y uso del tratamiento>>, aunque no
lo realizase materialmente?
Segunda: ¿Deben interpretarse las disposiciones de Derecho
comunitario relativas a la protección de datos, en particular el artículo 7.f) de la
Directiva 95/46/CE, en el sentido de que se opone a una normativa nacional
que, como el art. 10.2.a) del Reglamento de desarrollo de la Ley Orgánica
15/1999, de protección de datos de carácter personal exige que el interés
legítimo del responsable del tratamiento o del cesionario esté en todo caso
amparado por una norma con rango de ley o una norma de derecho
comunitario?
Tercera: ¿Deben interpretarse las disposiciones de Derecho comunitario
relativas a la protección de datos, en particular el artículo 7.f) de la Directiva
95/46/CE, en el sentido de que se opone a una normativa nacional que, como el
art. 10.2b) del Reglamento de desarrollo de la Ley Orgánica 15/1999, de
protección de datos de carácter personal, exige que para que el responsable
del fichero, o el tercero a quien se comuniquen los datos, pueda llevar a cabo

6. un tratamiento en virtud de un interés legítimo, tales datos deben en todo caso
figurar en fuentes accesibles al público entendiendo por tales fuentes las que
de forma taxativa se recogen en el artículo 3.j) de la Ley Orgánica 15/1999, de
13 de diciembre, y en el artículo 7 del mencionado reglamento?
Cuarta: ¿Deben interpretarse las disposiciones de Derecho comunitario
relativas a la protección de datos, en particular la Directiva 95/46/CE, y las
disposiciones sobre crédito al consumo, en particular la Directiva 2008/48/CE,
en el sentido de que se oponen a una normativa nacional que, como el
Reglamento de desarrollo de la Ley Orgánica 15/1999, de protección de datos
de carácter personal, prohíbe los ficheros de información sobre el cumplimiento
de obligaciones dinerarias, o ficheros positivos, salvo que el tratamiento de
datos se lleve a cabo con el consentimiento inequívoco de los afectados?
Quinta: ¿Deben interpretarse las disposiciones de Derecho comunitario
relativas a la protección de datos, en particular el artículo 6.1.d) de la Directiva
95/46/CE, en el sentido de que se oponen a una normativa nacional que, como
el artículo 41.1 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de
protección de datos de carácter personal, y en relación con los ficheros sobre
solvencia patrimonial y crédito, obliga a la cancelación inmediata de todo dato
relativo a una deuda una vez producido el pago o cumplimiento y que por tanto
prohíbe mantener cualquier anotación relativa a una deuda determinada una
vez que la misma ha sido satisfecha?
Sexta: ¿Deben interpretarse las disposiciones de Derecho comunitario
relativas a la protección de datos, en particular el artículo 7.f) de la Directiva
95/46/CE, en el sentido de que se oponen a una normativa nacional que, como
el artículo 41.1 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de
protección de datos de carácter personal, prohíbe que en los ficheros de
incumplimiento de obligaciones dinerarias se mantenga cualquier anotación
relativa a una deuda determinada una vez que la misma ha sido satisfecha?
Séptima: ¿Deben interpretarse las disposiciones de Derecho comunitario
relativas a la libre circulación de mercancías, en particular los art. 23, 24 y 28 a
30 del Tratado Constitutivo de la Comunidad Europea; a la libre circulación de
servicios, en particular los artículos 49 y 50 del Tratado; a la competencia, en
particular el artículo 80 del Tratado; y a la apertura de los contratos públicos, en
particular la Directiva 2004/18/CE, del Parlamento y del Consejo, de 31 de
marzo de 2004, en el sentido de que se oponen a una normativa nacional que,
como la Disposición Adicional única del Reglamento español de desarrollo de

7. la Ley Orgánica 15/1999, de protección de datos de carácter personal,
establece que los productos de sofware destinados al tratamiento automatizado
de datos personales deberán incluir en su descripción técnica el nivel de
seguridad, básico, medio o alto, que permitan alcanzar de acuerdo con lo
establecido en el título VIII del citado reglamento?"
SEGUNDO.- El Abogado del Estado, en la representación que ostenta, se
opuso a la demanda con escrito en el que, después de exponer los hechos y
fundamentos de derecho que estimó procedentes, terminó suplicando a la Sala que
dicte sentencia "... declarando la falta de legitimación activa de la parte
recurrente para impugnar los artículos 45.1.b); 46.2. b) y c) y 46.3; 49.2 y 4 del
RLOPD impugnado o, subsidiariamente de lo anterior, desestimando el
presente recurso contencioso administrativo en su integridad por ser el citado
RLOPD, aprobado por el Real Decreto 1720/2007, de 21 de diciembre,
plenamente conforme a Derecho".
TERCERO.- Acordándose sustanciar este pleito por conclusiones sucintas,
se concedió a las partes el término sucesivo de quince días cumplimentándolos con
sus respectivos escritos en los que tras alegar lo que estimaron conveniente,
terminaron dando por reproducidas las súplicas de demanda y contestación.
CUARTO.- Conclusas las actuaciones, se señaló para votación y fallo la
audiencia del día VEINTISEIS DE MAYO DE DOS MIL DIEZ, en cuyo acto tuvo
lugar su celebración.
QUINTO.- Por providencia de 16 de junio del presente, se acordó oír a las
partes por plazo común de cinco días para que alegaran sobre la posibilidad de
plantear cuestión prejudicial respecto de alguno de los preceptos impugnados,
dictando sentencia respecto de los demás, con el resultado que obra en autos.
SEXTO.- Con esta misma fecha se ha dictado auto del tenor literal siguiente:
"En la Villa de Madrid, a quince de julio de dos mil diez.
HECHOS

8. 1. La «Asociación Nacional de Establecimientos Financieros de Crédito»
(en lo sucesivo, «ASNEF») ha interpuesto recurso contencioso-administrativo
contra numerosos artículos del Real Decreto 1720/2007, de 21 de diciembre
(Boletín Oficial del Estado -en adelante-, «BOE», de 19 de enero de 2008, p.
4103), por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal
(BOE de 14 de diciembre, p. 43088).
2. Entre los preceptos impugnados se encuentra el artículo 10, apartado
2.a), supuesto primero, y 2.b), párrafo primero, a los que ASNEF imputa la
infracción del artículo 7, letra f), de la Directiva 95/46/CE del Parlamento
Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a la
libre circulación de estos datos (DO L 281, p. 31).
3. No obstante, y para el caso de que este Tribunal albergara dudas
sobre esa oposición de la norma reglamentaria a las previsiones de la Directiva
95/46/CE, ASNEF solicita en la demanda que se planteen al Tribunal de Justicia
de la Unión Europea las siguientes cuestiones prejudiciales:
1. «¿Deben interpretarse las disposiciones de derecho comunitario
relativas a la protección de datos, en particular el artículo 7.f) de la Directiva
95/46/CE, en el sentido de que se oponen a una normativa nacional que, como
el artículo 10.2.b) del Reglamento de desarrollo de la Ley Orgánica 15/1999, de
protección de datos de carácter personal, exige que el interés legítimo del
responsable del tratamiento o del cesionario esté en todo caso amparado por
una norma con rango de ley o una norma de derecho comunitario?»
2. «¿Deben interpretarse las disposiciones de derecho comunitario
relativas a la protección de datos, en particular el artículo 7, letra f), de la
Directiva 95/46/CE, en el sentido de que se oponen a una normativa nacional
que, como el artículo 10.2.b) del Reglamento de desarrollo de la Ley Orgánica
15/1999, de protección de datos de carácter personal, exige que para que el
responsable del fichero, o el tercero a quien se comuniquen los datos, pueda
llevar a cabo un tratamiento en virtud de un interés legítimo, tales datos deben
en todo caso figurar en fuentes accesibles al público, entendiendo por tales

9. fuentes las que de forma taxativa se recogen en el artículo 3.j) de la Ley
Orgánica 15/1999, de 13 de diciembre, y en el artículo 7 del mencionado
Reglamento?»
4. Quienes han intervenido como partes demandadas se han opuesto al
reenvío de una cuestión prejudicial.
Siendo Ponente el Excmo. Sr. D. Juan Carlos Trillo Alonso, Magistrado
de la Sala
RAZONAMIENTOS JURÍDICOS
1.- El marco jurídico interno.
1.1. La Ley Orgánica 15/1999, que transpone al derecho español la
Directiva 95/46/CE, exige para que los datos puedan ser tratados la mediación
del inequívoco consentimiento del afectado, salvo que la ley disponga otra cosa
(artículo 6.1).
1.2. Por excepción, no considera preciso el consentimiento, entre otros
supuestos (artículo 6.2, in fine):
«[...] cuando los datos figuren en fuentes accesibles al público y su
tratamiento sea necesario para la satisfacción del interés legítimo perseguido
por el responsable del fichero o por el del tercero a quien se comuniquen los
datos, siempre que no se vulneren los derechos y libertades fundamentales del
interesado.»
1.3. El artículo 11, apartado 1, reitera la necesidad del consentimiento
para que puedan comunicarse a terceros los datos de carácter personal,
exigencia que no estima precisa, según el apartado 2:
«[...]

10. b) Cuando se trate de datos recogidos de fuentes accesibles al
público.»
1.4. El artículo 3.j) define las «fuentes accesibles al público» como:
«[...] aquellos ficheros cuya consulta puede ser realizada, por cualquier
persona, no impedida por una norma limitativa o sin más exigencia que, en su
caso, el abono de una contraprestación. Tienen la condición de fuentes de
acceso público, exclusivamente, el censo promocional, los repertorios
telefónicos en los términos previstos por su normativa específica y las listas de
personas pertenecientes a grupos de profesionales que contengan únicamente
los datos de nombre, titulo, profesión, actividad, grado académico, dirección e
indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes
de acceso público los diarios y boletines oficiales y los medios de
comunicación.»
1.4. El Gobierno español ha desarrollado la Ley Orgánica 15/1999
mediante el Real Decreto 1720/2007, que, en su artículo 10, después de
permitir el tratamiento y la cesión de los datos de carácter personal si el
interesado presta previamente su consentimiento (apartado 1), dispone en el
apartado 2:
«No obstante, será posible el tratamiento o la cesión de datos de
carácter personal sin necesidad del consentimiento del interesado cuando:
a) Lo autorice una norma con rango de ley o una norma de
derecho comunitario y, en particular, cuando concurra uno de los
supuestos siguientes:
El tratamiento o la cesión tengan por objeto la satisfacción de un
interés legítimo del responsable del tratamiento o del cesionario
amparado por dichas normas, siempre que no prevalezca el
interés o los derechos y libertades fundamentales de los
interesados previstos en el artículo 1 de la Ley Orgánica
15/1999, de 13 de diciembre.

11. El tratamiento o la cesión de los datos sean necesarios para que
el responsable del tratamiento cumpla un deber que le imponga
una de dichas normas.
b) Los datos objeto de tratamiento o de cesión figuren en fuentes
accesibles al público y el responsable del fichero, o el tercero a
quien se comuniquen los datos, tengan un interés legítimo para
su tratamiento o conocimiento, siempre que no se vulneren los
derechos y libertades fundamentales del interesado.
No obstante, las Administraciones públicas sólo podrán
comunicar al amparo de este apartado los datos recogidos de
fuentes accesibles al público a responsables de ficheros de
titularidad privada cuando se encuentren autorizadas para ello
con una norma con rango de ley.»
2.- El derecho comunitario.
2.1. La Carta de los derechos fundamentales de la Unión Europea
(última publicación oficial, DO C 83, p. 389), dentro del título III, dedicado a las
«Libertades», dispone en el artículo 8 que:
«1. Toda persona tiene derecho a la protección de los datos de carácter
personal que le conciernan.
2. Estos datos se tratarán de modo leal, para fines concretos y sobre la
base del consentimiento de la persona afectada o en virtud de otro fundamento
legítimo previsto por la ley [...]»
2.2. Por su parte, la Directiva 95/46/CE, que aspira a realizar una
armonización completa (sentencia del Tribunal de Justicia de la Unión Europea
de 6 de noviembre de 2003, Lindqvist, asunto C-101/01, apartado 96), tiene por
designio el asegurar la libre circulación de datos personales de unos Estados
miembros a otros, sin menoscabo de la protección de los derechos
fundamentales (tercer considerando).
2.2. Como quiera que las diferencias existentes en la tutela dispensada
por los distintos países, achacables a la disparidad de las disposiciones
nacionales sobre el particular, son susceptibles de obstaculizar esa libre

12. transmisión de datos, aspira a equiparar los niveles de protección entre todos
los Estados miembros, coordinando sus legislaciones, de modo que dispensen
una protección equivalente, sin perjuicio de reconocerles un margen de
maniobra, que han de ejercer de conformidad con el derecho comunitario y
dentro de los límites de la propia Directiva (considerandos séptimo a noveno,
artículo 5 y sentencia Lindqvist, ya citada, apartado 97).
2.3. Con ese propósito, obliga a los Estados miembros a garantizar, con
arreglo a su texto, las libertades y los derechos fundamentales de los individuos
en lo que respecta al tratamiento de los datos personales, sin que les quepa
restringir ni prohibir la libre circulación de esos datos por motivos relacionados
con tal tutela (artículo 1º, cuyo apartado 1 se transpone en el artículo 1º de
nuestra Ley Orgánica 15/1999).
2.4. Con el anterior propósito, el legislador de la Unión proclamó el
principio, hoy incluido en la Carta, de que el tratamiento de datos personales
sólo puede efectuarse si el interesado ha dado su consentimiento de forma
inequívoca [artículo 7, letra a)] o concurren otras causas legítimas, que relaciona
en las letras siguientes, y entre las que se encuentra la de resultar el
tratamiento:
«[...] necesario para la satisfacción del interés legítimo perseguido por el
responsable del tratamiento o por el tercero o los terceros a los que se
comuniquen los datos, siempre que no prevalezca el interés o los derechos y
libertades fundamentales del interesado que requieran protección con arreglo
al apartado 1 del artículo 1 de la presente Directiva.»
3. Los presupuestos del reenvío prejudicial
3.1. Esta Sala se enfrenta con un litigio en el que ASNEF demanda la
nulidad del artículo 10, apartado 2, letra b), del Real Decreto 1720/2007 porque
considera que, al igual que las normas legales que le sirven de cobertura (los
artículos 6 y 11 de la Ley Orgánica 15/1999), no traspone debidamente el
artículo 7, letra f), de la Directiva 95/46/CE, infringiendo esta norma de derecho
comunitario.

13. 3.2. En particular, considera que el derecho español añade al interés
legítimo como presupuesto del tratamiento de los datos sin consentimiento del
titular un requisito que no está presente en la mencionada Directiva: que los
datos consten en fuentes accesibles al público.
3.3. La respuesta a esa pretensión depende, en gran medida, de la
interpretación que el Tribunal de Justicia dé al artículo 7, letra f), de la Directiva
95/46/CE, pues si concluye que nada impide que los Estados miembros exijan,
además de la concurrencia del repetido interés, la presencia de los datos en
fuentes accesibles al público, habrá que concluir que la Ley española y el
Reglamento que la desarrolla se ajustan en este punto al ordenamiento jurídico
de la Unión.
3.4. Si, por el contrario, es criterio del Tribunal de Justicia que no les
cabe a los Estados miembros añadir requisitos adicionales a aquella exigencia,
debería inaplicarse, para el caso de que se pueda reconocer al repetido artículo
7, apartado ñ), efecto directo, la previsión legislativa interna, quedando
huérfano de cobertura el artículo 10, apartado 2, letra b), del Real Decreto
1720/2007.
3.5. La pertinencia del diálogo prejudicial depende, en segundo lugar,
de que haya dudas razonables sobre la interpretación del derecho comunitario,
esto es, que no quepa deducir de los términos de la norma comunitaria una sola
solución hermenéutica, que se impondría por su propia evidencia no sólo al
órgano jurisdiccional remitente sino al resto de órganos jurisdiccionales de los
diferentes Estados miembros, incluido el propio Tribunal de Justicia [sentencia
de 6 de octubre de 1982, CILFIT (283/81, apartado 16)].
En el caso de autos, la existencia de esas dudas resulta patente. Las
respectivas posiciones de las partes, manifestadas en el debate procesal, son
divergentes. Por otro lado, como sabemos, la Directiva 95/46/CE aspira a una
armonización completa de las legislaciones nacionales, al tiempo que quiere
establecer un equilibrio entre los dos pilares sobre los que pivota su regulación:
la libre circulación entre los Estados miembros de los datos de carácter
personal sin merma alguna de los derechos y libertades fundamentales del
interesado. Duda esta Sala, si como excepción al principio de consentimiento

14. inequívoco de este último para el tratamiento y circulación de los datos, la
concurrencia de un interés legítimo en el responsable de aquél o en los
destinatarios de éstos, debe operar como única exigencia, bastando su
presencia para que el consentimiento resulte innecesario o si, por el contrario,
en garantía de aquellos derechos y libertades fundamentales pueden los
Estados miembros añadir exigencia adicionales.
4. Las cuestiones prejudiciales
4.1. Primera cuestión prejudicial
4.1.1. Ya hemos indicado que resulta presupuesto insoslayable para el
tratamiento de los datos de carácter personal que medie el con sentimiento
inequívoco del interesado [artículo 7, letra a), de la Directiva 95/46/CE], no
obstante cabe que, sin mediar el mismo, el tratamiento pueda llevarse a cabo si
concurre un interés legítimo del responsable del tratamiento o de los
destinatarios de los datos, siempre que no deba prevalecer el interés de los
derechos y libertades fundamentales del titular de los datos [letra f) del mismo
precepto].
4.1.2. El legislador español ha asumido dicha regulación (artículo 6 de la
Ley Orgánica 15/1999), pero ha adicionado a la concurrencia de aquel interés
legítimo la condición de que los datos figuren en fuentes accesibles al público
(apartado 2, in fine).
4.1.3. El titular de la potestad reglamentaria ha reproducido dicha
previsión del legislador, matizando, sin embargo, que las Administraciones sólo
pueden comunicar a los responsables de ficheros de titularidad privada los
datos recogidos en fuentes accesibles al público sin están autorizadas para ello
por una norma con rango de ley [artículo 10, apartado 2, letra b), del Real
Decreto 1720/2007].
4.1.4. La Ley española considera fuentes accesibles al público los
ficheros que puedan ser consultados libremente sin más requisito que el pago
de una contraprestación. A renglón seguido relaciona esos ficheros mediante
una lista exhaustiva y cerrada: «el censo promocional, los repertorios

15. telefónicos en los términos previstos por su normativa específica y las listas de
personas pertenecientes a grupos de profesionales que contengan únicamente
los datos de nombre, titulo, profesión, actividad, grado académico, dirección e
indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes
de acceso público los diarios y boletines oficiales y los medios de
comunicación» [artículo 3, letra j), de la Ley Orgánica 15/1999].
4.1.5. La conclusión parece evidente; aún mediando el interés legítimo
del responsable del tratamiento o de los destinatarios de los datos, sino media
consentimiento inequívoco del titular sólo cabe tratar y comunicar los datos que
constan en los ficheros relacionados. De este modo, la ley española y el
reglamento que la desarrolla restringen el ámbito del artículo 7, letra f), de la
Directiva 95/46/CE.
4.1.6. A juicio de esta Sala, esa restricción erige un obstáculo a la libre
circulación de los datos de carácter personal no querido, en principio, por la
norma comunitaria, que sólo limita en tales supuestos la libre circulación si así
lo demanda el interés de los derechos y las libertades fundamentales del titular
de los datos.
4.1.7. La única posibilidad de salvar la contradicción sería entender que,
por definición y en abstracto, la circulación de datos de carácter personal que
consten en otros ficheros distintos de los relacionados por el legislador español
sin el consentimiento del afectado vulnera sus derechos y libertades
fundamentales. Pero no parece que este desenlace sea el querido por el
legislador comunitario.
4.1.8. En primer lugar, porque rompe la armonización total perseguida
por la norma de derecho comunitario, al establecer una lista cerrada y
exhaustiva de fuentes accesibles al público, siendo plausible que otros Estados
miembros puedan considerar como tales otro tipo de ficheros. En segundo
término, porque a nuestro entender, el artículo 7, letra f), de la Directiva, está
pensando en coyunturas singulares, atendibles y susceptibles de análisis en
función de las características del caso concreto y no acudiendo a
categorizaciones genéricas y abstractas. En otros términos, si, no mediando
consentimiento del afectado, concurre un interés legítimo del responsable o de

16. los destinatarios de los datos, el tratamiento resulta posible salvo que, en
atención a la naturaleza de los datos y del soporte, a las condiciones subjetivas
del afectado, a la finalidad perseguida, etc., deba darse prevalencia a los
derechos fundamentales, en particular, al derecho a la intimidad del titular de
los datos, en esa tensión que preside su convivencia con la necesidad de
garantizar en el territorio de la Unión la libre circulación de tal clase de datos.
4.1.9. Cabe añadir a lo anterior que el artículo 1, apartado 2, de la
Directiva 95/46/CE, prohíbe a los Estados miembros restringir la libre circulación
de los datos personales por motivos relacionados con la protección de las
libertades y de los derechos fundamentales de las personas físicas, y, en
particular, del derecho a la intimidad, en lo que respecta a su tratamiento. Por
ello, lo que hace la norma comunitaria es disciplinar esa circulación sin merma
de la garantía de los citados derechos y libertades fundamentales, por lo que no
cabe que los Estados miembros impongan mayores restricciones que las
prevista por el legislador comunitario. Los Estados miembros no pueden
establecer otras excepciones y limitaciones que las que se contemplan en el
artículo 13 de la repetida Directiva, entre los que no es encuentra un restricción
como la añadida por el legislador español en el artículo 6, apartado 2, in fine, de
la Ley Orgánica 15/1999 y en el 10, apartado 2, letra b), del Real Decreto
1720/2007.
4.1.10. En este sentido y en relación con otra de las finalidades que
legitiman el tratamiento de los datos personales sin consentimiento del titular
[resultar «necesario para el cumplimiento de una misión de interés público»
(artículo 7, letra e)], el Tribunal de Justicia ha señalado que la noción de
«necesidad» no puede tener un contenido variable en función de los Estados
miembros [sentencia de 16 de diciembre de 2008, Heinz Huber (C- 524/06,
apartado 52)].
4.1.11. Debe tenerse en cuenta también que, para el Tribunal de Justicia,
los ficheros que tengan por objeto información publicada están comprendidos
en el ámbito de aplicación de la Directiva 95/46/CE [sentencia de 16 de
diciembre de 2008, Tietosuojavaltuutettu (C- 73/07, apartado 49 y punto 3 de la
parte dispositiva)], por lo que, en principio, un legislador nacional no puede
definir y acotar unilateralmente los ficheros que tienen tal condición, pues se

17. trata de una noción de derecho comunitario necesitada de una aplicación y, por
consiguiente, interpretación uniformes.
4.1.12 En suma, procede preguntar al Tribunal de Justicia si el artículo 7,
letra f), de la Directiva 95/46/CE debe interpretarse en el sentido de que se
opone a una normativa nacional que, no mediando consentimiento del afectado
y para permitir el tratamiento de sus datos de carácter personal que resulte
necesario para satisfacer un interés legítimo del responsable o de los terceros a
los que se van a comunicar, exige además de que no se lesionen los derechos
y libertades fundamentales de aquel que los datos consten en fuentes
accesibles al público.
4.2. Segunda cuestión prejudicial
4.2.1. Si la respuesta del Tribunal de Justicia fuere afirmativa, esta Sala
de enfrentaría a una norma reglamentaria (el artículo 10, apartado 2, letra b), del
Real Decreto 1720/2007) que desarrolla una previsión legal (el artículo 6,
apartado 2, in fine, de la Ley Orgánica 15/1999) contraria al ordenamiento
jurídico de la Unión Europea
4.2.2. Las consecuencias de esta constatación son distintas según que
pueda reconocerse al artículo 7, letra f), de la Directiva 95/46/CE efecto directo,
pues, en tal circunstancia, nos veríamos obligados a desplazar la norma legal
interna [sentencia de 9 de marzo de 1978, Simmenthal (asunto 106/77,
passim)]. En esta tesitura, la disposición reglamentaria quedaría carente de la
necesaria cobertura legal, insoslayable en el sistema jurídico español,
procediendo declarar su nulidad.
4.2.3. Por consiguiente, ha de preguntarse también al Tribunal de
Justicia si el artículo 7, letra f), de la Directiva 95/46/CE reúne los requisitos que
exige la jurisprudencia comunitaria para reconocerle efecto directo, esto es, si,
desde el punto de vista de su contenido, es incondicional y suficientemente
preciso, pudiendo ser invocado por los justiciables ante sus jueces nacionales
en la medida en la que les reconoce derechos esgrimibles frente al poder
público [sentencia de 19 de enero de 1982, Becker (asunto 8/81, apartado 25].

18. 5. Sobre la suspensión del procedimiento.
Circunscrita la duda interpretativa de los preceptos reglamentarios
impugnados, con relación al derecho comunitario, a las expresadas en el
precedente, en atención al carácter preferente que para el señalamiento de los
recursos directos interpuestos contra las disposiciones generales prevé el
artículo 66 de la Ley Jurisdiccional, y a la circunstancia no menos relevante del
elevado número de preceptos objeto de impugnación, se entiende adecuado
limitar la suspensión de dictar sentencia única y exclusivamente respecto al
artículo 10 del Reglamento, siendo de significar al efecto la inexistencia de una
conexión tal entre dicho precepto y los demás recurridos que pudieran verse
afectados por la sentencia que en su día dicte el Tribunal de Justicia de las
Comunidades Europeas, así como la conveniencia de no demorar por más
tiempo la resolución de éstos.
LA SALA ACUERDA:
Primero.- Suspender única y exclusivamente el procedimiento respecto
de la impugnación del artículo 10, apartados 2. a) y b) del Reglamento de la Ley
Orgánica de Protección de Datos, hasta la resolución del incidente prejudicial
planteado y dictar sentencia con relación a los demás artículos impugnados.
Segundo.- Plantear al Tribunal de Justicia de las Comunidades
Europeas las siguientes cuestiones prejudiciales:
1ª) «¿Debe interpretarse el artículo 7, letra f), de la Directiva 95/46/CE del
Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la
protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos, en el sentido de que se opone
a una normativa nacional que, no mediando consentimiento del afectado y para
permitir el tratamiento de sus datos de carácter personal que resulte necesario
para satisfacer un interés legítimo del responsable o de los terceros a los que se
vayan a comunicar, exige además de que no se lesionen los derechos y

19. libertades fundamentales de aquel que los datos consten en fuentes accesibles
al público?»
2º) «¿Concurren en el mencionado artículo 7, letra f), las condiciones
que exige la jurisprudencia del Tribunal de Justicia de la Unión Europea para
atribuirle efecto directo?»
Lo mandó la Sala y firman los Magistrados Excmos. Sres. al inicio
designados."
Siendo Ponente el Excmo. Sr. D. JUAN CARLOS TRILLO ALONSO,
Magistrado de la Sección.
FUNDAMENTOS DE DERECHO
PRIMERO.- Es objeto de impugnación en el presente recurso contencioso
administrativo el Real Decreto 1720/07, de 22 de diciembre, por el que se aprueba
el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal.
En armonía con lo expresado en el auto de esta misma fecha, trascrito en el
antecedente de hecho sexto, en el que decidimos, pese al planteamiento de
cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, limitar
la suspensión del procedimiento, solo y exclusivamente, en relación al único
precepto que de los impugnados ofrece dudas a este Tribunal sobre su adecuación
a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre,
como consideración previa que justifica en definitiva la razón de tal proceder, y
aunque ya exteriorizada en dicho auto, aconseja insistir ahora en aquellas
circunstancias singulares tenidas en cuenta para la decisión de mención, amparada, sin
duda, o mejor demandada, por el artículo 24 del Texto Constitucional que proscribe
las dilaciones indebidas como manifestación del derecho a la tutela judicial efectiva
que dicho precepto constitucional proclama y que, en definitiva, también se recoge

20. en el artículo 6 del Convenio Europeo de Derechos Humanos al aludir al concepto
indeterminado de plazo razonable.
Al respecto, lo primero que debe destacarse es la naturaleza de disposición
general del Real Decreto 1720/07, cuyo señalamiento preferente se prevé en el
artículo 66 de la Ley Jurisdiccional en atención, conforme se expresa en su
exposición de motivos, a "evitar innecesarios vacíos normativos y situaciones de
inseguridad o interinidad en torno a la validez y vigencia de las normas".
Otra circunstancia también a destacar es el elevado número de los preceptos
objeto de impugnación y la incuestionable relevancia de la decisión que adoptemos
sobre ellos, a la que implícitamente alude la recurrente cuando en sus alegaciones
hace mención a que su vulneración puede dar origen a expedientes sancionadores.
Concretamente la impugnación se dirige contra los siguientes artículos: 5.1.q),
in fine; 8.5, párrafo tercero; 10.2, apartados a) y b); 11; 12.2; 13.4; 18; 21.2.a);
23.2.c); 24.3, párrafo primero, último inciso, y párrafo segundo; 38.1.a) y b), 2 y 3;
39; 40.2; 41.1, párrafo segundo, y 2; 42.2; 44, apartado 3, regla primera; 45.1.b) in
fine; 46.2, 3 y 4; 47; 49; 69.1.b); 70.3.c), d) y e), y 123.2. También se impugna en el
escrito de demanda la rúbrica de la Sección Segunda, del Capítulo I, del Título IV, y
la disposición adicional única. Interesándose además que, tras los trámites oportunos,
se plantee cuestión prejudicial ante el Tribunal de Justicia de las Comunidades
Europeas, en los términos expresados en el antecedente de hecho primero.
Pues bien, si a las circunstancias referenciadas debe unirse la no menos
trascendente de la inexistencia de una conexión tal entre el artículo 10 del
Reglamento, único que plantea dudas sobre su adaptación a la Directiva, y los
demás objeto de impugnación, circunstancia ésta última que aleja toda posibilidad de
que en un futuro pronunciamiento del Tribunal de Justicia pudieran verse afectados
otros preceptos de los impugnados, resulta claro que demorar por más tiempo el
pronunciamiento sobre éstos supondría una vulneración del expresado derecho
fundamental a un procedimiento sin dilaciones indebidas.
SEGUNDO.- Previamente al examen singular de las normas reglamentarias
cuya declaración de nulidad se insta en el suplico del escrito de demanda, en la que
también se solicita el planteamiento de cuestión prejudicial ante el Tribunal de Justicia

21. de las Comunidades Europeas sobre los artículos 5.1.q), 10.2. a) y b), 38 y
siguientes, y 41.1, así como sobre la disposición adicional única, por razones de
método, parece oportuno exteriorizar algunas consideraciones que en gran medida
han de servir de pauta interpretativa ya no solo en la exégesis de las disposiciones
reglamentarias impugnadas, sino también para decidir sobre el planteamiento de la
cuestión prejudicial.
Primera.- En cuanto la Ley Orgánica 15/1999, de 13 de diciembre, al igual
que la anterior 5/1992, de 29 de octubre, es desarrollo del artículo 18.4 de la
Constitución, en el que se previene que "La Ley limitará el uso de la informática
para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el
pleno ejercicio de sus derechos", debe quedar fuera de toda duda que dicho
precepto necesariamente ha de servir de instrumento interpretativo a la hora de
analizar el alcance no solo de los preceptos de la Ley sino también de los del
Reglamento que con el presente recurso se impugnan.
Y al respecto es obligado constatar que el constituyente, con la redacción del
artículo 18.4, estableció la necesidad de que una futura ley impusiera limitaciones a
eventuales abusos provenientes del uso de la informática, extendido posteriormente
a tratamientos manuales, y ello con la finalidad de garantizar el derecho constitucional
al honor y a la intimidad personal y familiar de los ciudadanos y al pleno uso de sus
derechos (art. 18.4 CE).
El precepto pretende, como ya tuvo oportunidad de decir el Tribunal
Constitucional, proteger la libertad del individuo frente a las potenciales agresiones a
la dignidad y a la libertad provenientes del uso ilegítimo de datos mecanizados
(STC 254/93, de 20 de julio).
En el sentido expuesto el artículo 1 de la Ley Orgánica 15/1999 expresa que
"La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que
concierne al tratamiento de los datos personales, las libertades públicas y los
derechos fundamentales de las personas físicas, y especialmente de su honor e
intimidad personal y familiar". Y en parecidos términos se pronuncia el artículo 1 de
la Directiva 95/46/CE, de 24 de octubre, al decir, en su apartado 1, que "Los
estados miembros garantizarán, con arreglo a las disposiciones de la presente
Directiva, la protección de las libertades y de los derechos fundamentales de las

22. personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta
al tratamiento de datos personales".
Al respecto interesa resaltar que el derecho a la protección de datos de
carácter personal es reconocido con el carácter indicado en el artículo 8 de la Carta de
los Derechos Fundamentales de la Unión Europea 2000/C 364/1, previniendo en el
apartado 2 que "Estos datos se tratarán de modo leal, para fines concretos y
sobre la base del consentimiento de la persona afectada o en virtud de otro
fundamento legítimo previsto por la ley", y que "Toda persona tiene derecho a
acceder a los datos recogidos que la conciernan y a su rectificación".
De los artículos de mención fácil resulta inferir que tanto la Directiva como la
Ley regulan el derecho a la circulación de datos personales en función del nivel de
protección que exigen las libertades públicas y los derechos fundamentales de las
personas; en definitiva, marcar las reglas que han de regir los conflictos que pueden
surgir entre los expresados derechos.
En sentencia del Pleno del Tribunal Constitucional nº 292/2000, de 30 de
noviembre, se expresa que "... con la inclusión del vigente art. 18.4 CE el
constituyente puso de relieve que era consciente de los riesgos que podría
entrañar el uso de la informática y encomendó al legislador la garantía tanto de
ciertos derechos fundamentales como del pleno ejercicio de los derechos de la
persona. Esto es, incorporando un instituto de garantía <<como forma de
respuesta a una nueva forma de amenaza concreta a la dignidad y a los
derechos de la persona>>, pero que es también, <<en si mismo, un derecho o
libertad fundamental>> (STC 254/1993, de 20 de julio, F.6)" y que "La garantía
de la vida privada de la persona y de su reputación poseen hoy una dimensión
positiva que excede del ámbito propio del derecho fundamental a la intimidad
(art. 18.1 CE), y que se traduce en un derecho de control sobre los datos
relativos a la propia persona. La llamada <<libertad informática>> es así derecho
a controlar el uso de los mismos datos insertos en un programa informático
(<<habeas data>>) y comprende, entre otros aspectos, la oposición del
ciudadano a que determinados datos personales sean utilizados para fines
distintos de aquel legítimo que justificó su obtención (SSTC 11/1998, F.5,
94/1998, F.4.)".

23. Continúa diciendo el Tribunal Constitucional en la sentencia de referencia que
"Este derecho fundamental a la protección de datos, a diferencia del derecho a
la intimidad del art. 18.1 CE, con quien comparte el objetivo de ofrecer una
eficaz protección constitucional de la vida privada personal y familiar, atribuye a
su titular un haz de facultades que consiste en su mayor parte en el poder
jurídico de imponer a terceros la realización y omisión de determinados
comportamientos cuya concreta regulación debe establecer la Ley, aquella que
conforme al art. 18.4 CE debe limitar el uso de la informática, bien desarrollando
el derecho fundamental a la protección de datos (art. 81.1 CE), bien regulando
su ejercicio (art. 53.1 CE). La peculiaridad de este derecho fundamental a la
protección de datos respecto de aquel derecho fundamental tan afín como es el
de la intimidad radica, pues, en su distinta función, lo que apareja, por
consiguiente, que también su objeto y contenido difieran" y precisa en su
fundamento jurídico 11 sus límites al expresar que "... el derecho a la protección de
datos no es ilimitado, y aunque la Constitución no le imponga expresamente
límites específicos, ni remita a los Poderes Públicos para su determinación
como ha hecho con otros derechos fundamentales, no cabe duda de que han
de encontrarlos en los restantes derechos fundamentales y bienes jurídicos
constitucionalmente protegidos, pues así lo exige el principio de unidad de la
Constitución (SSTC 11/1981, de 8 de abril, F.7; 196/1987, de 11 de diciembre ,
F.6; y respecto del art. 18, la STC 110/1984, F.5). Esos límites o bien pueden ser
restricciones directas del derecho fundamental mismo, a las que antes se ha
aludido, o bien pueden ser restricciones al modo, tiempo o lugar de ejercicio del
derecho fundamental. En el primer caso, regular esos límites es una forma de
desarrollo del derecho fundamental. En el segundo, los límites que se fijan lo
son a la forma concreta en la que cabe ejercer el haz de facultades que
compone el contenido del derecho fundamental en cuestión, constituyendo una
manera de regular su ejercicio, lo que puede hacer el legislador ordinario a
tenor de lo dispuesto en el art. 53.1 CE. La primera constatación que debe
hacerse, que no por evidente es menos capital, es que la Constitución ha
querido que la Ley, y sólo la Ley, pueda fijar los límites a un derecho
fundamental. Los derechos fundamentales pueden ceder, desde luego, ante
bienes, e incluso intereses constitucionalmente relevantes, siempre que el
recorte que experimenten sea necesario para lograr el fin legítimo previsto,
proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido

24. esencial del derecho fundamental restringido (SSTC 57/1994, de 28 de febrero,
F.6; 18/1999, de 22 de febrero, F2).".
Segunda.- A diferencia de los Reglamentos, con incuestionable alcance
general normativo inmediato en los Estados miembros, con carácter obligatorio en
todos ellos, expresamente reconocido en el artículo 249 de la versión consolidada
del Tratado Constitutivo de la Comunidad Europea y, por ello, de aplicación
prevalente con respecto a cualquiera disposición general interna, las Directivas
obligan al Estado miembro destinatario, siguiendo el precepto citado del Tratado,
"en cuanto el resultado que deba conseguirse, dejando, sin embargo, a las
autoridades nacionales la elección de la forma y de los medios". No tienen por
regla general efecto directo y sí la de armonizar o aproximar la legislación de los
países de los Estados miembros, condicionando así la labor legislativa de éstos.
Solo en aquellos casos en que el Estado miembro no haya introducido en su
legislación el resultado pretendido por la Directiva, podría reconocerse, en atención a
la definición del artículo 249 del Tratado, un efecto directo a la Directiva.
El retraso en la transposición de una Directiva por los Estados miembros
puede tener trascendencia en cuanto, en virtud del llamado efecto útil, que impide
que un Estado pueda oponer a los particulares el incumplimiento de las obligaciones
que la Directiva impone (sentencias del Tribunal de Justicia de las Comunidades
Europeas de 4 de diciembre de 1974 -asunto 41/74, Van Duyn-, 5 de abril de 1979
-asunto 148/1978, Ratti-, 19 de enero de 1982 -asunto 8/1981, Becker-, 10 de
septiembre de 2002, -asunto 145/2000, Kügler-), puede considerarse aplicable
directamente.
A la necesidad de coordinar o aproximar las legislaciones de los Estados
miembros en la concreción del nivel de protección de los derechos y libertades de
las personas con relación al tratamiento de datos personales hace mención el
"considerando 8" de la Directiva 95/46/CE, expresando que "... para eliminar los
obstáculos a la circulación de datos personales, el nivel de protección de los
derechos y libertades de las personas, por lo que se refiere al tratamiento de
dichos datos, debe ser equivalente en todos los Estados miembros; que ese
objetivo, esencial para el mercado interior, no puede lograrse mediante la mera
actuación de los Estados miembros, teniendo en cuenta, en particular, las
grandes diferencias existentes en la actualidad entre las legislaciones

25. nacionales aplicables en la materia y la necesidad de coordinar las
legislaciones de los Estados miembros para que el flujo transfronterizo de datos
personales sea regulado de forma coherente y de conformidad con el objetivo
del mercado interior definido en el art. 7 A del Tratado; que, por tanto, es
necesario que la Comunidad intervenga para aproximar las legislaciones", para
admitir a continuación en el "considerando 9" un cierto grado de maniobra de los
Estados miembros al decir que "... a causa de la protección equivalente que
resulta de la aproximación de las legislaciones nacionales, los Estados
miembros ya no podrán obstaculizar la libre circulación entre ellos de datos
personales por motivos de protección de los derechos y libertades de las
personas físicas, y, en particular, del derecho a la intimidad; que los Estados
miembros dispondrán de un margen de maniobra del cual podrán servirse, en
el contexto de la aplicación de la presente Directiva, los interlocutores
económicos y sociales; que los Estados miembros podrán, por tanto, precisar en
su derecho nacional las condiciones generales de licitud del tratamiento de
datos; que al actuar así, los Estados miembros procurarán mejorar la protección
que proporciona su legislación en la actualidad; que dentro de los límites de
dicho margen de maniobra y de conformidad con el Derecho comunitario,
podrán surgir disparidades en la aplicación de la presente Directiva, y que ello
podrá tener repercusiones en la circulación de datos tanto en el interior de un
Estado miembro como en la Comunidad", y concluir en el 10, que "... las
legislaciones nacionales relativas al tratamiento de datos personales tienen por
objeto garantizar el respeto de los derechos y libertades fundamentales,
particularmente del derecho al respeto de la vida privada reconocido en el art. 8
del Convenido Europeo para la Protección de los Derechos Humanos y de las
Libertades Fundamentales, así como en los principios generales del Derecho
comunitario; que, por lo tanto, la aproximación de dichas legislaciones no debe
conducir a una disminución de la protección que garantizan sino que, por el
contrario, debe tener por objeto asegurar un alto nivel de protección dentro de
la Comunidad".
Tercera.- Para afirmar que el alcance del control judicial del ejercicio de la
actividad reglamentaria viene delimitado por una reiterada jurisprudencia de la que es
claro exponente la de 10 de marzo de 2009, dictada en el recurso contencioso
administrativo nº 85/2007. Dice así en su fundamento de derecho segundo:

26. "Planteándose en este recurso el control judicial del ejercicio de la
potestad reglamentaria, conviene señalar que tal actividad reglamentaria está
subordinada a la Ley en sentido material (arts. 97 CE, 51 Ley 30/92 y 23 Ley
50/97), en cuanto no podrán regularse reglamentariamente materias objeto de
reserva de ley, material y formal, y sin perjuicio de la función de desarrollo o
colaboración con respecto a la Ley, los reglamentos no pueden abordar
determinadas materias, como las que indica el citado artículo 23 de la Ley
50/97, de 27 de noviembre, del Gobierno (tipificar delitos, faltas o infracciones
administrativas, establecer penas o sanciones, así como tributos, cánones u
otras cargas o prestaciones personales o patrimoniales de carácter público).
Desde el punto de vista formal el ejercicio de la potestad reglamentaria
ha de sujetarse al procedimiento de elaboración legalmente establecido (arts.
24 y 25 Ley 50/97), con respeto al principio de jerarquía normativa y de
inderogabilidad singular de los reglamentos, así como la publicidad necesaria
para su efectividad (art. 9.3 CE), según establece el art. 52 de la Ley 30/92.
Las delimitaciones sustantivas y formales de la potestad reglamentaria
determinan el ámbito del control judicial de su ejercicio, atribuido por el art. 106
de la Constitución, en relación con el art. 26 de la Ley 50/97 y el art. 1 de la Ley
29/98 a la Jurisdicción Contencioso Administrativa, lo que se plasma en el juicio
de legalidad de la disposición general en atención a las referidas previsiones
de la Constitución y el resto del ordenamiento, que incluye los principios
generales del Derecho (interdicción de la arbitrariedad, proporcionalidad,...), y
que conforman las referidas exigencias sustantivas y formales a las que ha de
sujetarse, cumplidas las cuales, queda a salvo y ha respetarse la determinación
del contenido y sentido de la norma, que corresponde al titular de la potestad
reglamentaria que se ejercita y que no puede sustituirse por las valoraciones
subjetivas de la parte o del propio Tribunal que controla la legalidad de la
actuación, como resulta expresamente del artículo 71.2 de la Ley reguladora de
esta Jurisdicción, que aun en el supuesto de anulación de un precepto de una
disposición general no permite determinar la forma en que ha de quedar
redactado el mismo.
Este alcance del control judicial del ejercicio de la potestad
reglamentaria se recoge en la sentencia de 28 de junio de 2004, según la cual:
<<además de la titularidad o competencia de la potestad reglamentaria,
tradicionalmente se consideran exigencias y límites formales del reglamento,
cuyo incumplimiento puede fundamentar la pretensión impugnatoria: la

27. observancia de la jerarquía normativa, tanto respecto a la Constitución y a la
Ley (arts. 9.3, 97 y 103 CE), como interna respecto de los propios Reglamentos,
según resulta del artículo 23 de la Ley del Gobierno; la inderogabilidad singular
de los reglamentos (art. 52.2 de la Ley 30/1992; LRJ y PAC, en adelante); y el
procedimiento de elaboración de reglamentos, previsto en el artículo 105 CE y
regulado en el artículo 24 de la Ley 50/97. Y se entiende que son exigencias y
límites materiales, que afectan al contenido de la norma reglamentaria, la
reserva de ley, material y formal, y el respeto a los principios generales del
Derecho. Pues, como establece el artículo 103 CE, la Administración está
sometida a la Ley y al Derecho; un Derecho que no se reduce al expresado en
la Ley sino que comprende dichos Principios en su doble función legitimadora y
de integración del ordenamiento jurídico, como principios técnicos y objetivos
que expresan las ideas básicas de la comunidad y que inspiran dicho
ordenamiento.
En nuestra más reciente jurisprudencia se ha acogido también, de
manera concreta, como límite de la potestad reglamentaria la interdicción de la
arbitrariedad, establecida para todos los poderes públicos en el artículo 9.3 CE.
Principio que supone la necesidad de que el contenido de la norma no sea
incongruente o contradictorio con la realidad que se pretende regular, ni con la
"naturaleza de las cosas" o la esencia de las instituciones.
Ahora bien, respetadas tales exigencias, el Gobierno, titular de la
potestad reglamentaria (art. 97 CE y 23 de la Ley del Gobierno, Ley 50/1997, de
27 de noviembre), puede utilizar las diversas opciones legítimas que permite la
discrecionalidad que es inherente a dicha potestad. O, dicho en otros términos,
nuestro control jurisdiccional, en el extremo que se analiza, se extiende a la
constatación de la existencia de la necesaria coherencia entre la regulación
reglamentaria y la realidad sobre la que se proyecta, pero no alcanza a valorar,
como no sea desde el parámetro del Derecho, los distintos intereses que
subyacen en el conflicto que aquélla trata de ordenar, careciendo este Tribunal
de un poder de sustitución con respecto a la ponderación efectuada por el
Gobierno. Y ni siquiera procede declarar la invalidez de la norma por razón de
la preferencia que de aquellos intereses refleje la disposición reglamentaria,
como no suponga una infracción del ordenamiento jurídico, aunque sea
entendido en el sentido institucional con que es concebido tradicionalmente en
el ámbito de esta jurisdicción (arts. 83 de la Ley de la Jurisdicción de 1956, y 70
y 71 de la Ley de 1998), y que se corresponde con el sentido del citado artículo

28. 9 de la Constitución (Cfr. SSTS 26 de febrero y 17 de mayo de 1999, 13 de
noviembre, 29 de mayo y 9 de julio de 2001, entre otras)>>."
En aplicación de la doctrina expuesta debe admitirse que las disposiciones
reglamentarias no solo pueden sino que deben incidir en todo aquello que resulte
indispensable para asegurar la correcta aplicación y la plena efectividad de la ley que
desarrollan.
El reglamento ejecutivo no puede, sin duda, instaurar "ex novo" o agravar
cargas y obligaciones no previstas en la ley que desarrolla, debiendo limitarse a
establecer, sin ampliar el ámbito de la ley, aquellas normas indispensables que, bien
por motivos técnicos, bien para optimizar el cumplimiento de aquella, sean precisas
para asegurar la efectividad de esta. En ningún caso pueden limitar derechos,
facultades o posibilidades contenidas en la Ley misma, pero su naturaleza de
complemento indispensable para la aplicación de la ley habilita para que incluyan
además de normas de organización y procedimiento, aquellas otras que
complementen disposiciones vagas o imprecisas o enunciadas en la ley solo a nivel
de principios.
Cuarta.- El Reglamento impugnado es un Reglamento de desarrollo o
ejecución que viene a dar respuesta a la habilitación genérica prevista en la
disposición final primera de la Ley 15/1999, en la que se dice, bajo el epígrafe
"Habilitación para el desarrollo reglamentario", que "El Gobierno aprobará o
modificará las disposiciones reglamentarias necesarias para la aplicación y
desarrollo de la presente Ley". Pero también responde a concretas remisiones o
habilitaciones legales específicas, como son las de los artículos 4,5, párrafo tercero,
9.3, 20.1, 26.2, 37.2, párrafo segundo, 38, 39.3, 45.7, 48.1 y las de la disposición
transitoria segunda.
Quinta.- La obligación de someter una cuestión prejudicial al Tribunal de
Justicia, prevista en el párrafo 3º del artículo 234 del Tratado de la Comunidad
Europea "se inscribe", como se dice en la sentencia de 12 de junio de 2008 de
dicho Tribunal (asunto 458/2006, Skatteverker), "en el marco de la colaboración
entre los órganos jurisdiccionales nacionales, en su condición de ... encargados
de aplicar el Derecho comunitario y el Tribunal de Justicia, establecida a fin de
garantizar la aplicación correcta y la interpretación uniforme del Derecho

29. comunitario en todos los Estados miembros. Esta obligación tiene por objetivo
principal impedir que se consolide en un Estado miembro cualquiera una
jurisprudencia nacional que no se ajuste a las normas del derecho comunitario".
La decisión de plantear una cuestión prejudicial ante el Tribunal de Justicia de
las Comunidades Europeas corresponde exclusivamente al órgano jurisdiccional
nacional que conoce del litigio y está en función de la necesidad de contar con una
interpretación del Derecho comunitario que se presenta como esencial para que el
órgano jurisdiccional nacional pueda resolver con absoluto respeto de ese derecho,
la cuestión jurídica sometida a su decisión.
Haciendo uso de esa facultad, por auto de esta fecha referenciado en el
antecedente de hecho sexto, se plantea cuestión prejudicial con respecto al artículo
10.2.b) del Reglamento impugnado.
TERCERO.- Hechas las consideraciones precedentes procede entrar a
examinar las concretas disposiciones que del Reglamento son objeto de
impugnación por la recurrente, en cuyo análisis daremos también respuesta a la
propuesta de planteamiento de las cuestiones prejudiciales, no sin antes advertir,
acogiendo la argumentación del Abogado del Estado, que la Asociación recurrente
carece de legitimación para impugnar los artículos 45.1.b), 46.2 b) y c), y 3, 47 y
49.1 y 4, y que, en consecuencia, incurre el recurso en causa de inadmisibilidad
parcial (artículo 68.1.a) en relación con el artículo 69 b), ambos de la Ley
Jurisdiccional).
Ubicados los artículos de mención en el Capítulo II del Título IV, relativo a los
tratamientos para actividades de publicidad y prospección comercial, está fuera de
toda duda que, en aplicación de una reiterada jurisprudencia tanto constitucional como
ordinaria, la recurrente carece del derecho o interés legítimo que se contempla en el
artículo 19.1 de la Ley Jurisdiccional. Delimitado el concepto de <<derecho o interés
legítimo>> en atención a la pretensión ejercitada, en función de si la anulación que se
pretende del acto o disposición impugnados supone un concreto beneficio o la
evitación de un singular perjuicio a quien ejercita la acción, esto es, una utilidad
específica que va más allá del interés genérico de que las Administraciones Públicas
actúen conforme a derecho, no cabe apreciar legitimación impugnatoria a quien como
la Asociación recurrente, no le guía en el ejercicio de su acción otro interés que el
genérico de referencia.

30. En sentencia del Pleno de esta Sala de 31 de mayo de 2006 se dice que:
"La legitimación es un presupuesto inexcusable del proceso e implica en
el proceso contencioso-administrativo, como hemos señalado en la doctrina de
esta Sala (por todas, sentencias de 11 de febrero de 2003, recurso nº 53/2000,
6 de abril de 2004 y 23 de abril de 2005, recurso 6154/2002), una relación
material unívoca entre el sujeto y el objeto de la pretensión, de tal forma que su
anulación produzca automáticamente un efecto positivo (beneficio) o negativo
(perjuicio), actual o futuro, pero cierto, que debe repercutir de manera clara y
suficiente en la esfera jurídica de quien acude al proceso y este criterio lo reitera
la jurisprudencia constitucional (por todas, en SSTC núms. 197/88, 99/89, 91/95,
129/95, 123/96 y 129/2001, entre otras), pudiéndose concretar algunos criterios
interpretativos de la doctrina jurisprudencial en los siguientes puntos:
a) La importancia del interés, que desde el punto de vista procedimental
administrativo y procesal jurisdiccional es una situación reaccional, en evitación
de un potencial perjuicio ilegítimo temido, de modo que el interés se reputa que
existe siempre que pueda presumirse que la declaración jurídica pretendida
coloque al accionante en condiciones legales y naturales de conseguir un
determinado beneficio material o jurídico o la persistencia de la situación fáctica
creada o que pudiera crear el acto administrativo al ocasionar un perjuicio,
como resultado inmediato de la resolución dictada.
b) Ese interés legítimo, que abarca todo interés que pueda resultar
beneficiado con la estimación de la pretensión ejercitada, puede prescindir de
las notas de personal y directo y al diferenciar el interés directo y el interés
legítimo, éste no sólo es más amplio que aquél y también es autosuficiente, en
cuanto presupone que la resolución administrativa o jurisdiccional ha
repercutido o puede repercutir, directa o indirectamente, pero de un modo
efectivo y acreditado, es decir, no meramente hipotético, potencial y futuro, en la
correspondiente esfera jurídica de quien se persona, ésto es, verse afectado por
el acto o resolución impugnada.
c) La genérica legitimación en la Ley Jurisdiccional que se establece a
favor de corporaciones, asociaciones, sindicatos, grupos de afectados, uniones
sin personalidad o patrimonios independientes o autónomos y la legitimación
que no ampara el puro interés por la legalidad, salvo en los limitados casos de
la acción popular.

31. d) Esta Sala, en Auto de 21 de Noviembre de 1997, ya declaró la
imposibilidad de reconocer el interés legitimador cuando resultaba únicamente
de una autoatribución estatutaria, por cuanto aceptar tal posibilidad equivaldría
a admitir como legitimada a cualquier asociación que se constituyera con el
objeto de impugnar disposiciones de carácter general o determinadas clases de
actos administrativos.
e) Es cierto que debe mantenerse un criterio interpretativo de los
requisitos de admisibilidad del recurso contencioso-administrativo acorde al
principio <<pro actione>>, de manera no formalista y de forma favorable a la
producción del efecto perseguido por el derecho fundamental a la tutela judicial
efectiva de derechos e intereses legítimos a que responde el art. 24.1 de la
Constitución, pero también hay que considerar la reiterada jurisprudencia
constitucional que señala como el derecho prestacional de la tutela ha de
sujetarse al plano de la estricta legalidad, pues sólo inciden en la vulneración
del contenido constitucional del artículo 24.1 de la CE aquellas resoluciones
que generan interpretaciones arbitrarias e irracionales, lo que no sucede en
este caso.
Una cosa es que una Fundación constituida para la defensa de
cualesquiera intereses o para el logro de cualesquiera finalidades resulte
legitimada plenamente para impugnar actos administrativos, cuando esos
intereses resulten afectados o, a juicio del propio ente, deban ser defendidos,
tal y como se infiere, con toda claridad, del art. 19.1.aps. a) y b) de la Ley de
esta Jurisdicción y otra bien diferente es que tal legitimación se reconozca
indiferenciadamente sobre la base de perseguir fines genéricos, incluso de
contenido moral, respecto de la actuación de las Administraciones públicas o la
prestación de los servicios públicos, cuando, en este caso, el Acuerdo
impugnado sólo incidía directamente en los participantes en la convocatoria,
cuyo interés profesional sí estaba afectado.
f) Otro de los ejes sobre los que se ha producido la expansión del
concepto de la legitimación activa ha sido la acentuación de la idea de los
intereses colectivos o de grupo, como refleja la regulación que hoy hacen las
Leyes 29/1998 y 1/2000, acogiendo la evolución iniciada por la jurisprudencia
del Tribunal Supremo y continuada por el Tribunal Constitucional.
Pero también, en este aspecto, la ampliación experimentada tiene sus
límites y así resulta en cuanto a los intereses colectivos cuya diferencia con los
intereses difusos -reconocidos por el art. 7 de la LOPJ, como aptos también

32. para generar un título legitimador- se encuentra en que se residencia en tales
entes, asociaciones o corporaciones representativas específicos y
determinados intereses colectivos.
A diferencia de éstos, los intereses difusos no tienen depositarios
concretos y son intereses generales que, en principio, afectan a todos los
ciudadanos y que, por su interés prevalente, han obtenido reconocimiento
público, plasmado en algún instrumento, incluso en normas constitucionales, y
que no deben confundirse con la legitimación que nace, excepcionalmente, de
la acción popular, que corresponde a cualquier ciudadano y que debe ser
reconocida expresamente por la Ley o de una acción de alcance general como
reconoce la STEDH 4/81 de 22 de octubre (asunto Dudgeon contra Reino
Unido)".
Tratándose, como aquí se trata, de la legitimación de una persona jurídica y
muy concretamente de una federación empresarial que agrupa empresas de un
delimitado sector cual es el financiero, se requiere para apreciar la legitimación que
actúe en representación y defensa de los intereses empresariales o profesionales
de sus asociados, y ello evidentemente no ocurre cuando impugna unos preceptos
reglamentarios que se refieren a una actividad distinta de la que la caracteriza.
En el sentido expresado parece oportuna la cita de la sentencia de esta Sala
de 26 de noviembre de 2008. En ella se perfila el concepto de legitimación en el
orden contencioso administrativo expresándose lo siguiente:
"... debe tenerse en cuenta que la legitimación en el orden contencioso-
administrativo, superando el concepto de interés directo a que se refería el art.
28 de la Ley de Jurisdicción de 1956, viene determinada por la invocación en el
proceso de la titularidad de un derecho o interés legítimo (art. 24.1 C.E. y art.
19.1.a) Ley 29/98) que suponga una relación material entre el sujeto y el objeto
de la pretensión, de manera que la estimación del recurso produzca un
beneficio o la eliminación de un perjuicio que no necesariamente ha de revestir
un contenido patrimonial (S. 29-6-2004).
Como señala la sentencia de 19 de mayo de 2000, el mismo Tribunal
Constitucional ha precisado que la expresión «interés legítimo», utilizada en el
artículo 24.1 de la Norma Fundamental, aun cuando sea un concepto diferente y
más amplio que el de «interés directo», ha de entenderse referida a un interés
en sentido propio, cualificado o específico (sentencia del Tribunal

33. Constitucional 257/1989, de 22 de diciembre), lo que en el ámbito de esta Sala
del Tribunal Supremo ha llevado a insistir que la relación unívoca entre el sujeto
y el objeto de la pretensión (acto impugnado), con la que se define la
legitimación activa, comporta el que su anulación produzca de modo inmediato
un efecto positivo (beneficio) o evitación de un efecto negativo (perjuicio) actual
o futuro, pero cierto (sentencia de este Tribunal Supremo de 1 de octubre de
1990), y presupone, por tanto, que la resolución administrativa pueda repercutir,
directa o indirectamente, pero de modo efectivo y acreditado, es decir, no
meramente hipotético, potencial y futuro, en la correspondiente esfera jurídica
de quien alega su legitimación, y, en todo caso, ha de ser cierto y concreto, sin
que baste, por tanto, su mera invocación abstracta y general o la mera
posibilidad de su acaecimiento (SSTS de 4 de febrero de 1991, de 17 de marzo
y 30 de junio de 1995 y 12 de febrero de 1996, 9 de junio de 1997 y 8 de
febrero de 1999, entre otras muchas; SSTC 60/1982, 62/1983, 257/1988,
97/1991, 195/1992, 143/1994 y ATC 327/1997).
En tal sentido y como recoge la sentencia de 23 de mayo de 2003, << la
amplitud con la que la jurisprudencia viene interpretando el art. 28.1.a) de
nuestra Ley Jurisdiccional, (la referencia debe entenderse ahora hecha al
artículo 19.1.a) de la nueva Ley de la Jurisdicción 29/1.998) por exigencias del
art. 24.1 C.E., y la sustitución del concepto de interés directo por el de interés
legítimo, no llega hasta el extremo de que no se condicione en todo caso la
legitimación a la existencia de un interés real >>. Por decirlo con palabras del
Tribunal Constitucional (S.T.C. 143/1987) el interés legítimo, al que se refiere el
art. 24.1, <<equivale a titularidad potencial de una posición de ventaja o de una
utilidad jurídica por parte de quien ejercita la pretensión y que se materializaría
de prosperar ésta> (SS.T.C. 60/1982, 62/1983, 257/1988 y 97/1991, entre
otras)>>.
Tratándose de la impugnación de disposiciones generales que afectan a
intereses profesionales, como señala la sentencia de 4 de febrero de 2004, la
jurisprudencia reconoce legitimación a los profesionales y a las entidades
asociativas cuya finalidad estatutaria sea atender y promover tales intereses.
Pero <<exige, sin embargo, que tengan carácter de afectados, en el sentido de
que su ejercicio profesional resulte afectado por el reglamento impugnado
(sentencias, entre otras, de 24 de febrero de 2000, 22 de mayo de 2000, 31 de
enero de 2001, 12 de marzo de 2001 y 12 de febrero de 2002).

34. Cuando se impugna la totalidad o varios preceptos de un reglamento, la
legitimación debe entenderse restringida a la impugnación de aquellos
preceptos de la disposición general que afecten directamente al profesional
recurrente o a los intereses profesionales representados por la asociación que
ejercita la acción (v. gr., sentencia, ya citada, de 12 de marzo de 2001)>>."
CUARTO.- Aduce la recurrente como primer artículo infractor el 5.1.q), por el
que se define conjuntamente al responsable del fichero y al del tratamiento como la
"Persona física o jurídica, de naturaleza pública o privada, u órgano
administrativo, que solo o conjuntamente con otros decide sobre la finalidad,
contenido y uso del tratamiento, aunque no lo realizase materialmente".
Ante la solicitud de planteamiento de cuestión prejudicial ante el Tribunal de
Justicia de las Comunidades Europeas, es oportuno recordar lo que expresábamos
en la consideración segunda del fundamento de derecho precedente en orden al
margen de maniobra que a los Estados miembros reconoce la Directiva en su
"considerando 9", corroborado por la sentencia del Tribunal de Justicia de las
Comunidades Europeas, de fecha 6 de noviembre de 2003, en la que, en
respuesta a la séptima pregunta planteada por el órgano jurisdiccional remitente,
relativa, en esencia, a si los "Estados miembros pueden establecer una protección
más rigurosa de los datos personales o un ámbito de aplicación más amplio
que los que resultan de la Directiva 95/46", dice lo siguiente:
"95. La Directiva 95/46 tiene por objeto, tal y como se desprende, en
particular, de su octavo considerando, equiparar el nivel de protección de los
derechos y libertades de las personas por lo que se refiere al tratamiento de
datos personales en todos los Estados miembros. Su décimo considerando
añade que la aproximación de las legislaciones nacionales en la materia no
debe conducir a una disminución de la protección que garantizan sino que, por
el contrario, debe tener por objeto asegurar un alto nivel de protección dentro
de la Comunidad.
96. Por tanto, la armonización de dichas legislaciones nacionales no se
limita a una armonización mínima, sino que constituye, en principio, una
armonización completa. Desde este punto de vista, la Directiva 95/46 trata de
asegurar la libre circulación de datos personales, garantizando al mismo tiempo
un alto nivel de protección de los derechos e intereses de las personas titulares
de dichos datos.

35. 97. Es cierto que la Directiva 95/46 reconoce a los Estados miembros un
margen de apreciación en ciertos aspectos y que les permite mantener o
establecer regímenes particulares para situaciones específicas, tal y como lo
demuestra un gran número de sus disposiciones. No obstante, dichas
posibilidades deben emplearse tal y como dispone la Directiva y de
conformidad con su objetivo, que consiste en mantener un equilibrio entre la
libre circulación de datos personales y la tutela del derecho a la intimidad.
98. En cambio, nada impide que un Estado miembro extienda el alcance
de la normativa nacional que adapta el Derecho interno a la Directiva a
situaciones que no están comprendidas en el ámbito de aplicación de esta
última, siempre que ninguna otra norma de Derecho comunitario se oponga a
ello.
99. A la luz de estas consideraciones, procede responder a la séptima
cuestión que las medidas adoptadas por los Estados miembros para garantizar
la protección de los datos personales deben atenerse tanto a las disposiciones
de la Directiva 95/46 como a su objetivo, que consiste en mantener el equilibrio
entre la libre circulación de datos personales y la tutela del derecho a la
intimidad. En cambio, nada impide que un Estado miembro extienda el alcance
de la normativa nacional que adapta el Derecho interno a la Directiva 95/46 a
situaciones que no están comprendidas en el ámbito de aplicación de esta
última, siempre que ninguna otra norma de Derecho comunitario se oponga a
ello".
Y es que si de la fundamentación de la sentencia de referencia y, en definitiva,
de los apartados 5 y 6 de su parte dispositiva, en los que se declara que "Las
disposiciones de la Directiva 95/46 no entrañan, por si mismas, una restricción
contraria al principio general de la libertad de expresión o a otros derechos y
libertades vigentes en la Unión Europea y que tienen su equivalente, entre
otros, en el artículo 10 del Convenio Europeo para la Protección de los
Derechos Humanos y de las Libertades Fundamentales, firmado en Roma el 4
de noviembre de 1950. Incumbe a las autoridades y a los órganos
jurisdiccionales nacionales encargados de aplicar la normativa nacional que
adapta el Derecho interno a la Directiva 95/46 garantizar el justo equilibrio entre
los derechos e intereses en juego, incluidos los derechos fundamentales
tutelados por el ordenamiento jurídico comunitario" y que "Las medidas
adoptadas por los Estados miembros para garantizar la protección de los datos

36. personales deben atenerse tanto a las disposiciones de la Directiva 95/46 como
a su objetivo, que consiste en mantener el equilibrio entre la libre circulación de
datos personales y la tutela del derecho a la intimidad. En cambio, nada impide
que un Estado miembro extienda el alcance de la normativa nacional que
adapta el Derecho interno a lo dispuesto en la Directiva 95/46 a situaciones que
no están comprendidas en el ámbito de aplicación de esta última, siempre que
ninguna otra norma de derecho comunitario se oponga a ello", cabe concluir que
ningún inconveniente existe para que un Estado miembro prevea en su normativa
interna situaciones que no están contempladas en la Directiva, salvo la existencia de
una norma comunitaria que se oponga a ello.
La definición del artículo 5.1.a) del Reglamento coincide con la del artículo 3.d)
de la Ley 15/1999, si bien añadiendo el texto reglamentario con respecto al legal, las
frases "solo o conjuntamente con otros" y "aunque no lo realizase
materialmente".
Es precisamente esta última frase la que singularmente considera la recurrente
para aducir que con ella se amplían los supuestos obligados por las normas de
protección de datos, al permitir declarar responsables a personas que no realizaron
materialmente los tratamientos, las cuales solo podrían ser consideradas como
terceros.
Si así fuera, si en efecto, tal como sostiene la recurrente, el Reglamento
amplía, con la inclusión de la frase "aunque no lo realizase personalmente", los
sujetos obligados por las normas de protección de datos, permitiendo su declaración
de responsabilidad, sin duda habría un exceso en la potestad reglamentaria pues es
claro que la determinación de los sujetos responsables es materia reservada a ley,
conforme ya indicamos en el fundamento precedente.
Pero olvida quien así argumenta que tanto en la definición que del
responsable del tratamiento ofrece el artículo 2.d) de la Directiva, como la que de
éste dan los artículos 3.d) de la Ley y el artículo 5.1.a) del Reglamento, la
circunstancia esencial que caracteriza al responsable del tratamiento no es la de que
realice de manera directa las operaciones de tratamiento y sí el que "determine los
fines y los medios de tratamiento" (en palabras del art. 2.d) de la Directiva), o que

37. "decida sobre la finalidad, contenido y uso del tratamiento" (según el texto del
artículo 3.d) de la Ley y 5.1.a) del Reglamento).
Y no repara quien así argumenta en que quien realiza de forma material el
tratamiento de datos es el "encargado del tratamiento", definido de manera
exactamente igual en el art. 2.f) de la Directiva y 3.g) de la Ley como "la persona
física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo
o conjuntamente con otros, trate datos personales por cuenta del responsable
del tratamiento", y sustancialmente, idéntica en el art. 5.1.a) del Reglamento, como
"La persona física o jurídica, pública o privada, u organismo administrativo que,
sólo o conjuntamente con otros trate datos personales por cuenta del
responsable del tratamiento o del responsable del fichero, como consecuencia
de la existencia de una relación jurídica que le vincula con el mismo y delimita
el ámbito de su actuación para la prestación de un servicio".
Si hemos de estar a la definición aislada que de tercero ofrece el artículo 2.f)
de la Directiva, y de forma sustancialmente igual el art. 5.1.r) del Reglamento - no se
define en la Ley-, diciendo aquella que es <<tercero>>: "la persona física o jurídica,
autoridad pública, servicio o cualquier otro organismo distinto del interesado,
del responsable del tratamiento, del encargado del tratamiento y de las
personas autorizadas para tratar los datos bajo la autoridad directa del
responsable del tratamiento o del encargado del tratamiento", es claro que no
puede considerarse como tercero a aquellas personas físicas o jurídicas que sí tienen
un poder de decisión sobre la finalidad, contenido y uso del tratamiento, característica
definitoria, como ya dijimos, del responsable del tratamiento o del fichero en los
términos del citado artículo 3.c) de la Ley y 5.1 a) del Reglamento, o, en palabras
del artículo 2.d), aquellas personas que tienen capacidad de determinación sobre los
fines y los medios del tratamiento.
Recordemos, por si alguna duda interpretativa pudiera surgir a la hora de
determinar el alcance de la normativa analizada precedentemente, lo que
expresábamos en el anterior fundamento de derecho en orden a que la Ley
Orgánica 15/1999 es desarrollo del artículo 18 de la Constitución, por la que debe
servir, en consecuencia, como instrumento interpretativo, y que la finalidad que
persigue el precepto no es otra que la de establecer unas normas de protección de
la libertad del individuo frente a las potenciales agresiones a la dignidad y a la libertad

38. provenientes del uso legítimo de datos, esto es, instaurar una normativa que debe
ser utilizada ante un conflicto de intereses entre el derecho constitucional reconocido
en dicho precepto y el de libertad en el tratamiento de datos personales.
Pues bien, en atención a lo expuesto, mal puede sostenerse que la frase del
artículo 5.1.a) del Reglamento "aunque no lo realizase materialmente" suponga
una ampliación de las personas responsables. Ni la tesis que en tal sentido
propugna la recurrente es defendible en una interpretación de los artículos 2. d), e) y
f) de la Directiva y 3.d) y g) de la Ley a la luz del precepto constitucional, en cuanto
excluye de toda responsabilidad, con independencia de que lo considere o no como
tercero, a quien con sus decisiones marca las directrices a seguir en el tratamiento de
los datos personales, con la consiguiente desprotección de las personas físicas que
el precepto constitucional quiere defender, ni lo es tampoco en atención a las
definiciones que ofrecen dichos preceptos, de cuyos textos se infiere, sin margen de
duda, que el concepto de persona responsable se anuda al poder de determinación
o de decisión sobre la finalidad, contenido y uso del tratamiento.
La Ley, concretamente el artículo 43.1, contempla como sujetos activos de
las infracciones que en ella se tipifican, a los responsables de los ficheros y a los
encargados de los tratamientos.
En consecuencia con lo expuesto, ni hay razón para el planteamiento de
cuestión prejudicial, ni para apreciar la nulidad del precepto reglamentario objeto de
análisis.
QUINTO.- El segundo precepto impugnado, por entender la recurrente que
establece obligaciones adicionales con respecto a la Directiva y a la Ley, es el
apartado 5 del artículo 8, concretamente su párrafo tercero que previene que
"Cuando los datos hubieran sido comunicados previamente, el responsable del
fichero o tratamiento deberá notificar al cesionario, en el plazo de diez días, la
rectificación o cancelación efectuada, siempre que el cesionario sea conocido".
Ubicado el artículo 8 en el Título II, Capítulo I, que tiene por rúbrica "Calidad
de los datos", sostiene la recurrente que la expresada norma impone una obligación
no prevista en la Ley al limitar ésta, en su artículo 16.4, el deber de notificación al
cesionario solo en caso de que se mantenga el tratamiento por este último. Añade

39. que tanto la Ley como el Reglamento contravienen el artículo 12.c) de la Directiva,
que exime del deber de notificación cuando resulta imposible o supone un esfuerzo
desproporcionado.
Aunque no lo reconoce expresamente la recurrente, de manera implícita
sienta como punto de partida de su argumentación que el texto del artículo 8.5 del
Reglamento es desarrollo del artículo 16 de la Ley 15/1999 en el que, en efecto, se
restringe, concretamente en su apartado 4, la obligación que impone al responsable
del tratamiento de notificar la rectificación o cancelación efectuada a quien se haya
comunicado los datos "en el caso de que se mantenga el tratamiento por éste
último".
Si dicho artículo 8.5 del Reglamento fuera en efecto desarrollo del artículo
16.4 de la Ley, la no contemplación en la norma reglamentaria de la circunstancia
prevista en la Ley relativa al mantenimiento del tratamiento, permitiría aceptar la tesis
de la recurrente del establecimiento por el Reglamento de una nueva obligación,
pero como no se ajusta a la realidad que el artículo 8.5 del Reglamento responda al
desarrollo del artículo 16.4 de la Ley, mal puede compartirse tal posicionamiento.
El artículo 16 de la Ley reconoce al afectado el derecho de rectificación o
cancelación de datos y encuentra su desarrollo reglamentario en los artículos 31 y
siguientes del Reglamento y no, como con error considera la recurrente, en su artículo
8.5.
El artículo 8 del Reglamento, bajo la rúbrica "Principios relativos a la calidad
de los datos", desarrolla el artículo 4 de la Ley que, con el título "Calidad de los
datos", previene en su apartado 3 que "Los datos de caracter personal serán
exactos y puestos al día de forma que respondan con veracidad a la situación
actual del afectado", y en su apartado 4 que "Si los datos de carácter personal
registrados resultaren inexactos, en todo o en parte, o incompletos, serán
cancelados y sustituidos de oficio por los correspondientes datos rectificados o
completados, sin perjuicio de las facultades que a los afectados reconoce el
artículo 16".
Confunde en efecto la recurrente el procedimiento de cancelación y sustitución
de oficio previsto en el artículo 4 de la Ley, cuyo desarrollo reglamentario está en el

40. artículo 8 del Reglamento, con el correspondiente al ejercicio por el afectado del
derecho de rectificación y cancelación regulado en el artículo 16 de la Ley y artículos
31 y siguientes del Reglamento, condenando así toda su argumentación y
pretensión impugnatoria al fracaso.
Significar que la Ley, a diferencia de lo que sucede con la regulación que
ofrece del derecho de rectificación y cancelación en el artículo 16, ninguna disposición
contiene sobre el procedimiento de cancelación y sustitución de oficio, lo que
además de justificar la necesidad de la normativa reglamentaria, revela una
imposibilidad material de que ésta contravenga la Ley.
E igualmente se equivoca la recurrente cuando argumenta que el artículo 16.4
de la Ley y el artículo 8.5 del Reglamento contravienen el artículo 12.c) de la Directiva
95/46/CE que excepciona de la necesidad de notificar a quienes se hayan
comunicado los datos de toda rectificación, supresión o bloqueo efectuado por no
ajustarse a las normas de la Directiva y, especialmente por el carácter incompleto o
inexacto de los datos, cuando "resulta imposible o supone un esfuerzo
desproporcionado", pues el artículo 12 de la Directiva se refiere al ejercicio por el
interesado del derecho de rectificación y cancelación y no a la obligación de
cancelación y sustitución de oficio que contemplan los expresados preceptos de
derecho interno, y que responden a la genérica previsión del artículo 6.d) de la citada
Directiva que exige que los Estados miembros vigilen que los datos personales
sean exactos, actualizándolos cuando sean necesarios, y tomen "todas las medidas
razonables para que los datos inexactos o incompletos, con respecto a los fines
para los que fueron recogidos o para los que fueron tratados posteriormente,
sean suprimidos o rectificados."
Puntualizar que el artículo 31 del Reglamento previene en su párrafo
segundo, apartado 2, para aquellos supuestos en que el interesado invoque el
ejercicio del derecho de cancelación, que "se estará a lo dispuesto en el Ley
Orgánica 15/1999, de 13 de diciembre, y en el presente Reglamento".
SEXTO.- Distinta suerte que la expresada en los fundamentos de derecho
precedentes debe correr la impugnación del artículo 11 que, ubicado en el Capítulo I
del Título II, relativo a la calidad de los datos, con la rúbrica "Verificación de datos en
solicitudes formuladas a las Administraciones Públicas", prevé lo siguiente:

41. "Cuando se formulen solicitudes por medios electrónicos en las que el
interesado declare datos personales que obren en poder de las
Administraciones públicas, el órgano destinatario de la solicitud podrá efectuar
en el ejercicio de sus competencias las verificaciones necesarias para
comprobar la autenticidad de los datos".
Sostiene la recurrente que el precepto reglamentario es contrario a los artículo
6.2, 11.2.a) y 21 de la Ley Orgánica y a los artículos 6.2.b) y 9 de la Ley 11/2007,
de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos.
Argumenta que el precepto impugnado habilita un nuevo supuesto de
tratamiento y/o cesión de datos por parte de las Administraciones Públicas sin
consentimiento de los interesados, sin más habilitación que una norma reglamentaria.
Introducido el artículo en atención a las observaciones que al proyecto de
Reglamento formuló el Ministerio de Administraciones Públicas (folios 906 a 909 del
expediente -documento nº 6-), en las que entre otras proponía la adición de un
nuevo artículo con la siguiente redacción: "La formulación por medios electrónicos
de solicitudes en las que el interesado declare datos personales que obren en
poder de las Administraciones públicas conllevará la autorización al órgano
destinatario de la solicitud para que verifique la autenticidad de tales datos",
razón asiste a la recurrente cuando afirma que la redacción del precepto, parcialmente
modificado con relación a la propuesta u observación del Ministerio de
Administraciones Públicas, supone un tratamiento o cesión de datos sin
consentimiento y sin la habilitación legal exigida por los artículos 6 y 11 de la Ley
Orgánica, ya transcritos en el fundamento de derecho precedente.
La circunstancia de que en la redacción del precepto se hubiera omitido la
implícita referencia que en el texto propuesto por el Ministerio de las
Administraciones Públicas se hacía a un consentimiento tácito, no permite inferir,
contrariamente a lo que sostiene el Abogado del Estado, que el artículo 11 del
Reglamento se acomoda a los artículos 6 y 11 de la Ley Orgánica cuando prescinde
de la habilitación legal, acomodación que tampoco cabe deducir de la circunstancia de
que el precepto reglamentario limite la potestad de verificación de la Administración
cuando se encuentre en el ejercicio de sus competencias, pues una cosa es que ese
ámbito competencial se encuentre amparado legalmente, consideración esta aducida

42. por el Abogado del Estado, y otra muy distinta que ese amparo legal no comprenda
la habilitación legal específica exigida por la Ley Orgánica.
En consecuencia, la impugnación del artículo 11 del Reglamento debe
estimarse.
SEPTIMO.- Solución distinta a la anterior merece la impugnación del artículo
12.2.
Ubicado en el Título II, Capítulo II, relativo al consentimiento para el
tratamiento de los datos y al deber de información, más concretamente en la Sección
Primera, en la que se da regulación a la obtención del consentimiento del afectado, en
armonía con su epígrafe, el artículo se limita a establecer unos principios generales y,
entre ellos, el expresado en el apartado 2 y que dice así: "Cuando se solicite el
consentimiento del afectado para la cesión de sus datos, éste deberá ser
informado de forma que conozca inequívocamente la finalidad a la que se
destinarán los datos respecto de cuya comunicación se solicita el
consentimiento y el tipo de actividad desarrollada por el cesionario. En caso
contrario, el consentimiento será nulo."
Argumenta la recurrente que la indicada norma infringe el artículo 11.3 de la
Ley Orgánica que es del siguiente tenor: "Será nulo el consentimiento para la
comunicación de los datos de carácter personal a un tercero, cuando la
información que se facilite al interesado no le permita conocer la finalidad a que
destinarán los datos cuya comunicación se autoriza o el tipo de actividad de
aquel a quien se pretenden comunicar."
Aduce que la utilización en el precepto reglamentario de la conjunción
acumulativa << y >> en lugar de la disyuntiva <<o >> empleada en el de la Ley, altera el
contenido de éste último.
No repara quien así argumenta en que el apartado 2 del artículo 12 del
Reglamento está redactado en positivo ("deberá ser informado de ....") y en que el
apartado 3 del artículo 11 de la Ley lo está en negativo ("cuando la información
que se facilite al interesado no le permita conocer ...."), o no tiene en cuenta que

43. esa distinta redacción conlleva a la utilización en el primero de la conjunción
acumulativa << y >> y en el segundo de la disyuntiva <<o >>.
Lo cierto es que una y otra norma coinciden en las prevenciones que
contienen y que, en consecuencia, la impugnación ha de desestimarse.
Es de significar que tanto el precepto legal como el reglamentario, al exigir
que la información comprenda la finalidad a la que se destinarán los datos y el tipo de
actividad que desarrolla el cesionario, responden al concepto que del consentimiento
ofrece el artículo 3.h) de la Ley, a saber: "toda manifestación de voluntad libre,
inequívoca, específica e informada, mediante la que el interesado consienta el
tratamiento de datos personales que le conciernan".
Y conviene significarlo pues no se entiende que pueda darse cumplimiento al
último precepto legal citado, fundamental en el ámbito de la protección de datos, si
en la información facilitada para la autorización por el interesado de la cesión de sus
datos no se expresa qué finalidad tiene la comunicación de los mismos y qué tipo de
actividad desarrolla aquel a quien se le comunican.
OCTAVO.- El siguiente artículo del Reglamento objeto de impugnación por
la recurrente es el 13.4 que bajo el epígrafe "Consentimiento para el tratamiento
de datos de menores de edad", previene que "Corresponderá al responsable
del fichero o tratamiento articular los procedimientos que garanticen que se ha
comprobado de modo efectivo la edad del menor y la autenticidad del
consentimiento prestado en su caso, por los padres, tutores o representantes
legales".
Ubicado el precepto impugnado, al igual que el anterior, en la Sección
Primera del Capítulo II, del Título II, sostiene la recurrente que además de imponer
una obligación <<ex novo >> al margen de la Ley Orgánica y de la Directiva, tal
obligación es de difícil o imposible cumplimiento y desproporcionada. Añade, con
una redacción confusa, en cuanto no utiliza otro argumento que la transcripción parcial
del documento 1/2008 del Grupo de Trabajo del artículo 29 de la Directiva, sobre
protección de los datos personales de los niños, que la Directiva debe ser
interpretada en base al principio del interés del niño; que en numerosas ocasiones
ese interés no coincide con el de sus representantes; que hay supuestos en que el