El Informe 0178/2012 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda el impacto de las sentencias del Tribunal de Justicia de la Unión Europea y del Tribunal Supremo sobre el régimen de protección de datos establecido en la Ley Orgánica 15/1999 y su Reglamento de desarrollo. El informe se centra en la actividad de las empresas dedicadas al recobro de deudas y la aplicación del artículo 7 f) de la Directiva 95/46/CE, que establece que el tratamiento de datos personales solo puede efectuarse si es necesario para la satisfacción del interés legítimo del responsable del tratamiento, siempre que no prevalezcan los derechos y libertades fundamentales del interesado.
El informe destaca que la sentencia del Tribunal de Justicia de la Unión Europea declaró el efecto directo del artículo 7 f) de la Directiva 95/46/CE, lo que implica que este precepto debe ser tomado directamente en cuenta por los Estados Miembros y, por ende, por la AEPD. Esto significa que cualquier tratamiento de datos personales debe pasar por una ponderación entre el interés legítimo del responsable del tratamiento y los derechos fundamentales del interesado.
La AEPD subraya que, aunque la sentencia del Tribunal Supremo anuló el apartado b) del artículo 10.2 del Reglamento de desarrollo, el concepto de «fuentes accesibles al público» sigue siendo válido y debe ser considerado en la ponderación de intereses. Esto implica que, aunque los datos figuren en fuentes accesibles al público, el tratamiento de los mismos debe ser evaluado caso por caso para determinar si prevalece el interés legítimo del responsable del tratamiento o los derechos fundamentales del interesado.
El informe también analiza la doctrina sentada por la Audiencia Nacional, que ha considerado lícito el tratamiento de datos por parte de empresas de recobro cuando actúan como encargadas del tratamiento para actualizar datos de deudores. Sin embargo, la AEPD advierte que esta legitimación no exime a las empresas de recobro de la obligación de adoptar medidas de diligencia para asegurar que los datos han sido obtenidos lícitamente.
En cuanto a la responsabilidad de las empresas de recobro, el informe aclara que estas no pueden ser exoneradas de responsabilidad por el mero hecho de que los datos les hayan sido cedidos por un tercero. La AEPD enfatiza que las empresas de recobro deben asegurarse de que los datos han sido obtenidos de manera lícita y que su tratamiento es conforme a la normativa de protección de datos.
Finalmente, el informe aborda la cuestión de la reutilización de datos obtenidos en el marco de un encargo para otros encargos posteriores. La AEPD señala que el encargado del tratamiento no puede utilizar los datos para fines distintos de los establecidos en el encargo original, y que al término del contrato, los datos deben ser destruidos o devueltos al responsable. Cualquier uso posterior de los datos requiere una nueva causa de legitimación independiente de la derivada del acreedor responsable.