I. Introducción
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos -Reglamento General de Protección de Datos Personales, en adelante RGPD -EDL 2016/48900- regula el «Tratamiento de categorías especiales de datos personales» en el art.9 dentro del Capítulo II, dedicado a los «Principios», después de analizar los principios relativos al tratamiento -art.5-, la licitud del tratamiento –art.6, las condiciones para el consentimiento –art.7-, las condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información –art.8 y antes de analizar el tratamiento de datos personales relativos a condenas e infracciones penales –art.10-(1). De una interpretación sistemática se deduce, pues, la importancia que el legislador europeo da a la regulación de las categorías especiales de datos personales. Inicialmente se puede afirmar que la regulación de las categorías especiales de datos personales en el RGPD presenta una cierta continuidad en relación con la regulación que sobre esta materia hacía el art.8 de la Directiva 95/46/CE -EDL 1995/16021-. De hecho, el título del art.9 del RGPD «Tratamiento de categorías especiales de datos personales» mantiene la terminología empleada en el art.8 de la Directiva 95/46/CE. Más diferencias presenta el art.9 del RGPD en relación con la regulación sobre esta materia recogida en la LOPD -EDL 1999/63731-. Esto es debido a que la LOPD, más que una transposición de la Directiva 95/46/CE, era una adaptación a ésta de la LORTAD -EDL 1992/16927-. De hecho, la LOPD tiene una mayor conexión material con la LORTAD que con la Directiva 95/46/CE. Realmente, a la hora de llevar a cabo un análisis del derecho europeo y nacional sobre protección de datos personales, es necesario no perder de vista las relaciones entre RGPD y Directiva y entre LOPD y LORTAD. Buena muestra de ello es la expresión «datos especialmente protegidos» del art.7 LOPD que está tomada del art.7 LORTAD.
Para analizar las categorías especiales de datos personales en el RGPD -EDL 2016/48900- es necesario abordar dos cuestiones: las tipologías de datos personales que entrarían dentro de estas categorías especiales de datos personales y los supuestos de legitimación del tratamiento.
II. Las categorías especiales de datos personales. Especial referencia a los datos biométricos, genéticos y relativos a la salud
El RGPD -EDL 1999/63731- califica como categorías especiales de datos personales aquellas que «revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física» –art.9.1. Las categorías especiales de datos personales del RGPD siguen siendo, en términos generales, las previstas en el art.8.1 de la Directiva 95/46/CE -EDL 1995/16021-, que fueron traspuestas en el art.7 LOPD, aunque definidas en el RGPD en términos algo más amplios. Desde la perspectiva de la LOPD vigente hasta ahora en nuestro país, continúan siendo datos especialmente protegidos los datos que revelen la ideología –el RGPD, siguiendo a la Directiva 95/46/CE, emplea la expresión «opiniones políticas»- y la afiliación sindical(2), religión y creencias –el RGPD, siguiendo a la Directiva 95/46/CE, habla de manera abierta de «convicciones religiosas o filosóficas»-, los datos de origen racial –el RGPD, de nuevo siguiendo a la Directiva 95/46/CE, emplean la expresión «origen étnico o racial»-, de salud y vida sexual –el RGPD no sólo habla de vida sexual sino también de algo más amplio como son las «orientaciones sexuales de una persona física» mientras que la Directiva 95/46/CE se limitaba a hablar de «datos relativos a la sexualidad»-.
La principal novedad es la inclusión de los datos genéticos y de los datos biométricos dentro de las categorías especiales de datos personales(3). Ahora bien, en el caso de los datos genéticos su consideración como categoría especial de datos personales no es una novedad entre nosotros porque el RLOPD ya calificaba la información genética de las personas como dato relacionado con su salud -5.1.g) -EDL 1999/63731- por lo que ya entraba dentro de los datos especialmente protegidos del art.7 LOPD. En cambio, el RGPD ha optado por regular –y definir- de manera separada los datos genéticos y los datos relativos a la salud. El RGPD define datos genéticos como «datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona»(4) –art.4.13-, lo que supone un cierto reconocimiento de su relación con los datos de salud(5). Como señala Pérez Gómez, «la distinción introducida en el Reglamento entre dato genético y dato de salud puede explicarse sobre la base de que, en el estado actual de la ciencia, el primero se encuentra más vinculado al ámbito de la investigación (científica, civil o criminal) que al de la práctica asistencial sanitaria, donde quedaría reducida al diagnóstico, sin perjuicio de que las primeras terapias génicas comiencen a ensayarse de manera experimental, lo que aventura un muy importante desarrollo de cara al futuro. Y, efectivamente, en la práctica es en la legislación sobre investigación –como en la española L 14/2007, de 3 julio de investigación biomédica –EDL 2007/43993-, en donde su regulación es más relevante»(6).
Por ello, la única y auténtica novedad en la atribución del carácter de categoría especial de dato personal, tanto en relación con lo previsto en la Directiva 95/46/CE -EDL 1995/16021- como con lo regulado por la LOPD –y antes por la LORTAD- es la inclusión de los datos biométricos(7). Estos datos, que tienen un carácter principalmente identificativo, son considerados ahora una categoría especial de dato personal(8). Esto sí representa una importante primicia, que era de aplicación inmediata y efecto directo, y que no estaba prevista en el art.7 LOPD, al que se remiten frecuentemente la legislación estatal y autonómica para la definición de los datos especialmente protegidos. Por tanto, los datos biométricos son una categoría especial de dato personal –son «datos especialmente protegidos» por usar la terminología a la que estamos acostumbrados- a partir del comienzo de la aplicación del RGPD el 25 de mayo de 2018 sin necesidad de transposición alguna, lo que desplaza la legislación estatal o autonómica que esté en contradicción(9).
Mención específica merecen los datos relativos a la salud. El RGPD -EDL 2016/48900- define datos relativos a la salud como «datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud» -art. 4.15-(10). La única aportación que hace el RGPD en la definición de dato de salud es la consideración como dato de salud de la información referida a la «prestación de servicios de atención sanitaria», como puede ser, por ejemplo, el pago de la prestación sanitaria -aunque ésta no contenga referencia a ninguna enfermedad- o la gestión administrativa de la asistencia prestada(11), siempre que revelen información sobre su estado de salud. El Considerando 35 del RGPD precisa más esta cuestión: «Se incluye la información sobre la persona física recogida con ocasión de su inscripción a efectos de asistencia sanitaria, o con ocasión de la prestación de tal asistencia,de conformidad con la Directiva 2011/24/UE del Parlamento Europeo y del Consejo –EDL 2011/17317- ». Además, el Considerando 35 del RGPD considera dato relativo a la salud «todo número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos sanitarios; la información obtenida de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos genéticos y muestras biológicas, y cualquier información relativa, a título de ejemplo, a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial médico, el tratamiento clínico o el estado fisiológico o biomédico del interesado, independientemente de su fuente, por ejemplo un médico u otro profesional sanitario, un hospital, un dispositivo médico, o una prueba diagnóstica in vitro». La definición de dato de salud del RGPD no recoge todo lo previsto en la Memoria explicativa del Convenio 108 -apdo. 45- y en la Recomendación Nº R. (97) 5, del Consejo de Europa –apdo. 38-, que sí se contenían en el RLOPD. Así, el RLOPD consideraba como datos de carácter personal relacionados con la salud «las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo»(12), considerándose en particular como datos relacionados con la salud de las personas «los referidos a su porcentaje de discapacidad y a su información genética» –art.5.1.g)-. En todo caso, hay que recordar que la normativa del Consejo de Europa considera, además, como dato de salud las referencias al abuso del alcohol y de la nicotina, al consumo de drogas y al número de días de baja en el fichero de nóminas(13).
III. El tratamiento de categorías especiales de datos personales: el principio general de prohibición y la presunción de ilegitimidad
El RGPD -EDL 2016/48900- regula el tratamiento de categorías especiales de datos personales en el art. 9 en un precepto distinto del que dedica al tratamiento de las categorías generales de datos personales –art.6 RGPD, distinción que también hacía la Directiva 95/46/CE –art.7 y 8- -EDL 1995/16021- y su trasposición al ordenamiento jurídico español, la LOPD –art.6 y 7- -EDL 1999/63731-. Esto obedece, lógicamente, a que los tratamientos de datos personales de opiniones políticas, afiliación sindical, convicciones religiosas o filosóficas, origen étnico o racial, salud, genéticos, biométricos dirigidos a identificar de manera unívoca a una persona física o relativos a la vida sexual o a las orientaciones sexuales suponen una grave injerencia en el derecho a la protección de datos personales y en otros derechos fundamentales como la libertad religiosa, la libertad ideológica, la libertad sindical o el derecho a la intimidad, de los que la protección de datos personales es también una garantía institucional. De hecho, el art.7.1 de la ya derogada LOPD empezaba estableciendo que «de acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución -EDL 1978/3879- nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. Cuando en relación con estos datos se proceda a recabar el consentimiento [...] se advertirá al interesado acerca de su derecho a no prestarlo».
La ubicación sistemática en preceptos distintos de la regulación del tratamiento de las categorías especiales de datos personales y de las categorías generales de datos personales responde a su distinto régimen jurídico. Esta diferencia se manifiesta en el distinto título de los artículos. Si el art.6 del RGPD -EDL 2016/48900- dedicado a las categorías generales de datos personales lleva por título «Licitud del tratamiento» –existe una cierta presunción de que este tratamiento puede ser lícito-, lo que se corresponde con el art.7 de la Directiva 95/46/CE -EDL 1995/16021-, que se titulaba «Principios relativos a la legitimación del tratamiento», el art.9 RGPD se titula a secas «Tratamientos de categorías especiales de datos personales», siguiendo también la línea del art.8 de la Directiva 95/46/CE «Categorías especiales de tratamiento». No existe aquí una presunción de legitimidad del tratamiento. De hecho, el primer apartado del art.9 RGPD establece que «quedan prohibidos el tratamiento» de categorías especiales de datos personales, en la misma medida que lo hacía la Directiva 95/46/CE que establecía que «los Estados miembros prohibirán el tratamiento» de categorías especiales de datos personales –art.8.1-. Por tanto, existe una presunción en el RGPD que proviene de la Directiva 95/46/CE de que los tratamientos de categorías especiales de datos personales no son conformes a derecho. Se trata de tratamientos sobre los que una sociedad debe estar alerta porque son sospechosos de ser discriminatorios. Utilizar categorías como raza, sexo, religión, opinión o cualquier otra condición o circunstancia personal o social puede vulnerar la prohibición de discriminación –art.14 Const -EDL 1978/3879-, lo que requiere que estos tratamientos estén sometidos a un control estricto de legitimidad porque históricamente estas categorías han sido utilizadas para discriminar.
No obstante, el RGPD -EDL 2016/48900-, al igual que hacía la Directiva 95/46/CE -EDL 1995/16021-, establece que esta prohibición del tratamiento de categorías especiales de datos personales «no será de aplicación cuando concurra una de las circunstancias siguientes» –art.9.2-, entre los que se encuentran diez supuestos distintos, que recogen un elenco tasado. La limitación a unos supuestos concretos del tratamiento legítimo de categorías especiales de datos personales es coherente con el principio general de prohibición del tratamiento de estas categorías de datos, modelo que también se encontraba en el art.8.2 de la Directiva 95/46/CE y que se había trasladado al art.7 LOPD -EDL 1999/63731-. Existen unos supuestos de legitimación del tratamiento específicos para las categorías especiales de datos personales –art. 9 RGPD- distintos de los criterios de licitud del tratamiento dedicados a las categorías generales de datos personales –art.8 RGPD –EDL 2016/48900-, siguiendo también en este punto el criterio de la Directiva 95/46/CE. Lo más importante es que no se incluye entre los supuestos de legitimación del tratamiento de categorías especiales de datos personales ninguna cláusula abierta de las previstas como criterios de licitud del tratamiento para las categorías generales de datos personales. Así, hay que subrayar la inaplicación para el tratamiento de categorías especiales de datos personales de la cláusula de la satisfacción del interés legítimo del responsable –art.6.1.f)- o que el tratamiento sea necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales –art.6.1.b)-.
IV. El consentimiento explícito como supuesto de tratamiento de categorías especiales de datos personales
El primer supuesto que legitima el tratamiento de categorías especiales de datos personales es que el interesado haya dado «su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados» –art.9.2.a) -EDL 2016/48900-. Este supuesto de legitimidad del tratamiento de categorías especiales de datos personales, como hemos señalado antes, está también previsto en la Carta de los Derechos fundamentales de la Unión Europea –EDL 2000/94313- que señalaba que los datos se tratarán «sobre la base del consentimiento de la persona afectada» -art.8.2-. La diferencia en este caso con el consentimiento como criterio de licitud del tratamiento de las categorías generales de datos personales –art.6.1.a)- es la exigencia añadida de que el consentimiento sea explícito. Por tanto, para que el tratamiento de categorías especiales de datos personales sea lícito, no es suficiente la definición del consentimiento del interesado prevista en el art.4.11 RGPD -EDL 2016/48900- como «toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen»(14). Esto impide el consentimiento tácito pero no así el consentimiento implícito que serviría como supuesto de legitimación del tratamiento de categorías generales de datos personales pero no de las categorías especiales de datos personales porque estas últimas requerirían el consentimiento explícito(15).
Esta exigencia de que el consentimiento fuera explícito también estaba presente en la Directiva 95/46/CE -EDL 1995/16021- para justificar el tratamiento de categorías especiales de datos personales –art. 8.2.a)-. No obstante, la LOPD, al trasponer este precepto diferenciaba, dentro de estas categorías especiales de datos personales, los datos de ideología, afiliación sindical, religión o creencias cuyo tratamiento requería no sólo un consentimiento expreso sino expreso y escrito –art. 7.2 -EDL 1999/63731- y los datos de origen racial, salud y vida sexual cuyo tratamiento requería consentimiento expreso–art. 7.3-. Realmente, el art. 7 LOPD más que una trasposición del art. 8 de la Directiva 95/46/CE, era una continuación de la regulación de los datos especialmente protegidos presente en el art. 7 LORTAD -EDL 1992/16927-, que ya establecía esta distinción que se trasladó después a la LORTAD. Al tratarse de una Directiva, entendemos que el Estado tenía un margen de maniobra para establecer una exigencia adicional de consentimiento expreso y escrito en algunos tratamientos de datos que revelen la ideología, afiliación sindical, religión y creencias al afectar a la libertad ideológica y religiosa y a la libertad sindical reconocidas en los arts. 16 y 28 Const -EDL 1978/3879-.
Así, el art.7.1 LOPD -EDL 1999/63731-, además de recordar en el primer párrafo la previsión constitucional del art.16.2 Const -EDL 1978/3879- de que «nadie podrá ser obligado a declarar sobre su ideología, religión o creencias», añade en un segundo párrafo que «cuando en relación con estos datos se proceda a recabar el consentimiento [...] se advertirá al interesado acerca de su derecho a no prestarlo». La Agencia Española de Protección de Datos había señalado que «el régimen establecido en el artículo 7.2 -EDL 1999/63731- [la exigencia de un consentimiento expreso y escrito] parece traer su causa directa de lo dispuesto en el artículo 7.1 de la propia Ley Orgánica que establece que «de acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias(16)». A nuestro juicio, la redacción contenida en el art.16.2 Const de que «nadie podrá ser obligado a declarar sobre su ideología, religión o creencias», está vinculada a la previsión contenida en el apartado 1 del art. 16 Const -EDL 1978/3879- que establece que «se garantiza la libertad ideológica, religiosa y de culto de los individuos y las comunidades». La LOPD -EDL 1999/63731- establecía dos medidas, cuando se proceda a recabar el consentimiento para el tratamiento de datos de ideología, religión o creencias, para garantizar esa libertad de que nadie va a ser obligado a declarar sobre su ideología religión o creencias: la primera era una exigencia relativa al principio de información al interesado, con la introducción de la advertencia al interesado de su derecho a no prestarlo; y la segunda medida era una exigencia relativa al consentimiento, no siendo suficiente que sea expreso sino que tenía que ser también escrito.
Este supuesto de legitimidad del tratamiento de categorías especiales de datos personales en virtud del consentimiento explícito contenida en el RGPD -EDL 2016/48900- no es una regla absoluta porque el art.9.2.a) -EDL 2016/48900- in fine establece la excepción de que «el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada enel apartado 1 no puede ser levantadapor el interesado», una previsión semejante a la incluida en el art.8.2.a) de la Directiva 95/46/CE -EDL 1995/16021-. El Derecho de la Unión o de los Estados miembros puede establecer que el tratamiento de todas o de alguna de las categorías especiales de datos personales no es lícito aunque cuente con el consentimiento explícito del interesado. Es decir, que el consentimiento explícito del interesado no sirva o no sea suficiente para reputar como lícito el tratamiento de categorías especiales de datos personales. De esta forma, el RGPD deja un margen de maniobra a los Estados en un ámbito que afecta a los derechos fundamentales, especialmente, a la libertad ideológica, religiosa y sindical y a la prohibición de discriminación por raza o por orientación sexual. Este margen ha permitido que la LOPDGDD –EDL 2018/128249- establezca que «a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico» –art.9.1-. Por tanto, el consentimiento explícito no es suficiente para legitimar los tratamientos de algunas categorías especiales de datos personales antes señaladas aunque sí para otras –datos de salud, datos genéticos y datos biométricos- si estos tratamientos tienen como finalidad principal –no meramente accesoria- identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico. Ahora bien, la LOPDGDD también aclara que «lo dispuesto en el párrafo anterior no impedirá el tratamiento de dichos datos al amparo de los restantes supuestos contemplados en el artículo 9.2 del Reglamento (UE) 2016/679 -EDL 2016/48900-, cuando así proceda –art. 9.1 in fine-.
Inicialmente de una lectura del tenor literal del art.9.2.a) in fine -EDL 2016/48900- no parece claro o no se deduce que el RGPD autorice a los Estados a endurecer la forma de prestación del consentimiento y exigir que sea escrito para una clase o para todas las categorías especiales de datos personales. Esto pudo establecerse en el ámbito de una Directiva que es una norma de fines y no tanto en el de un Reglamento que es obligatorio en todos sus elementos y que tiene como uno de sus objetivos clarificar la regla del consentimiento como criterio de licitud de los tratamientos, superando la divergencia existente en Europa en este aspecto. Ahora bien, si el RGPD permite a los Estados miembros excepcionar el consentimiento explícito como supuesto de licitud para el tratamiento de categorías especiales de datos personales, también puede haber permitido endurecer el régimen jurídico de la prestación del consentimiento exigiendo un consentimiento expreso y escrito bajo el principio jurídico de qui potest plus, potest minus -quien puede lo más, puede lo menos-. En todo caso, el mayor rigor en el consentimiento o en la información al interesado no es una exigencia constitucional del art.16.2 Const -EDL 1978/3879- que se limita afirmar que «nadie podrá ser obligado a declarar sobre su ideología, religión o creencias» por lo que la previsión del art.9.2.a) del RGPD no entra en contradicción con la Const.
Pues bien, la LOPDGDD -EDL 2018/128249- al regular el tratamiento de las categorías especiales de datos personales basado en el consentimiento del afectado –art. 9.1 -EDL 1999/63731- no incluye el requisito del consentimiento expreso y escrito para el tratamiento de los datos de opiniones políticas, convicciones religiosas o filosóficas o afiliación sindical que antes estaba presente en el art. 7.2 LOPD. Esto es lo que puede parecer a simple vista. Sin embargo, la Disposición final undécima. Dos de la LOPDGDD -EDL 2018/128249-, que modifica la L 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno –EDL 2013/232606-, en relación con el ejercicio del derecho de acceso cuando la información solicitada tuviera datos especialmente protegidos, redacta de nuevo el art. 15.1, primer párrafo, suprimiendo la mención al art. 7 LOPD pero manteniendo la regla del consentimiento expreso y escrito. Así, se establece que «si la información solicitada contuviera datos personales que revelen la ideología, afiliación sindical, religión o creencias, el acceso únicamente se podrá autorizar en caso de que se contase con el consentimiento expreso y por escrito del afectado, a menos que dicho afectado hubiese hecho manifiestamente públicos los datos con anterioridad a que se solicitase el acceso». Esto lleva a la situación paradójica de que sea suficiente el consentimiento expreso para el tratamiento o la cesión por un tercero de datos de opiniones políticas, convicciones religiosas o filosóficas o afiliación sindical pero para el ejercicio de un derecho de acceso a información administrativa en la que se contuviera esta clase de datos serían necesario el consentimiento expreso y escrito. Esto no parece ser algo buscado de propósito sino un problema de técnica legislativa característico de la modificación de los proyectos de ley en el trámite de enmiendas.
El consentimiento explícito que da el interesado es para el tratamiento de categorías especiales de datos personales «con uno o más de los fines especificados» –art.9.2.a) RGPD -EDL 2016/48900- de forma que cuando el tratamiento es para varios fines, debe darse el consentimiento explícito para todos ellos. Además, la regulación de las condiciones para el consentimiento del art.7 del RGPD debe entenderse aplicable al consentimiento explícito. Así, en primer lugar, «cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales» –art.7.1 RGPD. En segundo lugar, el consentimiento debe ser libre de manera que el consentimiento no es una base jurídica válida cuando existe un desequilibrio entre el interesado y el responsable del tratamiento, lo que puede ocurrir en las relaciones laborales o en el ámbito sanitario donde hasta hace poco tiempo no existía una autonomía del paciente. Así, se establecen unas condiciones que garanticen que el consentimiento es libre y específico –art.4.11 RGPD. Para evaluar si el consentimiento se ha dado libremente, «se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato» –art.7.4 RGPD (17). Es especialmente importante que la asistencia sanitaria nunca se supedite al consentimiento para otras finalidades distintas como la investigación. En tercer lugar, el consentimiento debe ser específico. Así, la CDFUE señala que los datos «se tratarán de modo leal, para fines concretos» –art.8.2-. Además, el RGPD trata de que el consentimiento para el tratamiento de datos personales se distinga de cualquier otra dación de consentimiento para otro asunto. El RGPD establece que «si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud del consentimiento se presentará de forma que se distinga claramente de los demás asuntos» -art. 7.2-. Esto también es relevante en el ámbito sanitario donde hay que distinguir el consentimiento para el acto médico –vinculado a la autonomía del paciente- y el consentimiento como supuesto de licitud del tratamiento de datos personales para la asistencia sanitaria o para la investigación. El Considerando 32 del RGPD señala que «el consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines(18). Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos»(19). En todo caso, «no será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento» –art.7.2 RGPD in fine. En cuarto lugar, la solicitud de consentimiento se presentará «de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo» –art.7.2 RGPD-. Finalmente, «el interesado tendrá derecho a retirar su consentimiento en cualquier momento» –art.7.3 RGPD. La retirada del consentimiento, por ejemplo, en el ámbito de la investigación no afectará a la licitud del tratamiento basado en el consentimiento hasta ese momento.
V. Otros supuestos de tratamiento de categorías especiales de datos personales
El art.9.2 RGPD -EDL 2016/48900- contiene otros supuestos de licitud de los tratamientos de categorías especiales de datos personales(20). De esta forma, la prohibición del tratamiento de categorías especiales de datos personales presente en el art. 9.1 del RGPD no será de aplicación cuando concurra alguna de los supuestos mencionados expresamente en el art. 9.2 del RGPD.
El apartado 9.2.b) -EDL 2016/48900- recoge que «el tratamiento [sea] necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboraly de la seguridad y protección social,en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembrosque establezca garantíasadecuadas del respetode los derechos fundamentales y de los intereses del interesado», lo que se aplica a los tratamientos de categorías especiales de datos en el ámbito de la seguridad social y de los servicios sociales.
El apartado 9.2.c) del RGPD -EDL 2016/48900- señala que «el tratamiento [sea] necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento», una previsión que pone de manifiesto la preferencia del derecho a la vida y que es aplicable plenamente al ámbito sanitario sino fuera porque existen otras habilitaciones normativas más específicas.
El apartado 9.2.d) del RGPD -EDL 2016/48900- establece el supuesto de que «el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados». Hay que recordar que el art. 7 LOPD -EDL 1999/63731-, en aplicación del art. 8 de la Directiva -EDL 1995/16021-, excluía del consentimiento expreso y por escrito a los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas cuya finalidad sea política, filosófica, religiosa o sindical «en cuento a los datos relativos a sus asociados y miembros». Como pusimos de manifiesto en el pasado, es necesario establecer límites al derecho a la cancelación de datos personales cuando afecta a la libertad religiosa. Así, la Iglesia Católica y las distintas comunidades y órdenes religiosas no tienen que cancelar toda su información sobre antiguos miembros, teniendo derecho a guardar constancia de quiénes han pertenecido a esa institución, todo ello en virtud del derecho fundamental a la libertad religiosa, de titularidad individual y colectiva y que tiene dentro de su contenido la facultad de disponer de un mínimo de información necesaria para salvaguardar los fines de la institución, información que es necesaria para preservar los intereses jurídicos que dan vida a este derecho y que en caso contrario quedarían desprotegidos. Este planteamiento, que defendimos en el pasado y que se visto expresamente reflejado en el art. 9.2.d) RGPD, obliga a modificar la doctrina del Tribunal Supremo recogida en la Sentencia 7583/2011, de 1 de noviembre(21).
El apartado 9.2.e) del RGPD -EDL 2016/48900- establece el supuesto de que «el tratamiento se refiera a datos personales que el interesado ha hecho manifiestamente públicos». Así, es posible el tratamiento de categorías especiales de datos personales, como la ideología o la salud cuando el interesado los haya hecho públicos, por ejemplo, a través de los medios de comunicación o mediante redes sociales abiertas como twitter, wordpress o blogger. Esta previsión también se encontraba presente en la Directiva 95/46/CE –EDL 1995/16021- pero no fue transpuesta en la LOPD -EDL 1999/63731-, aunque a nuestro juicio tenía una eficacia directa porque era una obligación incondicional y suficientemente precisa(22);
El apartado 9.2.f) del RGPD -EDL 2016/48900- prevé el supuesto de que «el tratamiento [sea] necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial», lo que sería también aplicable a los médicos que piden el acceso a historias clínicas de pacientes a los que ya no dan asistencia para defenderse ante demandas judiciales.
El art.9.2.g) del RGPD -EDL 2016/48900- establece el supuesto de que «el tratamiento [sea] necesario por razones de un interés público esencial, sobre la base del Derechode la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado». Esta previsión justifica el tratamiento de categorías especiales de datos personales, específicamente de datos de salud para una actividad no sanitaria cuando existe una habilitación legal como los tratamientos de datos de salud, por ejemplo, para la actividad aseguradora(23), el control de alcoholemia en virtud de la Ley de tráfico y seguridad vial(24), o para control antidopaje en virtud de la Ley de Medicina Deportiva(25). La habilitación legal como supuesto que legitimaba el tratamiento de todas las categorías especiales de datos personales se encontraba también recogido en la Directiva 95/46/CE -EDL 1995/16021-. Sin embargo la LOPD -EDL 1999/63731- establecía que la habilitación legal sólo podía autorizar el tratamiento de datos de origen racial, salud o vida sexual, pero no de los datos de ideología, religión o creencias –art. 7.3-(26). Esta salvedad tenía una clara justificación por el hecho de que se tratase de una Directiva que deja un margen de maniobra a los Estados en este punto. En todo caso, el RGPD también deja un margen a los Estados en materias de interés público y, especialmente, en la legitimación al tratamiento de datos que suponga un límite a la libertad ideológica y religiosa. Sin embargo, lo que llama la atención es que la LOPDGDD -EDL 2018/128249- no establezca ninguna regulación específica para los tratamientos de datos especialmente protegidos, salvo la ya señalada del art. 9 para limitar el consentimiento explícito(27), por lo que es de aplicación los criterios de legitimación del tratamiento de categorías especiales de datos personales, entre ellos que el tratamiento sea «necesario por razones de interés público esencial, sobre la base del Derecho de la Unión o de los Estados» –art. 9.2.f)- para todas las categorías especiales de datos personales, al mismo tiempo que circunscribe el acceso a información administrativa en virtud de una norma con rango de ley únicamente a los datos de origen racial, salud, vida sexual, datos genéticos, biométricos o relativos a comisiones de infracciones penales o administrativas(28).
Finalmente el RGPD regula en el art. 9.2.h), i) y j) -EDL 2016/48900- los supuestos de tratamiento de categorías especiales de datos personales relacionados con el ámbito sanitario: la asistencia sanitaria, la salud pública y la investigación en salud y biomédica. La legitimidad de los tratamientos de categorías especiales de datos personales en el ámbito sanitario no puede pivotar sobre el consentimiento del interesado, sino sobre el principio de legalidad, en virtud de la obligación constitucional del Estado de proteger la vida. Para cumplir esta obligación de protección el Estado debe adoptar suficientes medidas de naturaleza normativa, que permitan ofrecer una protección eficaz para la vida humana y que van dirigidas también a los servicios médicos y a los servicios sociales, que pueden tener incluso una responsabilidad por inacción en virtud de su obligación constitucional de proteger la vida(29).
Al igual que en el caso de los tratamientos por razones de un interés público esencial –art. 9.2.g)-, el RGPD -EDL 2016/48900- establece que el Derecho de la Unión o de los Estados miembros puede considerar necesario un tratamiento de categorías especiales de datos para la asistencia sanitaria –9.2.h)-, para la actividad de salud pública –9.2.i) - y para la investigación científica –9.2.j)-(30). Ahora bien, la Ley debe respetar el principio de proporcionalidad. Así, «debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado». Hay que señalar que, de nuevo el RGPD, al igual que hacía el art. 8.3 de la Directiva 95/46/CE -EDL 1995/16021- y el art. 7.6 LOPD -EDL 1999/63731- sí autoriza para estas finalidades el tratamiento de todas las categorías especiales de datos personales y no sólo de los datos de salud o de los datos genéticos. Lo que parecía una previsión excesiva que denotaba una mala técnica legislativa se ha convertido en una opción normativa consolidada, que evidentemente tiene que respetar el principio de calidad(31). Así, el tratamiento de otras categorías especiales de datos personales distintos a los datos de salud o de los datos genéticos sólo es legítima, como señala el art. 9.2.h), i) y j), cuando «el tratamiento sea necesario» para los fines antes descritos.
NOTAS:
1.- Cfr. J. López Calvo (Coord.), El nuevo marco regulatorio derivado del Reglamento Europeo de Protección de Datos, Wolters Kluwer, Madrid, 2018; J. L. Piñar Mañas (Dir.), Reglamento General de Protección de Datos. Hacia un modelo europeo de privacidad, Reus, Madrid, 2016; E. Delgado Carravilla, y J. Puyol Montero, La implantación del nuevo Reglamento General de Protección de Datos de la Unión Europea, Tirant lo Blanch, Valencia, 2018; J. Puyol Montero, Guía divulgativa del Reglamento General de Protección de Datos de la Unión Europea, Tirant lo Blanch, Valencia, 2018; Protección de datos. Aplicación del RGPD, Francis Lefebvre, Madrid, 2018. Cfr. con anterioridad A. Rallo Lombarte, «Hacia un sistema europeo de protección de datos: las claves de la reforma», RDP, núm. 85, 2012, pp. 15-56; A. Rallo Lombarte y R. García Mahamut (ed.), Hacia un derecho europeo de protección de datos, Tirant lo Blanch, Valencia, 2015; A. Troncoso Reigada, «Hacia un nuevo marco jurídico europeo de protección de datos personales», REDE, núm. 43, 2012, pp. 25-184.
2.- El art.8.1 de la Directiva 95/46/CE -EDL 1995/16021- se refería a la «pertenencia a sindicatos», lo que viene a ser lo mismo.
3.- Los datos genéticos ya se consideraban en la Propuesta de Reglamento elaborada por la Comisión como categorías especiales de datos personales. No así los datos biométricos, aunque se les sometía a unas obligaciones específicas, como las evaluaciones de impacto -art.33.2.d)-. Cfr. A. Troncoso Reigada, «Hacia un nuevo marco jurídico europeo», cit. pp. 83-84 y 96-101.
4.- «En particular a través de un análisis cromosómico, un análisis del ácido desoxirribonucleico (ADN) o del ácido ribonucleico (ARN), o del análisis de cualquier otro elemento que permita obtener información equivalente» -Considerando 34-.
5.- Sobre los datos genéticos hay algunos trabajos de especial interés. Cfr. P. Nicolás Jiménez, La protección jurídica de los datos genéticos de carácter personal, Comares, Granada, 2006, pp. 53-108; M. Jorqui Azofra, Análisis genéticos en el ámbito asistencial: reflexión ético-jurídica, Comares, Granada, 2010, pp. 260-368; C. M. Romeo Casabona, «Consideraciones jurídicas sobre las técnicas genéticas», Anuario de Filosofía del Derecho, vol. XII, 1995, pp. 15-38.
6.- Cfr. J. M. Pérez Gómez, «Especialidades en el sector sanitario», en J. López Calvo, José (Coord.), El nuevo marco regulatorio derivado del Reglamento Europeo de Protección de Datos, cit. p. 199.
7.- El RGPD -EDL 2016/48900- define datos biométricos como «datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos» -art.4.14-.
8.- Los datos biométricos como la huella dactilar eran considerados en los países de la antigua Europa del Este como datos especialmente protegidos por su uso policial en el pasado. Cfr. A. Troncoso Reigada, La protección de datos personales. En busca del equilibrio, Tirant lo Blanch, Valencia, 2010, pp. 216-244. Cfr. también el Dictamen 3/2012, de 27 de abril, del Grupo de Trabajo del Art. 29, sobre la evolución de las tecnologías biométricas.
9.- Esto era ya aplicable a la L 19/2013, de 9 diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno –EDL 2013/232606-, anterior al RGPD -EDL 2016/48900-, que no incluía a los datos biométricos en el régimen de acceso a la información con datos especialmente protegidos. El inicio de la aplicación del RGPD obligaba a que el acceso a la información administrativa que contuviera datos biométricos respetara el RGPD, que establece un régimen jurídico específico para el tratamiento de estos datos como categorías especiales de datos personales. Esta es una cuestión que habíamos adelantado en «La protección de datos personales como límite al acceso a la información pública en la Ley 19/2013, de 9 de diciembre», Comentario a la Ley de Transparencia, Acceso a la Información Pública y Buen Gobierno, Civitas-Thomson Reuters, Cizur Menor, 2017, pp. 1043-1048. Este ha sido el criterio seguido en la LOPDGDD -EDL 2018/128249- cuya Disposición final undécima. Dos modifica el art.15.1 de esta Ley en aras de la seguridad jurídica para establecer que «si la información [solicitada por un tercero que ejerce el derecho de acceso] incluyese datos personales que hagan referencia al origen racial, a la salud o a la vida sexual, incluyese datos genéticos o biométricos o contuviera datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor, el acceso solo se podrá autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquel estuviera amparado por una norma con rango de ley».
10.- La STJCE, de 6-11-03, -As. Lindqvist, EDJ 2003/112810- que estableció que «teniendo en cuenta el objeto de esta Directiva, es preciso dar una interpretación amplia a la expresión «datos relativos a la salud», empleada en su artículo 8, apartado 1 –EDL 1979/3822-, de modo que comprenda la información relativa a todos los aspectos, tanto físicos como psíquicos, de la salud de una persona» –parágrafo 50-.
11.- Esto parece claro en el ámbito de la atención especializada –aunque el diagnóstico sea finalmente negativo- porque ofrece una información relativa a una posible clase de enfermedad, pero es más dudoso en el ámbito de la atención primaria, salvo que exista una acumulación de prestaciones.
12.- El Considerando 35 del RGPD -EDL 2016/48900- sí recoge que «entre los datos personales relativos a la salud se deben incluir todos los datos relativos al estado de salud del interesado que dan información sobre su estado de salud física o mental pasado, presente o futuro».
13.- El Dictamen 4/2007, de 20 junio, sobre el concepto de dato personal establece que el concepto de dato de salud se aplica «a los datos personales cuando tienen una relación clara y estrecha con la descripción del estado de salud de una persona: los datos sobre el consumo de medicamentos, alcohol o drogas, así como los datos genéticos, son sin duda datos personales sobre la salud, especialmente si están incluidos en un expediente médico, e incluso, todo dato incluyendo alguno de carácter administrativo que se encuentren en los historiales clínicos». Para Pérez Gómez, el RGPD -EDL 2016/48900- incorpora «una definición amplia que tiende a englobar todos los supuestos en los que los datos de una persona identificada o identificable pueden revelar aspectos de salud física o mental: la referencia a la asistencia sanitaria, como un mero ámbito en el que esa información se puede dar, supone en la práctica que las singularidades regulatorias para su tratamiento se extienden a cualquier otro escenario». Así, este autor señala que «no sólo cabe encontrar datos relativos a la salud en el entorno de la asistencia sanitaria recogida en las historias clínicas, sino que en otros muchos ámbitos como el laboral, el asegurador, el deportivo, puede ser necesario recoger y tratar datos de esta naturaleza, donde las medidas tendentes a la protección de los derechos de su titular deben ser análogas a las referidas para el sector estrictamente sanitario, y como más adelante se verá, debiendo ser muy cuidadoso a la hora de respetar los requisitos de consentimiento y limitación de finalidades». Cfr. J. M. Pérez Gómez, «Especialidades en el sector sanitario», cit. pp. 196-197.
14.- La propuesta de Reglamento de la Comisión establecía que el consentimiento para que fuera un criterio de licitud del tratamiento, debería ser siempre explicito, si bien finalmente en el texto aprobado basta con que sea un consentimiento inequívoco, exigiéndose «una declaración o una clara acción afirmativa».
15.- Los ejemplos que da el Considerando 32 del RGPD -EDL 2016/48900- para explicar la definición de consentimiento del interesado del art.4.11 como la declaración por escrito, inclusive por medios electrónicos, o una declaración verbal servirían también para el consentimiento explícito. En cambio, continuar la navegación en una página web es una acción afirmativa y puede ser un consentimiento implícito pero no explícito.
16.- El Informe de la AEPD, de 4 de agosto de 2009, publicado en su web, p. 20.
17.- La LOPDGDD -EDL 2018/128249- abunda en esta dirección señalando que «no podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual» –art.6.3-.
18.- Además, la LOPDGDD -EDL 2018/128249- establece que «cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas» -art.6-. La palabra todas se incorporó a través de enmienda en el Congreso de los Diputados.
19.- El Considerando 32 del RGPD -EDL 2016/48900- añade al Considerando 25 de la Propuesta de la Comisión la afirmación de que «cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos».
20.- El Considerando 52 del RGPD -EDL 2016/48900- señala que «deben autorizarse excepciones a la prohibición de tratar categorías especiales de datos personales cuando lo establezca el Derecho de la Unión o de los Estados miembros y siempre que se den las garantías apropiadas, a fin de proteger datos personales y otros derechos fundamentales, cuando sea en interés público, en particular el tratamiento de datos personales en el ámbito de la legislación laboral, la legislación sobre protección social, incluidas las pensiones y con fines de seguridad, supervisión y alerta sanitaria, la prevención o control de enfermedades transmisibles y otras amenazas graves para la salud. Tal excepción es posible para fines en el ámbito de la salud, incluidas la sanidad pública y la gestión de los servicios de asistencia sanitaria, especialmente con el fin de garantizar la calidad y la rentabilidad de los procedimientos utilizados para resolver las reclamaciones de prestaciones y de servicios en el régimen del seguro de enfermedad, o con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos. Debe autorizarse asimismo a título excepcional el tratamiento de dichos datos personales cuando sea necesario para la formulación, el ejercicio o la defensa de reclamaciones, ya sea por un procedimiento judicial o un procedimiento administrativo o extrajudicial».
21.-Como ya pusimos de manifiesto tempranamente –«Hacia un nuevo marco jurídico», cit. pp. 98-101- y se recoge ahora en el art.9.2.d) RGPD -EDL 2016/48900-, los datos de las personas que han pertenecido a instituciones de la Iglesia Católica –ex-sacerdotes o ex-religiosos- siguen siendo necesarios para éstas ya que los Estatutos de estas instituciones y comunidades religiosas no permiten que personas que hayan abandonado una institución puedan volver a pertenecer a ella –o al menos, hasta que transcurra un plazo de tiempo-. Así, por ejemplo, un sacerdote que se ha secularizado no puede volver a ordenarse; un religioso que ha abandonado la orden no puede volver a tomar los votos. Por ello, el mantenimiento de una mínima información es consecuencia del ejercicio de la libertad religiosa en sentido colectivo. Es claro, por tanto, que algunos datos siguen siendo necesarios y pertinentes para la finalidad para la que se recogieron: dejar constancia de que el interesado perteneció a la institución y causó baja en la misma, circunstancia que debe tenerse en cuenta en el caso de que la persona interesada quisiera al cabo del tiempo volver a solicitar la admisión por lo que la institución tiene un interés legítimo en tener constancia de qué fieles han formado parte de la misma. La obligación de cancelación existe cuando los datos han dejado de ser necesarios o pertinentes para la finalidad para la cual han sido recabados o registrados, pero no cuando se mantiene la finalidad –art.4.5 LOPD -EDL 1999/63731-, en virtud de los Estatutos de una comunidad. Hay que recordar que el art.23.1.i) del RGPD, manteniendo lo previsto en el art.13.1.g) de la Directiva 95/46/CE -EDL 1995/16021- y el art. 23 de la LOPD y el art.21.1.f) de la propuesta de Reglamento de la Comisión- establece la facultad del responsable de fichero para denegar el acceso, la rectificación y la cancelación de los datos personales cuando tal limitación sea una medida necesaria y proporcionada para la protección de los derechos y libertades de otros, en este caso de la libertad religiosa de los individuos y de las comunidades, que se encuentra expresamente recogida en el art. 16 Const. Lógicamente, el derecho a la protección de datos, especialmente el principio de calidad, implica importantes límites a la libertad religiosa: obliga a cancelar el dato de pertenencia a la institución –lo que manifiesta la libertad religiosa en sentido negativo-; la institución sólo puede mantener de las personas que la han abandonado una información adecuada y pertinente –no parece excesiva la información sobre fecha de ingreso y fecha de baja de la institución-; los interesados tienen derecho a la exactitud de los datos –no pueden constar como miembros sino como ex miembros-. Además, esta información no puede comunicarse al exterior. Hay que analizar también si el establecimiento de obligaciones de cancelación, con amenaza de sanción administrativa si no se hace, puede afectar al Acuerdo, de 3 de enero de 1979, entre el Estado Español y la Santa Sede, que tiene rango de Tratado internacional y que en su apartado II.6, establece que «el Estado respeta y protege la inviolabilidad de los archivos, registros y demás documentos pertenecientes a la Conferencia Episcopal Española, a las Curias Episcopales, a las Curias de los Superiores Mayores de las Órdenes y Congregaciones Religiosas, a las Parroquias y a otras Instituciones y Entidades Eclesiásticas».
Sin embargo, distinta ha sido la postura del Tribunal Supremo en la Sentencia 7583/2011, de 1 noviembre, que reconoce el derecho a los ex-miembros de una comunidad religiosa a cancelar todos sus datos obrantes en la institución. La Sentencia contiene dos argumentos acertados y un tercero claramente desacertado. Como primer argumento, la Sentencia señala que una hoja con el nombre, fecha de ingreso y fecha de baja, constituye un fichero de datos y por tanto le es de aplicación la Ley de Protección de Datos. La sentencia afirma que los datos de la institución están organizados y clasificados hasta el punto de que son fácilmente localizables, a diferencia de los libros bautismales, que son «una pura acumulación de datos» que no están ordenados «ni alfabéticamente ni por fecha de nacimiento». De esta forma, la Sentencia tiene en cuenta los criterios de estructuración en virtud de personas y de fácil accesibilidad que permiten afirmar que existe un tratamiento de datos personales, en este caso manual. El segundo argumento consiste en afirmar acertadamente que en el sistema de jerarquía de fuentes, la regulación prevista en el Tratado internacional –en este caso, en el Acuerdo con la Santa Sede- debe ser interpretada conforme a la Constitución, teniendo en cuenta los derechos fundamentales reconocidos en la misma. Sin embargo, la Sentencia entiende –este es el tercer argumento, a nuestro juicio erróneo- que el único derecho afectado es el derecho fundamental a la protección de datos personales, sin tener en cuenta la libertad religiosa de los individuos y de las comunidades –que a diferencia de la protección de datos personales, sí encuentra un reconocimiento constitucional expreso en el art.16, sin necesidad de esfuerzo jurisprudencial-, olvidando la necesidad de mantener una mínima información para la finalidad para la cual fue recogida, que es el ejercicio de la libertad religiosa, afirmando solemnemente que “los datos dejaron de ser necesarios para la finalidad que justificó su tratamiento cuando la persona deja de pertenecer a la institución”. La Sentencia no tiene en cuenta que el derecho a la protección de datos personales –en este caso, la facultad de cancelación- no es un derecho absoluto y que, por tanto, la libertad religiosa, como otros muchos derechos fundamentales, supone un límite al derecho de cancelación y permite al responsable mantener una información del interesado cuando siga siendo necesaria para su finalidad, en este caso, el ejercicio de la libertad religiosa –que requiere el mantenimiento de una mínima información de fecha de alta y baja de los ex miembros, que, además, no transciende al exterior-. La cancelación se ejerce sobre la información relativa a la pertenencia a la institución pero no alcanza a la supresión de toda información que sobre esta persona tenga la institución y que sea necesaria para el ejercicio de la libertad religiosa. Esta es la conclusión que se obtiene de la ponderación de derechos fundamentales en presencia, que ya se podía deducir de la Directiva 95/46/CE -EDL 1995/16021- y de la LOPD -EDL 1999/63731-, que recoge textualmente el RGPD y que omitió el Tribunal Supremo, dando prevalencia al derecho fundamental a la protección de datos de una forma que afecta a los intereses jurídicos que dan vida a la libertad religiosa y, por tanto, menoscabando su contenido esencial. Esto no es más que otro ejemplo de la necesidad de alcanzar un equilibrio de derechos fundamentales en este ámbito y de cómo la libertad religiosa, al igual que otros derechos, exige algunos tratamientos de datos personales sin consentimiento Por último, hay que señalar que ha sido criterio de la Agencia Española de Protección de Datos que no es necesario eliminar datos personales cuando son reflejo de hechos históricos y se llevan a cabo en virtud de actas de notoriedad, acreditadas con la presencia de padrinos y de testigos. Otra cosa es que se pueda llevar a cabo una anotación marginal en el expediente que deje constancia de que esa persona abandonó la institución o es apóstata y de que esta anotación se le comunique al interesado. Si prosperara el criterio contrario cualquier interesado podría exigir que se arrancaran y destruyeran las hojas de los libros de actas de Fundaciones o Asociaciones de las que se haya desvinculado, aunque sean exactos y adecuados –afectando al derecho de asociación- y aunque no sean objeto de tratamiento informático o formen parte de un fichero manual. Lo mismo podría suceder con los libros-registro de accionistas y libros de actas de las sociedades mercantiles, e incluso con los mismísimos libros del Registro Mercantil y del Registro de la Propiedad, lo que afectaría al ejercicio legítimo de la libertad de empresa. La preocupación por hacer compatible la protección de datos personales con otros derechos fundamentales la hemos manifestado en un libro que lleva precisamente por título La protección de datos personales. En busca del equilibrio, cit. pp. 35-36-.
22.- Esta previsión sí se encontraba contenida en la redacción inicial de la L 19/2013, de Transparencia y Acceso a la Información Pública y Buen Gobierno –EDL 2013/232606-, si bien, a diferencia de la Directiva 95/46/CE -EDL 1995/16021-, no estaba previsto como un supuesto que facilitara el acceso a todas las categorías especiales de datos personales sino sólo a los datos de ideología, afiliación sindical, religión o creencias –art. 15.1, primer párrafo. La Disposición final undécima Dos de la LOPDGDD -EDL 2018/128249-, que modifica la Ley 19/2013, de 9 de diciembre, ha continuado circunscribiendo a estas concretas clases de datos el supuesto de legitimidad de que el tratamiento se refiera a datos personales que el interesado haya hecho manifiestamente públicos con anterioridad a que se solicitase el acceso, olvidando que este supuesto de legitimidad de los tratamientos presente en el RGPD es aplicable a todas las categorías especiales de datos personales y, por tanto, también a los datos genéticos, biométricos, a los de salud o a los datos relativos a la vida sexual o a las orientaciones sexuales de una persona para los que esa previsión del RGPD es directamente aplicable a pesar del olvido del legislador.
23.-Cfr. la L 20/2015, de 14 julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras –EDL 2015/119139-.
24.- Cfr. el RDLeg 339/1990, de 2 marzo –EDL 1990/12827-, modificado por la L 6/2014, de 7 abril –EDL 2014/4336- y texto refundido de la Ley sobre tráfico, circulación de vehículos a motor y seguridad vial, aprobado por el RDLeg 6/2015, de 30 octubre –EDL 2015/68080-.
25.- Cfr. la LO 3/2013, de 20 junio, de protección de la salud del deportista y lucha contra el dopaje en la actividad deportiva –EDL 2013/97153-.
26.- La redacción inicial del art.15.1 LT –EDL 2013/232606-, segundo párrafo, en coherencia con lo previsto en el art. 7.3 LOPD –EDL 1999/63731-, sólo preveía que la norma con rango de Ley permitiera el acceso a información administrativa para los datos de origen racial, salud y vida sexual y para los datos relativos a la comisión de infracciones penales o administrativas, pero no para los datos de ideología, afiliación sindical, religión o creencias. Sin embargo, el art.9.2.g) RGPD -EDL 2016/48900- aplica este supuesto de licitud a todos los tratamientos de categorías especiales de datos personales.
27.- Lo que está limitando el art.9.1 de la LOPDGDD -EDL 2018/128249- es el consentimiento explícito como legitimación para el tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico pero no el resto de los supuestos de legitimación del tratamiento previstos en el art.9.2 del RGPD -EDL 2016/48900-, entre ellos que el tratamiento sea «necesario por razones de interés público esencial, sobre la base del Derecho de la Unión o de los Estados» –art.9.2.f)-.
28.- Así, la Disp Final 11ª.2 modifica el art.15.1 segundo párrafo de la L 19/2013, de 9 diciembre, de transparencia, acceso a la información pública y buen gobierno –EDL 2013/232606- para establecer que «si la información incluyese datos personales que hagan referencia al origen racial, a la salud o a la vida sexual, incluyese datos genéticos o biométricos o contuviera datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor, el acceso solo se podrá autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquel estuviera amparado por una norma con rango de ley». Es decir, puede ser razonable que se aplique el margen de maniobra del Estado para proteger los datos de ideología, afiliación sindical, religión o creencias. Lo que no es coherente es que en virtud de una habilitación legal sea posible el tratamiento de estos datos sin consentimiento del interesado y no el acceso a información administrativa.
29.- La afirmación del art.15 Const -EDL 1978/3879- de que «todos tienen derecho a la vida y a la integridad física y moral» proviene del art. 2.II de la Constitución Alemana, que establece que «toda persona tiene el derecho a la vida y a la integridad física». El derecho a la vida no tiene «el carácter de un derecho de libertad –Freiheitsrecht– con diferentes opciones de actuación, sino el de un derecho de estatus –Statusrecht–, un derecho fundamental con contenido de garantía exclusivamente positivo». Esto significa, por una parte, que el art. 2.II, frase 1 no prohíbe el suicidio ni da origen a una «obligación de vivir exigible por el Estado» al individuo. Pero, al mismo tiempo, el suicidio no es una renuncia al derecho a la vida del art. 2.II, frase 1 de la GG pues el suicida «no dispensa al poder del Estado de la obligación que tiene impuesta de respetar el derecho fundamental a la vida». Cfr. Hillgruber, Christian, «Die Bedeutung der staatlichen Schutzpflicht für das menschliche Leben bezüglich einer gesetzlichen Regelung zur Suizidbeihilfe», en Zeitschrift für Lebensrecht 3, 2013, p. 70, nota 4. Así, Antoni también señala que «el derecho fundamental [a la vida] puede ser violado también por una omisión del Estado. Un instrumento para proteger la vida es el Derecho penal». Cfr. Antoni, Michael, “Artikel 1”, en Hömig, Dieter y Wolff, Heinrich Amadeus, Grundgesetz für die Bundesrepublik Deutschland, 11ª ed., Nomos, Baden Baden, 2016, pp. 58-59, núm. 11.
30.- Así, el Considerando 53 del RGPD -EDL 2016/48900- señala: «Las categorías especiales de datos personales que merecen mayor protección únicamente deben tratarse con fines relacionados con la salud cuando sea necesario para lograr dichos fines en beneficio de las personas físicas y de la sociedad en su conjunto, en particular en el contexto de la gestión de los servicios y sistemas sanitarios o de protección social, incluido el tratamiento de esos datos por las autoridades gestoras de la sanidad y las autoridades sanitarias nacionales centrales con fines de control de calidad, gestión de la información y supervisión general nacional y local del sistema sanitario o de protección social, y garantía de la continuidad de la asistencia sanitaria o la protección social y la asistencia sanitaria transfronteriza o fines de seguridad, supervisión y alerta sanitaria, o con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, basados en el Derecho de la Unión o del Estado miembro que ha de cumplir un objetivo de interés público, así como para estudios realizados en interés público en el ámbito de la salud pública. Por tanto, el presente Reglamento debe establecer condiciones armonizadas para el tratamiento de categorías especiales de datos personales relativos a la salud, en relación con necesidades específicas, en particular si el tratamiento de esos datos lo realizan, con fines relacionados con la salud, personas sujetas a la obligación legal de secreto profesional. El Derecho de la Unión o de los Estados miembros debe establecer medidas específicas y adecuadas para proteger los derechos fundamentales y los datos personales de las personas físicas».
31.- En cambio, la propuesta de Reglamento de la Comisión estaba mejor redactada ya que no autorizaba la aplicación de la excepción sanitaria a todas las categorías especiales de datos sino sólo a los datos de salud –art.81-.
Este artículo ha sido publicado en la "Revista de Jurisprudencia", el 1 de junio de 2019.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación