¿PUEDEN VENDERSE, EN DETERMINADAS CONDICIONES, EN EL CONTEXTO DE UN PROCEDIMIENTO DE EJECUCIÓN FORZOSA, BASES DE DATOS PERSONALES SIN CONSENTIMIENTO? CONCLUSIONES DEL ABOGADO GENERAL EN EL ASUNTO C-693/22 (ECLI:EU:C:2024:162).

(La autora es Profesora Ayudante Doctora de la UAM y miembro del CIPI)

Los hechos que dan lugar al asunto C-693/22 tienen origen en un litigio polaco entre el demandante (I.), titular de un crédito vencido contra la sociedad NMW (sociedad de responsabilidad limitada con domicilio social en Varsovia) de la que el demandado MW ha sido miembro del consejo de administración desde su constitución.

Finalizado el procedimiento de ejecución forzosa contra los bienes de la sociedad NMW, dada la falta de los mismos, la demandante I. emprendió acciones legales contra el demandado M.W. con el fin de obtener el pago de 59. 040 eslotis junto con los intereses, sobre la base del artículo 299, apartado 1, de la Ley, de 15 de septiembre de 2000, sobre el Código de Sociedades Mercantiles (ustawa Kodeks spółek handlowych- Dz.U. de 2022, posición 1467) (En adelante, C.S.M.), que prevé la responsabilidad por daños y perjuicios de un miembro del consejo de administración de una sociedad deudora, si resulta imposible satisfacer el crédito con los bienes de la sociedad.

El demandando, M.W., pidió que se desestimara la demanda ya que la sociedad NMW sigue en posesión de activos con los que la demandante I. podría satisfacer su pretensión, entre ellos, el código fuente de un software de compras en línea combinado con un servicio de cuasi efectivo (plataforma M.), así como dos bases de datos de los usuarios de la plataforma.

No obstante, durante la tramitación del procedimiento, el Tribunal de Distrito de Varsovia, Polonia, se plantea si las bases de datos perteneciente a la sociedad NMW pueden ser objeto de ejecución, pues contienen datos personales de cientos de miles de usuarios de la plataforma M, que no han dado su consentimiento a la venta. Además, el órgano jurisdiccional no puede practicar pruebas periciales sobre la valoración de esta base de datos, ya que el artículo 2352, apartado 1, punto 2, de la Ley por la que se aprueba el Código de Procedimiento Civil, de 17 de noviembre de 1964 (ustawa Kodeks postępowania cywilnego-Dz. U. de 2021, posición 1805), en su versión modificada (En adelante, C.P.C.) prohíbe la práctica de pruebas sin que se establezca previamente que son relevantes para el asunto. Por ello, el citado tribunal plantea la siguiente cuestión prejudicial:

¿Debe interpretarse el artículo 5, apartado 1, letra a), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (En adelante, RGPD), en su versión modificada, en relación con el artículo 6, apartados 1, letras a), c) y e), y 3 de dicho Reglamento, en el sentido de que se opone a una norma de Derecho nacional que permite la venta, en el marco de un procedimiento de ejecución, de una base de datos, en el sentido del artículo 1, apartado 2, de la Directiva 96/9/CE del Parlamento Europeo y del Consejo, de 11 de marzo de 1996, sobre la protección jurídica de las bases de datos (En adelante, la Directiva 96/9), en su versión modificada, constituida por datos personales, cuando las personas a las que se refieren esos datos no han dado su consentimiento a dicha venta?

En definitiva, esta cuestión prejudicial busca determinar la relación entre las restricciones al tratamiento de datos personales establecidas por el RGPD y la facultad de disponer de la base de datos en virtud de la Directiva 96/9 y del Derecho nacional polaco, incluida la disposición de la base de datos en el curso de un procedimiento de ejecución forzosa.

Aunque el TJUE todavía no se ha pronunciado sobre la cuestión, las conclusiones del Abogado General el Sr. Priit Pikamäe han sido publicadas el 22 de febrero de 2024.

Conviene, antes de exponer los pronunciamientos del Abogado General sobre el fondo, observar sus consideraciones sobre la admisibilidad de la cuestión prejudicial planteada.

La parte demandante tiene dudas al respecto pues considera que la sociedad NMW había cesado su actividad económica. En concreto, considera que esa sociedad ya no posee un consejo de administración o de dirección ni presta servicios a los usuarios de la plataforma M. desde abril de 2019 (el 30 de abril de 2019 se envió un email a los usuarios de la plataforma informándoles de que NMW había puesto fin a sus actividades asociadas a dicha plataforma).

Por ello, entiende la demandante que la sociedad interrumpió necesariamente el tratamiento de datos personales asociados al ejercicio de su actividad, y que los principios de limitación de la finalidad y de limitación del plazo de conservación exigieron suprimir los datos de que se trata, so pena de ilegalidad de la propia existencia de las bases de datos en cuestión en el litigio principal (pues así se establece en el art. 5. 1 e) del RGPD).  Sin embargo, el Abogado General, considera admisible la cuestión pues “de ningún apartado de la resolución de remisión se desprende que NMW hubiera cesado su actividad en abril de 2019, como sostiene la demandante”.

Por su parte, el tribunal remitente tiene dudas sobre la aplicabilidad del RGPD a la luz de las disposiciones de la Directiva 96/9. Como recuerda el Abogado General, la citada Directiva impone a todos los Estados miembros la obligación de prever en su legislación nacional la protección de las bases de datos vía un derecho sui generis. “En concreto, su art. 7, apartado 1, reserva al fabricante de la base de datos que ha tenido que realizar una gran inversión desde el punto de vista cuantitativo o cualitativo, el derecho a prohibir la extracción o reutilización de la totalidad o de una parte sustancial del contenido de dicha base de datos. En virtud del artículo 7, apartado 3, de la Directiva, este derecho es transferible”.

Por ello, sobre este extremo, entiende el tribunal remitente que “las bases de datos pertenecientes a la sociedad NMW cumplen los requisitos para acogerse a la protección garantizada por la Ley de Protección de las Bases de Datos y por la Directiva 96/9, que fue transpuesta por la primera en el ordenamiento jurídico polaco. El artículo 6 de dicha Ley dispone, en particular, que el fabricante tiene el derecho exclusivo y transferible a extraer y reutilizar la totalidad o una parte sustancial de los datos. Por tanto, según el tribunal remitente, se trata de un derecho patrimonial de carácter absoluto y que produce efectos erga omnes.

Afirma que, con arreglo al Derecho polaco, cualquier derecho patrimonial puede ser objeto de un procedimiento de ejecución forzosa, salvo que una disposición expresa excluya tal posibilidad. Pues bien, a su juicio, el legislador polaco no ha adoptado ninguna norma que prohíba ejecuciones forzosas que tengan por objeto bases de datos. De ello deduce que, en el presente asunto, el agente judicial es titular de un derecho a ceder las bases de datos en nombre del acreedor que se deriva del derecho del fabricante afectado por el procedimiento de ejecución a disponer libremente de ellas. Considera que la invocación de este derecho podría impedir la aplicación de las normas del RGPD en un caso como el de autos y, con ello, hacer inadmisible la presente cuestión prejudicial”.

Sobre esta cuestión el Abogado General considera, de un lado, que el tribunal remitente no hace una correcta identificación del derecho sui generis reconocido en el art. 7(1) de la Directiva 96/9  y, de otro lado,  afirma que “en lo que respecta a la relación entre la Directiva 96/9 y el RGPD, del artículo 13 de esta Directiva se desprende que esta no afectará a la normativa relativa, en particular, a la protección de los datos personales y de la vida privada, y del considerando 48 de dicha Directiva resulta que sus disposiciones se aplican sin perjuicio de las disposiciones en materia de protección de datos previstas en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, a la que sucedió el RGPD”.

Por todo ello, considera el Abogado General que la cuestión prejudicial planteada es admisible y el TJUE debe pronunciarse sobre el fondo del presente asunto. Se expone, a continuación, su postura en cuanto al fondo de esta, dando respuesta a las siguientes cuestiones:

¿Hay tratamiento de datos en el caso que nos ocupa?

El tratamiento de datos implica, en virtud del artículo 4, punto 2, del RGPD cualquier operación realizada sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como, en particular, la «extracción», la «consulta», la «utilización» y «cualquier otra forma de habilitación de acceso» a esos datos. Es importante aclarar que la cuestión planteada se refiere exclusivamente al procedimiento de ejecución que tiene por objeto la venta forzosa de las bases de datos de que se trata. Según el tribunal remitente, un procedimiento de este tipo implica un tratamiento en el sentido del RGPD, del que es responsable el agente judicial.

A juicio del Abogado General, las aclaraciones facilitadas en la vista por el Gobierno polaco sobre la misión encomendada al agente judicial en los procedimientos de ejecución forzosa, no dejan lugar a dudas en cuanto a la exactitud de esta interpretación, pues dicho procedimiento inicia con el embargo de la base de datos, que permite al agente judicial acceder a los datos personales que figuran en ella para estimar su valor y hacerlo constar en el acta de embargo. Por ello, considera que hay tratamiento de datos en los términos previsto en el RGPD.

¿Quién es el agente responsable del tratamiento de datos?

En el artículo 4, punto 7, del RGPD, el concepto de «responsable del tratamiento» incluye a las personas físicas o jurídicas, autoridades públicas, servicios u otros organismos que solos o junto con otros determinen los fines y medios de tal tratamiento. Apunta el Abogado General que “En el presente asunto, del artículo 3, apartado 1, de la Ley de Agentes Judiciales resulta que, sin perjuicio de las excepciones legalmente establecidas, el agente judicial es una autoridad pública a efectos de la realización de actividades, en particular, en los procedimientos de ejecución forzosa.

Además, como se ha mencionado anteriormente, de la información obrante en autos se desprende que, cuando la ejecución forzosa tiene por objeto bases de datos, tales actividades consisten, en particular, en la extracción, la consulta y la utilización de los datos personales contenidos en ellas a efectos de la estimación del valor de esas bases de datos con vistas a su enajenación mediante subasta pública, así como en la habilitación de acceso al adquirente una vez que la adjudicación es definitiva”. Por todo ello, estima que el Derecho polaco ha determinado al menos implícitamente, los fines y los medios del tratamiento de datos personales efectuado por el agente judicial, que considera el agente responsable del tratamiento de datos.

¿Es lícito este tratamiento de datos?

El artículo 6, apartado 1, párrafo primero, del RGPD establece una lista exhaustiva y taxativa de los supuestos en los que el tratamiento de datos personales puede ser considerado lícito. Tal calificación implica que el tratamiento esté comprendido en alguno de esos supuestos. Razona el Abogado General que el tratamiento que se lleva a cabo en el presente asunto está incluido en el supuesto de licitud previsto en el artículo 6, apartado 1, párrafo primero, letra e), del RGPD, pues el tratamiento es necesario para llevar a cabo una misión comprendida en el ejercicio de poderes públicos conferidos al agente judicial.

 Además, es necesario conforme al artículo 6 apartado 3 que exista una base jurídica nacional que sirva de fundamento al tratamiento de datos personales por los responsables de ese tratamiento que, entiende el Abogado General, existe en el derecho polaco (2).

¿El tratamiento de datos para la venta en un proceso de ejecución forzosa es conforme con el RGPD?

Para resolver esta pregunta, en primer lugar, el Abogado General subraya que la finalidad del tratamiento efectuado por el agente judicial difiere de la finalidad inicial de permitir el uso de la plataforma M. para las necesidades de la actividad de venta en línea.

Este matiz es importante en el caso que nos ocupa. Por ello, examina el tenor del art. 5, apartado 1, letra b) de RGDP, que enuncia el principio de la «limitación de la finalidad»(3) y el art. 6 apartado 4 del mismo Reglamento(4) y, aun teniendo en consideración que no existe consentimiento de los usuarios de la plataforma M para que sean usados para un fin distinto de aquel para el que fueron recogidos, entiende que el tratamiento de datos es compatible con el RGPD, pues constituye una medida necesaria y proporcionada en una sociedad democrática para garantizar alguno de los objetivos de interés general contemplados en dicho reglamento, en este caso, la ejecución de demandas civiles.

Subraya, no obstante, el Abogado General que el examen de la proporcionalidad, que ha de efectuarse por el tribunal polaco atendiendo a las circunstancias concretas del caso, conlleva una ponderación entre el derecho a la propiedad de la sociedad acreedora y el derecho a la protección de datos personales de los usuarios de la plataforma de venta en línea de que se trata.

En conclusión, ha existido tratamiento de datos en los términos contemplados en el RGPD, el agente responsable de dicho tratamiento lícito es el agente judicial, y dicho tratamiento es conforme con el RGPD. Por todo ello, considera que:

“El artículo 6, apartados 1, párrafo primero, letra e), 3 y 4, primera frase, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos)

debe interpretarse en el sentido de que

No se opone a una normativa nacional que permite a los agentes judiciales vender, en el contexto de un procedimiento de ejecución forzosa, una base de datos que contiene datos personales, cuando las personas a quienes conciernen dichos datos no han dado su consentimiento a tal venta, siempre que el tratamiento de dichos datos por tales agentes judiciales constituya una medida necesaria y proporcionada en una sociedad democrática para salvaguardar la ejecución de una demanda civil”.

Por ahora, queda esperar para conocer la postura que el TJUE adopta sobre esta cuestión. Sin embargo, quiero hacer hincapié en que, aunque el juicio de proporcionalidad corresponde, como he señalado, al tribunal polaco, el Abogado General entiende que, ponderadas las circunstancias de este caso en concreto “el tratamiento en cuestión supondría un sacrificio excesivo del derecho a la protección de datos personales y, por tanto, no podría considerarse una medida proporcionada.

Este resultado podría evitarse, por ejemplo, mediante una norma jurídica nacional que obligue al agente judicial a incluir en el pliego de condiciones elaborado a efectos de la subasta una cláusula que obligue al tercero adquirente a cumplir las normas del RGPD”, postura que suscribo.

 

------------------ 

 

(1) Como expone el Abogado General “se trata, en efecto, del derecho a oponerse a actos que consisten fundamentalmente en reproducir las bases de datos o una parte sustancial de ellas a un coste muy inferior al necesario para crearlas de forma independiente, pues el objetivo perseguido por el legislador de la Unión es garantizar a la persona que tomó la iniciativa y asumió el riesgo de realizar una inversión sustancial para la obtención, verificación o presentación del contenido de una base de datos, la remuneración de su inversión protegiéndola frente a la apropiación no autorizada de los resultados obtenidos gracias a dicha inversión”.

(2) Esa base jurídica se encuentra, a juicio del Abogado General, en los artículos 3, apartado 1, 9, apartado 1, punto 1, y 31, apartado 1, primera frase, de la Ley de Agentes Judiciales, de 22 de marzo de 2018, (Dz. U. de 2022, posición 1168), en su versión modificada, así como los artículos 796, apartado 1, y 799, apartado 1, primera frase, del C.P. C, pues de su contenido “se deduce que el agente judicial, como autoridad pública, está obligado a tramitar cualquier solicitud de ejecución forzosa conforme al procedimiento establecido”.

(3) Este principio implica que los datos personales deben, por un lado, ser recogidos con fines determinados, explícitos y legítimos, y, por el otro, no ser tratados ulteriormente de manera incompatible con dichos fines. Sin embargo, como puntualiza el Abogado General, “esta disposición no contiene ninguna indicación acerca de las condiciones en que un tratamiento ulterior de datos personales puede considerarse compatible con los fines de su recogida inicial”.

(4) El art. 6 apartado 4 reza: “Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas: a) cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto; b) el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento; c) la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10; d) las posibles consecuencias para los interesados del tratamiento ulterior previsto; e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización”. Este artículo es interpretado por el Abogado General a la luz del considerando 50 del RGPD, del que estima que “se desprende que el examen de tal compatibilidad implica tener en cuenta una serie de criterios no exhaustivos en él enumerados”.

 

MILLONARIA MULTA DE LA AEPD A VODAFONE POR NO CUMPLIR CON PRINCIPIOS DEL RGPD.

(El autor fue estudiante de la XIV Edición del Máster en Propiedad Intelectual, Industrial y NN. TT. de la UAM)

El pasado 1 de febrero de 2022, mediante el procedimiento sancionador Nro. PS/00001/2021, la Agencia Española de Protección de Datos (AEPD) impuso una multa de 3.940.000 euros a Vodafone España, S.A.U. (Vodafone). Tal sanción se basó en que la AEPD consideró el obrar de Vodafone como una infracción de los artículos 5.1.f) y 5.2 del Reglamento 2016/679 de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD), que recogen el principio de integridad y confidencialidad y el principio de responsabilidad proactiva, respectivamente. Dicha infracción se encuentra tipificada en el artículo 83.5.a) del RGPD, y es calificada como muy grave a efectos de prescripción en el artículo 72.1.a) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

PROTECCIÓN DE DATOS EN TIEMPOS DEL COVID-19. ¿CÓMO SE ABORDAN LOS DATOS SENSIBLES DE SALUD EN UNA PANDEMIA?

(La autora fue estudiante de la XIV Edición del Máster en Propiedad Intelectual, Industrial y NN.TT. de la UAM)

 

El Coronavirus ha asaltado nuestras vidas de un modo insólito. Una situación sobrevenida y atípica en nuestra época contemporánea que, en cualquier caso, nos ha puesto a prueba como sociedad.