T.C. Sección del Tribunal Constitucional. TRIBUNAL CONSTITUCIONAL. Sentencias. (BOE-A-2022-5801)
Sala Segunda. Sentencia 31/2022, de 7 de marzo de 2022. Recurso de amparo 141-2020. Promovido por la Assemblea Nacional Catalana respecto de la sentencia de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional desestimatoria de su recurso frente a resolución sancionadora dictada por la Agencia Española de Protección de Datos. Supuesta vulneración de los derechos a la tutela judicial efectiva, a la defensa y a la presunción de inocencia, en conexión con las libertades ideológica, de expresión y asociación: imposición de una sanción por la realización de una encuesta para la que se trataron, sin consentimiento expreso y por escrito de sus titulares, datos atinentes a la ideología de los entrevistados.
24 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Viernes 8 de abril de 2022
Sec. TC. Pág. 48393
No es impertinente recordar al respecto que, aunque el Derecho de la Unión Europea
no pueda considerarse canon de constitucionalidad, sí cabe otorgarle un valor
hermenéutico, con fundamento en el art. 10.2 CE, incluyendo tanto los tratados
constitutivos y sus sucesivas reformas, como el Derecho derivado (entre otras,
SSTC 292/2000, de 30 de noviembre, FJ 3; 136/2011, de 13 de septiembre, FJ 2;
13/2017, de 30 de enero, FJ 6, y 76/2019, de 22 de mayo, FJ 3); así como la
interpretación que de tales normas realiza el Tribunal de Justicia de la Unión Europea
(SSTC 61/2013, de 14 de marzo, FJ 5; 66/2015, de 13 de abril, FJ 3; 140/2016, de 21 de
julio, FJ 5; 3/2018, de 22 de enero, FJ 4; 32/2019, de 28 de febrero, FJ 6, y 156/2021,
de 26 de septiembre, FJ 2, por todas). En particular en la materia que nos ocupa, toda
vez que el desarrollo legislativo del derecho a la protección de datos personales «se
halla en la actualidad parcialmente determinado por el Derecho de la Unión Europea»
(STC 76/2019, de 22 de mayo, FJ 3).
Pues bien, la primera de las citadas sentencias del Tribunal de Justicia de la Unión
Europea sienta (§ 26 a 29) los principios informadores de este concepto legal de
corresponsable del tratamiento, que se reiteran en las demás (sentencias de 10 de julio
de 2018, asunto Jehovan todistajat, § 65, y de 29 de julio de 2019, asunto Fashion ID, §
67). Se afirma en los referidos apartados de la sentencia de 5 de junio de 2018, asunto
Wirtschaftsakademie Schleswig-Holstein que la «Directiva 95/46 tiene por objeto
garantizar un nivel elevado de protección de las libertades y los derechos fundamentales
de las personas físicas, sobre todo de su vida privada, en relación con el tratamiento de
datos personales (sentencia de 11 de diciembre de 2014, Ryneš, C–212/13, § 27).
Conforme a este objetivo, el art 2, letra d), de dicha Directiva define de manera amplia el
concepto de «responsable del tratamiento», refiriéndose a la persona física o jurídica,
autoridad pública, servicio o cualquier otro organismo que solo o conjuntamente con
otros determine los fines y los medios del tratamiento de datos personales. En efecto, tal
como ya ha declarado el Tribunal de Justicia, el objetivo de esta disposición consiste en
garantizar, mediante una definición amplia del concepto de «responsable», una
protección eficaz y completa de los interesados (sentencia de 13 de mayo de 2014,
Google Spain y Google, asunto C–131/12, § 34). Además, puesto que, tal como prevé
expresamente el art 2, letra d), de la Directiva 95/46, el concepto de «responsable del
tratamiento» se refiere al organismo que «solo o conjuntamente con otros» determine los
fines y los medios del tratamiento de datos personales, dicho concepto no se remite
necesariamente a una única entidad, sino que puede aludir a varios actores que
participen en ese tratamiento, cada uno de los cuales estará por tanto sujeto a las
disposiciones aplicables en materia de protección de datos».
En la sentencia de 29 de julio de 2019, asunto Fashion ID, se abordaba una situación
en que una empresa de comercio electrónico dedicada a la venta de prendas de vestir
(Fashion ID) insertó en su sitio de Internet el módulo social «me gusta» de Facebook.
Simplemente con accionar esa función se transmitían ciertos datos personales del
usuario a Facebook, que a su vez decide de un modo exclusivo cuáles eran los fines de
tratamiento de esos datos. El Tribunal de Justicia de la Unión Europea resuelve en este
caso que «una persona física o jurídica únicamente puede ser responsable, en el sentido
del art 2, letra d), de la Directiva 95/46, conjuntamente con otros, de las operaciones de
tratamiento de datos personales cuyos fines y medios determine conjuntamente. En
cambio, y sin perjuicio de una eventual responsabilidad civil prevista en el Derecho
nacional al respecto, dicha persona física o jurídica no puede ser considerada
responsable, en el sentido de dicha disposición, de las operaciones anteriores o
posteriores de la cadena de tratamiento respecto de las que no determine los fines ni los
medios» (§ 74). Queda claro, por tanto, que cuando se distinguen varias fases del
tratamiento o varios conjuntos de operaciones de tratamiento no se está haciendo
referencia a las distintas actividades de ejecución material del tratamiento sino a la
existencia de fases del tratamiento con diferente diseño (donde qué datos personales se
tratarán, con qué fines y en virtud de qué medios difiere). La empresa en cuestión era
corresponsable del tratamiento en cuanto a la transmisión de los datos personales
cve: BOE-A-2022-5801
Verificable en https://www.boe.es
Núm. 84
Viernes 8 de abril de 2022
Sec. TC. Pág. 48393
No es impertinente recordar al respecto que, aunque el Derecho de la Unión Europea
no pueda considerarse canon de constitucionalidad, sí cabe otorgarle un valor
hermenéutico, con fundamento en el art. 10.2 CE, incluyendo tanto los tratados
constitutivos y sus sucesivas reformas, como el Derecho derivado (entre otras,
SSTC 292/2000, de 30 de noviembre, FJ 3; 136/2011, de 13 de septiembre, FJ 2;
13/2017, de 30 de enero, FJ 6, y 76/2019, de 22 de mayo, FJ 3); así como la
interpretación que de tales normas realiza el Tribunal de Justicia de la Unión Europea
(SSTC 61/2013, de 14 de marzo, FJ 5; 66/2015, de 13 de abril, FJ 3; 140/2016, de 21 de
julio, FJ 5; 3/2018, de 22 de enero, FJ 4; 32/2019, de 28 de febrero, FJ 6, y 156/2021,
de 26 de septiembre, FJ 2, por todas). En particular en la materia que nos ocupa, toda
vez que el desarrollo legislativo del derecho a la protección de datos personales «se
halla en la actualidad parcialmente determinado por el Derecho de la Unión Europea»
(STC 76/2019, de 22 de mayo, FJ 3).
Pues bien, la primera de las citadas sentencias del Tribunal de Justicia de la Unión
Europea sienta (§ 26 a 29) los principios informadores de este concepto legal de
corresponsable del tratamiento, que se reiteran en las demás (sentencias de 10 de julio
de 2018, asunto Jehovan todistajat, § 65, y de 29 de julio de 2019, asunto Fashion ID, §
67). Se afirma en los referidos apartados de la sentencia de 5 de junio de 2018, asunto
Wirtschaftsakademie Schleswig-Holstein que la «Directiva 95/46 tiene por objeto
garantizar un nivel elevado de protección de las libertades y los derechos fundamentales
de las personas físicas, sobre todo de su vida privada, en relación con el tratamiento de
datos personales (sentencia de 11 de diciembre de 2014, Ryneš, C–212/13, § 27).
Conforme a este objetivo, el art 2, letra d), de dicha Directiva define de manera amplia el
concepto de «responsable del tratamiento», refiriéndose a la persona física o jurídica,
autoridad pública, servicio o cualquier otro organismo que solo o conjuntamente con
otros determine los fines y los medios del tratamiento de datos personales. En efecto, tal
como ya ha declarado el Tribunal de Justicia, el objetivo de esta disposición consiste en
garantizar, mediante una definición amplia del concepto de «responsable», una
protección eficaz y completa de los interesados (sentencia de 13 de mayo de 2014,
Google Spain y Google, asunto C–131/12, § 34). Además, puesto que, tal como prevé
expresamente el art 2, letra d), de la Directiva 95/46, el concepto de «responsable del
tratamiento» se refiere al organismo que «solo o conjuntamente con otros» determine los
fines y los medios del tratamiento de datos personales, dicho concepto no se remite
necesariamente a una única entidad, sino que puede aludir a varios actores que
participen en ese tratamiento, cada uno de los cuales estará por tanto sujeto a las
disposiciones aplicables en materia de protección de datos».
En la sentencia de 29 de julio de 2019, asunto Fashion ID, se abordaba una situación
en que una empresa de comercio electrónico dedicada a la venta de prendas de vestir
(Fashion ID) insertó en su sitio de Internet el módulo social «me gusta» de Facebook.
Simplemente con accionar esa función se transmitían ciertos datos personales del
usuario a Facebook, que a su vez decide de un modo exclusivo cuáles eran los fines de
tratamiento de esos datos. El Tribunal de Justicia de la Unión Europea resuelve en este
caso que «una persona física o jurídica únicamente puede ser responsable, en el sentido
del art 2, letra d), de la Directiva 95/46, conjuntamente con otros, de las operaciones de
tratamiento de datos personales cuyos fines y medios determine conjuntamente. En
cambio, y sin perjuicio de una eventual responsabilidad civil prevista en el Derecho
nacional al respecto, dicha persona física o jurídica no puede ser considerada
responsable, en el sentido de dicha disposición, de las operaciones anteriores o
posteriores de la cadena de tratamiento respecto de las que no determine los fines ni los
medios» (§ 74). Queda claro, por tanto, que cuando se distinguen varias fases del
tratamiento o varios conjuntos de operaciones de tratamiento no se está haciendo
referencia a las distintas actividades de ejecución material del tratamiento sino a la
existencia de fases del tratamiento con diferente diseño (donde qué datos personales se
tratarán, con qué fines y en virtud de qué medios difiere). La empresa en cuestión era
corresponsable del tratamiento en cuanto a la transmisión de los datos personales
cve: BOE-A-2022-5801
Verificable en https://www.boe.es
Núm. 84
