Language of document : ECLI:EU:C:2008:773

CONCLUSIONES DEL ABOGADO GENERAL

SR. Dámaso Ruiz-Jarabo Colomer

presentadas el 22 de diciembre de 2008 (1)

Asunto C‑553/07

College van burgemeester en wethouders van Rotterdam

contra

M.E.E. Rijkeboer

[Petición de decisión prejudicial planteada por el Raad van State (Países Bajos)]

«Protección de datos – Derechos fundamentales – Directiva 95/46/CE – Derecho de acceso a los datos de carácter personal – Cancelación – Comunicaciones a terceros – Plazo para ejercer el derecho de acceso – Principio de proporcionalidad»






I.      Introducción

1.        El Raad van State (Consejo de Estado de los Países Bajos) ha formulado al Tribunal de Justicia una cuestión prejudicial de interpretación, referente a los artículos 6 y 12 de la Directiva 95/46/CE, de protección de las personas físicas en lo que respecta al tratamiento de sus datos y a su libre circulación. (2) El reenvío se introduce en un espinoso terreno: la cancelación de información personal en manos de una administración municipal que ha sido transferida a terceros, y el consiguiente derecho de acceso a los datos del tratamiento.

2.        En principio, la destrucción de los datos constituye una acción tuitiva. Sin embargo, engendra consecuencias diferentes, ya que con los ficheros también se pierde el rastro de su uso. Así, quien aparentemente estaba amparado resulta también perjudicado, pues nunca conocerá el empleo prodigado por el poseedor de sus datos personales. (3)

3.        Con este debate como trasfondo, el Tribunal de Justicia debe dirimir si el plazo para eliminar los datos actúa como límite temporal al derecho de acceso al tratamiento. En tal caso, habría que dilucidar si el periodo de un año es suficiente y proporcionado para salvaguardar las facultades contenidas en la Directiva 95/46.

II.    Los hechos

4.        El auto de remisión relata que el Sr. Rijkeboer solicitó del College van burgemeester en wethouders van Rotterdam (ayuntamiento de Róterdam, en adelante «College») una lista, según los archivos del padrón municipal, de las comunicaciones a terceros de información sobre su persona, realizadas durante los últimos dos años. Mediante resoluciones de 27 y de 29 de noviembre de 2005, el College desestimó parcialmente la petición del Sr. Rijkeboer, suministrándole sólo los datos concernientes al año anterior. Disconforme con la decisión municipal, el Sr. Rijkeboer interpuso un recurso administrativo, que el 13 de febrero de 2006 también se desestimó.

5.        Agotada la vía gubernativa, el Rechtbank Rotterdam (tribunal de Róterdam) estimó el recurso del Sr. Rijkeboer. En su sentencia de 17 de noviembre de 2006, el Rechtbank Rotterdam anuló la resolución administrativa que denegaba algunas peticiones del interesado, ordenando al College la adopción de una nueva decisión.

6.        El 28 de diciembre de 2006 el College apeló a la sala de lo contencioso-administrativo del Raad van State, órgano que, por auto de 5 de diciembre de 2007, suspendió el procedimiento principal y remitió una cuestión prejudicial a este Tribunal de Justicia.

III. Marco normativo

A.      El marco jurídico comunitario

7.        El artículo 6 UE proclama en sus apartados 1 y 2 la vinculación de la Unión a los derechos fundamentales en estos términos:

«1.    La Unión se basa en los principios de libertad, democracia, respeto de los derechos humanos y de las libertades fundamentales y el Estado de derecho, principios que son comunes a los Estados miembros.

2.      La Unión respetará los derechos fundamentales tal y como se garantizan en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, firmado en Roma el 4 de noviembre de 1950, y tal y como resultan de las tradiciones constitucionales comunes a los Estados miembros como principios generales del derecho comunitario.»

8.        El derecho fundamental a la intimidad, como principio general del derecho comunitario, ha encontrado expresión normativa en la Directiva 95/46, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales. Este texto, cuyos enunciados se han codificado en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea, define el concepto de «dato» y ordena su cancelación cuando son sometidos a tratamiento durante un tiempo. Los artículos 2, letra a), y 6 de la citada Directiva lo constatan así:

«Artículo 2

[…]

a)       “datos personales”: toda información sobre una persona física identificada o identificable; se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social.

[…]

Artículo 6

1.      Los Estados miembros dispondrán que los datos personales sean:

[…]

e)      conservados en una forma que permita la identificación de los interesados durante un periodo no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente. Los Estados miembros establecerán las garantías apropiadas para los datos personales archivados por un periodo más largo del mencionado, con fines históricos, estadísticos o científicos.

[…]».

9.        Para asegurar transparencia en el tratamiento, los artículos 10 y 11 de la Directiva 95/46 introducen mandatos de información en favor del titular de los datos, dependiendo de que se hayan recabado por el interesado. Entre otras obligaciones, el encargado de gestionar los ficheros asume las siguientes cargas:

«Artículo 10

Información en caso de obtención de datos recabados del propio interesado

Los Estados miembros dispondrán que el responsable del tratamiento o su representante comuniquen a la persona de quien se recaben los datos que le conciernan, por lo menos la información que se enumera a continuación, salvo si la persona ya hubiera sido informada de ello:

a)      la identidad del responsable del tratamiento y, en su caso, de su representante;

b)      los fines del tratamiento de los datos;

c)       cualquier otra información, tal como:

–       los destinatarios o las categorías de destinatarios de los datos,

–       el carácter obligatorio o no de la respuesta y las consecuencias que tendría para la persona interesada una negativa a responder,

–       la existencia de derechos de acceso y rectificación de los datos que la conciernen,

en la medida en que, habida cuenta de las circunstancias específicas en las que se obtengan los datos, dicha información suplementaria resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado.

Artículo 11

Información cuando los datos no se han recabado del propio interesado

1.     Cuando los datos no se hayan recabado del interesado, los Estados miembros dispondrán que el responsable del tratamiento o su representante deberán, desde el momento del registro de los datos o, en caso de que se piense comunicar datos a un tercero, a más tardar, en el momento de la primera comunicación de datos, comunicar al interesado por lo menos la información que se enumera a continuación, salvo si el interesado ya hubiera sido informado de ello:

a)       la identidad del responsable del tratamiento y, en su caso, de su representante;

b)      los fines del tratamiento de que van a ser objeto los datos;

c)      cualquier otra información tal como:

–      las categorías de los datos de que se trate,

–       los destinatarios o las categorías de destinatarios de los datos,

–       la existencia de derechos de acceso y rectificación de los datos que la conciernen,

en la medida en que, habida cuenta de las circunstancias específicas en las que se hayan obtenido los datos, dicha información suplementaria resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado.

[…]»

10.      Los titulares de los datos tratados pueden velar por su buen uso, ejerciendo el llamado «derecho de acceso», cuyos rasgos generales se trazan en el artículo 12 de la Directiva 95/46. A los efectos del presente asunto, cobra relevancia la primera hipótesis de ese artículo:

«Artículo 12

Derecho de acceso

Los Estados miembros garantizarán a todos los interesados el derecho de obtener del responsable del tratamiento:

a)      libremente, sin restricciones y con una periodicidad razonable y sin retrasos ni gastos excesivos:

–       la confirmación de la existencia o inexistencia del tratamiento de datos que le conciernen, así como información por lo menos de los fines de dichos tratamientos, las categorías de datos a que se refieran y los destinatarios o las categorías de destinatarios a quienes se comuniquen dichos datos;

–       la comunicación, en forma inteligible, de los datos objeto de los tratamientos, así como toda la información disponible sobre el origen de los datos;

–       el conocimiento de la lógica utilizada en los tratamientos automatizados de los datos referidos al interesado, al menos en los casos de las decisiones automatizadas a que se refiere el apartado 1 del artículo 15.

[…]»

11.      La obligación de cancelación, así como el derecho de acceso, pueden restringirse por los Estados miembros en los supuestos enumerados en el artículo 13 de la Directiva 95/46:

«Artículo 13

1.      Los Estados miembros podrán adoptar medidas legales para limitar el alcance de las obligaciones y los derechos previstos en el apartado 1 del artículo 6, en el artículo 10, en el apartado 1 del artículo 11, y en los artículos 12 y 21 cuando tal limitación constituya una medida necesaria para la salvaguarda de:

a)     la seguridad del Estado;

b)     la defensa;

c)      la seguridad pública;

d)       la prevención, la investigación, la detección y la represión de infracciones penales o de las infracciones de la deontología en las profesiones reglamentadas;

e)      un interés económico y financiero importante de un Estado miembro o de la Unión Europea, incluidos los asuntos monetarios, presupuestarios y fiscales;

f)      una función de control, de inspección o reglamentaria relacionada, aunque sólo sea ocasionalmente, con el ejercicio de la autoridad pública en los casos a que hacen referencia las letras c), d) y e);

g)      la protección del interesado o de los derechos y libertades de otras personas.

[…]»

B.      El marco jurídico nacional

12.      El ordenamiento neerlandés ha incorporado la Directiva 95/46 mediante un texto general, la Wet bescherming persoonsgegevens (Ley relativa a la protección de datos personales). En este proceso prejudicial, la citada legislación tiene carácter subsidiario, pues en el ámbito municipal rige un cuerpo legal especial, la Wet gemeentelijke basisadministratie persoonsgegevens (Ley sobre la gestión de padrones municipales). Su artículo 103, apartado 1, esboza las condiciones mediante las que el particular accede a la información sobre el tratamiento de sus datos:

«Artículo 103

1.     El College van burgemeester en wethouders comunica por escrito, previa solicitud, al interesado, en un plazo de cuatro semanas, si los datos del padrón municipal que le conciernen se han facilitado a un comprador o a un tercero en el año anterior a la solicitud.

[…]»

IV.    La cuestión prejudicial

13.      El 12 de diciembre de 2007 entró en el registro del Tribunal de Justicia la petición de decisión prejudicial instada por el Raad van State, formulando la siguiente pregunta:

«La limitación legal de la comunicación de datos al año anterior a la solicitud, ¿es compatible con el artículo 12, inicio y letra a), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, sobre la protección de las personas físicas en lo que respecta al tratamiento de sus datos y a su libre circulación, interpretado en relación con el artículo 6, apartado 1, letra e), de la citada Directiva y con el principio de proporcionalidad?»

14.      Han depositado observaciones, dentro del plazo señalado por el artículo 23 del Estatuto CE del Tribunal de Justicia, el College, los Gobiernos de los Países Bajos, del Reino Unido, de la República Helénica, de la República Checa y del Reino de España, así como la Comisión.

15.      En la vista, celebrada el 20 de noviembre de 2008, han comparecido para exponer oralmente sus alegaciones los representantes legales del College y del Sr. Rijkeboer, así como los agentes de los Gobiernos de los Países Bajos, de la República Checa, del Reino de España y del Reino Unido, junto con la Comisión Europea.

V.      Delimitación de la pregunta objeto de debate

16.      Este asunto suscita varios interrogantes de cierta complejidad conceptual. En esencia, se quiere saber si puede haber un plazo específico para cancelar la información relativa al tratamiento de datos personales. Al borrarlos por mandato de la Directiva 95/46, se cierra la puerta al derecho de acceso, pues no cabe pedir una información que ya no existe. Por tanto, el debate se orienta en torno a una restricción a una facultad, también expresamente contemplada en la Directiva 95/46. Esta tensión entre la cancelación y el acceso revela una colisión interna en el citado texto legal, sobre la que debe pronunciarse el Tribunal de Justicia.

17.      Procede, pues, dirimir si los datos de tratamiento merecen o pueden merecer un régimen idéntico al de los datos personales. También conviene dilucidar si el plazo de cancelación ha de actuar en todo caso como límite al derecho de acceso. Estas dudas han de resolverse en un contexto fáctico y normativo algo confuso, pues el Raad van State no ha indicado si el plazo previsto para cancelar los datos de tratamiento es igual o inferior al de los datos personales. Por tanto, hay que analizar ambas circunstancias, para procurar una respuesta útil al órgano remitente.

VI.    Un debate preliminar: La ponderación de intereses a la luz de los derechos fundamentales de la Unión

A.      El derecho fundamental a la intimidad y su evolución comunitaria

18.      La Unión Europea, asumiendo los postulados de su carta constitucional, (4) se asienta en los derechos fundamentales, por cuya tutela vela el Tribunal de Justicia. (5) Tras varios lustros de evolución jurisprudencial, iniciados con las sentencias Stauder (6) e Internationale Handelsgeselschaft, (7) los Estados miembros dieron plena vigencia al carácter estructural de estos derechos al aprobar el artículo F del Acta Única Europea, que posteriormente se convirtió en el artículo 6 UE. Dicho precepto proclama que la Unión los respetará tal y como se garantizan en el Convenio Europeo para la Protección de los Derechos Humanos (en adelante, «CEDH»), (8) y tal y como resultan de las tradiciones constitucionales comunes a los Estados miembros.

19.      El derecho a la intimidad se integra en estas tradiciones. Desde la temprana sentencia Stauder (9) la jurisprudencia ha encuadrado la defensa de la intimidad entre los principios generales del derecho comunitario. En un primer momento, lo hizo al abordar las obligaciones de aportar datos, como el nombre (10) o la información sanitaria, (11) en su ejecución nacional (12) o en la comunitaria. (13) Poco tiempo después, a lo largo de los años noventa, el Tribunal de Justicia certificó la incidencia de este derecho en el terreno de la vida privada (14) y familiar. (15)

20.      El año 1995 significó una inflexión, al adoptarse la Directiva 95/46, sobre la protección de las personas físicas en el tratamiento de sus datos. La jurisprudencia del Tribunal de Justicia en la materia, hasta entonces dispersa y casuística, encontró un andamiaje más sólido en el que sustentar sus decisiones, pues la Directiva delimita de forma detallada el objeto, (16) los sujetos (17) y los posibles remedios del individuo cuando circula información que le incumbe. (18) En el décimo considerando de su exposición de motivos se plasma la vocación de esta Directiva 95/46 como instrumento para la protección de los derechos fundamentales según se recogen en el CEDH y en los principios generales del derecho comunitario. (19) La sentencia Österreichischer Rundfunk confirmó que, aunque la Directiva 95/46 persiga velar por la libre circulación de datos, también presenta una importante vertiente de guardiana de los derechos fundamentales. (20)

21.      En suma, la Directiva 95/46 desarrolla el derecho fundamental a la intimidad, en su dimensión relativa a la información personal en los tratamientos automatizados. (21)

22.      Como prueba de este empeño codificador, basta comprobar que el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea, (22) dedicado a la «protección de datos de carácter personal», proclama un derecho a la intimidad, así como a un tratamiento leal, reconociendo también el derecho de acceso a los datos y a su rectificación. A pesar de las cautelas con las que se ha de emplear la Carta, (23) parece difícil ignorar su articulado y negar que estos elementos del derecho forman parte de las tradiciones constitucionales comunes a los Estados miembros. (24) Esta apreciación se refuerza al recordar que han transcurrido más de diez años desde la aprobación de la Directiva 95/46, a la vez que se ha consumado una eficaz armonización en la materia. (25)

23.      Precisamente la Carta destaca dos aspectos, en el artículo 8, que afectan al litigio de autos. Ambos se reflejan en los artículos 6 y 12 de la Directiva 95/46; por un lado, el deber de cancelación de los datos en un tiempo que no supere el necesario para cumplir sus fines [artículo 6, apartado 1, letra e], y, por otro, el derecho de acceso, sin restricciones, a la información sobre los destinatarios a quienes se hayan comunicado [artículo 12, letra a]. Al acoger la Carta tales aspectos e introducirlos en el «halo esencial» del derecho fundamental a la intimidad, la cuestión prejudicial del Raad van State exige una ponderación de bienes e intereses, para lograr una respuesta racional que acomode esos preceptos en su correspondiente marco constitucional. (26)

24.      Con carácter preliminar, al describir las claves interpretativas de la Directiva 95/46, procede estudiar su componente teleológico de la misma, para determinar el interés preeminente.

B.      El derecho fundamental a la intimidad y sus tensiones internas

25.      Este pleito no atañe a dos derechos fundamentales, sino a dos caras de una misma moneda. A diferencia de lo sucedido en los casos en los que colisionan, por ejemplo, el derecho al honor y la libertad de información o el derecho a la intimidad y el de propiedad, ahora se discuten dos obligaciones que recaen sobre el poder público: la de prever plazos para destruir los ficheros con datos personales; y la de garantizar el acceso a los titulares de tales datos. Esta peculiaridad aleja la peripecia del Sr. Rijkeboer de otras en las que el Tribunal de Justicia se pronunció con anterioridad, como la de Lindqvist (27) o la de Promusicae, (28) donde el amparo a la intimidad chocaba con el derecho a la libertad religiosa y a la propiedad, respectivamente. (29) Aquí, por contra, hay un único derecho con un conflicto interior, dividido entre dos almas, convirtiéndolo en una suerte de Dr. Jekyll y Mr. Hyde, pues en sus entrañas convive, como demuestro a continuación, la bondad con una fría y calculada crueldad.

26.      La conservación de datos por los responsables del tratamiento es una carga con fecha de caducidad, pues la Directiva 95/46 ordena mantenerlos durante un periodo que no supere el imprescindible para cumplir sus fines o para los que se destinaron ulteriormente. Con esta firmeza lo expresa el artículo 6, dejando a los Estados miembros el diseño de los plazos pertinentes en función de los sectores y de los objetivos que sirven de base para la creación y posterior eliminación de los ficheros. A pesar de la flexibilidad que confiere el precepto a cada ordenamiento nacional, el artículo 13 de la Directiva 95/46 permite albergar excepciones al precepto, autorizando una conservación más prolongada de lo normal cuando lo precisen intereses generales, como la seguridad del Estado, la lucha contra la delincuencia o la investigación científica.

27.      Sin mencionar esta circunstancia, la exposición de motivos de la Directiva 95/46 no otorga mayor relevancia a los límites de esa conservación. Por tanto, sólo los artículos 6 y 12 dedican atención a esta obligación y, a tenor del generoso margen de apreciación que atribuye la Directiva 95/46 a los Estados miembros, entiendo que el legislador comunitario no se ha centrado en este extremo, lo que se pone de manifiesto al cotejar su regulación con la del derecho de acceso. (30)

28.      La posibilidad de que el titular de los datos pueda manejarlos, así como solicitar su rectificación, supresión o bloqueo, constituye uno de los aspectos esenciales de la Directiva 95/46. Los considerandos trigésimo octavo y cuadragésimo ilustran esta idea, no sólo porque confirman la importancia del derecho de acceso, sino también por la ligazón que supone entre la información de la que dispone el titular de los datos y su tratamiento. En efecto, para que las facultades reconocidas en el artículo 12 sean viables, ha de contarse con una serie de principios fundamentales, pues, en otro caso, las salvaguardas del precepto quedarían vacías. El cuadragésimo primer considerando lo expresa con gran nitidez, al constatar que «cualquier persona debe disfrutar del derecho de acceso a los datos que le conciernan y sean objeto de tratamiento, para cerciorarse, en particular, de su exactitud y de la licitud» de su manejo. (31) En este punto cobran todo su sentido los llamados «principios relativos a la calidad de los datos», que enuncia el capítulo II, sección 1ª, de la Directiva 95/46, entre los que figura, también, el mandato de guardarlos durante un periodo «no superior al necesario para cumplir sus fines». La obligación de destruir los ficheros se incardina con la de ocuparse de la información «de manera leal y lícita», así como con la de garantizar su calidad, para que resulte adecuada, pertinente, no excesiva y exacta. (32)

C.      El carácter accesorio del artículo 6 respecto del artículo 12 de la Directiva 95/46

29.      Soy consciente de la dificultad que entraña identificar un interés prioritario entre los artículos 6 y 12 de la Directiva 95/46. Hay motivos poderosos para defender que la cancelación es la clave del sistema instaurado por la Directiva 95/46, a cuyo cobijo se erige un derecho de acceso que facilita al individuo vigilar el cumplimiento de las labores de borrado. De la misma forma, el derecho a la protección se estructura en el artículo 12, pues el acceso representa la auténtica dimensión subjetiva de la Directiva, que, en suma, permite al individuo reaccionar en defensa de sus intereses.

30.      En esta tesitura, no me resisto a rememorar el viejo dilema sobre el huevo y la gallina. ¿Cuál de los dos surgió primero? ¿Se puede vivir perpetuamente con la pregunta y admitir que nunca habrá solución, pues los dos conceptos son realidades eternas, como escribía Aristóteles? (33)

31.      A diferencia del filósofo, los tribunales no gozan de su libertad de pensamiento y han de afanarse en dar una respuesta, aunque no siempre sea la más acertada. Por consiguiente, al igual que hay científicos que se han posicionado en la sempiterna batalla entre gallinas y huevos, (34) me inclino a proponer una salida al conflicto entre los artículos 6 y 12 de la Directiva 95/46.

32.      De lo expuesto en los puntos 29 a 35 de estas conclusiones, deduzco que en la Directiva 95/46 se aprecia una subordinación de la cancelación al derecho de acceso. Estos preceptos otorgan un derecho que nace con la preparación del fichero y muere con su cancelación. Por tanto, la supresión de los datos es sólo un momento en la vida del derecho de acceso, un rasgo que condiciona y justifica el artículo 12.

33.      Si se profundiza en esta línea, se adquiere convencimiento de que el derecho de acceso persigue que el titular de los datos conozca la información que consta sobre su persona. Además, se profundiza aún más si se pregunta por la finalidad de sus pesquisas. En muchos casos, el titular del derecho pretende investigar la legalidad del tratamiento de sus datos. La Directiva 95/46 impone a los responsables del tratamiento unos principios para ejecutar su actividad, pero también vuelca su fuerza en los mecanismos de tutela, donde se halla el derecho de acceso, como herramienta del titular de la información para vigilar y hacer respetar el ordenamiento.

34.      Así pues, el artículo 12, como eje del sistema de garantías de la Directiva 95/46, carecería de lógica si quienes poseen datos ajenos no estuvieran sometidos a norma alguna. Según ha expuesto con acierto la Comisión en la vista, justamente porque existen principios de tratamiento (artículo 6) se construye el derecho de acceso, (35) que se levanta como un pilar básico de la citada Directiva, según se acredita en su artículo 12, que insiste en el matiz «sin restricciones». (36) A tenor del carácter garantista de la Directiva 95/46, que concentra todos sus afanes en proteger a los titulares de los datos, resulta evidente que el mandato de conservación es auxiliar al derecho de acceso. Su sólida vocación subjetiva y su intención de salvaguardar derechos de índole fundamental (en esta ocasión, el derecho a la intimidad) consolidan esta idea y colocan los intereses subyacentes en el artículo 6 en un nivel normativo inferior.

35.      Confirma este argumento la sistemática del artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea, cuyo valor hermenéutico está fuera de duda (37) y ubica el derecho de acceso en el primer apartado del precepto. A continuación, el apartado 2 enumera los principios relativos al tratamiento, pero exhibiendo este orden jerárquico, donde tiene prioridad el derecho del titular sobre las responsabilidades de quien utiliza los datos.

36.      Con esta perspectiva como premisa, y llamando la atención del Tribunal de Justicia sobre la dimensión subjetiva de la Directiva 95/46, en la que cobra especial autoridad el artículo 12 frente al artículo 6, examino la cuestión del Consejo de Estado de los Países Bajos.

VII. Datos personales y datos de tratamiento

37.      Según relato en los puntos 16 y 17 de estas conclusiones, procede estudiar separadamente dos supuestos, cuya aplicación depende de las circunstancias de cada caso, analizando la licitud del plazo, por un lado, cuando es más breve que el previsto para los datos principales; y, por otro lado, cuando el plazo para acceder a los datos del tratamiento es parejo al de los datos principales. En el primer supuesto, hay que determinar si la Directiva admite esta independencia de vías en el acceso, basada en el tipo de dato reclamado. En el segundo supuesto, surge la dificultad de precisar si cabe el acceso con posterioridad a la cancelación.

38.      Para resolver con rigor la pregunta del Raad van State se hace ineludible descifrar previamente si los plazos de cancelación han de aplicarse de forma común a todos los datos, incluidos los relativos al tratamiento, o si pueden diferenciarse según los tipos de información personal. Hay una divergencia esencial derivada de los fines que persigue cada clase de información.

39.      El Gobierno de la República Helénica, así como la República Checa en la vista oral, han destacado que cada tipo de dato atiende a propósitos disímiles. Interesa explicar después las ventajas y los inconvenientes de este razonamiento, así como sus consecuencias en el asunto de autos.

40.      La destrucción de los datos personales se encamina a proteger a su titular, pues erradicando la información extingue cualquier riesgo de tratamiento ilícito. La coyuntura de que la Directiva 95/46 no fije un plazo en el artículo 6 conserva cierta lógica, pues cada fichero sirve a sus propios objetivos y, conforme al principio de subsidiariedad, el legislador nacional se encuentra en mejor situación para decidir el tiempo que tienen los responsables del tratamiento antes de la destrucción. Sin embargo, la supresión de los datos relativos al tratamiento cumple tareas divergentes, pues no ampara al titular de la información, ya que el individuo pierde el rastro informativo, sin ejercer el derecho de acceso, porque los datos relevantes ya no están en manos del responsable, beneficiándose de esta cancelación los terceros que recibieron los datos, cuya identidad e intenciones quedan borradas.

41.      Este planteamiento pone de relieve las dificultades conceptuales latentes en este asunto. Es cierto que puede diferenciarse entre el borrado de los datos, y el atinente a los datos relativos al tratamiento. (38) Hay bienes jurídicos desiguales afectados, así como funciones autónomas que la Directiva 95/46 regula por separado. Pero tal construcción, llevada a sus extremos, provoca consecuencias poco deseables. En primer lugar, la desigualdad carece de una acogida literal en la Directiva 95/46, pues el artículo 6 se ocupa de la cancelación in totum de los datos, mientras que el artículo 12, aunque enumera varios tipos de información, lo hace para dotar de contenido al derecho de acceso, no con ánimo de desglose. (39) En segundo lugar, el derecho de acceso está diseñado para que se ejerza «sin restricciones», asumiéndose su acepción amplia. Puede delimitarse, como se esboza más adelante, la intensidad con la que salvaguardar esta facultad según las circunstancias, pero la redacción del artículo 12 excluye que haya accesos de primera y de segunda clase. En tercer lugar, tal como han resaltado la Comisión, el Reino de España y el Reino Unido en el acto de la vista, ambos tipos de datos integran una unidad tecnológica, se tratan habitualmente en los mismos ficheros y su gestión conjunta no acarrea una carga especialmente gravosa para los responsables del tratamiento.

42.      Por tanto, descarto que los datos relativos al tratamiento tengan vida y régimen jurídico propios. Esta información afecta a los datos personales bajo tratamiento, pues explica el modo y las condiciones con que se han manejado, lo que me conduce a defender que tales datos forman parte esencial de la definición comunitaria de «datos», a los efectos del artículo 2, letra a), de la Directiva 95/46. Para imaginar una respuesta útil al órgano remitente, esta afirmación ha de matizarse a la luz de los dos supuestos que relato en los puntos 16 y 17 de estas conclusiones.

VIII. Primer supuesto: un plazo más corto de cancelación para los datos de tratamiento.

43.      La pregunta elevada por el Raad van State parece referirse a este supuesto: la legislación neerlandesa prevé una conservación prolongada de los datos sobre la persona, pero contempla un periodo más breve, de un año, para proceder a la cancelación de los datos relativos al tratamiento. Mas el auto de remisión no detalla los datos discutidos en el litigio principal, por lo que me aventuro a sugerir esta primera respuesta con la mirada en el citado supuesto.

44.      Por los motivos esgrimidos en los puntos 37 y 42 de estas conclusiones, entiendo que la Directiva 95/46 no ha consagrado una distinción entre datos personales y datos relativos al tratamiento. Consciente de las dificultades de almacenamiento que implicaría aceptar tal planteamiento, estimo que el plazo de cancelación del artículo 6 de la Directiva 95/46 es el mismo para ambos tipos de datos. Aunque el fin de la cancelación varíe en función del dato, me cuesta concebir regímenes divergentes basados en una separación tan artificial, sobre todo cuando se dirime un derecho fundamental.

45.      Según adelanto en los puntos 29 a 35 de estas conclusiones, el texto otorga una prioridad al derecho de acceso, al que se subordinan los deberes de cancelación. Para cumplir este objetivo, tanto los datos personales como los relativos al tratamiento quedan mejor tutelados si se preservan por idéntico periodo.

46.      Hay veces en que el almacenamiento resulta largo; pero esta duración se justificaría por el interés general, que valdría igualmente para prolongar la vida de los datos relativos al tratamiento. Cuando el almacenamiento se haga insosteniblemente extenso, porque los ficheros tengan un uso histórico, estadístico o científico, la Directiva 95/46 exige a los Estados miembros adoptar medidas específicas que acomoden el empleo de estos ficheros a las circunstancias que disculpan su dilatada conservación. (40) Por tanto, hay que arbitrar otras medidas que garanticen la protección del titular de los datos, aunque adaptadas a los usos históricos o culturales del artículo 6, apartado 1, letra e), de la Directiva 95/46.

47.      Además, como señala el College en sus observaciones escritas, ratificándolo en la vista, hay otros límites a esta obligación de almacenamiento de los datos de tratamiento en plazos comunes con los datos personales. El ejemplo suministrado por el College se me antoja decisivo en cuanto a la protección de la información relativa al tercero, que, a su vez, sería objeto de protección por la Directiva 95/46, lo que no significa que se deba desamparar por completo al titular originario de la información transferida. Esta cortapisa implica, exclusivamente respecto de los datos personales del receptor, que el titular originario se somete a las mismas limitaciones que cualquier otro cesionario a efectos de la Directiva 95/46.

48.      Por consiguiente, si los datos personales y los relativos al tratamiento quedan sujetos a un periodo de cancelación común, no haría falta apreciar la proporcionalidad del plazo de un año de la legislación neerlandesa. Si el periodo de conservación de los datos fuera más amplio que el estipulado para los datos del tratamiento, la respuesta a la cuestión prejudicial terminaría aquí.

49.      Si el contexto normativo del asunto fuera distinto, la solución del reenvío variaría, siempre que hubiera una coincidencia entre los plazos y el titular de los datos reclamara el acceso a una información previamente destruida.

IX.    Segundo supuesto: un plazo común de cancelación para ambos tipos de datos

A.      La redacción literal del artículo 12 de la Directiva 95/46

50.      El Reino de España, la República Checa y los Países Bajos alegan que el artículo 12 constata el vínculo entre el acceso y la eliminación que ordena el artículo 6, al acudir al tenor de su letra a), segundo guión. El precepto exige a los Estados miembros garantizar «el derecho de obtener del responsable del tratamiento la comunicación, en forma inteligible, de los datos tratados, así como toda la información sobre su origen». De su redacción se colige que la Directiva 95/46 reduce el derecho de acceso a la información tratada; excluyendo ese cauce, cuando la búsqueda se lleve a cabo una vez finalizado el tratamiento, es decir, después de la cancelación. Esta interpretación se robustece al comparar las numerosas versiones lingüísticas, que varían en la intensidad con la que apuntan al carácter temporal y fijo del derecho.

51.      El argumento no es convincente, ya que, aun cuando la versión inglesa se refiere a los datos «undergoing processing», (41) la castellana tiene un matiz más ambiguo. Reconozco que una interpretación rigurosa del enunciado se revelaría más coherente con el mandato de eliminación proclamado en el artículo 6. Sin embargo, no creo que el cotejo aporte nada determinante, máxime cuando hay motivos, que expongo más adelante, para excepcionar el dictado gramatical del artículo 12. (42)

52.      Tampoco me adhiero a la postura del Reino de España, de que habría que añadir otra excepción al artículo 12, que se sumaría a las del artículo 13 de la Directiva 95/46. (43) Tras aceptar que el acceso quedaría restringido a los datos objeto de tratamiento presente, el Gobierno español estima que a las cortapisas del artículo 13 se agrega una más, de carácter tácito, cuyo tenor se deriva del citado mandato del artículo 6 de la Directiva 95/46. La explicación no me seduce y apuntala significativamente la tesis que quiere combatir: si el artículo 13 agrupa las excepciones a un amplio derecho de acceso, en cuanto tales excepciones han de recibir una interpretación estricta. Si no procede acceder a una excepción generosa de tales cortapisas, aún más intolerable sería crear otras categorías ex novo.

53.      En resumen, el tenor literal de los preceptos me inclina a descartar una apreciación reduccionista del derecho de acceso. Estos motivos no conducirían a una concepción unitaria del plazo, ya que, según la jerarquía interna de la Directiva 95/46, prima el derecho de acceso sobre el borrado. Así pues, la erradicación del fichero representa un límite al acceso, que sólo confirma su licitud cuando se cumplen determinadas garantías. Es decir: cabe condicionar el ejercicio del derecho (por ejemplo, con la adopción de un plazo), siempre que el titular de los datos haya sido tutelado por otros medios. Si no ocurriera así, habría plazos de cancelación que resultarían ilícitos por entorpecer el derecho de acceso, lo que no significa que deba discriminarse la información y obligar a los responsables a guardar eternamente los datos relativos al tratamiento. Al contrario, supone que el plazo de cancelación se ha de prolongar, de forma que el acceso se asegure.

54.      Por tanto, defiendo que el plazo para la destrucción constituye, asimismo, un recorte del derecho del artículo 12 de la Directiva 95/46. Sin embargo, ese periodo puede vulnerar el texto cuando dificulte en exceso los fines que persigue el precepto.

B.      Una excepción a la regla: la información al interesado

55.      Por las razones esgrimidas, sostengo que el plazo de la cancelación actúa como freno para ejercer el acceso, aunque hay circunstancias en las que se genera un desfase entre los plazos de la supresión y los del acceso. Con el empleo de la palabra desfase, aludo a la posibilidad de que el tiempo sea proporcionado para el borrado y desproporcionado para el acceso o viceversa. Soy consciente de las complicaciones prácticas de este enfoque, pero semejante secuela pueda surgir en una tesitura muy particular, cuando al afectado se le haya instruido insuficientemente sobre sus derechos.

56.      Este desenlace se alcanza, si, en línea con lo aducido por la República Helénica y la Comisión, se detecta un déficit informativo en perjuicio del titular de los datos. Para explicarlo, conviene recordar que la Directiva 95/46 introduce, en sus artículos 10 y 11, la obligación de notificar y demandar al afectado una serie de referencias y/o autorizaciones, entre las que se incluye la información relativa a las cesiones de terceros; este deber se construye en términos vagos, atribuyendo a cada Estado miembro un amplio margen de actuación. La manera en la que cada ordenamiento nacional haya estructurado estas cargas condiciona la respuesta en un asunto como el de autos. Nada se opone a que quien no haya sido informado, con carácter previo a la cesión, de la identidad del destinatario o de los plazos para ejercer el derecho de acceso, merezca un grado de tutela elevado. (44) Este corolario se adecua a la primacía que la Directiva 95/46 otorga al derecho subjetivo del titular de los datos, cuya limitación ha de originarse de tal suerte que, aun consumada la cancelación, garanticen su ejercicio.

57.      En algunos casos, aplicando esta doctrina, el proceso desemboca en un fallo imposible de ejecutar. Si el College ha destruido de oficio todos los datos del Sr. Rijkeboer anteriores al último año, la reclamación del interesado podría caer en saco roto. Resulta obvio que el municipio de Róterdam no está en situación de dar lo que ya no tiene. Cabe que este inconveniente se extienda a otros ordenamientos nacionales, mas sólo durante un tiempo, el que transcurra hasta la adaptación de la legislación disconforme con el derecho comunitario. Pero, mientras tanto, el afectado conserva un cauce, el de la responsabilidad patrimonial del Estado por incumplimiento de los mandatos europeos. A falta de una ejecución que satisfaga plenamente al individuo, estas normas procuran, al menos, un resarcimiento pecuniario, en cuyo reconocimiento están comprometidos los órganos jurisdiccionales nacionales. (45)

58.      En definitiva, este asunto debe resolverse, utilizando la expresión estadounidense, con un hard look en la óptica de la proporcionalidad, (46) si el Raad van State advierte que en el proceso principal se han apreciado déficits de información. En tales supuestos, se hace imprescindible que el plazo para el borrado no opere automáticamente como barrera al derecho de acceso. El control de proporcionalidad se realizaría en su máximo grado tuitivo, avalando difícilmente un plazo tan efímero como el de un año.

59.      Con estos antecedentes, me adhiero a quienes conciben la supresión y el acceso como elementos de una sola realidad y, por tanto, unidos en el diseño de sus plazos. La cancelación del artículo 6 de la Directiva 95/46 abarca todo elemento informativo, comprendidas las cesiones a terceros. En consecuencia, la limitación temporal para la eliminación funciona, indirectamente, también como un plazo para tasar la duración del derecho de acceso. Deslindar unos datos de otros para el acceso implica reflejar una distinción ausente en la Directiva 95/46, cuya eficacia práctica, además, no resulta evidente. (47)

60.      Esta vicisitud admite excepciones cuando haya un déficit de transparencia a la hora de comunicar al afectado sus derechos. En tales avatares, el tope para consumar la cancelación debe alargarse, a fin de preservar el derecho de acceso.

C.      El plazo de un año y el principio de proporcionalidad

61.      La legislación neerlandesa contempla un régimen especial para el tratamiento de los datos personales a cargo de los municipios, en el que destaca, por lo que aquí me ocupa, el plazo general de un año para la destrucción. Ya he adelantado los motivos por los que cabe enjuiciar este periodo conjuntamente, tanto conforme al artículo 6, como al artículo 12 de la Directiva 95/46. En este instante corresponde dirimir la compatibilidad de dicho término con el principio de proporcionalidad, cuya aplicabilidad constituye un presupuesto de los artículos recién citados, pues ambos confieren sentido a un derecho fundamental.

62.      Los Gobiernos del Reino Unido, del Reino de España y de la República Checa han dedicado todos sus esfuerzos a justificar las dificultades de garantizar el derecho de acceso cuando se han borrado los datos. Con esta premisa, no han prestado mucha atención al plazo en liza; sin embargo, el Gobierno griego y el College, en sus observaciones, se adentran en las implicaciones del plazo neerlandés a la luz de la Directiva 95/46 y del principio de proporcionalidad. En opinión de la República Helénica y de la Comisión, este periodo se revela excesivamente fugaz y, por tanto, irreconciliable con el ordenamiento comunitario. El College se refugia en la licitud del término, apelando a las peculiaridades del sistema neerlandés, que compensa la brevedad del plazo con otras precauciones en aras de proteger al titular de los datos.

63.      Al abordar la proporcionalidad del plazo nacional, conviene brindar algunas pautas con carácter previo, ya que el Tribunal de Justicia ha examinado en otras ocasiones plazos semejantes. De la jurisprudencia se desprende un enfoque variable y dependiente del contexto de cada caso, asumiendo un control más o menos intenso en función de las circunstancias. (48) Cuando hay una eventual afectación de derechos fundamentales, el escrutinio de un plazo para su ejercicio debe apreciarse escrupulosamente. (49) Aun así, esta fiscalización depende de distintos factores.

64.      Como adelanto en los puntos 55 a 60 de estas conclusiones, hay que sopesar el grado de información recibido por el titular de los datos durante el tratamiento, pudiéndose enunciar los siguientes criterios.

65.      Con arreglo a los artículos 10 y 11 de la Directiva, el interesado disfruta del derecho a que se le comunique una serie de actuaciones, entre las que sobresale la identidad de «los destinatarios o las categorías de los destinatarios de los datos […], en la medida en que, habida cuenta de las situaciones específicas en las que se obtengan los datos, dicha información suplementaria resulte necesaria para garantizar un tratamiento de datos leal». Los dos preceptos diferencian entre la información recabada por el propio titular y la que tenga otro origen, aunque en ambos supuestos se debe suministrar información sobre las cesiones de datos a terceros.

66.      El legislador nacional tiene un amplio margen a la hora de desarrollar la obligación impuesta en los aludidos artículos 10 y 11, pero estos preceptos persiguen la finalidad de prevenir al individuo de que sus datos se han cedido, para ofrecerle la oportunidad, si lo desea, de acceder al tratamiento y de vigilar su conformidad con los principios del artículo 6 de la Directiva 95/46. Sin embargo, las alertas varían en cada coyuntura, incumbiendo al órgano remitente comprobar si el ordenamiento neerlandés, así como la correspondiente práctica municipal, respetan lo sancionado en los repetidos artículos 10 y 11. Es conveniente saber si al Sr. Rijkeboer se le advirtió de las cesiones y si se le avisó del periodo de un año que se le concedía para hacer valer el derecho de acceso. Los Estados miembros no están constreñidos a notificar el plazo, pues no lo prevén los artículos 10 y 11. (50) No obstante, al enjuiciar su duración, reviste gran importancia averiguar si se trasladó este detalle a la persona afectada. De lo contrario, cuesta admitir que un periodo tan breve como el de un año, en ausencia de mayores explicaciones del responsable del tratamiento, se ajuste al principio de proporcionalidad y, por ende, a la Directiva 95/46.

67.      Asimismo, cobra una especial significación el tipo de información que se transmite, pues, tal como reconoce la Directiva, los datos que se han de notificar pueden incluir la identidad de los destinatarios, pero también «las categorías de destinatarios». Esta segunda opción implica que los listados suministrados no siempre reflejan quiénes han accedido a los ficheros, dejando al interesado en una situación de desventaja al ejercer el derecho de acceso. Compete al juez nacional determinar la medida en la que se ha informado al Sr. Rijkeboer de los destinatarios de la cesión y los términos en los que se ha practicado. Al acometer este estudio, debe potenciarse el control del plazo cuando no se ha proveído la identidad de los terceros, ya que el titular de los datos puede temer que el tratamiento no se acomode a los principios del artículo 6.

68.      Finalmente, habría que fijar algunas reglas sobre la carga de la prueba. El Sr. Rijkeboer, como titular de un derecho fundamental, ha tenido que acudir a un proceso judicial para averiguar el tratamiento otorgado a sus datos personales. (51) La conformidad con la Directiva 95/46 depende de una serie de elementos casuísticos, que radican en la propia ley nacional y en la práctica de la administración municipal. El Sr. Rijkeboer está abocado al proceso invocando su derecho fundamental, pero no debería tener que demostrar las insuficiencias del ordenamiento de su país en esta materia, pues el tenor de la Directiva 95/46 invita a pensar, en línea con lo expuesto en los puntos 29 a 35 de estas conclusiones, que el derecho de acceso ostenta un carácter prioritario y cualquier excepción ha de ponderarse con extrema cautela. Así, primando la dimensión subjetiva de las normas comunitarias de protección de datos, compete al responsable de tales datos acreditar que el entorno jurídico y los hábitos imperantes en el tratamiento ofrecen garantías que justifican un plazo tan corto como el de un año para ejercer el derecho del artículo 12 de la Directiva 95/46.

69.      En las observaciones vertidas en este trámite prejudicial, el College ha aportado algunos indicios a este respecto. La legislación nacional instaura un sistema de pesos y contrapesos («checks and balances», en gráfica expresión del College) que armoniza el derecho de acceso con ciertas salvaguardas, como las limitaciones de destinatarios, la vinculación en determinados casos a fines específicos, la autorización previa del interesado o un mecanismo de supervisión que recae en una autoridad independiente. Además, según alega el College, al afectado se le notifica el plazo de un año, tanto individual como colectivamente (en Internet y en folletos a disposición de los vecinos). (52)

70.      Soy consciente de las repercusiones que este asunto puede provocar para los responsables de ficheros sometidos al referido texto. Sin embargo, el valor preeminente de la tutela del individuo me inclina a conciliar la defensa de los derechos con la gestión eficaz de los ficheros. Por tanto, los artículos 6 y 12 de la Directiva 95/46 deberían interpretarse en el sentido de que son incompatibles con el plazo de un año para ejercer el derecho de acceso al tratamiento, siempre que:

­­­–       no se le hubiera informado al interesado de la cesión;

–      o, habiéndosele informado, no se le notificara la duración del plazo;

–      o, habiéndosele informado, no se le instruyera suficientemente sobre la identidad de los destinatarios.

71.      Con un derecho fundamental en el alero, el College ha de probar que las normas nacionales y la práctica administrativa respaldan un nivel adecuado de información al interesado que le permita ejercer, sin restricciones, su derecho de acceso.

72.      Corresponde al Raad van State, a la luz de los criterios avanzados, de los elementos de derecho y de hecho aportados, tanto en este proceso prejudicial como en el litigio principal, aplicar los artículos 6 y 12 de la Directiva 95/46 según lo explicado en los puntos 70 y 71 de estas conclusiones.

X.      Conclusión

73.      A tenor de todas estas reflexiones, sugiero al Tribunal de Justicia resolver la cuestión prejudicial planteada por el Raad van State, declarando que:

«Los datos sobre el tratamiento, incluidos los atinentes a transferencias a terceros, son datos personales según el artículo 2, letra a), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Para garantizar el efecto útil de la Directiva 95/46, el plazo de cancelación aplicable a los datos sobre el tratamiento coincide con el contemplado para los datos personales, sin perjuicio de los derechos y las obligaciones que la citada Directiva confiere a los terceros cesionarios de los datos.

Los artículos 6 y 12 de la mencionada Directiva 95/46 son incompatibles con el plazo de un año para ejercer el derecho de acceso al tratamiento, siempre que:

–       no se hubiera informado al interesado de la cesión;

–       o, habiéndosele informado, no se le notificara la duración del plazo;

–       o, habiéndosele informado, no se le instruyera suficientemente de la identidad de los destinatarios.

Incumbe al responsable del tratamiento probar que las normas nacionales y la práctica administrativa aseguran un nivel adecuado de información al interesado que le permita ejercer, sin restricciones, su derecho de acceso.»


1 – Lengua original: español.


2 – Directiva del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 (DO L 281, p. 31).


3 – La recuperación de la memoria, así como la salvación de los datos lícita o ilícitamente manejados, representa una delicada labor. La supresión de las huellas del pasado debe afrontarse con cautela, la misma que reclamaba Proust al reivindicar el poder evocador del recuerdo, pues «los lugares que hemos conocido no pertenecen tampoco al mundo del espacio donde los situamos para mayor facilidad. No son más que una delgada capa, entre otras muchas, de las impresiones que formaban nuestra vida de entonces; el recordar una imagen no es sino echar de menos un determinado instante, y las casas, los caminos, los paseos, desgraciadamente, son tan fugitivos como los años». Marcel Proust, en À la recherche du temps perdu, Du coté de chez Swann, Ed. Gallimard, La Pléiade, París, 1987, tomo I, pp. 419 y 420.


4 – Sentencias de 23 de abril de 1986, Les Verts/Parlamento (294/83, Rec. p. 1339), apartado 23; y de 3 de septiembre de 2008, Kadi/Consejo y Comisión (C‑402/05 P, aún sin publicar en la Recopilación), apartado 281.


5 – Sentencia de 12 de noviembre de 1969, Stauder (29/69, Rec. p. 419), apartado 7.


6 – Citada en nota anterior.


7 – Sentencia de 17 de diciembre de 1970 (11/70, Rec. p. 1125).


8 – Sentencias de 14 de mayo de 1974, Nold/Comisión (4/73, Rec. p. 491); y de 15 de mayo de 1986, Johnston (222/84, Rec. p. 1651), apartado 18.


9 – Sentencia citada en nota 5.


10 – Sentencia de 7 de noviembre de 1985, Adams/Comisión (145/83, Rec. p. 3539), apartado 34.


11 – Sentencia de 7 octubre de 1987, Strack/Comisión (140/86, Rec. p. 3939), apartados 9 a 11.


12 – Sentencia de 8 de abril de 1992, Comisión/Alemania (C‑62/90, Rec. p. I‑2575), apartado 23.


13 – Sentencia de 5 de octubre de 1994, X/Comisión (C‑404/92 P, Rec. p. I‑4737), apartados 17 y 18.


14 – Sentencias de 21 de septiembre de 1989, Hoechst/Comisión (46/87 y 227/88, Rec. p. 2859); y de 22 de octubre de 2002, Roquette Frères (C‑94/00, Rec. p. I‑9011).


15 – Sentencias de 11 de julio de 2002, Carpenter (C‑60/00, Rec. p. I‑6279), apartado 38; y de 25 de julio de 2002, MRAX (C‑459/99, Rec. p. I‑6591), apartado 53.


16 – Artículos 1 a 3 de la Directiva 95/46.


17 – Artículo 2 de la Directiva 95/46.


18 – Artículos 10 a 24 de la Directiva 95/46.


19 – Considerando que las legislaciones nacionales relativas al tratamiento de datos personales avalan los derechos y libertades fundamentales, particularmente el derecho a la vida privada del artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, tal y como resultan de los principios generales del derecho comunitario; que, por lo tanto, la aproximación de dichas legislaciones no debe disminuir esa protección, sino que debe asegurar un alto nivel de protección dentro de la Comunidad.


20 – Sentencia de 20 de mayo de 2003, Österreichischer Rundfunk y otros (C‑465/00, C‑138/01 y C‑139/01, Rec. p. I‑4989), apartado 70. En este sentido, el abogado general Tizzano, en sus conclusiones, sostiene que el fin primario de la Directiva 95/46 es la libre circulación de datos personales y no la defensa de derechos fundamentales. El Tribunal de Justicia no aceptó esta postura y consagró una actitud tuitiva del titular de la información. Esta tesis fue después ratificada en la sentencia de 6 de noviembre de 2003, Lindqvist (C‑101/01, Rec. p. I‑12971), apartado 96, al declarar que la Directiva 95/46 pretende propiciar la libre circulación de datos personales, procurando al mismo tiempo un alto nivel de amparo de los derechos e intereses de los titulares de tales datos.


21 – Guichot, E., Datos personales y Administración Pública, Ed. Civitas, Madrid, 2005, pp. 43 a 47.


22 – Instrumento solemnemente proclamado el 7 de diciembre de 2000 por el Parlamento Europeo, el Consejo y la Comisión (DO C 364, pp. 1 y s.).


23 – Documento que, si bien no se integra hoy día en el ordenamiento jurídico comunitario vigente, indudablemente despliega sus efectos como norma de soft law. Sobre la Carta y sus consecuencias jurídicas, me remito a mis conclusiones de 12 de septiembre de 2006, en el asunto Advocaten voor de Wereld, en el que se dictó sentencia el 3 de mayo de 2007 (C‑303/05, Rec. p. I‑3633), puntos 78 y 79.


24 – Alonso García, R., The General Provisions of the Charter of Fundamental Rights of the European Union, Harvard Jean Monnet Working Paper nº 4/02, pp. 22 y 23.


25 – La Comunicación al Parlamento Europeo y al Consejo, sobre el seguimiento del programa de trabajo para una mejor aplicación de la Directiva sobre protección de datos, adoptada por la Comisión el 7 de marzo de 2007 [COM(2007) 87 final, p. 5], confirma que todos los Estados miembros han traspuesto la Directiva 95/46.


26 – La técnica de ponderar los bienes e intereses es muy frecuentada por el Tribunal de Justicia al resolver asuntos sobre derechos fundamentales. En el ámbito de la protección de datos, son expresivas las sentencias Lindqvist, antes citada, apartado 82, y de 29 de enero de 2008, Promusicae (C‑275/06, Rec. p. I‑271), apartado 66. Groussot, X., «Comentario a la sentencia Promusicae», Common Market Law Review, número 6, vol. 45, 2008, analiza esta ponderación.


27 – Sentencia citada en nota 20.


28 – Sentencia citada en nota 26.


29 –     A las sentencias Lindqvist y Promusicae, añado las conclusiones de la abogada general Kokott en el asunto Tietosuojavaltuutettu (C‑73/07), emitidas el 8 de mayo de 2008, pendiente de sentencia, donde se explica, en los puntos 99 a 105, la forma en la que el Tribunal de Justicia acomete la ponderación en el sector que aquí me ocupa.


30 – De conformidad con el artículo 6, el artículo 12 de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (DO L 201, p. 37), se refiere también a la cancelación de datos, aunque en unos términos más laxos y mediando solicitud del afectado.


31 – Cursiva añadida.


32 – Adjetivos empleados en el apartado 1 del artículo 6 de la Directiva 95/46.


33 – The New Enyclopedia Britannica, vol. 12, Chicago, Londres, Toronto, Ginebra, Sydney, Tokio, Manila, Seúl, 1973, p. 24.


34 – Hawking, S., A Brief History of Time, Ed. Bantam, Nueva York, 1988, p. 193, se decanta en favor del huevo. Una afirmación que acarrea evidentes consecuencias teológicas que aquí, naturalmente, no conviene desarrollar.


35 – Así lo defienden Herrán Ortiz, A.I., El derecho a la intimidad en la nueva Ley Orgánica de protección de datos personales, Ed. Dykinson, Madrid, 2002, p. 153, y Arenas Ramiro, M., El derecho fundamental a la protección de datos personales en Europa, Ed. Tirant lo Blanch, Valencia, 2006, p. 305.


36 – La Directiva 95/46 pretende sobrepasar al Convenio nº 108 del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal. Así lo ratifica el undécimo considerando de la exposición de motivos, explicando que «los principios de la protección de los derechos y libertades de las personas y, en particular, del respeto de la intimidad previstos en la presente Directiva, precisan y amplían los del Convenio de 28 de enero 1981 del Consejo de Europa […]» (cursiva añadida). Buena prueba es el contenido del texto comunitario, que avanza en diversos extremos respecto del Convenio nº 108, y muy significativamente al definir el derecho de acceso. Según la Directiva 95/46, este derecho se ejerce «libremente» y «sin restricciones», mientras que el artículo 8 del Convenio nº 108 se limita a declarar un acceso «a intervalos razonables». La norma de la Comunidad aspira a extender el derecho, para lo que lo proclama en términos sustancialmente más generosos que los del instrumento del Consejo de Europa, reiterando la vertiente proteccionista del individuo en la Directiva 95/46.


37 – Sentencias de 27 de junio de 2006, Parlamento/Consejo (C‑540/03, Rec. p. I‑5769), apartado 38; de 13 de marzo de 2007, Unibet (C‑432/05, Rec. p. I‑2271), apartado 37; de 3 de mayo de 2007, Advocaten voor de Wereld, ya reseñada en la nota 23, apartado 46; y Kadi/Consejo y Comisión, citada en la nota 4, apartado 335.


38 – Diferencia defendida por la Comisión en sus observaciones (apartados 31 y 32).


39 – El artículo 12 de la Directiva 95/46, aunque enumera aspectos que conciernen al acceso, se vuelca en otros ligados al tratamiento y no a los datos. Esta advertencia es útil para constatar que, respecto de los datos, el derecho a su acceso es ilimitado. Mas el tratamiento es algo aparte y demuestra que la Directiva 95/46 ha sido sensible a las dificultades intrínsecas para un entendimiento omnicomprensivo del artículo 12.


40 – El artículo 6, apartado 1, letra e), modula el mandato de cancelación: «Los Estados miembros establecerán las garantías apropiadas para los datos personales archivados por un periodo más largo del mencionado, con fines históricos, estadísticos o científicos.» Aunque no se redacta abiertamente como una excepción al deber de cancelación, la Directiva descarga de las obligaciones impuestas a quienes prestan las actividades de interés general citadas, sin que las disposiciones europeas sean inaplicables, pues han de acomodarse a las peculiaridades de la investigación histórica, estadística y científica.


41 – Comulgan también con la versión inglesa la francesa («sont traitées» o «sont communiquées») y la alemana («an die Daten übermittelt werden»).


42 – No considero, en contra de lo alegado por el College, que el Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las Instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO 2001, L 8, p. 1), por indicar la obligación de especificar un plazo de conservación, aboque a una correcta interpretación de los artículos 6 y 12. El Reglamento es la traducción legal de la Directiva 95/46 en su aplicación a las Instituciones comunitarias. Es lógico que su contenido esté más detallado que el de un instrumento de armonización dirigido a los Estados miembros. La alusión a este plazo, tal como consta en los artículos 11 y 12 del Reglamento, no es sintomática de que la Directiva 95/46 pretende un efecto adverso ni de que lo imponga a los Estados miembros. Evaluado en su conjunto, el silencio de la Directiva simplemente deja constancia del margen de configuración existente en cada ordenamiento nacional, lo que no implica admitir cualquier plazo ni su capacidad para coartar el derecho de acceso.


43 – Observaciones del Reino de España (apartado 25).


44 – Promueve esta interpretacion de los artículos 10 y 11 Bainbridge, D., EC Data Protection Directive, Ed. Butterworths, Londres-Dublín-Edimburgo, 1996, p. 139.


45 – Es oportuno recordar que el artículo 23 de la Directiva 95/46, dedicado a la responsabilidad por infracción de sus preceptos, prescribe, en su apartado 1, que «los Estados miembros dispondrán que toda persona que sufra un perjuicio como consecuencia de un tratamiento ilícito o de una acción incompatible con las disposiciones nacionales adoptadas en aplicación de la presente Directiva, tenga derecho a obtener del responsable del tratamiento la reparación del perjuicio sufrido».


46 – Según esta doctrina, un tribunal incrementa el control sobre las decisiones del poder público, cuando no aparece una fundamentación sólida que las justifique. Tiene sus orígenes en la sentencia del Tribunal Supremo estadounidense SEC v. Chenery Corp. (318 U.S. 80 [1943]), posteriormente desarrollada en la Citizens to Preserve Overton Park v. Volpe (401 U.S. 402 [1971]). También, Breyer, S.G., Stewart, R.B., Sunstein, C.R., y Vermeule, A., Administrative Law and Regulatory Policy, Ed. Aspen, Nueva York, 2006, pp. 349 a 368. Sobre el hard look en el control judicial comunitario, tanto europeo como nacional, Craig, P., EU Administrative Law, Ed. Oxford University Press, 2006, pp. 477 a 481.


47 – No obstante estas complejidades técnicas, el Reino Unido ha destacado en la vista que hay supuestos, explícitamente recogidos en su ordenamiento interno, que garantizarían el derecho de acceso a los datos de tratamiento, incluso con posterioridad a la cancelación de los datos personales. Pero la agente británica no aportó mayor información sobre este extremo, aunque insistió en el carácter excepcional de la práctica, por lo que me inclino por la cautela. Estimo, además, que si la Directiva 95/46 hubiera admitido esta hipótesis, lo habría hecho expresamente.


48 – Sentencias de 24 de marzo de 1987, McDermott y Cotter (286/85, Rec. p. 1453), apartado 15; de 25 de julio de 1991, Emmott (C‑208/90, Rec. p. I‑4269), apartado 18; de 27 de octubre de 1993, Steenhorst-Neerings (C‑338/91, Rec. p. I‑5475), apartado 19; de 6 de diciembre de 1994, Johnson (C‑410/92, Rec. p. I‑5483), apartado 26; de 15 de septiembre de 1998, Spac (C‑260/96, Rec. p. I‑4997), apartado 32; de 15 de septiembre de 1998, Ansaldo Energia y otros (C‑279/96, C‑280/96 y C‑281/96, Rec. p. I‑5025), apartados 19 a 21; y de 24 de septiembre de 2002, Grundig Italiana (C‑255/00, Rec. p. I‑8003), apartado 37.


49 – Sobre la supervisión de los regímenes nacionales a la sombra de los derechos fundamentales comunitarios se pronunciaron las sentencias de 13 de julio de 1989, Wachauf (5/88, Rec. p. 2609), apartados 17 a 22; de 10 de julio de 2003, Booker Aquaculture (C‑20/00 y C‑64/00, Rec. p. I‑7411), apartados 88 a 93; y de 22 de noviembre de 2005, Mangold (C‑144/04, Rec. p. I‑9981), apartado 75.


50 – A diferencia de lo sucedido en el Reglamento (CE) nº 45/2001, antes reseñado, cuyos artículos 11, apartado 1, letra f), inciso  ii), y 12, apartado 1, letra f), inciso  ii), obligan a las Instituciones a facilitar al interesado los plazos de conservación de los datos.


51 – Aunque la Directiva 95/46 no se pronuncie sobre este particular, en contraste con lo acaecido en otros instrumentos de derecho derivado [como la Directiva 2000/78/CE del Consejo, de 27 de noviembre de 2000, relativa al establecimiento de un marco para la igualdad de trato en el empleo y la ocupación (DO L 303, p. 16)], creo que, al debatirse sobre derechos fundamentales, la modulación de las obligaciones probatorias proviene de los principios generales del derecho comunitario.


52 – Observaciones del College (apartados 65 a 70).