1. Como sabréis el pasado día 27 de julio se dieron a conocer tres sentencias del Tribunal
Supremo en relación a diversos artículos del Real Decreto 1720/2007 de 21 de
diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica
15/1999, de 13 de diciembre, de protección de datos de carácter personal. Se anulan, por
ser contrarios a derecho, los siguientes artículos:
• Art. 11: Verificación de datos en solicitudes formuladas a las Administraciones
públicas.
• Art. 18: Acreditación del cumplimiento del deber de información.
• Art. 38 apartados 1.a) y 2. Requisitos para la inclusión de los datos.
• Art. 123.2: Personal competente para la realización de las actuaciones previas.
El listado de las sentencias:
• Recurso de casación 23/2008 interpuesto por la Asociación Nacional de
Establecimientos Financieros de Crédito (ASNEF).
• Recurso de casación 25/2008 interpuesto la Federación de Comercio Electrónico
y Marketing Directo (FECEMD, actualmente a-digital).
• Recurso de casación 26/2008 interpuesto por Experian Bureau de Crédito S.A.
Entre las tres sentencias se eleva una cuestión prejudicial ante el Tribunal de Justicia de
las Comunidades Europeas para que se pronuncie acerca del art. 10.2. a) y b); se
suspende el procedimiento en relación a la impugnación a dicho artículo, es necesario
indicar que el Tribunal de Justicia de las Comunidades Europeas es competente para
llevar a cabo, en el marco del art. 177 TCE, la interpretación de la totalidad de las
normas comunitarias; interpretación que ha de acometer a petición de un órgano
jurisdiccional determinado. De ahí que el Tribunal Supremo plantee ambas cuestiones
ante el Tribunal de Justicia de las Comunidades Europeas.
Por lo tanto, mientras el Tribunal de Justicia de las Comunidades Europeas no se
pronuncie al respecto, se suspenderá el procedimiento respecto de la impugnación del
artículo 10, apartados 2. a) y b) del Reglamento de la Ley Orgánica de Protección de
Datos.
Visto lo anterior, procederemos a analizar el porqué de tales anulaciones:
Artículo 11 RLOPD: Verificación de datos en solicitudes formuladas a las
Administraciones públicas. “Cuando se formulen solicitudes por medios electrónicos en
las que el interesado declare datos personales que obren en poder de las
Administraciones Públicas, el órgano destinatario de la solicitud podrá efectuar en el
ejercicio de sus competencias las verificaciones necesarias para comprobar la
autenticidad de los datos”.
El Tribunal Supremo considera que la redacción de este precepto supone un tratamiento
o cesión de datos sin consentimiento y sin la habilitación legal exigida en los artículos 6
y 11 de la LOPD. Ya en el trámite parlamentario el Ministerio de Administraciones
Públicas formulo ciertas objeciones proponiendo que este tipo de actuaciones contaran
con la autorización del órgano destinatario, para que se verificara la autenticidad de los
datos.

2. Según el Tribunal Supremo tal artículo es contrario a los preceptos de la Ley Orgánica
15/1999 ya que prescinden de la habilitación legal, cosa que tampoco cabe deducir de la
circunstancia de que el precepto reglamentario limite la potestad de verificación de la
Administración cuando se encuentre en el ejercicio de sus competencias, siendo distinta
que el ámbito de competencias de las AA.PP. se encuentren habilitados legalmente, y
otra cosa es que se encuentren amparados por una habilitación específica de la Ley
Orgánica.
Artículo 18 del RLOPD: Acreditación del cumplimiento del deber de información.
“1. El deber de información al que se refiere el artículo 5 de la Ley Orgánica 15/1999,
de 13 de diciembre, deberá llevarse a cabo a través de un medio que permita acreditar su
cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del
afectado.
2. El responsable del fichero o tratamiento deberá conservar el soporte en el que conste
el cumplimiento del deber de informar.
Para el almacenamiento de los soportes, el responsable del fichero o tratamiento podrá
utilizar medios informáticos o telemáticos. En particular podrá proceder al escaneado de
la documentación en soporte papel, siempre y cuando se garantice que en dicha
automatización no ha mediado alteración alguna de los soportes originales.”
El motivo de nulidad es que este artículo establece una obligación “ex novo”, al margen
de las establecidas en la LOPD. Concretamente una obligación adicional para el
responsable del fichero, la de conservar el soporte en el que conste el cumplimiento del
deber de informar.
Ubicado en el "Deber de información al interesado”, no se limita dicho precepto a poner
de manifiesto que la carga de probar el efectivo cumplimiento del deber de informar
corre a cargo del responsable del fichero o tratamiento. Lo que establece es la
obligación de que la prueba de ese efectivo cumplimiento conste documentalmente o
por medios informáticos o telemáticos. No es posible inferir que la norma reduce el
derecho a probar por cualquier medio de los admitidos en derecho, sí tiene razón cuando
aduce que establece “ex novo”, al margen de la Ley, una obligación adicional.
La Ley reconoce en el artículo 5 el derecho a la información en la recogida de datos,
concreta el contenido de la información, y advierte de que el deber de informar ha de ser
previo a la recogida, y ha de ser expresa, precisa e inequívoca, ninguna referencia
contiene a la forma, abriendo así múltiples posibilidades (escrita, verbal, telemática,
etc.); en consecuencia, debe considerarse que el legislador ha optado por la libertad de
forma.
Artículo 38.1 y 2 del RLOPD: Requisitos para la inclusión de los datos.
“1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que
sean determinantes para enjuiciar la solvencia económica del afectado, siempre que
concurran los siguientes requisitos:
a. Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada
y respecto de la cual no se haya entablado reclamación judicial, arbitral o

3. administrativa, o tratándose de servicios financieros, no se haya planteado una
reclamación en los términos previstos en el Reglamento de los Comisionados para la
defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20
de febrero.
b. Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al
pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquélla
fuera de vencimiento periódico.
c. Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.
2. No podrán incluirse en los ficheros de esta naturaleza datos personales sobre los que
exista un principio de prueba que de forma indiciaria contradiga alguno de los requisitos
anteriores.
Tal circunstancia determinará asimismo la cancelación cautelar del dato personal
desfavorable en los supuestos en que ya se hubiera efectuado su inclusión en el fichero.”
Este precepto se anula porque traslada la carga de la prueba de la concurrencia de los
requisitos previstos en el art. 38.1 al encargado del tratamiento, reconociendo que lo
hace en términos tales que origina una gran inseguridad jurídica que puede dar lugar a la
apertura de expedientes sancionadores.
La exigencia al inicio del apartado 1.a) del artículo 38 de que la deuda sea "cierta"
responde al principio de veracidad y exactitud recogido en el artículo 4.3 de la Ley
15/1999, al expresar que "Los datos de carácter personal serán exactos y puestos al día
de forma que respondan con veracidad a la situación actual del afectado".
Se pone de manifiesto un conflicto de intereses que a la luz de la doctrina constitucional
debe resolverse exigiendo una mayor concreción en el precepto reglamentario que
pondere los intereses en presencia en atención a las circunstancias concretas.
En cuanto a la impugnación del art. 38.2, viene a decir es que si hay un principio de
prueba que de forma indiciaria contradiga los requisitos exigidos para la inclusión de los
datos en los ficheros de solvencia económica, no pueden incluirse de manera que sea
cautelar del dato personal desfavorable que se hubiera incluido, imponiendo la
cancelación expresamente.
La norma, sin duda, quiere responder al principio de calidad de datos, y no tipifica “ex
novo” ninguna infracción. Lo que hace es trasladar la carga de la prueba de la
concurrencia de los requisitos previstos en el artículo 38.1 al encargado del tratamiento,
pero ha de reconocerse que lo hace en términos tales que origina una gran inseguridad
jurídica que puede dar lugar a la apertura de expedientes sancionadores.
Artículo 123.2 del RLOPD: Personal competente para la realización de las actuaciones
previas. “En supuestos excepcionales, el Director de la Agencia Española de Protección
de Datos podrá designar para la realización de actuaciones específicas a funcionarios de
la propia Agencia no habilitados con carácter general para el ejercicio de funciones
inspectoras o a funcionarios que no presten sus funciones en la Agencia, siempre que
reúnan las condiciones de idoneidad y especialización necesarias para la realización de

4. tales actuaciones. En estos casos, la autorización indicará expresamente la identificación
del funcionario y las concretas actuaciones previas de inspección a realizar.”
El artículo ha sido anulado por ser contrario a los arts, 35, 37 y 40 de la LOPD y 12, 13
y 15 de la Ley 30/1992 de Régimen Jurídico de las Administraciones Públicas y del
Procedimiento Administrativo Común. El Supremo entiende que la AEPD podrá
designar para la realización de actuaciones previas al inicio de un procedimiento
sancionador a funcionarios no habilitados con carácter general para el ejercicio de
funciones inspectoras o a funcionarios que no presten sus funciones en el organismo.
Espero que os resulte de interés, para mi lo más importante, el establecimiento de la
libertad de forma que se establece para el artículo 18 con respecto al deber de
información.