La Sala de lo Contencioso-Administrativo de la Audiencia Nacional ha avalado en una sentencia de 26 de septiembre pasado (recurso n.º 481/2012) la decisión de un colegio de Madrid de acceder al teléfono móvil de un alumno, de doce años, que había mostrado un vídeo de contenido sexual a una compañera. El padre del menor denunció lo ocurrido ante la Agencia de Protección de Datos (APD), que rechazó sancionar al centro, decisión que ahora se confirma.
Los magistrados de la Sección Primera de lo Contencioso de este órgano entienden que para acceder a un móvil debe autorizarlo el propietario, en este caso los padres del menor, si bien concretan que este derecho debe conjugarse con el contexto real en que se produjeron los hechos, como fue la denuncia de la compañera.
Por ello, considera la Audiencia Nacional que el acceso al dispositivo telefónico se justifica por el cumplimiento de "una misión de interés público" y destacan que, en este caso, la actividad educativa del centro "no sólo puede calificarse de interés público sino de verdadero servicio público".
Por todo ello, la Audiencia Nacional señala que resulta "notorio el interés del director del centro, cual es una adecuada prestación del servicio educativo que tiene encomendado y la protección de los derechos de otros menores cuya guarda, asimismo, se le confía".
El derecho a la protección de datos no es ilimitado
Los hechos que motivaron este recurso se remontan al mes de noviembre de 2011, cuando el director del centro escolar accedió, acompañado por el informático del colegio, y en presencia del menor, al contenido del móvil.
A raíz de esta denuncia, el colegio abrió un expediente sancionador al menor. Su padre denunció al centro por violación del derecho a la intimidad, privacidad y secreto de las comunicaciones, lo que motivó un procedimiento penal que fue archivado.
El progenitor acudió entonces a la Agencia de Protección de Datos argumentando que el colegio había accedido al terminal telefónico de su hijo sin el consentimiento de los padres.
A lo largo de su resolución, los jueces consideran que, tal y como establece la normativa legal, el tratamiento de los datos de un móvil, esto es, el acceso sin la autorización expresa del propietario, es necesario que se dirija al "cumplimiento de una misión de interés público".
En definitiva, la sentencia, contra la que cabe recurso ante el Tribunal Supremo, señala que "el derecho a la protección de datos no es ilimitado sino que, como cualquier otro, puede quedar constreñido por la presencia de otros derechos en conflicto".
Texto de la sentencia
Por su interés, reproducimos los principales argumentos de la sentencia, de la que ha sido ponente el señor Ortega Martín:
"FUNDAMENTO DE DERECHO PRIMERO.- En el presente procedimiento contencioso administrativo se pretende la realización de un pronunciamiento sobre el efectivo ajuste a la legalidad con respecto a una resolución del Director de la Agencia Española de Protección de datos, de fecha 11 de septiembre de 2012, que decidió no incoar actuaciones inspectoras, ni tampoco un procedimiento sancionador o de infracción, contra el Colegio (...) pese a la denuncia formulada contra éste por la persona ahora recurrente. Dicha denuncia fue presentada en fecha 27 de abril 2012 con motivo del acceso a un terminal telefónico de uso particular de un hijo suyo, menor de edad (que por aquel entonces contaba con 12 años de edad), sin el previo consentimiento de sus padres, por personal del establecimiento educativo.
...
CUARTO.- Una vez expuestas las diferentes posiciones procesales de las partes pasaremos a su resolución.
1°.- APLICABILIDAD DE LA LEGISLACIÓN PROTECTORA DE LOS DATOS DE CARÁCTER PERSONAL.-
La primera cuestión a decidir se contrae a si resultan de aplicación al presente caso las normas jurídicas reguladoras -y protectoras- de los datos de carácter personal o si, por el contrario (como la Administración demandada estima), dado el carácter netamente personal o doméstico de las informaciones objeto de acceso sería de aplicación la cláusula de exclusión contenida en el artículo 2.2.a) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Dicho precepto establece que:
«El régimen de protección de los datos de carácter personal que se establece en la presente Ley Orgánica no será de aplicación: a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas».
Pues bien, no comparte el Tribunal las tesis de la Agencia demandada, en el sentido de que los datos contenidos en un teléfono móvil de uso personal queden excluidos de la protección de la Ley Orgánica 15/1999, de 13 diciembre, por tener un contenido estrictamente personal o doméstico.
Y es que, a nuestro juicio, la recta interpretación del precepto lleva a circunscribir la exclusión del régimen de protección de los datos de carácter personal al "tratamiento" de algunos de ellos, correspondientes a terceros, incluidos en un fichero de estas características (personales y domésticos). Por su mínima capacidad de afectación a la privacidad de dichos terceros se justifica así la exclusión de los deberes de notificar la existencia del fichero a la Agencia de Protección de Datos, o su inscripción en el registro (art. 26 de la Ley Orgánica); tampoco es requerido el consentimiento de aquéllos cuyos datos se incorporan a un archivo de esta naturaleza (art. 6); no se otorga derechos de acceso o cancelación...
Es oportuno, a estos mismos efectos interpretativos que ahora nos ocupan, citar el art. 3.2 de la Directiva 95/46/CE, del Parlamento y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Este precepto alberga una escasa -pero llamativa- diferencia sobre el tenor literal del art. 2.2.a) la Ley Orgánica.
Pues bien, el art. 3.2 de dicha Directiva establece que las disposiciones de la presente Directiva no se aplicarán al «tratamiento de datos personales: [...] efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas».
Como cabe ver, la exclusión que la Directiva contiene se circunscribe al "tratamiento" de datos (de terceros) "por" una persona física en el ejercicio de actividades exclusivamente personales o domésticas, mientras que el precepto legal interno alude a los "ficheros mantenidos por personas físicas".
A la postre, dado que la Ley Orgánica 15/1999, de 13 de diciembre, procedió a trasponer las determinaciones de la Directiva, hemos de interpretar las determinaciones de aquélla a la luz de las más claras prescripciones de ésta.
En suma, la exclusión del régimen protector de la Ley Orgánica 15/1999, de 13 diciembre, contenido en su artículo 2.2.a), debe ser cabalmente interpretado en el sentido del libre establecimiento de archivos y del tratamiento de datos por personas físicas (ya decimos que por su carácter mínimo o inocuo) correspondientes a terceros (por ejemplo una lista de contactos) siempre que se haga en un contexto puramente personal o doméstico. No, por el contrario, en el de que quede libre y exento de protección el acceso a los datos contenidos en un terminal telefónico, a los que bien puede alcanzar la más estricta privacidad. Nótese que tales dispositivos pueden albergar determinadas informaciones como las referentes a la salud o la vida sexual, que son objeto de protección reforzada en el art. 7 de la Ley Orgánica 15/1999, de 13 diciembre. Y sin embargo, paradójicamente, quedarían exentos de protección si el acceso a esta clase de terminales fuera libre por no quedar sujetos al régimen protector de la Ley.
2°.- NATURALEZA DE DATOS DE CARÁCTER PERSONAL DE LOS CONTENIDOS OBJETO DE ACCESO.-
Despejada esta primera controversia, la segunda cuestión que hemos de resolver atañe al efectivo el carácter personal de los datos históricos de navegación en Internet o los vídeos descargados por un usuario de los servicios de comunicaciones electrónicas.
Pues bien, la calificación de aquellos contenidos que fueron objeto de acceso en el presente caso como "datos de carácter personal", a efectos de la aplicación de la legislación protectora, es también incuestionable a juicio de la Sala. Así, aquellas trazas de las navegaciones realizadas (hábitos de navegación) o la misma naturaleza de las informaciones descargadas en nuestro caso (reconducibles a los conceptos de "vida sexual) pueden ser, sin duda, incardinados en los conceptos de «información concerniente a personas físicas identificadas o identificables».
Buena prueba del carácter personal de estas trazas de navegación se encuentra además en las garantías articuladas en el art. 22 de la Ley de Servicios de la Sociedad de la Información con respecto a recursos informáticos que permiten detectar y almacenar dichos contenidos o hábitos de navegación ("cookies") de los usuarios de Internet.
3°.- CONFLICTO ENTRE DERECHOS.-
A.- NECESIDAD DE PONDERACIÓN.-
Sentado, pues, que el régimen protector de la Ley Orgánica 15/1999, de 13 diciembre, de Datos de Carácter Personal, es aplicable a las informaciones que se contengan en teléfonos móviles de uso particular -de manera que no les resulta aplicable la exclusión legal de los archivos de naturaleza personal o doméstica-, y partiendo también de que las informaciones a las que se accedió, por parte del personal del centro educativo (vídeos de contenido sexual y trazas de las navegaciones web realizadas), eran susceptibles de calificación como "datos de carácter personal", se impone ya resolver sobre la licitud o ilicitud de las acciones denunciadas.
Como elemento de partida para ello debe darse la razón a la parte recurrente en el sentido de que el tratamiento (ahora el acceso por el personal del centro educativo) de aquellos datos de carácter personal, requiere del consentimiento inequívoco del interesado, y también que, conforme a lo dispuesto en elartículo 13 del Reglamento, cuando se trate de datos de menores de 14 años ese consentimiento deberán ser prestado por sus padres o tutores. El tenor de las normas aplicables resulta diáfano y la doctrina jurisprudencial emitida en su interpretación, profusa.
Sin embargo, aquella calificación de licitud o ilicitud del tratamiento de datos no han de derivar de una exclusiva y excluyente puesta en relación de la acción del personal del centro educativo y la privacidad del titular del dispositivo móvil sino que necesariamente se ha de conjugar el contexto real en el que se produjo, esto es, en el marco de una acción disciplinaria iniciada tras -como seguidamente se verá- la comunicación de una niña que expresó sentirse violentada por los archivos audiovisuales que le fueron exhibidos por el hijo del recurrente y, por ende, en protección de los derechos de esa misma niña o de otros menores alumnos del mismo centro.
Y es que el derecho a la protección de datos no es ilimitado sino que, como cualquier otro, puede quedar constreñido por la presencia de otros derechos en conflicto. Esa presencia conflictiva -cuando acontece- obliga a realizar una detallada ponderación de los derechos presentes a fin de otorgar protección a uno u otro según las circunstancias mediantes (entre todas valga la cita de la Sentencia del Tribunal de Justicia de la Unión Europea de 6 de noviembre de 2003 o las Sentencias de esta propia Sala y Sección de 23 de noviembre de 2005 -autos 109/200-; 17 de marzo de 2006 -autos 621/2004- o de 16 de marzo de 2006 -autos 529/2004-). Luego nos referiremos también a la importante Sentencia del Tribunal de Justicia de la Unión Europea de 24 de noviembre de 2011.
Dado el valor normativo directo de los derechos fundamentales (art. 53.1 de la Constitución) no sería precisa, por otra parte, una previsión explícita, en la legislación protectora de los datos de carácter personal, que permita la puesta en relación a esos derechos en conflicto y que habilite para la obtención de datos de carácter personal, sin el consentimiento del interesado, para proteger derechos de terceros.
Sin embargo en este sentido cumple recordar que el artículo 13 de la Directiva 95/46/CE, del Parlamento y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, establece que los Estados miembros podrán adoptar medidas legales para limitar el alcance de las obligaciones y los derechos previstos en el apartado 1 del artículo 6, en el artículo 10, en el apartado 1 del artículo 11, y en los artículos 12 y 21 cuando tal limitación constituya una medida necesaria para [...] g) la protección [...] de los derechos y libertades de otras personas.
Desde una perspectiva diferente hemos de constatar que nos encontramos ante la pretensión de incoación de un procedimiento sancionador, al que, por naturaleza, le resultan de aplicación (con adaptaciones y modulaciones) las categorías propias del derecho punitivo. Pues bien, desde esta perspectiva llegaríamos a la misma conclusión si estimamos que mediaba un estado de necesidad (protección de los derechos de otros menores) que nutría una causa de justificación que, a la postre, convirtiera en lícito el concreto tratamiento de los datos. Sobre la aplicación en el Derecho Administrativo sancionador de esta categoría jurídica de la "causa de justificación" por estado de necesidad podemos citar las SSTS de 7 de noviembre de 2007, 27 de febrero de 2007, 14 de febrero de 2007, 30 de julio de 1991, o las SSAN (Sec. 5a) de 18 de junio de 2008; o 22 de abril de 2005 (también Sec. 5a)...
Todo ello aconseja -más bien obliga- a la traída a colación de los antecedentes obrantes en el escueto expediente administrativo y en alguno de los documentos presentados en el presente litigio por la parte recurrente.
B.- ANTECEDENTES DEL CASO.-
En la declaración de la madre del propio menor ante el Juzgado de Instrucción número 12 de Madrid (que fue aportada como documento número 1 de los adjuntos a la demanda) se refleja (efectuamos una transcripción literal, aunque suprimiendo algunas erratas) que el director del establecimiento educativo:
...«nos dijo que estaba realizando una labor de investigación como resultado de una queja presentada por una niña en relación con un video. Nos dijo que días atrás [nombre de su hijo] había sido sorprendido con el móvil encendido por el profesor [apellido] quien le retiró el teléfono y se lo llevó al director. Luego citaron a [nombre] a secretaría porque el director iba en una reunión con él. Pasaron a la reunión y el director le dijo a mi hijo que metiera el PIN y encendiera el teléfono. El director me dijo que había estado analizando con ayuda del informático el contenido del teléfono. Nos estuvo hablando que había comprobado que el teléfono contenía una página web que había sido abierta y nos habló de una serie de fotos estaban dentro del teléfono y nos habló de que existía un video en dicho teléfono hecho dentro de las instalaciones del colegio [...]. El director dijo que era un hecho gravísimo y que estaba pensando en tomar una de las siguientes decisiones [pasa seguidamente a relatar las alternativas] [...] Que yo, en relación al video únicamente sé lo que me dijo el director, el cual dijo que era un video para mayores».
La declaración judicial del denunciado -director del establecimiento educativo- indica (la transcripción se realiza con aquella misma literalidad):
«A mediodía mando llamar al niño [nombre y apellidos] y antes había invitado al informático del colegio porque él sabe manejar estos terminales. Que yo estaba sentado en mi mesa redonda con el informático y vino el alumno [apellido] y le pedí que se sentara al otro lado de la mesa y le informé que había una acusación de parte de una niña de haberle enseñado forzosamente y contra su voluntad una escena de una película muy fea que él había asustado a la niña y caso de ser verdad que esto tendría sanciones negativas graves. Yo le pregunté si él lo había hecho y él lo negó, saqué de mi caja fuerte el teléfono [marca] y le dije que tenía que saber si era verdad o no lo que me había dicho la menor. Entonces le entregue el terminal y el niño sin verlo nosotros marcó el pin porque yo antes le había prometido que solamente iba a ver el historial del día 22 de noviembre. El informático puso el teléfono en la mesa para que el niño viera lo que estaba haciendo [esta última frase se encuentra sobreimpresionada con el logo y nombre de la Agencia de Protección de Datos pero parece ser éste su texto]. Yo le dije al informático que viera el historial del día 22 porque yo carezco de conocimientos para darlo. Que vimos en dicho historial que el niño había abierto una página www [se consigna en este lugar el exacto sitio web] y también vimos que había tomado una película en clase, lo cual está prohibido, pero no podía identificar a ningún alumno y por eso no le di importancia [...]».
Seguidamente el denunciado refiere en su declaración judicial una serie de comunicaciones con los padres del menor, y tras ello dice (nuevamente la cita es literal, aunque salvadas las erratas):
«Que le dije al padre que de ninguna manera podía permitir que pasaran estas cosas en el colegio, que tenía la responsabilidad de los niños y las niñas y que los padres que traían a sus hijos al colegio tenían que tener confianza en el mismo. Que yo soy responsable de enseñar y educar y también de la ética del colegio y por eso era necesaria la comisión disciplinaria. Que a mí me preguntó que cómo me había atrevido a ver el teléfono (no recuerdo las palabras literales utilizadas) y yo le dije que era necesario para ser si era verdad o no la acusación».
Dicha declaración contiene también referencias a lo que le comunicó el tutor del niño al director-declarante:
«Me informó que una niña el día 23 se había dirigido a él para contarle que el día anterior el menor le había enseñado el terminal mostrándole un contenido, en palabras de la niña, algo feo. Que el tutor posteriormente esta información me la facilitó por escrito».
También, seguidamente:
«Que verificamos la navegación del día 22 y las horas a las que se produjeron los hechos y que esta página parecía abierta a las 11:53. Que yo pedí al niño que lo abriese y él accedió voluntariamente después de habérselo pedido amigablemente, que lo hizo sin ningún comentario».
En otro momento:
«Que yo convoqué la comisión disciplinaria. Hemos utilizado la información facilitada por la niña. Que de dicha comisión se levantó alta [es de creer que quiere decirse acta]. Que puede facilitar el contenido del alta [es de creer que quiere decirse acta], pero borrando la identidad de la niña. Que los padres están invitados a dicha comisión».
Por último, en respuesta a preguntas de su letrado:
«Que a la hora en la que comprobó que se había accedido a la página www [concreto sitio web, cuyo nombre denota un contenido sexual explícito], 11:53, los niños estaban en el descanso y los niños saben que en el colegio está prohibido el uso de móviles. Que la niña ha sido atendida por la psicóloga del colegio en enero».
Todo ello es además ratificado informático del centro, que declaró en calidad de testigo a presencia judicial:
«El día 28 noviembre su profesor llevó al alumno al despacho del director y el director le presentó al dicente al alumno y luego el director le contó al alumno el motivo por el que estaba allí, que era por exhibir material pornográfico a otro alumno. Le dijo que era un hecho muy grave, que si era verdad se tenía que reunir la comisión disciplinaria y que conlleva una pena. Luego le preguntó al alumno si reconocía los hechos y él lo negó. El director le pregunto al alumno si tenía algún problema en que miraran su [marca del terminal] y el alumno dijo que no tenía ningún problema. El director le pidió al alumno que encendiera la [marca del terminal] y el alumno accedió y lo puso sobre la mesa y a continuación el director reiteró que todo eso era por los hechos del 22 de noviembre y yo accedí al historial del día 22 de noviembre y ahí pudo dar cuenta claramente que en ese día se había accedido a dos páginas pornográficas. Que a la hora a que se había accedido, para la primera página fue sobre las 11 horas y para la segunda sobre las 15 horas, las páginas eran www [concreto sitio web, cuyo nombre denota un contenido sexual explícito] y www [concreto sitio web, cuyo nombre denota un contenido sexual explícito]. Luego comprobaron todo lo que había pasado en relación al día 22».
Por último se ha de destacar que, según consta por copia aportada junto a su escrito de conclusiones por la parte recurrente, tras la incoación de diligencias previas, la Magistrada titular del Juzgado de Instrucción n° 12 de los de Madrid dictó, en fecha 13 de enero de 2013, un Auto de sobreseimiento provisional y archivo de las actuaciones incoadas en virtud de denuncia por delitos de violación del derecho a la intimidad, privacidad y secreto de las comunicaciones. Y luego que, en otro Auto n° 501, de fecha 14 de junio de 2013, de la Sección Tercera de la Audiencia Provincial de Madrid, se desestimó el recurso de apelación interpuesto por el denunciante -ahora recurrente- contra el indicado Auto del sobreseimiento.
D.- DISPOSICIONES ESPECÍFICAS Y LEGALIDAD DEL TRATAMIENTO DE LOS DATOS EN EL MARCO DE UN PROCEDIMIENTO DISCIPLINARIO DOCENTE.
Ya hemos dicho que el valor normativo directo de los derechos fundamentales no precisaría, para su ponderación ahora, de preceptos concretos en la legislación ordinaria o sectorial que habilitasen la acción realizada.
Sin embargo -a mayor abundamiento- no resulta forzado, a juicio de la Sala, citar aquí algunas de las salvedades recogidas en el artículo 10 del Reglamento (intitulado "supuestos que legitiman el tratamiento o la cesión de los datos"). Dicho precepto indica que «será posible tratamiento o la cesión de los datos de carácter personal sin necesidad del consentimiento del interesado cuando: a) Lo autorice una norma con rango de ley o una norma de derecho comunitario y en particular, cuando concurra una los supuestos siguientes: El tratamiento o la cesión tengan por objeto la satisfacción del interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas [...] El tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas».
Ciertamente el indicado precepto reglamentario, que ahora pudiera servir de cobertura complementaria para el tratamiento de datos producido ("tratamiento" consistente en el acceso a ellos), diverge parcialmente de los contenidos del art. 6 de la propia Ley Orgánica, a tenor de la cual estas salvedades a la necesidad del consentimiento del afectado parecen vincularse a que tales datos figuren en fuentes accesibles al público. Sin embargo tal cuestión ha sido objeto de estudio, entre otras, en la Sentencia de esta Sala y Sección de 15 de marzo de 2012 (autos jurisdiccionales 390/2010).
En aquel lugar decía el Tribunal:
«Para resolver tal controversia deviene esencial relacionar la mencionada excepción a la prestación del consentimiento prevista en el artículo 6.2 LOPD y 10.2.b) del RD 1720/2007 con lo dispuesto en el artículo 7 de la Directiva 95/46, de 24 de octubre de 1995, relativa a la Protección de Datos Personales. Y ambos con la interpretación que del apartado f) del mencionado artículo 7 ha llevado a cabo la sentencia del Tribunal de Justicia de las Comunidades Europeas de 24 de noviembre de 2011. El artículo 6 de la LOPD tras indicar, con carácter general que el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa. Añade a continuación que no será preciso el consentimiento [...] cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado. En similares términos el artículo 10.2.b) del RD 1720/2007, de 21 de diciembre, de desarrollo de la LOPD, excluye también la necesidad de consentimiento para el tratamiento o cesión de datos personales cuando éstos figuren en fuentes accesibles al público y el responsable del fichero (...) tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
Por su parte, determina el artículo 7 de la mencionada Directiva 95/46, de 24 de octubre, lo siguiente:
Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si:
a) el interesado ha dado su consentimiento de forma inequívoca, o [...].
e) es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos, o
f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del Art. 1 de la presente Directiva: en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales
Desprendiéndose, por tanto, de la interpretación y comparación entre los preceptos que se acaban de relacionar, una importante conclusión: que tal excepción a la prestación del consentimiento en los supuestos en que los datos personales se contengan en fuentes accesibles al público (que son las previstas en el artículo 3.f) de la LOPD se contiene en nuestra normativa interna de protección de datos, más sin que se encuentre prevista, como excepción a la prestación del consentimiento para tal tratamiento, en la normativa comunitaria de aplicación. El Tribunal Supremo, en los recursos planteados frente a determinados preceptos del RD 1720/2007, de 21 de diciembre, se cuestionó la adecuación o no al derecho comunitario del mencionado artículo 10.2.b) del RD 1720/2007, de 21 de diciembre, por lo que planteó una cuestión prejudicial al TJCE.
Cuestión en la que el Tribunal de Justicia de las Comunidades Europeas ha dictado sentencia con fecha de 24 de noviembre de 2011, que contiene los siguientes pronunciamientos:
1. Se opone al artículo 7.f) de la Directiva 95/46 la normativa nacional que, para permitir el tratamiento de datos, sin consentimiento, y necesario para la satisfacción de un interés legítimo (del responsable o del cesionario) exige que se respeten los derechos y libertades del interesado, y además que dichos datos figuren en fuentes accesibles al público, excluyendo de forma categórica y generalizada todo tratamiento que no figure en dichas fuentes.
2. El artículo 7.f) de la Directiva 95/46 tiene efecto directo. Pronunciamiento del Tribunal de Justicia que se sustenta, entre otras, en las siguientes consideraciones:
El artículo 7, letra f) establece dos requisitos acumulativos para legitimar el tratamiento de datos:
- Necesario para satisfacer un interés legítimo.
- Que no prevalezcan derechos y libertades fundamentales del interesado. (Que requieran protección con arreglo al apartado 1 del Art. 1 de la presente Directiva).
El segundo requisito exige una ponderación de los derechos e intereses en conflicto que dependerá de las circunstancias concretas, teniendo en cuenta los artículos 7 y 8 de la Carta de Derechos Fundamentales de la Unión Europea.
A efectos de tal ponderación la lesión de los derechos fundamentales del afectado por el tratamiento puede variar en función de que los datos figuren ya, o no, en fuentes accesibles al público.
Los tratamientos que figuren en fuentes no accesibles al público implican necesariamente que el responsable o el cesionario del tratamiento dispondrán en lo sucesivo de cierta información sobre la vida privada del interesado. Lesión, más grave, de los derechos del interesado consagrados en los artículos 7 y 8 de la Carta que debe ser apreciada en su justo valor, contrarrestándola con el interés legitimo del responsable o tercero».
Tal y como en aquella Sentencia decíamos, considera esta Sala que, conforme a la Sentencia del TJCE, el que los datos figuren en fuentes accesibles al público no es un criterio válido para excluir la necesidad de consentimiento del titular de los datos -ni para exigirlo forzosamente-, sino que en aplicación del art. 7. f) de la Directiva, deben ponderarse dos elementos fundamentales: a) Si el tratamiento de los datos es necesario para satisfacer un interés legítimo (del responsable de los datos o del cesionario); b) Y si han de prevalecer o no los derechos fundamentales del interesado, esencialmente referidos a su derecho a la protección de datos personales. Ponderación de intereses en conflicto que dependerá de las circunstancias concretas de cada caso y en la que, no obstante, sí puede tomarse en consideración, a efectos de determinar la posible lesión de los derechos fundamentales del afectado, el hecho de que los datos figuren ya, o no, en fuentes accesibles al público. Más ello, simplemente, como un elemento más de ponderación.
Es posible, por tanto, que existan tratamientos de datos personales que no figuren en una de las que nuestra legislación interna denomina fuentes de acceso público [artículo 3.f) LOPD y artículo 7 RLOPD], pero que, sin embargo, no requieran el consentimiento de los titulares de los datos porque dicho tratamiento sea necesario para satisfacer un interés legítimo del responsable de los datos, o del cesionario, siempre que se respeten los derechos y libertades del interesado.
Pues bien, en el presente caso resulta de aplicación, a juicio del Tribunal, una de las primeras previsiones de la Directiva -que según hemos dicho resulta de efecto directo-, cual es que el tratamiento de los datos sea «necesario para el cumplimiento de una misión de interés público». En el presente supuesto, la actividad educativa no sólo puede calificarse de misión de interés público sino, más aún, de verdadero "servicio público" (también el desarrollado por centro privados) conforme al art. 108.3 de la Ley Orgánica 2/2006, de 3 de mayo, de Educación. La propia exposición de motivos de esta Ley indica que «la Ley 14/1970 General de Educación y de Financiamiento de la Reforma Educativa, y la Ley Orgánica 8/1985, reguladora del Derecho a la Educación, declaraban la educación como servicio público. La Ley Orgánica de Educación sigue y se inscribe en esta tradición. El servicio público de la educación considera a ésta como un servicio esencial de la comunidad [...] El servicio público de la educación puede ser prestado por los poderes públicos y por la iniciativa social, como garantía de los derechos fundamentales de los ciudadanos y la libertad de enseñanza».
Por otra parte, en lo referente a las demás previsiones reglamentarias (que el tratamiento tenga por objeto la satisfacción de un interés legítimo del responsable del tratamiento amparado por dichas normas) resulta notorio el interés del director del centro (y la legitimidad del interés), cual es una adecuada prestación del servicio educativo que tiene encomendado y la protección de los derechos de los otros menores cuya guarda asimismo se le confía. Asimismo queda cumplida la previsión reglamentaria de que el tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento «cumpla un deber» que le imponga una de dichas normas.
Tales derechos de los menores quedan constitucionalmente recogidos, cuanto menos, en los arts. 10 (libre desarrollo de su personalidad) o 15 (derecho a su integridad moral).
Con rango de legislación ordinaria podemos citar la Ley Orgánica 8/1985, de 3 de julio, reguladora del derecho a la educación. Ésta (art. 6) reconoce a los alumnos los siguientes derechos básicos:
«a) A recibir una formación integral que contribuya al pleno desarrollo de su personalidad.
b) A que se respeten su identidad, integridad y dignidad personales
f) Ala protección contra toda agresión [...] moral».
Por último, en la medida en la que pudiera no compartirse la idea de que la exhibición de un vídeo pornográfico a niños de 12 años pudiera comprometer su integridad moral o comportar una agresión, asimismo moral, puede citarse la STC de 15 de octubre de 1982 (se refiere juntamente a moral pública y a la protección de la infancia), a tenor de la cual:
... «la pornografía no constituye para el Ordenamiento jurídico vigente, siempre y en todos los casos, un ataque contra la moral pública en cuanto mínimum ético acogido por el derecho, sino que la vulneración de ese mínimum exige valorar las circunstancias concurrentes y, entre ellas muy especialmente tratándose de publicaciones, la forma [...] de la distribución, los destinatarios -menores o no- e incluso si las fotografías calificadas contrarías a la moral son o no de menores [...], pues no cabe duda que cuando los destinatarios son menores -aunque no lo sean exclusivamente-y cuando éstos son sujeto pasivo y objeto de las fotografías y texto, el ataque a la moral pública, y por supuesto a la debida protección a la juventud y a la infancia cobra una intensidad superior»...
Los anteriores fundamentos nos llevan a la final desestimación del presente recurso."