Organismos públicos no podrán cruzar datos personales


Los organismos públicos no podrán cruzar datos personales sin informar

Los organismos públicos no podrán cruzar datos personales de los ciudadanos sin el pleno conocimiento de los interesados, según establece una sentencia del Tribunal de Justicia Europeo (TJUE). Así se recoge en una novedosa sentencia en el ámbito de la protección de datos personales.

Los organismos públicos no podrán cruzar datos personales sin informar

Sentencia en el asunto C-201/14 Smaranda Bara y otros/Președintele Casei Naționale de Asigurări de Sănătate y otros

El ponente, el magistrado Carl Gustav Fernlund, estima que la Directiva que regula la protección de datos personales establece que todo tratamiento debe ser conforme con los principios relativos a la calidad de los datos y con alguno de los principios sobre la legitimación de su tratamiento.

La Directiva sobre protección de datos personales regula el tratamiento de los datos personales cuando están contenidos o destinados a figurar en un fichero.

La Sra. Smaranda Bara y otros ciudadanos rumanos son trabajadores por cuenta propia. La administración tributaria rumana transmitió sus ingresos declarados a la Caja Nacional del Seguro de Enfermedad, que exigió entonces el pago de atrasos de cotizaciones al régimen del seguro de enfermedad.

Los interesados impugnan ante la Curtea de Apel Cluj (Tribunal de apelación de Cluj, Rumanía) la legalidad de esa transmisión desde el punto de vista de la Directiva. Consideran que sus datos fueron utilizados con fines distintos de aquéllos para los que habían sido inicialmente comunicados a la administración tributaria, sin ser informados de ello previamente.

El Derecho rumano permite a las entidades públicas transmitir datos personales a las cajas de seguro de enfermedad para que éstas puedan determinar la condición de asegurado de los interesados. Estos datos se refieren a la identificación de las personas (nombre, apellido y domicilio), pero no incluyen los relativos a los ingresos obtenidos.

En este contexto, la Curtea de Apel Cluj pregunta, esencialmente, al Tribunal de Justicia si el Derecho de la Unión se opone a que una administración pública de un Estado miembro transmita datos personales a otra administración pública con vistas a su ulterior tratamiento sin que los interesados hayan sido informados de esa transmisión ni de ese tratamiento.

En su sentencia dictada hoy, el Tribunal de Justicia considera que la exigencia de tratamiento leal de los datos personales obliga a una administración pública a informar a los interesados de que sus datos van a ser transmitidos a otra administración pública para su tratamiento por ésta en su calidad de destinataria de los datos. La Directiva exige expresamente que cualquier posible limitación a la obligación de información se adopte mediante medidas legales.

La Ley rumana que prevé la transmisión gratuita de los datos personales a las cajas del seguro de enfermedad no constituye una información previa que pueda dispensar al responsable del tratamiento de su obligación de informar a las personas de quienes recaba los datos. En efecto, dicha Ley no define ni los datos que pueden transmitirse ni las condiciones de la transmisión, que figuran únicamente en un protocolo bilateral celebrado entre la administración tributaria y la caja del seguro de enfermedad.

Por lo que respecta al ulterior tratamiento de los datos transmitidos, la Directiva dispone que su responsable debe comunicar a los interesados su propia identidad, los fines de ese tratamiento y cualquier otra información necesaria para garantizar un tratamiento leal de los datos. Entre esa información adicional se incluyen las categorías de datos de que se trate y la existencia de derechos de acceso y de rectificación.

El Tribunal de Justicia observa que el tratamiento por la Caja Nacional del Seguro de Enfermedad de los datos transmitidos por la administración tributaria implicaba informar a los interesados de los fines de ese tratamiento y de las categorías de datos de que se trataba. En este caso, la Caja del Seguro de Enfermedad no facilitó los mencionados datos.

En conclusión

El Tribunal de Justicia concluye que el Derecho de la Unión se opone a que dos administraciones públicas de un Estado miembro se transmitan y traten datos personales sin que los interesados hayan sido previamente informados de ello.

¿Qué te ha parecido la información?
Comparte esto:

mm

Acerca de Pedro De La Torre

Soy perito informático judicial colegiado, legalmente habilitado para actuar ante los tribunales de Justicia, conferenciante y ponente habitual en jornadas sobre peritaje informático, ciberseguridad y tecnologías de la información. Consultor especializado en estrategia digital y seguridad de la información.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

cuatro + dieciseis =