T.C. Sección del Tribunal Constitucional. TRIBUNAL CONSTITUCIONAL. Sentencias. (BOE-A-2023-8217)
Pleno. Sentencia 10/2023, de 23 de febrero de 2023. Recurso de inconstitucionalidad 718-2020. Interpuesto por el Gobierno de la Generalitat de Cataluña en relación con diversos preceptos del Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones. Límites materiales de los decretos leyes: extinción parcial del proceso, constitucionalidad de los preceptos que modifican disposiciones legales relativas a la administración y firma electrónica e intervención, seguridad y disciplina de redes y servicios de comunicaciones.
45 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Viernes 31 de marzo de 2023
Sec. TC. Pág. 47831
registros de población, datos fiscales relacionados con tributos propios o cedidos y datos
de los usuarios del sistema nacional de salud, así como los correspondientes
tratamientos de datos personales. En relación con lo anterior, la disposición transitoria
segunda prevé un plazo de seis meses a partir de la entrada en vigor del Real Decretoley 14/2019 para que las entidades pertenecientes al sector público adopten las medidas
necesarias para dar cumplimiento a estas nuevas obligaciones.
Con respecto a ambas previsiones ocurre algo similar a lo que ya se ha apreciado en
el fundamento jurídico anterior, pues lo que se alega es la contradicción con el
Reglamento general de protección de datos, contradicción que no puede, por las razones
que ya se han expuesto anteriormente, dirimirse ante la jurisdicción constitucional (en el
mismo sentido, STC 76/2019, de 22 de mayo, FJ 3).
Por el contrario, sí debe examinarse la queja que se plantea respecto al nuevo
art. 155 de la Ley 40/2015 según el cual:
«1. De conformidad con lo dispuesto en el Reglamento (UE) 2016/679, del
Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos y por el que se deroga la Directiva 95/46/CE y en la Ley
Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los
derechos digitales y su normativa de desarrollo, cada administración deberá facilitar el
acceso de las restantes administraciones públicas a los datos relativos a los interesados
que obren en su poder, especificando las condiciones, protocolos y criterios funcionales
o técnicos necesarios para acceder a dichos datos con las máximas garantías de
seguridad, integridad y disponibilidad.
2. En ningún caso podrá procederse a un tratamiento ulterior de los datos para
fines incompatibles con el fin para el cual se recogieron inicialmente los datos
personales. De acuerdo con lo previsto en el artículo 5.1 b) del Reglamento (UE)
2016/679, no se considerará incompatible con los fines iniciales el tratamiento ulterior de
los datos personales con fines de archivo en interés público, fines de investigación
científica e histórica o fines estadísticos.
3. Fuera del caso previsto en el apartado anterior y siempre que las leyes
especiales aplicables a los respectivos tratamientos no prohíban expresamente el
tratamiento ulterior de los datos para una finalidad distinta, cuando la administración
pública cesionaria de los datos pretenda el tratamiento ulterior de los mismos para una
finalidad que estime compatible con el fin inicial, deberá comunicarlo previamente a la
administración pública cedente a los efectos de que esta pueda comprobar dicha
compatibilidad. La administración pública cedente podrá, en el plazo de diez días
oponerse motivadamente. Cuando la administración cedente sea la administración
general del Estado podrá en este supuesto, excepcionalmente y de forma motivada,
suspender la transmisión de datos por razones de seguridad nacional de forma cautelar
por el tiempo estrictamente indispensable para su preservación. En tanto que la
administración pública cedente no comunique su decisión a la cesionaria esta no podrá
emplear los datos para la nueva finalidad pretendida.
Se exceptúan de lo dispuesto en el párrafo anterior los supuestos en que el
tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales
esté previsto en una norma con rango de ley de conformidad con lo previsto en el
artículo 23.1 del Reglamento (UE) 2016/679.»
Para la representación procesal de la Generalitat de Cataluña, la obligación de
comunicación previa a la administración cedente es una medida de control
inconstitucional impuesta a la administración autonómica. Según el Reglamento general
de protección de datos los responsables del tratamiento deben ajustarse a las reglas
previstas en él, especialmente en el art. 6.4. Pero el nuevo art. 155.3 de la Ley 40/2015
alteraría este régimen de cesión de datos entre administraciones públicas, incorporando
cve: BOE-A-2023-8217
Verificable en https://www.boe.es
Núm. 77
Viernes 31 de marzo de 2023
Sec. TC. Pág. 47831
registros de población, datos fiscales relacionados con tributos propios o cedidos y datos
de los usuarios del sistema nacional de salud, así como los correspondientes
tratamientos de datos personales. En relación con lo anterior, la disposición transitoria
segunda prevé un plazo de seis meses a partir de la entrada en vigor del Real Decretoley 14/2019 para que las entidades pertenecientes al sector público adopten las medidas
necesarias para dar cumplimiento a estas nuevas obligaciones.
Con respecto a ambas previsiones ocurre algo similar a lo que ya se ha apreciado en
el fundamento jurídico anterior, pues lo que se alega es la contradicción con el
Reglamento general de protección de datos, contradicción que no puede, por las razones
que ya se han expuesto anteriormente, dirimirse ante la jurisdicción constitucional (en el
mismo sentido, STC 76/2019, de 22 de mayo, FJ 3).
Por el contrario, sí debe examinarse la queja que se plantea respecto al nuevo
art. 155 de la Ley 40/2015 según el cual:
«1. De conformidad con lo dispuesto en el Reglamento (UE) 2016/679, del
Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos y por el que se deroga la Directiva 95/46/CE y en la Ley
Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los
derechos digitales y su normativa de desarrollo, cada administración deberá facilitar el
acceso de las restantes administraciones públicas a los datos relativos a los interesados
que obren en su poder, especificando las condiciones, protocolos y criterios funcionales
o técnicos necesarios para acceder a dichos datos con las máximas garantías de
seguridad, integridad y disponibilidad.
2. En ningún caso podrá procederse a un tratamiento ulterior de los datos para
fines incompatibles con el fin para el cual se recogieron inicialmente los datos
personales. De acuerdo con lo previsto en el artículo 5.1 b) del Reglamento (UE)
2016/679, no se considerará incompatible con los fines iniciales el tratamiento ulterior de
los datos personales con fines de archivo en interés público, fines de investigación
científica e histórica o fines estadísticos.
3. Fuera del caso previsto en el apartado anterior y siempre que las leyes
especiales aplicables a los respectivos tratamientos no prohíban expresamente el
tratamiento ulterior de los datos para una finalidad distinta, cuando la administración
pública cesionaria de los datos pretenda el tratamiento ulterior de los mismos para una
finalidad que estime compatible con el fin inicial, deberá comunicarlo previamente a la
administración pública cedente a los efectos de que esta pueda comprobar dicha
compatibilidad. La administración pública cedente podrá, en el plazo de diez días
oponerse motivadamente. Cuando la administración cedente sea la administración
general del Estado podrá en este supuesto, excepcionalmente y de forma motivada,
suspender la transmisión de datos por razones de seguridad nacional de forma cautelar
por el tiempo estrictamente indispensable para su preservación. En tanto que la
administración pública cedente no comunique su decisión a la cesionaria esta no podrá
emplear los datos para la nueva finalidad pretendida.
Se exceptúan de lo dispuesto en el párrafo anterior los supuestos en que el
tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales
esté previsto en una norma con rango de ley de conformidad con lo previsto en el
artículo 23.1 del Reglamento (UE) 2016/679.»
Para la representación procesal de la Generalitat de Cataluña, la obligación de
comunicación previa a la administración cedente es una medida de control
inconstitucional impuesta a la administración autonómica. Según el Reglamento general
de protección de datos los responsables del tratamiento deben ajustarse a las reglas
previstas en él, especialmente en el art. 6.4. Pero el nuevo art. 155.3 de la Ley 40/2015
alteraría este régimen de cesión de datos entre administraciones públicas, incorporando
cve: BOE-A-2023-8217
Verificable en https://www.boe.es
Núm. 77
