T.C. Sección del Tribunal Constitucional. TRIBUNAL CONSTITUCIONAL. Sentencias. (BOE-A-2023-8217)
Pleno. Sentencia 10/2023, de 23 de febrero de 2023. Recurso de inconstitucionalidad 718-2020. Interpuesto por el Gobierno de la Generalitat de Cataluña en relación con diversos preceptos del Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones. Límites materiales de los decretos leyes: extinción parcial del proceso, constitucionalidad de los preceptos que modifican disposiciones legales relativas a la administración y firma electrónica e intervención, seguridad y disciplina de redes y servicios de comunicaciones.
45 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Viernes 31 de marzo de 2023
Sec. TC. Pág. 47832
un procedimiento de comprobación que equivale a una tutela cautelar que se considera
contraria a las competencias autonómicas. El abogado del Estado sostiene que es una
medida de régimen jurídico de las administraciones públicas, no de regulación de la
protección de datos y que se ajusta a lo previsto en el Reglamento general de protección
de datos, tanto en cuanto a la prohibición de tratamiento incompatible como a la
suspensión por afección de la seguridad nacional.
Conforme al Reglamento general de protección de datos, los datos que se han
recogido para fines determinados, explícitos y legítimos, no pueden tratarse con
posterioridad de forma incompatible con estos fines. La norma europea establece la
presunción general de que son actividades compatibles con otra anterior los tratamientos
con fines de archivo en interés público, fines de investigación científica o histórica o fines
estadísticos. El tratamiento posterior para otros fines se permite previa determinación de
si ese tratamiento posterior es o no compatible con el fin por el que se recogieron
inicialmente los datos personales, atendiendo a las condiciones previstas por los arts. 6.4
y 23.1 RGPD. Así, la cesión de datos entre administraciones es, en principio, posible
cuando sea necesaria para el ejercicio de poderes públicos conferidos al responsable del
tratamiento [art. 6.1 e) RGPD], siempre que el ejercicio de tales poderes de tratamiento
de datos derive de «una norma de Derecho de la Unión Europea o una norma con rango
de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de
datos objeto del mismo así como las cesiones que procedan como consecuencia del
cumplimiento de la obligación legal» (art. 8 de la Ley Orgánica 3/2018, de 5 de
diciembre, de protección de datos personales y garantía de los derechos digitales).
La controversia se traba respecto al número 3 de este precepto de la Ley 40/2015,
por cuanto los números 1 y 2 se limitan a trasladar la regulación del Reglamento general
de protección de datos al ámbito de las transmisiones de datos entre administraciones
públicas. El apartado 3 regula el procedimiento que tiene por finalidad comprobar si la
finalidad ulterior a la que se quiere destinar los datos es o no compatible con la que
inicialmente legitimó su tratamiento. Se establece una obligación adicional de consulta a
la administración que comunica los datos, a resultas de la cual la destinataria,
responsable del nuevo tratamiento, no podrá llevarlo a cabo hasta que lo haya
comunicado a la administración que los recogió inicialmente. Y esta, puede comprobar
que se da la citada compatibilidad, pudiendo oponerse, en caso contrario, en un plazo de
diez días. Concretamente lo discutido es la posibilidad que el precepto otorga a la
administración general del Estado para suspender la transmisión de datos por razones
de seguridad nacional de forma cautelar por el tiempo estrictamente indispensable para
su preservación.
Ya hemos expuesto que no procede aquí examinar la conformidad o no del precepto
estatal con el Derecho de la Unión Europea, lo que, pese a lo alegado por las partes, nos
exime de valorar la regulación cuestionada a la luz de lo dispuesto por el Reglamento
general de protección de datos, pues el Derecho de la Unión Europea no es en sí mismo
canon o parámetro directo de constitucionalidad [STC 152/2020, de 22 de octubre, FJ 2
b) y las que cita], especialmente cuando el motivo de inconstitucionalidad que pretende
hacerse valer atañe a la vulneración de las reglas constitucionales y estatutarias de
distribución de competencias. El Derecho de la Unión Europea no altera el orden
constitucional y estatutario de reparto de competencias entre el Estado y las
comunidades autónomas (por todas, STC 45/2001, de 15 de febrero, FJ 7), por lo que la
ejecución del Derecho europeo presenta carácter neutro en cuanto que no
«predetermina el reparto de competencias dentro de nuestro ordenamiento interno»
(STC 100/2019, de 18 de julio, FJ 5).
Atendiendo a las reglas de reparto competencial, puede, en principio, considerarse
que la regulación del art. 155 de la Ley 40/2015 tiene amparo en las competencias
estatales en materia de régimen jurídico de las administraciones públicas del
art. 149.1.18 CE, en cuanto contribuye a determinar las garantías en torno a los datos de
los ciudadanos cuando son objeto de transmisión o cesión entre las respectivas
administraciones públicas, con la doble finalidad de facilitar el ejercicio de las funciones y
cve: BOE-A-2023-8217
Verificable en https://www.boe.es
Núm. 77
Viernes 31 de marzo de 2023
Sec. TC. Pág. 47832
un procedimiento de comprobación que equivale a una tutela cautelar que se considera
contraria a las competencias autonómicas. El abogado del Estado sostiene que es una
medida de régimen jurídico de las administraciones públicas, no de regulación de la
protección de datos y que se ajusta a lo previsto en el Reglamento general de protección
de datos, tanto en cuanto a la prohibición de tratamiento incompatible como a la
suspensión por afección de la seguridad nacional.
Conforme al Reglamento general de protección de datos, los datos que se han
recogido para fines determinados, explícitos y legítimos, no pueden tratarse con
posterioridad de forma incompatible con estos fines. La norma europea establece la
presunción general de que son actividades compatibles con otra anterior los tratamientos
con fines de archivo en interés público, fines de investigación científica o histórica o fines
estadísticos. El tratamiento posterior para otros fines se permite previa determinación de
si ese tratamiento posterior es o no compatible con el fin por el que se recogieron
inicialmente los datos personales, atendiendo a las condiciones previstas por los arts. 6.4
y 23.1 RGPD. Así, la cesión de datos entre administraciones es, en principio, posible
cuando sea necesaria para el ejercicio de poderes públicos conferidos al responsable del
tratamiento [art. 6.1 e) RGPD], siempre que el ejercicio de tales poderes de tratamiento
de datos derive de «una norma de Derecho de la Unión Europea o una norma con rango
de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de
datos objeto del mismo así como las cesiones que procedan como consecuencia del
cumplimiento de la obligación legal» (art. 8 de la Ley Orgánica 3/2018, de 5 de
diciembre, de protección de datos personales y garantía de los derechos digitales).
La controversia se traba respecto al número 3 de este precepto de la Ley 40/2015,
por cuanto los números 1 y 2 se limitan a trasladar la regulación del Reglamento general
de protección de datos al ámbito de las transmisiones de datos entre administraciones
públicas. El apartado 3 regula el procedimiento que tiene por finalidad comprobar si la
finalidad ulterior a la que se quiere destinar los datos es o no compatible con la que
inicialmente legitimó su tratamiento. Se establece una obligación adicional de consulta a
la administración que comunica los datos, a resultas de la cual la destinataria,
responsable del nuevo tratamiento, no podrá llevarlo a cabo hasta que lo haya
comunicado a la administración que los recogió inicialmente. Y esta, puede comprobar
que se da la citada compatibilidad, pudiendo oponerse, en caso contrario, en un plazo de
diez días. Concretamente lo discutido es la posibilidad que el precepto otorga a la
administración general del Estado para suspender la transmisión de datos por razones
de seguridad nacional de forma cautelar por el tiempo estrictamente indispensable para
su preservación.
Ya hemos expuesto que no procede aquí examinar la conformidad o no del precepto
estatal con el Derecho de la Unión Europea, lo que, pese a lo alegado por las partes, nos
exime de valorar la regulación cuestionada a la luz de lo dispuesto por el Reglamento
general de protección de datos, pues el Derecho de la Unión Europea no es en sí mismo
canon o parámetro directo de constitucionalidad [STC 152/2020, de 22 de octubre, FJ 2
b) y las que cita], especialmente cuando el motivo de inconstitucionalidad que pretende
hacerse valer atañe a la vulneración de las reglas constitucionales y estatutarias de
distribución de competencias. El Derecho de la Unión Europea no altera el orden
constitucional y estatutario de reparto de competencias entre el Estado y las
comunidades autónomas (por todas, STC 45/2001, de 15 de febrero, FJ 7), por lo que la
ejecución del Derecho europeo presenta carácter neutro en cuanto que no
«predetermina el reparto de competencias dentro de nuestro ordenamiento interno»
(STC 100/2019, de 18 de julio, FJ 5).
Atendiendo a las reglas de reparto competencial, puede, en principio, considerarse
que la regulación del art. 155 de la Ley 40/2015 tiene amparo en las competencias
estatales en materia de régimen jurídico de las administraciones públicas del
art. 149.1.18 CE, en cuanto contribuye a determinar las garantías en torno a los datos de
los ciudadanos cuando son objeto de transmisión o cesión entre las respectivas
administraciones públicas, con la doble finalidad de facilitar el ejercicio de las funciones y
cve: BOE-A-2023-8217
Verificable en https://www.boe.es
Núm. 77
