El TS ha desestimado el recurso interpuesto por Uber contra el RD 785/2021 (LA LEY 21694/2021), sobre el control de la explotación de las autorizaciones de arrendamiento de vehículos con conductor, al que imputaba la vulneración de la normativa nacional y comunitaria de protección de datos debido a la obligación que impone de comunicar ciertos datos a un fichero nacional, así como la infracción de la LGUM (LA LEY 19657/2013) por imponer obligaciones desproporcionadas a los titulares de licencias VTC.
Rechaza así las infracciones que esgrime la actora al considerar que la disposición impugnada se ajusta a la normativa cuya vulneración aduce.
En lo que respecta a las alegaciones referidas a la protección de datos, la Sala recuerda que la norma impugnada ha venido a sustituir al RD 1076/2017 (LA LEY 21506/2017), que fue declarado parcialmente nulo por SSTS 6 (LA LEY 6210/2020) y 10 Mar. 2020 (LA LEY 6209/2020), en lo que interesa al recurso examinado, en lo relativo a la comunicación a un registro nacional de los datos del usuario del servicio VTC.
Descarta que el nuevo RD incurra en las mismas infracciones que el anterior, lo que la recurrente fundamenta en la posible revelación indirecta de los datos de la identidad del usuario a través de los datos proporcionados al registro. Sostiene que tal revelación indirecta sólo podría ser excepcional, en el caso de que un usuario utilizase diariamente o con frecuencia un VTC para desplazarse entre dos puntos idénticos. Por ello, excluye que el tratamiento de datos originado por la creación del registro incluya de forma indirecta los de los arrendatarios, dado que los trayectos son en su inmensa mayoría diversos y de usuarios distintos y no identificados.
Por el contrario, subraya que sí existe tratamiento de los datos de los arrendadores. Apunta que, aunque en muchos casos se trata de personas jurídicas, en otros muchos son los propios conductores los titulares de la autorización VTC, por lo que el envío de sus datos al registro y su almacenamiento en el mismo constituye sin duda un tratamiento de datos que se encuentra sometido a la normativa de protección de datos.
Seguidamente, aclarada la afectación a la protección de datos por parte del RD impugnado, desestima el Supremo todas las alegaciones de Uber sobre esta materia.
Por un lado, rechaza que sea nulo por omisión del preceptivo informe de la AEPD, pues considera que el hecho de que el RD cree un registro que constituye un tratamiento de datos, no significa que sea una disposición “sobre” tratamiento de datos.
Y por otro, niega que incurra en las vulneraciones del RGPD (LA LEY 6637/2016) que le imputa la recurrente. En cuanto al principio de limitación del tiempo de conservación de los datos, indica que la conservación deberá mantenerse solamente el tiempo necesario para el cumplimiento de la finalidad del registro, que sería el control del cumplimiento de la regulación de las autorizaciones VTC, pero matiza que ello no quiere decir que la propia disposición deba prever expresamente un plazo de duración ni que dicha duración sea necesariamente la de la prescripción de las infracciones, como postula Uber.
Afirma que la ausencia de tal previsión expresa ni exime a la Administración de respetar tal exigencia ni determina la nulidad de la disposición, de modo que la Administración responsable del tratamiento deberá cumplir la obligación de supresión de los datos cuando entienda que dichos datos carecen ya de utilidad para el control de las autorizaciones VTC, y recalca que esa pérdida de utilidad depende de varios factores que no pueden reducirse a la prescripción de las sanciones.
En cuanto a la limitación de la finalidad del tratamiento de datos, cuya infracción reprocha Uber por no prohibir el uso de los datos con fines distintos del control del cumplimiento de las obligaciones que pesan sobre los titulares de las autorizaciones VTC, entiende la Sala que la no inclusión expresa de una limitación prevista en la legislación sobre la materia no excusa de su cumplimiento al responsable del tratamiento ni es causa de invalidez de la norma.
Por lo que respecta al principio de proporcionalidad, el Supremo no aprecia desproporción en la recogida de los datos que prevé el RD impugnado, teniendo en cuenta las limitaciones que la normativa impone a este tipo de transporte, inexistentes en otras modalidades, y que la Administración ha de controlar, como el ámbito territorial de la autorización o la necesidad de precontratación.
Y en lo relativo al derecho de acceso a los datos, que según la actora no reconoce el RD, argumenta que el que no mencione tal derecho no exime del cumplimiento de las previsiones RGPD (LA LEY 6637/2016), de aplicación directa a todo tratamiento de datos salvo los legalmente exceptuados, ni determina la invalidez de la disposición.
Finalmente, para descartar la vulneración de la LGUM (LA LEY 19657/2013), una vez eliminada la referencia a los datos de los usuarios, el TS se remite su S 6 Mar. 2020 (LA LEY 6210/2020), que señaló que la comunicación por vía telemática de los datos de cada servicio, incluyendo el punto de origen y de destino, permitirá ejercer un control sobre los desplazamientos y el radio de acción de los vehículos y que, desde esa perspectiva, la comunicación impuesta sirve al fin perseguido de controlar que los vehículos con licencia VTC desarrollen la mayor parte de su actividad en el territorio de la Comunidad Autónoma que concedió la autorización.