TERCERO. En el escrito de interposición de Iberdrola se argumenta, en síntesis, que la remisión de datos sobre la curva de carga horaria de los consumidores de los puntos de medida supone una comunicación ilegal de datos de carácter personal.
Los puntos de medida de suministro eléctrico de tipo 5 son, según el artículo 7.5 del Real Decreto 1110/2007, de 24 de agosto (LA LEY 9485/2007) , por el que se aprueba el Reglamento unificado de puntos de medida del sistema eléctrico ("RUPM"), aquellos que se instalan por clientes cuya potencia contratada en cualquier periodo sea igual o inferior a 15 kW. Dado que la gran mayoría de los consumidores cuentan con potencias contratadas inferiores a 15 kW, estos puntos de medida son los ordinarios para los consumidores domésticos.
La resolución impugnada, dictada por la Secretaria de Estado de Energía, aprueba determinados procedimientos de operación para el tratamiento de datos de medida procedentes de los equipos de tipo 5, a efectos de facturación y de liquidación de energía, obligando a los distribuidores (que son los responsables de la lectura de los contadores de los consumidores, según el artículo 3.12.1 del Reglamento unificado de puntos de medida del sistema eléctrico aprobado por Real Decreto 1110/2007, de 24 de agosto (LA LEY 9485/2007) ) a enviar las mediciones de la curvas de carga horaria (en adelante CCH) individualizada, es decir las medidas horarias de consumo de cada consumidor desde los concentradores secundarios, gestionados por las distribuidoras para poder ejercer la lectura de los contadores, al concentrador principal gestionado por el operador del sistema.
Afirma la entidad recurrente que estos datos de CCH individualizado, con desglose horario, permiten a quien tenga acceso a esa información conocer los hábitos de conducta privados de los consumidores, tales como las horas ordinarias de entrada y salida del domicilio, la hora en la que se va a dormir, las zonas horarias en la que hay más actividad en la vivienda o en local de negocio, el nivel de electrificación, la utilización de aparatos de refrigeración o calefacción, entre otros. Datos que atañen sustancialmente a la esfera privada de la intimidad de cada consumidor.
Hasta la aprobación de dicha resolución, las distribuidoras remitían los datos de CCH de forma agregada, y no individualizada, al operador del sistema, por lo que el operador del sistema no tenía acceso a esa información privada de los consumidores, ejerciendo su función en base a los datos agregados, pero ahora puede saber qué hace cada consumidor privadamente en su casa.
La sentencia impugnada, en su fundamento de derecho cuarto, considera que la remisión de las CCH al operador del sistema se basa en que era necesaria para que el operador del sistema "pueda cumplir con sus funciones (que no derechos) de centro de datos del conjunto de mediciones del sistema eléctrico nacional y, en definitiva, de responsable "del sistema de medidas del sistema eléctrico nacional, debiendo velar por su buen funcionamiento y correcta gestión y ejerciendo las funciones de encargado de lectura de los puntos frontera que reglamentariamente se establezcan ( art. 30.2.x LSE ).". La Sentencia añade que esta remisión comporta otras ventajas, como la utilización del concentrador principal como servidor alternativo y complementario de los concentradores secundarios de las distribuidoras para la liquidación de la energía por los comercializadores.
Por otro lado, la Sentencia niega que la remisión de los datos de CCH, junto al código universal de puntos de suministro ("CUPS"), que es el conjunto de caracteres que identifica individualmente cada punto de suministro, sea un dato de carácter personal, cuya cesión exija el consentimiento del titular de los datos, o al menos, la concurrencia de algunas de las excepciones legales, conforme al artículo 11, apartados 1 y 2 de la LOPD . Para llegar a esta conclusión, la Sentencia dice que el CUPS, por sí solo, no permite identificar al titular del punto de suministro (fundamento de derecho sexto de la Sentencia), y que tampoco es posible identificar al titular, indirectamente, mediante una inspección in situ del punto de suministro por parte del operador del sistema (fundamento de derecho séptimo de la Sentencia). La Sentencia termina diciendo que, aun cuando pudiera indirectamente conocerse al titular del punto de suministro, ello sería un sacrificio proporcionado a la vista de las funciones que tiene encomendadas el operador del sistema.
Este recurso de casación tiene por objeto determinar dos cuestiones:
a) si los datos de CCH asociados a cada punto de suministro son datos de carácter personal, porque pueda indirectamente llegarse a conocer quién es su titular ( artículo 3.a de la LOPD ).
b) Y si son datos de carácter personal, analizar si su remisión al operador del sistema, sin consentimiento del interesado, se halla incluida dentro de las excepciones previstas en la LOPD ( artículo 6.1 de la LOPD ) y, en concreto, dentro de la excepción que permite la comunicación de datos sin el consentimiento de su titular cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros ( artículo 11.2.c de la LOPD ).
a) Así, por lo que respecta a la cuestión de si nos encontramos ante un dato de carácter personal, según el artículo 3.a) de la LOPD .
El artículo 3.a) de la LOPD define este concepto como cualquier información concerniente a personas físicas identificadas o identificables.
El Tribunal de Justicia de la Unión Europea ("TJUE") en Sentencia de 20 de diciembre de 2017 ha precisado que el concepto de información tiene "un significado muy amplio, que no se ciñe a los datos confidenciales o relacionados con la intimidad, sino que puede abarcar todo género de información, tanto objetiva como subjetiva, en forma de opiniones o apreciaciones, siempre que sean "sobre" la persona en cuestión". De este modo la recurrente entiende que las mediciones sobre los consumos horarios individuales constituyen información, en el sentido del artículo 3.a) de la LOPD .
La Sentencia ahora recurrida sostiene que los datos de CCH, asociados al CUPS, no son datos de carácter personal porque no permiten identificar, directa ni indirectamente, al titular del punto de suministro, por lo que nunca se podría considerar que los datos de CCH constituyen información concerniente a una persona física identificada o identificable. Sin embargo, la recurrente considera que, si los datos se pueden asociar indirectamente a una persona, aunque sea con la ayuda de terceros, con un esfuerzo razonable, tales datos serán personales. Así, tanto si se trata de datos relativos a personas físicas identificadas como si son personas físicas identificables, los datos serán datos personales y se aplicará la LOPD.
El artículo 5.1.f) del Real Decreto 1720/2007, de 21 de diciembre (LA LEY 13934/2007) , por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LA LEY 4633/1999) ("RLOPD (LA LEY 13934/2007)") aclara que la información que constituye el dato puede ser de cualquier naturaleza. Y respecto al concepto de "persona identificable" se define en el artículo 5.1 .o) del RLPOD, como "toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social", a lo que se añade a continuación que "una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados".
Invoca a tal efecto la doctrina fijada por la sentencia del TJUE, en su Sentencia de 19 de octubre de 2016 respecto de persona "identificable", a los efectos del régimen de protección de datos, en la que se entiende que si existen mecanismos que permiten asociar un dato con una persona, aunque estén en principio fuera del alcance de quien posee esos datos, se entenderá que la persona es identificable siempre que, incluso con ayuda de otras personas, pueda razonablemente identificar a la persona de cuyos datos se trata. Esa Sentencia considera las direcciones IP dinámicas, que constituyen series de números, de manera similar a los CUPS, como datos de carácter personal.
En nuestro caso, el hecho de "que a partir del Código de punto de suministro es posible identificar al consumidor al que se refiere la información" lo reconoce expresamente la propia Agencia Española de Protección de Datos ("AEPD"), en la página 9 de su Informe 2015/29, de 22 de junio de 2015, relativo al Proyecto de Real Decreto por el que se modifican distintas disposiciones en el sector eléctrico (documento 3 del complemento del expediente administrativo). En la práctica, es muy sencillo para el operador del sistema, una vez conoce los datos del CUPS, averiguar quién es su titular. En efecto, el artículo 4 del RUPM establece que en el uso de sus atribuciones, el operador del sistema podrá verificar todas las instalaciones del sistema de medidas de conformidad con el presente reglamento y sus instrucciones técnicas complementarias. Del mismo modo, el apartado 7 (penúltimo párrafo) del PO 10.5 dispone que "el operador del sistema podrá, si lo estima conveniente para la elaboración de este informe, inspeccionar in situ las instalaciones de medida afectadas (o una muestra de las mismas)". De manera que si el operador del sistema puede inspeccionar in situ los equipos de medida, puede identificar de modo sencillo al titular del punto de suministro, sin ningún procedimiento desproporcionado (por ejemplo, comprobando el buzón o los nombres del portero automático para averiguar quién vive en ese punto de suministro, o puede incluso preguntar al conserje de la finca, a cualquier vecino o al propio poseedor del inmueble la identidad del titular del punto de suministro) cualquiera de ellos permitiría identificar al titular del punto de suministro, de forma simple, lo que convierte a los datos de CCH en datos de carácter personal.
Esta conclusión se ratifica en el tercer párrafo del artículo 7.2 del Real Decreto 1435/2002, de 27 de diciembre (LA LEY 1828/2002) , por el que se regulan las condiciones básicas de los contratos de adquisición de energía y de acceso a las redes en baja tensión ("RD 1435/2002 (LA LEY 1828/2002)"), en el que, cuando describe a qué información podrán acceder la CNMC o las comercializadoras distintas de aquella que preste el suministro al cliente concreto, dice expresamente que el simple conocimiento de la ubicación del punto de suministro ( apartado 1.c del artículo 7 del RD 1435/2002 (LA LEY 1828/2002) ) permite identificar directamente al titular del punto de suministro, y por ese motivo, ni la CNMC ni las comercializadoras distintas de la que suministra en cada punto de suministro pueden conocer dónde se halla cada punto de suministro ("En todo caso, ni las empresas comercializadoras ni la Comisión Nacional de los Mercados y la Competencia podrán acceder a cualquier información que directamente identifique al titular del punto de suministro, y en particular, a los datos recogidos en los apartados c), z) y aa) del apartado 1."). Por tanto, el artículo 7.2 del RD 1435/2002 (LA LEY 1828/2002) reconoce expresamente que el dato relativo a la ubicación de un punto de suministro identifica directamente al titular de un punto de suministro, y no cabe duda de que una inspección in situ de un punto de suministro permite conocer su ubicación, y a continuación, conocer a su titular, de manera sencilla.
Por este motivo, debemos concluir que los datos de CCH, asociados a un CUPS constituyen datos de carácter personal, en el sentido del artículo 3.a) de la LOPD , porque se trata de información que concierne a personas identificables sin necesidad de utilizar recursos desproporcionados. Tanto los datos de CCH como el CUPS son así datos personales.
Esta conclusión se ve reforzada tras la entrada en vigor de la nueva normativa en materia de protección de datos, donde se desarrolla el concepto de dato personal, para dar cabida, dentro de ella, a los datos seudonimizados.
El artículo 4.1 del RGPD (LA LEY 6637/2016) establece un concepto de datos personales que se asemeja a lo establecido en la normativa vigente al tiempo de dictarse la sentencia, toda vez que considera que tiene tal carácter "toda información sobre una persona física identificada o identificable ("el interesado"); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona".
A fin de interpretar dicha definición, el considerando 26 del RGPS añade que "Los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable. Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable. Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física".
De este modo, el concepto de dato personal, conforme al RGPD, incluiría los denominados "datos seudonimizados". El RGPD define en su artículo 4.5 la seudonimización como "el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable".
Pues bien, no cabría duda de que los datos de CCH, cuando menos, participan de la naturaleza de los datos seudonimizados, por cuanto identificarían unívoca, individual y singularizadamente a los usuarios del sistema, mediante el uso de información adicional, siendo así que el RGPD señala que sus disposiciones serían de plena aplicación a los citados datos, lo que conduce a la conclusión de que los datos de la CCH son datos personales.
b) La comunicación de datos de CCH (y del CUPS) al operador del sistema no responde a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de tercero.
Nadie duda de que los titulares de los puntos de suministro no han prestado su consentimiento para que las distribuidoras comuniquen sus datos personales de CCH al operador del sistema. Según el artículo 6.1 de la LOPD , "el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa". Esta misma idea se repite en el artículo 11.1 de la LOPD , conforme al cual "los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado".
En nuestro caso, no existe consentimiento de ningún tipo prestado por los titulares de los puntos de suministro para la comunicación de datos de CCH al operador del sistema.
Por ello, habrá que analizar si concurre alguno de los supuestos excepcionales del artículo 11.2 de la LOPD (ahora, del artículo 6.1, apartados b ) a f) del RGPD (LA LEY 6637/2016)) que permiten la comunicación de datos de carácter personal a terceros sin el consentimiento de su titular, en concreto, si concurre la causa de exclusión del consentimiento del titular, recogida en el artículo 11.2.c) de la LOPD .
La Sentencia recurrida, después de negar que los datos de CCH (y del CUPS) sean datos de carácter personal, considera que la comunicación de datos de CCH al operador del sistema es necesaria para que pueda cumplir con sus funciones de centro de datos del conjunto de mediciones del sistema eléctrico nacional y, en definitiva, de responsable del sistema de medidas del sistema eléctrico nacional, debiendo velar por su buen funcionamiento y correcta gestión y ejerciendo las funciones de encargado de lectura de los puntos frontera que reglamentariamente se establezcan, con arreglo al artículo 30.2.x) de la Ley 24/2013, de 26 de diciembre (LA LEY 21160/2013), del Sector Eléctrico ("LSE"). La Sentencia también afirma que esta remisión tiene otras ventajas, como la utilización del concentrador principal como servidor alternativo y complementario de los concentradores secundarios de las distribuidoras para la liquidación de la energía por los comercializadores.
Pero la entidad recurrente cuestiona que esa comunicación sea conforme al ordenamiento jurídico por varias razones:
En primer lugar, no es cierto que esta comunicación sea necesaria para el ejercicio de las funciones del operador del Sistema, pues si bien el artículo 30.2.x) de la LSE atribuye al operador del sistema "la responsabilidad del sistema de medidas del sistema eléctrico nacional, debiendo velar por su buen funcionamiento y correcta gestión y ejerciendo las funciones de encargado de lectura de los puntos frontera que reglamentariamente se establezcan", de esta competencia no se deduce, en ningún caso, que el operador del sistema deba necesariamente conocer los datos individuales, desagregados, de cada hora de consumo en todos y cada uno de los puntos de medida de tipo 5. La mejor prueba de que no es necesario que el operador del sistema conozca los datos individuales de CCH de todos los puntos de medida es que hasta la fecha de la Resolución, el operador del sistema tenía encomendada la misma responsabilidad sobre el sistema de medidas y no recibía información desagregada de las medidas.
En segundo lugar, el operador del sistema, aunque sea el responsable general del sistema de medidas, no es el encargado de la lectura de los puntos de medida de tipo 5, sino de otros puntos de medida (artículo 3.12 del RUPM), por lo que no tiene necesidad de tener toda la información desagregada de todos y cada los puntos de medida de tipo 5.
En tercer lugar, la función de velar por el buen funcionamiento de los equipos de medida exige que los equipos de medida funcionen correctamente, no que se manden las mediciones de todos los consumos individuales, sin distinción, para su almacenamiento, al concentrador principal del operador del sistema, sin más.
En nuestro modelo eléctrico, la relación nominal con cada consumidor la tienen exclusivamente la comercializadora contratada por el consumidor y la distribuidora responsable de su punto de suministro. Ambos disponen de información sensible sobre los hábitos personales del consumidor. Con la resolución, también el operador del sistema dispone de esa información sensible, sin que ello quede justificado por sus funciones de manera necesaria.
El parágrafo 31 del Preámbulo del RGPD prohíbe expresamente la comunicación general de datos a las autoridades públicas con fines de supervisión. Sólo cabe esa remisión para investigaciones concretas.
Por ello, entiende que este tratamiento no responde a la libre y legítima aceptación de una relación jurídica cuyo desarrollo dependa de la comunicación de datos. Esto es así porque los titulares de los puntos de suministro de tipo 5 no sabían, cuando contrataron el suministro, que esa información acabaría en el operador del sistema, y, en cualquier caso, no parece que la aceptación del contrato de acceso a la red exija que el operador del sistema conozca los hábitos de consumo de todos los consumidores. Y tampoco la prestación del suministro implica necesariamente que el operador del sistema conozca todos los datos desagregados de consumo.
En una ponderación razonable entre la invasión del derecho a la privacidad y la justificación legítima de la comunicación, habría que ser especialmente riguroso en la exigencia de justificación de la comunicación de esos datos. Este rigor no se cumple con la simple referencia a que el operador del sistema es el responsable general del sistema de medidas.
La Sentencia del TJUE de 21 de diciembre de 2016 recoge la necesidad de considerar proporcionadamente el alcance de la invasión en la protección de datos personales y la justificación ofrecida en cada caso para esa invasión, y concluye que sólo podía admitirse esta imposición del deber de conservación de estos datos que revelaban los hábitos personales de los consumidores ante circunstancias especialmente graves, a partir del principio de proporcionalidad. Sin embargo, nada de esto ocurre en nuestro caso, en el que no consta ventaja alguna, y menos aún de entidad suficiente como para anular, con tal intensidad, el derecho a la privacidad de los titulares de los datos de CCH, en favor del operador del sistema. Cuando los datos de CCH se remitían agregados al operador del sistema, ninguna invasión se producía en la esfera de la intimidad de los consumidores, dado que estos datos no se individualizaban. Pero ahora, la remisión individualizada de los datos de CCH pone en serio peligro el mantenimiento de la privacidad de los consumidores.
La aplicación del artículo 11.2.c) de la LOPD exige necesariamente la aplicación del principio de proporcionalidad ("En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique"). Esta conclusión es tanto más evidente si consideramos la grave injerencia que sobre la privacidad de todos y cada uno de los consumidores se produce con la disponibilidad de estos datos individualizados por parte de un tercero, como es el operador del sistema.
De este modo, para que la cesión de los datos de la CCH controvertidos en el presente proceso pudiera considerarse amparada por el artículo 6.1 b) del RGPD (LA LEY 6637/2016) (similar a la norma que trasponía el artículo 11.2 c) de la LOPD ), sería preciso que dicha comunicación fuese indispensable para la adecuada ejecución del contrato de suministro eléctrico, sin que fuese posible la adopción de ninguna otra medida que lograse el objetivo perseguido con la comunicación de los datos personales sin implicar esa injerencia o restricción del derecho fundamental, de forma que la comunicación al concentrador principal del operador del sistema fuese imprescindible para el logro de dicha finalidad.
Como ya se ha expresado a lo largo de este escrito esta conclusión no concurre en el presente caso, toda vez que el funcionamiento del sistema, y en consecuencia la correcta ejecución de los contratos de suministro eléctrico, hasta la adopción de la Resolución recurrida, no había exigido la comunicación de los datos de las CCH de forma no agregada, como ahora establece la resolución.
Descartada como se ha indicado la existencia de consentimiento del interesado, al que se refiere el artículo 6.1 a) del RGPD (LA LEY 6637/2016) y no tratándose de un supuesto de comunicación necesaria para la atención de un interés vital del usuario (a la que se refiere el artículo 6.1 d) del RGPD (LA LEY 6637/2016)), la cesión sólo podría fundarse en una de las tres bases jurídicas restantes previstas en el artículo 6.1, es decir que "el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento" (apartado c), que "el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento" (apartado e), o que "el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño" (apartado f).
En cuanto a las causas establecidas en las letras c ) y e) del artículo 6.1, debe tenerse en cuenta que a las mismas se refiere el artículo 8 de la actualmente vigente LOPD , que tiene por objeto la adaptación del derecho español al RGPD, que consagra el principio de reserva de ley para que sea posible amparar un tratamiento en una de estas bases jurídicas, de conformidad con lo exigido por el artículo 53.1 CE (LA LEY 2500/1978) . Así el citado artículo, que lleva por rúbrica "Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos", dispone:
"1. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) del Reglamento (UE) 2016/679 (LA LEY 6637/2016), cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV del Reglamento (UE) 2016/679 (LA LEY 6637/2016).
2. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el artículo 6.1 e) del Reglamento (UE) 2016/679 (LA LEY 6637/2016), cuando derive de una competencia atribuida por una norma con rango de ley.".
Como ya se ha indicado en el presente escrito, la comunicación planteada sólo trae su causa de un acto administrativo, como es la Resolución.
En cuanto a la aplicabilidad del artículo 6.1 f) del RGPD (LA LEY 6637/2016), resultan aplicables los principios de minimización y necesidad, de forma que si el funcionamiento del sistema se había producido adecuadamente sin llevar a cabo la medida intrusiva en los derechos y libertades de los usuarios que implicaba la comunicación de los datos individualizados de sus CCH, no puede considerarse que pueda existir un interés legítimo prevalente del operador del sistema que justifique la comunicación de tales datos.
CUARTO. Red eléctrica de España SAU se opuso al recurso.
Empieza por afirmar que la Curva de Carga Horaria (CCH) puede ser definida como la representación gráfica de la demanda eléctrica de un consumidor a lo largo del tiempo, esto es, la medida horaria de la energía que consumo. La CCH remitida al operador del sistema comprende las medidas horarias y estimaciones de consumo eléctrico y el número del condigo universal del punto de suministro (CUPS) al que se refieren tales medidas.
Dicha remisión obedece a las funciones que el operador del sistema tiene legalmente encomendadas. La resolución impugnada no impone una nueva obligación a las distribuidoras ni altera el volumen ni el detalle de la información que debe registrarse en el concentrador principal del Sistema de Información de Medidas eléctricas, gestionado por el Operador del sistema, pues antes de la resolución las distribuidoras ya debían remitir "la información de medidas eléctricas detallada al mismo nivel" que figura en los equipos de medida ( art. 5 del RD 1110/2007 (LA LEY 9485/2007) en relación con la Instrucción Técnica complementaria aprobada por la Orden de 12 de abril de 1999).
Argumenta que al Operador del sistema no le resulta posible identificar al consumidor. La Curva de carga horaria es un dato anónimo (disociado) y la información que lo integra no permite identificar al consumidor al que se refieren las medidas, ni tampoco puede cruzarse con otros daos para realizar dicha identificación. El operador del sistema conoce las mediciones de consumo de un punto de suministro, pero no dispone de información que le permita identificarlo personalmente.
El informe de la Comisión Nacional de los Mercados y la Competencia, de 9 de diciembre de 2016, que tenía por objeto saber si el simple conocimiento del CUPS (Código Universal de Punto de suministros). En dicho informe se afirma:
- Respecto a si el dato concerniente al Cups permite identificar a los consumidores, se afirma que el "PO.10.8 no incluye en el formato del CUPS ninguna información relacionada con las direcciones de los puntos de suministro. Por tanto, para obtener la dirección concreta a la que pertenece un determinado CUPS, será necesario obtenerla mediante procedimientos alternativos"
- Analiza si la identidad del consumidor puede obtenerse por el operador del sistema por procedimientos alternativos, afirma que si bien las empresas distribuidores deben disponer de una base de datos, denominada SIPS (sistema de información de puntos de suministro) -en la que se incluyen los puntos de suministros conectados a sus redes, y en la que para cada punto de suministro, se conoce la dirección, el nombre y apellidos o, en su caso, la denominación social y forma societaria, del titular del punto de suministro- el Operador del sistema no tiene acceso a dicha base de datos. Por ello, concluye que por el simple conocimiento de un CUPS de un punto de suministro sin tener acceso a los restantes datos obrantes en el SIPS, ni mantener relación contractual con el consumidor, no es posible identificar al titular del punto de suministro, ni su dirección, ni la dirección de consumo.
La recurrente afirma que el operador del sistema podría identificar al consumidor en el ejercicio de la función inspectora prevista en el art. 4 del RD 1110/2007 (LA LEY 9485/2007) Reglamento de puntos de medida, pero esta función de inspección in situ, prevista en el apartado 7 del Procedimiento de operación 10.5 de la resolución impugnada, tiene por objeto determinar el correcto funcionamiento del sistema de medidas que se encomienda al operador del sistema, en su condición de responsable del sistema de medidas del sistema eléctrico nacional, debiendo velar por su buen funcionamiento y correcta gestión ( art. 4 del Reglamento de Puntos de medida). Esta función solo la desarrolla previo mandato de la Administración (a petición del Ministerio de Industria, Energía y Turismo o de la CNMC) y solo respecto de los puntos y periodos solicitados, operando sobre los puntos de medida sin tener relación alguna con la identidad del titular. Y para el desempeño de esta función el operador del sistema necesita del auxilio de los distribuidores, dado que desconoce la localización geográfica de las instalaciones que tiene que comprobar.
La curva de carga horaria remitida al operador del sistema contiene la información precisa y específica en relación con las medidas de consumo eléctrico pero no permite que el operador del sistema identifique a los consumidores, sino tan solo la información necesaria para que dicha entidad pueda desarrollar las funciones que tiene legalmente encomendadas, y tiene por objeto garantizar el adecuado funcionamiento del sistema de medidas del sistema eléctrico nacional y no está en condiciones de adoptar una postura activa destinada a cruzar esa información en poder de terceros con la finalidad de identificar a los consumidores.
Por ello, entiende que la curva de carga horaria no es un dato de carácter personal, pues no constituye un dato concerniente a una persona identificada ni identificable, pues el operador del sistema no dispone de medios indirectos o indirectos que le permita identificar al consumidor al que se asocian los consumos de energía, pues ni puede acceder a la base de datos donde se contiene esa información ni el ejercicio de la función inspectora, limitada a lo ordenado por la Administración, persigue esa finalidad, pues se persigue solo analizar y comprobar los equipos de medida y no identificar al consumidor.
Subsidiariamente considera que la remisión de la curva de carga horaria al operador del sistema no infringe la LOPD. La resolución no impone una obligación nueva, pues antes de dicha resolución las distribuidoras ya debían remitir al concentrador principal que recogía la información de medidas eléctrica, con el mismo nivel que figurase en los equipos de medida, según la sexta instrucción complementaria. Para realizar las funciones de inspección necesitaría el auxilio de los distribuidores para conocer la localización geográfica de las instalaciones de medida y en ese momento los distribuidores solicitarán el consentimiento de los usuarios antes de ceder la oportuna información. Y, en todo caso, sería de aplicación la exención para necesitar el consentimiento prevista en el art. 11.2.c) de la LOPD pues los consumidores de electricidad mantienen, paralelamente dos relaciones contractuales, una con su compañía comercializadora (contrato de suministro) y otra con el titular de la red (contrato de acceso a la red de distribución o transporte). Ambas tienen por objeto el suministro eléctrico al consumidor. La función de inspección del operador del sistema tiene por objeto verificar que en la ejecución de los contratos de acceso y suministro se aplican las prescripciones del Reglamento de puntos de Medida, y por ello la Administración tiene potestades de control y el operador del sistema actúa como agente de aquella. La inspección in situ prevista en el apartado 7 del PO 10.5 tendría como objetivo verificar que las medidas de un contador que se han remitido por un distribuidor al concentrador principal coinciden con las medidas registradas en el contador de un consumidor. Esta inspección está vinculada con contratos libre y legítimamente aceptados por el titular y cuya ejecución requiere, según las normas sectoriales, la realización de controles.