Carlos B Fernández. En un procedimiento de ejecución forzosa y bajo determinadas condiciones, se puede vender una base de datos personales aun cuando las personas a las que se refieren dichos datos no hayan dado su consentimiento. Así sucede si el tratamiento de datos vinculado a esa venta es necesario y proporcionado en una sociedad democrática para garantizar la ejecución de una demanda civil
Estas son las conclusiones del Abogado General General Priit Pikamäe, en el asunto C-693/22.
El caso tuvo su origen cuando un tribunal polaco tuvo que conocer de un litigio entre una sociedad y un miembro del consejo de administración de otra sociedad, especializada en la venta en línea y respecto de la cual la primera tiene un crédito. Dicho miembro puede ver comprometida su responsabilidad patrimonial en caso de que la sociedad deudora no tenga activos para satisfacer el crédito de la sociedad acreedora. No obstante, considera que no es así, pues la sociedad deudora posee, entre otras cosas, dos bases de datos de usuarios de la plataforma en línea que había creado. Estas bases de datos contienen datos personales de cientos de miles de personas, que no han dado su consentimiento al tratamiento de sus datos mediante la habilitación de acceso a terceros al margen de dicha plataforma.
Al albergar dudas acerca de si, en el contexto de un procedimiento de ejecución forzosa, el Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016) permite a un agente judicial vender esas bases de datos sin el consentimiento de las personas a las que se refieren dichos datos, el juez polaco se ha dirigido con carácter prejudicial al Tribunal de Justicia.
En concreto, la cuestión prejudicial tiene por objeto que se determine la relación entre las restricciones al tratamiento de datos personales establecidas por el RGPD y la facultad de disponer de la base de datos en virtud de la Directiva 96/9 y del Derecho nacional, incluida la disposición de la base de datos en el curso de un procedimiento de ejecución.
En sus conclusiones, el Abogado General Priit Pikamäe propone al Tribunal de Justicia que responda en sentido afirmativo.
El procedimiento de ejecución supone un tratamiento legítimo de datos personales
En primer lugar, considera que el procedimiento de ejecución que tiene por objeto la venta forzosa de las bases de datos de que se trata implica un tratamiento en el sentido del RGPD, del que es responsable el agente judicial.
Dicho procedimiento comenzó con el embargo de la base de datos, que permite al agente judicial acceder a los datos personales que figuran en ella para estimar su valor y hacerlo constar en el acta de embargo. A efectos de tal estimación, el agente judicial lleva a cabo una serie de operaciones, como la extracción, la consulta y la utilización de tales datos.
El procedimiento de ejecución forzosa concluye con la enajenación de la base de datos mediante subasta pública. Una vez que la adjudicación es definitiva y que se ha pagado la totalidad del precio, el agente judicial procede a habilitar al adquirente el acceso a dicha base de datos.
En opinión del Abogado General, las operaciones efectuadas por el agente judicial para estimar el valor de las bases de datos de que se trata y venderlas en subasta pública están comprendidas en el ámbito de aplicación del RGDP. De hecho, estos actos incluyen al menos la extracción, la consulta, la utilización y la habilitación de acceso del adquirente de los datos personales y, consecuentemente, deben considerarse «tratamiento» de esos datos en el sentido del citado Reglamento.
Además, estima que el tratamiento en cuestión es lícito por cuanto está incluido en el supuesto de licitud previsto en el artículo 6, apartado 1, párrafo primero, letra e), del RGPD, ya que resulta necesario para llevar a cabo una misión comprendida en el ejercicio de poderes públicos conferidos al agente judicial.
La finalidad del tratamiento realizado en el proceso de ejecución es compatible con el RGPD
Por último, el Abogado General declara que, si bien la finalidad del tratamiento efectuado por el agente judicial difiere de la finalidad inicial de permitir el uso de la plataforma de venta en línea de que se trata, ese tratamiento ulterior puede ser considerado compatible con el RGPD, por cuanto constituye una medida necesaria y proporcionada en una sociedad democrática para garantizar alguno de los objetivos de interés general contemplados en dicho Reglamento.
A este respecto señala que, si bien a tenor del principio de limitación del tratamiento contenido en el artículo 5, apartado 1, letra b), del RGPD, los datos personales deben, por un lado, ser recogidos con fines determinados, explícitos y legítimos, y, por el otro, no ser tratados ulteriormente de manera incompatible con dichos fines, esta disposición no contiene ninguna indicación acerca de las condiciones en que un tratamiento ulterior de datos personales puede considerarse compatible con los fines de su recogida inicial.
Según continúa en sus Conclusiones, entre esos objetivos, el relativo a la ejecución de demandas civiles puede justificar, en principio, el tratamiento de datos controvertido en este caso, por ser necesario para el fin último perseguido por el procedimiento civil.
También pone de relieve que el examen de la proporcionalidad, que incumbe al tribunal polaco, conlleva una ponderación entre el derecho a la propiedad de la sociedad acreedora y el derecho a la protección de datos personales de los usuarios de la plataforma de venta en línea de que se trata en función de las circunstancias concretas del caso particular examinado.