TS - 1039/2022: Difference between revisions

From GDPRhub
m (Manually added a DeepL translation of the text. The link on the page is good, but the website is exceptionally slow and the auto translation didn't work)
No edit summary
 
(13 intermediate revisions by 3 users not shown)
Line 4: Line 4:
|Court-BG-Color=
|Court-BG-Color=
|Courtlogo=Courts_logo1.png
|Courtlogo=Courts_logo1.png
|Court_Abbrevation=TS - 3207/2022
|Court_Abbrevation=TS
|Court_Original_Name=Tribunal Supremo
|Court_Original_Name=Tribunal Supremo
|Court_English_Name=Spanish Supreme Court
|Court_English_Name=Spanish Supreme Court
|Court_With_Country=TS - 3207/2022 (Spain)
|Court_With_Country=TS (Spain)


|Case_Number_Name=STS 3207/2022
|Case_Number_Name=1039/2022
|ECLI=ECLI:ES:TS:2022:3207
|ECLI=ECLI:ES:TS:2022:3207


Line 33: Line 33:
|GDPR_Article_4=Article 77 GDPR
|GDPR_Article_4=Article 77 GDPR
|GDPR_Article_Link_4=Article 77 GDPR
|GDPR_Article_Link_4=Article 77 GDPR
|GDPR_Article_5=
|GDPR_Article_5=Article 5(1)(c) GDPR
|GDPR_Article_Link_5=
|GDPR_Article_Link_5=Article 5 GDPR#1c
|GDPR_Article_6=
|GDPR_Article_6=
|GDPR_Article_Link_6=
|GDPR_Article_Link_6=
Line 61: Line 61:
|Party_Link_4=
|Party_Link_4=


|Appeal_From_Body=DBEB/AVPD (Basque Country)
|Appeal_From_Body=TSJ País Vasco (Spain)
|Appeal_From_Case_Number_Name=Resolución de 21 de octubre de 2019
|Appeal_From_Case_Number_Name=Resolución de 21 de octubre de 2019 (AVPD)
|Appeal_From_Status=
|Appeal_From_Status=
|Appeal_From_Link=
|Appeal_From_Link=
Line 70: Line 70:
|Appeal_To_Link=
|Appeal_To_Link=


|Initial_Contributor=Carmen Villarroel
|Initial_Contributor=[https://gdprhub.eu/index.php?title=User:Carmen.villarroel Carmen Villarroel]
|
|
}}
}}


The Spanish Supreme Court ruled that the exercise of data protection rights from Articles 15 to 22 GDPR is not a prerequisite for filing a complaint with a data protection authority, so the latter may act even if the data subject has not addressed the data controller beforehand.
The Spanish Supreme Court ruled that the exercise of rights from Articles 15 to 22 GDPR is not a prerequisite for filing a complaint with a DPA, so a DPA may act even if the data subject has not addressed the controller beforehand.


== English Summary ==
== English Summary==


=== Facts ===
===Facts===
This case resulted from a decision from the Basque Data Protection Authority (Agencia Vasca de Protección de Datos, 'DBEB/AVPD'), that issued a warning to the Basque Health Service (Osakidetza, 'the controller') for violating [[Article 5 GDPR#1c|Article 5(1)(c) GDPR]], in a case in which personal data related to gender reassignment were included in a report about an injured foot.  
The data subject submitted a complaint to the [[DBEB/AVPD (Basque Country)|Basque DPA]] following the inclusion of unrelated sensitive medical data (her gender reassignment) in a report about her injured foot. After investigating, the DPA issued a warning to the controller, Osakidetza-Servicio Vasco de Salud, for violating the principle of data minimisation [[Article 5 GDPR#1c|Article 5(1)(c)]].


The case was appealed and taken to court. In this case, the controller considered that for a breach of [[Article 5 GDPR#1c|Article 5(1)(c) GDPR]] to take place, the data subject should have exercised their right to restriction (Article 18 GDPR) beforehand, so the controller could have verified if there was a reason for such data not to be processed and could have found a solution to the problem.  
The controller appealed the decision to the Administrative Court No. 2 of Vitoria-Gasteiz, which upheld the appeal. The DPA then appealed that court's decision to the Administrative Chamber of the High Court of Justice of the Basque Country, which upheld the DPA's appeal. Finally, the controller appealed the High Court's decision to the Spanish Supreme Court.


=== Holding ===
Before the Supreme Court, the controller argued that, in light of the fact that the personal data had been lawfully collected, the data subject was required to exercise her right of restriction of processing [[Article 18 GDPR]] before she could file a complaint with the DPA. As a secondary point, the controller argued that the DPA disregarded relevant circumstances, namely that the medical records were intended only for the data subject.
Therefore, the court was asked to decidce whether, in a case where the controller carries out a processing activity that the data subject considers to be excessive and data has been already collected, the data minimisation principle from [[Article 5 GDPR#1c|Article 5(1)(c) GDPR]] is directly enforceable, or whether the data subject should exercise beforehand the right to the restriction of processing provided for in [[Article 18 GDPR|Article 18 GDPR]].


As explained by the Court, [[Article 18 GDPR#1|Article 18(1) GDPR]], in particular in its paragraph d), which was wielded by the controller, is linked to the right to object from [[Article 21 GDPR#1|Article 21(1) GDPR]], that gives the data subject the right to object, on grounds relating to their particular situation, at any time to processing of personal data concerning him or her which is based on point (e) or (f) of Article 6(1).
===Holding===
Ultimately, the Court rejected the controller's arguments and dismissed the appeal.


Both rights are of a temporary nature and relate to a disputed deletion of personal data collected on the basis of Article 6(1) (e) or (f). Therefore, in no case is such right applicable to this case.  
The Court first addressed whether, in a case where the controller carries out a processing activity that the data subject considers to be excessive and data has been already collected, the data minimisation principle from [[Article 5 GDPR#1c|Article 5(1)(c) GDPR]] is directly enforceable, or whether the data subject must first exercise the right to the restriction of processing provided for in [[Article 18 GDPR]].


Nonetheless, the Court highlighted that there is no procedural or enforceability prerequisite that may constrain the competence of a DPA to launch an infringement procedure. Nor the GDPR nor the Spanish Data Protection Act ([https://www.boe.es/buscar/act.php?id=BOE-A-2018-16673&p=20181206&tn=1 LOPDGDD] ) contain a provision that establishes such prerequisite.  
As explained by the Court, [[Article 18 GDPR#1|Article 18(1) GDPR]], in particular in paragraph (d), is linked to [[Article 21 GDPR#1|Article 21(1) GDPR]], which guarantees the right to object to processing. Both rights are of a temporary nature and relate to a disputed deletion of personal data collected on the basis of Article 6(1) (e) or (f). At no point had the data subject sought the deletion of her personal data by the controller, so Articles 18 and Article 21 were not applicable.


The LOPDGDD differentiates between two different procedures for a GDPR infringement: the ones in which a data subject claims that their data protection rights have not been dealt with and the ones that relate to an investigation of a GDPR violation.
The Court interpreted the controller as arguing for a procedural or enforceability prerequisite that would make the the competence of a DPA to launch an infringement procedure conditional on the exercise of a right by the data subject. Neither the GDPR nor the Spanish Data Protection Act ([https://www.boe.es/buscar/act.php?id=BOE-A-2018-16673&p=20181206&tn=1%7CLOPDGDD LOPDGDD]) contain a provision that establishes such prerequisite, so the Court rejected the controller's argument.


Hence, the exercise of data protection rights from Articles 15 to 22 GDPR is a different and independent way of protection than lodging a complaint with a DPA. Consequently, a data subject may exercise their rights alternately or simultaneously to filing a complaint when they consider that the controller has acted contrary to the GDPR.  
[https://www.boe.es/buscar/act.php?id=BOE-A-2018-16673#a6-5 Article 63 LOPDGDD] differentiates between two different procedures for GDPR enforcement: procedures in which a data subject claims that their data protection rights have been violated and procedures that relate to an investigation of a GDPR violation. Hence, the exercise of data protection rights from Articles 15 to 22 GDPR is a different and independent procedure than investigation into a possible infringement of the GDPR or LOPDGDD. Consequently, a data subject may exercise their personal rights alternately or simultaneously to filing a complaint when they consider that a controller has acted contrary to the GDPR.


== Comment ==
Regarding the controller's argument that the DPA failed to consider that the medical record in question was intended solely for the data subject, the Court explained that in this case the DPA did not find an infringement of the duty of confidentiality in [[Article 5 GDPR|Articles 5(1)(f) GDPR]] and [https://www.boe.es/buscar/act.php?id=BOE-A-2018-16673#a5 Article 5(1) LOPDGDD]. The circumstances alluded to by the controller were not relevant to an infringement of the principle of data minimisation.
 
==Comment==
''Share your comments here!''
''Share your comments here!''


== Further Resources ==
==Further Resources==
''Share blogs or news articles here!''
''Share blogs or news articles here!''


== English Machine Translation of the Decision ==
==English Machine Translation of the Decision==
The decision below is a machine translation of the Spanish original. Please refer to the Spanish original for more details.
The decision below is a machine translation of the Spanish original. Please refer to the Spanish original for more details.



Latest revision as of 14:24, 24 November 2022

TS - 1039/2022
Courts logo1.png
Court: TS (Spain)
Jurisdiction: Spain
Relevant Law: Article 18(1) GDPR
Article 18(1)(d) GDPR
Article 58 GDPR
Article 77 GDPR
Article 5(1)(c) GDPR
Article 64(2) LOPDGDD
Article 65 LOPDGDD
Decided: 19.07.2022
Published: 09.08.2022
Parties: Osakidetza-Servicio Vasco de Salud
Agencia Vasca de Protección de Datos (DBEB/AVPD)
National Case Number/Name: 1039/2022
European Case Law Identifier: ECLI:ES:TS:2022:3207
Appeal from: TSJ País Vasco (Spain)
Resolución de 21 de octubre de 2019 (AVPD)
Appeal to:
Original Language(s): Spanish
Original Source: CENDOJ (in Spanish)
Initial Contributor: Carmen Villarroel

The Spanish Supreme Court ruled that the exercise of rights from Articles 15 to 22 GDPR is not a prerequisite for filing a complaint with a DPA, so a DPA may act even if the data subject has not addressed the controller beforehand.

English Summary

Facts

The data subject submitted a complaint to the Basque DPA following the inclusion of unrelated sensitive medical data (her gender reassignment) in a report about her injured foot. After investigating, the DPA issued a warning to the controller, Osakidetza-Servicio Vasco de Salud, for violating the principle of data minimisation Article 5(1)(c).

The controller appealed the decision to the Administrative Court No. 2 of Vitoria-Gasteiz, which upheld the appeal. The DPA then appealed that court's decision to the Administrative Chamber of the High Court of Justice of the Basque Country, which upheld the DPA's appeal. Finally, the controller appealed the High Court's decision to the Spanish Supreme Court.

Before the Supreme Court, the controller argued that, in light of the fact that the personal data had been lawfully collected, the data subject was required to exercise her right of restriction of processing Article 18 GDPR before she could file a complaint with the DPA. As a secondary point, the controller argued that the DPA disregarded relevant circumstances, namely that the medical records were intended only for the data subject.

Holding

Ultimately, the Court rejected the controller's arguments and dismissed the appeal.

The Court first addressed whether, in a case where the controller carries out a processing activity that the data subject considers to be excessive and data has been already collected, the data minimisation principle from Article 5(1)(c) GDPR is directly enforceable, or whether the data subject must first exercise the right to the restriction of processing provided for in Article 18 GDPR.

As explained by the Court, Article 18(1) GDPR, in particular in paragraph (d), is linked to Article 21(1) GDPR, which guarantees the right to object to processing. Both rights are of a temporary nature and relate to a disputed deletion of personal data collected on the basis of Article 6(1) (e) or (f). At no point had the data subject sought the deletion of her personal data by the controller, so Articles 18 and Article 21 were not applicable.

The Court interpreted the controller as arguing for a procedural or enforceability prerequisite that would make the the competence of a DPA to launch an infringement procedure conditional on the exercise of a right by the data subject. Neither the GDPR nor the Spanish Data Protection Act (LOPDGDD) contain a provision that establishes such prerequisite, so the Court rejected the controller's argument.

Article 63 LOPDGDD differentiates between two different procedures for GDPR enforcement: procedures in which a data subject claims that their data protection rights have been violated and procedures that relate to an investigation of a GDPR violation. Hence, the exercise of data protection rights from Articles 15 to 22 GDPR is a different and independent procedure than investigation into a possible infringement of the GDPR or LOPDGDD. Consequently, a data subject may exercise their personal rights alternately or simultaneously to filing a complaint when they consider that a controller has acted contrary to the GDPR.

Regarding the controller's argument that the DPA failed to consider that the medical record in question was intended solely for the data subject, the Court explained that in this case the DPA did not find an infringement of the duty of confidentiality in Articles 5(1)(f) GDPR and Article 5(1) LOPDGDD. The circumstances alluded to by the controller were not relevant to an infringement of the principle of data minimisation.

Comment

Share your comments here!

Further Resources

Share blogs or news articles here!

English Machine Translation of the Decision

The decision below is a machine translation of the Spanish original. Please refer to the Spanish original for more details.

JURISPRUDENCIA
Roj: STS 3207/2022 - ECLI:ES:TS:2022:3207
Id Cendoj:
28079130032022100157
Órgano:
Tribunal Supremo. Sala de lo Contencioso
Sede:
Madrid
Sección:
3
Fecha:
19/07/2022
Nº de Recurso:
1765/2021
Nº de Resolución:
1039/2022
Procedimiento:
Recurso de Casación Contencioso-Administrativo (L.O. 7/2015)
Ponente:
JOSE MARIA DEL RIEGO VALLEDOR
Tipo de Resolución:
Sentencia
Resoluciones del caso:
STSJ PV 2698/2020,
ATS 12062/2021,
STS 3207/2022
T R I B U N A L S U P R E M O
Sala de lo Contencioso-Administrativo
Sección Tercera
Sentencia núm. 1.039/2022
Fecha de sentencia: 19/07/2022
Tipo de procedimiento: R. CASACION
Número del procedimiento: 1765/2021
Fallo/Acuerdo:
Fecha de Votación y Fallo: 05/07/2022
Ponente: Excmo. Sr. D. José María del Riego Valledor
Procedencia: T.S.J.PAIS VASCO CON/AD SEC.1
Letrado de la Administración de Justicia: Ilmo. Sr. D. Luis Martín Contreras
Transcrito por:
Nota:
R. CASACION núm.: 1765/2021
Ponente: Excmo. Sr. D. José María del Riego Valledor
Letrado de la Administración de Justicia: Ilmo. Sr. D. Luis Martín Contreras
TRIBUNAL SUPREMO
Sala de lo Contencioso-Administrativo
Sección Tercera
Sentencia núm. 1039/2022
Excmos. Sres.
D. Eduardo Espín Templado, presidente
D. José Manuel Bandrés Sánchez-Cruzat
1
JURISPRUDENCIA
D. Eduardo Calvo Rojas
D. José María del Riego Valledor
D. Diego Córdoba Castroverde
En Madrid, a 19 de julio de 2022.
Esta Sala ha visto el recurso de casación número 1765/2021, interpuesto por Osakidetza-Servicio Vasco deSalud, representado por el Procurador de los Tribunales D. José Luis Martín Jaureguibeitia, con la asistencialetrada de D. Antonio Miguel Rodríguez Álvarez, contra la sentencia de 17 de diciembre de 2020, dictada porla Sección 1ª de la Sala de lo Contencioso-Administrativo del Tribunal Superior de Justicia del País Vasco, enel recurso de apelación número 748/2020, sobre infracción de la Ley de Protección de Datos, en el que haintervenido como parte recurrida la Agencia Vasca de Protección de Datos, representada por el Procurador delos Tribunales, D. Felipe de Juanas Blanco, con la asistencia letrada de D. Carlos Zabaleta Álvarez
Ha sido ponente el Excmo. Sr. D. José María del Riego Valledor.
ANTECEDENTES DE HECHO
PRIMERO.- La Sala de lo Contencioso-Administrativo del Tribunal Superior de Justicia del País Vasco, dictósentencia el 17 de diciembre de 2020, con los siguientes pronunciamientos en su parte dispositiva:
"Que estimando el recurso de apelación presentado por la AGENCIA VASCA DE PROTECCIÓN DE DATOScontra la sentencia dictada el 31-06-2020 por el Juzgado de lo Contencioso-Administrativo Nº 2 de Vitoria en elprocedimiento ordinario 611/2019 , que estimó el recurso interpuesto por Osakidetza-Servicio Vasco de Saludcontra la Resolución de 21-10-2019 del Director de la Agencia Vasca de Protección de Datos que apercibió a larecurrente por la comisión de una infracción muy grave de la legislación sobre protección de datos de carácterpersonal, y con revocación de dicha resolución, debemos desestimar y desestimamos el recurso contencioso-administrativo interpuesto por Osakidetza contra la mencionada Resolución de la Agencia Vasca de Protecciónde Datos; imponiendo las costas de la primera instancia al demandado y sin hacer pronunciamiento respectoa las causadas en esta segunda."
SEGUNDO.- Notificada la sentencia, se presentó escrito por la representación procesal de Osakidetza-ServicioVasco de Salud, manifestando su intención de interponer recurso de casación, y la Sala de instancia, por autode 25 de febrero 2021 tuvo por preparado el recurso, con emplazamiento de las partes ante esta Sala delTribunal Supremo.
TERCERO.- Recibidas las actuaciones en este Tribunal, por auto de 22 de septiembre de 2021, dictado por laSección de Admisión se acordó:
"1.º) Admitir el recurso de casación n.º 1765/2021 preparado por la representación de Osakidetza-ServicioVasco de Salud contra la sentencia n.º 401/2020, de 17 de diciembre, dictada por la Sección Primera de la Salade lo Contencioso- administrativo del Tribunal Superior de Justicia del País Vasco en el recurso de apelaciónn.º 748/2020.
2.º) Declarar que la cuestión planteada en el recurso que presenta interés casacional objetivo para la formaciónde la jurisprudencia consiste en determinar si se ha producido la falta de motivación e incongruenciadenunciadas y, subsiguientemente, interpretar los artículos 5.1.c ) y 18 del Reglamento (UE) 2016/679 delParlamento Europeo y del Consejo de 27 de abril de 2016 , relativo a la protección de las personas físicas en loque respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga laDirectiva 95/46/CE , a los efectos de lo establecido en el Razonamiento Jurídico tercero de la presente resolución.
Y ello sin perjuicio de que la sentencia haya de extenderse a otras cuestiones o normas si así lo exigiere eldebate finalmente trabado en el recurso."
A su vez, en el razonamiento jurídico tercero del auto de admisión a trámite, al que se remite supronunciamiento nº 2, se plantea la siguiente cuestión:
"En consecuencia y de acuerdo con lo dispuesto en el artículo 88.1 LJCA , en relación con el artículo 90.4 de lamisma, procede admitir este recurso de casación, precisando que la cuestión que se entiende que tiene interéscasacional objetivo para la formación de jurisprudencia consiste en determinar si, ante un supuesto en el que unresponsable de tratamientos de datos personales realiza un tratamiento, que el interesado considera excesivo,con los datos lícitamente ya recogidos, resulta aplicable únicamente el principio de "Minimización de datos" delartículo 5.1.c) del RGPD, o debió ejercer el interesado el "Derecho a la limitación del tratamiento" previsto en elartículo 18 del citado Reglamento."
2
JURISPRUDENCIA
CUARTO.- La representación de Osakidetza-Servicio Vasco de Salud presentó, con fecha 3 de noviembre de2021, escrito de interposición del recurso de casación, en el que formuló los motivos de impugnación queseguidamente se resumen: i) motivo primero, en relación con la configuración normativa sobre el principiode minimización de datos y su alcance, ii) motivo segundo, en relación con la configuración normativa sobreel derecho a la limitación del tratamiento y su alcance, iii) motivo tercero, en relación con la conjugación delprincipio de minimización de datos y el derecho de limitación de datos en el fichero de historia clínica y iv)motivo cuarto, sobre impugnación de la sanción impuesta a Osakidetza-Servicio Vasco de Salud por la AgenciaVasca de Protección de Datos.
Finalizó su escrito de interposición del recurso la parte recurrente solicitando a la Sala que tenga porformalizado el recurso de casación contra la sentencia 401/2020 dictada por la Sala de lo ContenciosoAdministrativo del Tribunal Superior de Justicia del País Vasco el 17 de diciembre de 2020 y anule la mismacon los siguientes pronunciamientos:
1.- Se revoque la sentencia 401/2020 dictada por la Sala de lo Contencioso Administrativo del Tribunal Superiorde Justicia del País Vasco.
2.- En su lugar se dicte otra por la Sala de lo Contencioso Administrativo del Tribunal Supremo, conforme ala cual se fije una doctrina por la que se declare que ante un supuesto en que una Responsable/Encargadade Tratamiento ya tenga lícitamente recogida información (datos personales) y deba decidir qué concretainformación debe emplear en un nuevo tratamiento que corresponda efectuar, deba realizarse una ponderacióndel tratamiento basada en el manejo de aquellos datos que sean adecuados, pertinentes y limitados a lonecesario respecto a los fines para los que se realice el nuevo tratamiento. En caso de discrepancia con laaplicación que la Responsable/Encargada de Tratamiento pudiera hacer sobre el alcance de los datos incluidosen el tratamiento en cuestión, deberá considerarse como previo y necesario que la persona interesada ejerzael derecho de limitación del tratamiento contemplado en el artículo 18 del RGPD.
QUINTO.- Se dio traslado a la parte recurrida, para que manifestara su oposición, lo que verificó larepresentación de la Administración de la Comunidad Autónoma del País Vasco, por escrito de 27 de diciembrede 2021, en el que se opuso a las alegaciones de la parte recurrente y solicitó a la Sala que desestimeíntegramente el recurso de casación interpuesto, confirmándose íntegramente la sentencia recurrida, con laconsiguiente condena en costas a la parte recurrente.
SEXTO.- Conclusas las actuaciones, se señaló para votación y fallo el día 5 de julio de 2022, fecha en que taldiligencia ha tenido lugar.
FUNDAMENTOS DE DERECHO
PRIMERO.- La sentencia impugnada.
1.- Se interpone recurso de casación por la representación de Osakidetza-Servicio Vasco de Salud contrala sentencia 401/2020, de 17 de diciembre de 2020, dictada por la Sala de lo Contencioso-Administrativodel Tribunal Superior de Justicia del País Vasco, que estimó el recurso de apelación interpuesto por larepresentación de la Agencia Vasca de Protección de Datos contra la sentencia dictada el 30 de junio de2020 por el Juzgado de lo Contencioso Administrativo nº 2 de Vitoria- Gasteiz, en el procedimiento ordinario611/2019, que estimó el recurso interpuesto por Osakidetza-Servicio Vasco de Salud contra la resolución de21 de octubre de 2019 del Director de la Agencia Vasca de Protección de Datos, que apercibió a la recurrentepor la comisión de una infracción muy grave de la legislación de protección de datos, y con revocación de dichasentencia desestimó el recurso interpuesto por Osakidetza-Servicio Vasco de Salud contra la mencionadaresolución de la Agencia Vasca de Protección de Datos, imponiendo las costas de la primera instancia aldemandado y sin hacer pronunciamiento respecto de las causadas en la apelación.
2.- La sentencia impugnada resume los hechos objeto de la resolución sancionadora de la Agencia Vasca deProtección de Datos en la forma siguiente:
"...los hechos que motivaron la resolución sancionadora dictada por la AVPD consistieron en la reseña de datossobre el cambio de sexo de la denunciante en un informe relacionado con la asistencia prestada a la misma acausa de la lesión sufrida en un pié."
3.- Los motivos de la estimación del recurso de apelación de la Agencia Vasca de Protección de Datos contra lasentencia del Juzgado que anuló la resolución sancionadora, se exponen en el fundamento de derecho quintode la sentencia impugnada, que dice lo siguiente:
"La sentencia apelada incurre de forma manifiesta en las infracciones alegadas por el apelante, aunque no setenga por incongruente con los motivos en que se fundaron el recurso contencioso y la oposición al mismo de
3
JURISPRUDENCIA
entenderse que sus conclusiones (salvo las referidas a la sanción de la infracción imputada al demandado) estánamparadas por el "Curia novit iura".
Y es que, en primer lugar, el principio de limitación de datos plasmado en el artículo 5.1 c del Reglamento (UE)2016/ 679 no puede restringirse a una fase (la de recogida o almacenamiento) del tratamiento sin limitar elconcepto de esta operación, mejor dicho, conjunto de operaciones, definido por el mismo Reglamento (artículo25.2), amén de contradecir el enunciado de dicho principio ("datos adecuados, pertinentes y limitados a lonecesario en relación con los fines para los que sean tratados") y su propia finalidad de protección de los datospersonales, cualquiera que sea su uso o tratamiento específico; al punto, de dejar indemnes los posteriores alprocesamiento inicial, por muy innecesarios o impertinentes que fuesen a los fines del tratamiento o por muchoque excedieren de los adecuados con el mismo objeto.
En lo que hace al caso, además, no puede apreciarse, ni por asomo, ninguna razón objetiva que justifique laincorporación de los datos clínicos en cuestión al informe asistencial de referencia, por su relación con el eventoque motivó esa prestación o en aras del diagnóstico, tratamiento o prevención sanitarios.
Así, hay que entender bien tipificada la infracción- no susceptible de graduación- imputada al demandado,sancionable con apercibimiento, según convienen las partes y es conforme a las previsiones de la Ley Orgánica3/2018.
E impuesta tal sanción malamente puede estimarse desproporcionada sin plantear como alternativa (aparteel órgano competente para su imposición) la de menor entidad en la escala normativa de aplicación quese considere adecuada a las circunstancias del caso; y menos, atendida la naturaleza pública del titular yresponsable de los datos en cuyo tratamiento (uso inadecuado) se ha producido la vulneración del principio deminimización de datos.
SEGUNDO.- Planteamiento del debate casacional.
1.- La parte recurrente Osakidetxa-Servicio Vasco de Salud divide su recurso de casación en cuatro motivos,relativos a: i) la configuración del principio de minimización de datos, ii) la configuración del derecho a lalimitación del tratamiento, iii) conjugación del principio de minimización de datos y el derecho a la limitaciónde datos en el fichero de historia clínica y iv) impugnación de la sanción impuesta a Osakidetxa-Servicio Vascode la Salud por la Agencia Vasca de Protección de Datos.
2.- La parte recurrente y recurridas coindicen en lo relativo al significado del principio de minimización de datosy su aplicación en el presente caso.
Así, la parte recurrente indica que el principio de minimización de datos, recogido en el artículo 5.1.c) delReglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a laprotección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulaciónde estos datos (RGPD), exige utilizar la menor cantidad de datos personales que permitan, ello no obstante,cumplir la finalidad que motiva el tratamiento, lo que en una actuación sanitario asistencial debe tener laaplicación práctica siguiente: i) solo debiera recogerse y almacenarse, en consecuencia, aquella informaciónque se considere trascendental para un conocimiento veraz y actualizado del estado de salud de la personapaciente, con el objetivo de facilitar una adecuada asistencia sanitaria, que es la finalidad principal a la queobedece, en sí, el fichero de la historia clínica, y ii) en la redacción última de un informe de urgencias, que ya estáen buena medida prefigurado como modelo, "se debería únicamente insertar la información que correspondaa la predeterminación establecida y, dentro de aquella otra, de "apreciación" o selección más valorativa porel profesional sanitario, únicamente la información que responda a las concretas cuestiones de "interés" delepisodio asistencial."
La parte recurrida, la Agencia Vasca de Protección de Datos, manifiesta sobre este punto, en su escrito deoposición al recurso de casación, que "no se puede estar sino completamente de acuerdo" con la exposiciónde la configuración normativa realizada por Osakidetza-Servicio Vasco de Salud del principio de minimizaciónde datos.
3.- La cuestión sobre la que surge la discrepancia y el debate casacional entre las partes se refiere a la relaciónque Osakidetza-Servicio Vasco de Salud aprecia entre el principio de minimización de datos y el derecho delimitación del tratamiento.
En los motivos segundo, tercero y, especialmente, cuarto de su recurso, Osakidetza-Servicio Vasco de Saludalega que una potencial consideración del incumplimiento del principio de minimización de datos por laresponsable o encargada del tratamiento, debería conllevar necesariamente un previo ejercicio del derecho delimitación del tratamiento por parte de la persona interesada.
4
JURISPRUDENCIA
Añade la parte recurrente que antes de proceder a la instrucción de un procedimiento de infracción por laAgencia Vasca de Protección de Datos y antes de la imposición de la sanción de apercibimiento por falta muygrave a Osakidetxa-Servicio Vasco de Salud por el incumplimiento del principio de minimización de datos delartículo 5.1.c) del RGPD, ante la circunstancia de que se estaba en presencia de una información (el dato delsexo) lícitamente recogida y ya existente en la historia clínica, hubiera debido seguirse un procedimiento parael ejercicio del derecho de limitación de tratamiento entre la persona interesada y Osakidetxa-Servicio Vascode Salud. Ese ejercicio del derecho de limitación de tratamiento, según el criterio de la parte recurrente, debierahaber comenzado con una previa -en este caso inexistente- solicitud de la persona dirigido a la responsableo encargada del tratamiento, exponiendo su desacuerdo con el tratamiento concretamente realizado, con lasrazones que al efecto tuviera por convenientes.
En definitiva, considera la parte recurrente que, con su actuación, la Autoridad de Protección de Datos hurtóel procedimiento exigible para el ejercicio del derecho, en el que cabría la posibilidad de verificar si concurríaalgún motivo en la responsable del tratamiento que aconsejara que prevaleciera su opinión sobre la de lapersona interesada, así como la posibilidad de una posible solución sujeta al procedimiento expresamentecontemplado al efecto, motivo que la parte califica como fundamental para sustentar la argumentación ypresentación del recurso de casación.
4.- Como argumento que califica como secundario, alega también la parte recurrente que la Autoridad deProtección de Datos desatendió la circunstancia de que todo documento contenido en la historia clínica notuvo otro destinatario que la propia persona paciente, sin ningún conocimiento para terceros, salvo que lapropia persona paciente se lo haya querido revelar a esos terceros.
TERCERO.- La cuestión de interés casacional que plantea el recurso de casación acuerdo con el auto quedecidió su admisión a trámite.
A la vista del planteamiento del escrito de preparación del recurso de casación, el auto de admisión del recursoidentificó como cuestión de interés casacional la de determinar si se ha producido la falta de motivación eincongruencia denunciadas y, subsiguientemente, interpretar los artículos 5.1.c) y 18 del Reglamento (UE)2016/679, antes citado, a los efectos determinados en el razonamiento jurídico tercero de la resolución.
En dicho razonamiento jurídico se planteaba si, en un supuesto en el que el responsable de tratamiento dedatos personales realiza un tratamiento que el interesado considera excesivo, con los datos lícitamente yarecogidos, resulta aplicable únicamente el principio de minimización de datos del artículo 5.1.c) del RGPD, odebió ejercer el interesado el derecho a la limitación del tratamiento datos previsto en el artículo 18 del RGPD.
CUARTO.- Sobre el motivo de impugnación relativo a la exigencia, para acordar el inicio del expedientesancionador, de seguir previamente el interesado un procedimiento para el ejercicio del derecho de limitacióndel tratamiento.
1.- En el origen del presente recurso se encuentra la resolución de la Agencia Vasca de Protección de Datos,de 21 de octubre de 2019, que en su parte dispositiva acordó apercibir a Osakidetxa-Servicio Vasco de Salud,por la infracción muy grave tipificada en el artículo 72.1.a) de la Ley Orgánica 3/2018, de 5 de diciembre, deProtección de Datos Personales y garantía de los derechos digitales (LOPDP), en relación con los artículos5.1.c) y 83.5.a) del RGPD.
Dice el artículo 72.1.a) de la LOPDP sobre las infracciones consideradas muy graves:
"1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy gravesy prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículosmencionados en aquel y, en particular, las siguientes:
a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 delReglamento (UE) 2016/679 ."
2.- Entre los principios establecidos por el articulo 5 del RGPD, al que se remite el articulo 72.1.a) LOPDP queacabamos de transcribir, figura en la letra c) el principio de minimización de datos, que se define por el propioprecepto al señalar que los datos personales serán: "...c) adecuados, pertinentes y limitados a lo necesario enrelación con los fines para los que son tratados ("minimización de datos")."
Este principio ya estaba recogido en la normativa de protección de datos anterior a la hoy vigente.
Así, el articulo 6.1.c) de la Directiva 95/46/CE, derogada por el vigente RGPD, indicaba que los Estadosmiembros dispondrán que los datos personales sean:
"...adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se tratenposteriormente"
5
JURISPRUDENCIA
A su vez, el artículo 4.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de CarácterPersonal, derogada parcialmente por la LOPDP, bajo la rúbrica de "calidad de los datos" disponía que:
"Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dichotratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidadesdeterminadas, explícitas y legítimas para las que se hayan obtenido."
3.- Ya se ha dicho que las partes están de acuerdo en la significación del citado principio, y que la cuestión queplantean tanto el auto de admisión a trámite como el escrito de interposición del recurso no hace referencia alincumplimiento del principio de minimización de datos en este caso, sino a la exigencia de que la declaracióndel incumplimiento del principio de minimización de datos debe conllevar necesariamente -en criterio dela parte recurrente- un previo ejercicio del derecho de limitación del tratamiento por parte de la personainteresada.
4.- Se hace necesaria, en este punto, una referencia al derecho de limitación del tratamiento, a cuyo ejerciciopor el interesado condiciona la parte recurrente la procedencia de la denuncia por infracción del principio deminimización de datos.
El derecho a limitación del tratamiento a que se refiere la parte recurrente es el enunciado por el articulo 18.1.d)del RGPD, a cuyo tenor el interesado tendrá derecho a obtener del responsable del tratamiento la limitación deltratamiento de los datos cuando cumpla alguna de las condiciones siguientes:
"d) el interesado se haya opuesto al tratamiento en virtud del artículo 21, apartado 1, mientras se verifica si losmotivos legítimos del responsable prevalecen sobre los del interesado."
Se trata de un derecho a la limitación del tratamiento de duración temporal, "mientras se verifica si los motivoslegítimos de responsable prevalecen sobre los del interesado" y de carácter provisional o cautelar, pues operacuando el interesado se haya opuesto al tratamiento en virtud del artículo 21.1 RGPD, que regula el derechodel interesado a oponerse en cualquier momento, por motivos relacionados con su situación particular, a quedatos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6,apartado 1, letras e) o f) del RGPD.
El derecho de limitación del tratamiento del artículo 18.1.d) del RGPD que invoca la parte recurrente estávinculado, por tanto, al ejercicio del derecho de oposición al tratamiento del artículo 21.1 del RGPD, ypermite una limitación del tratamiento de carácter temporal, por el tiempo del que dispone el responsable deltratamiento para contestar el derecho de oposición, de acuerdo con el artículo 12, apartados 2 y 3 del RGPD, yde carácter también cautelar o provisional, a la espera de que se determine si de debe producir o no la supresiónde los datos en cuestión.
En este caso no hay ninguna constancia de que el interesado haya ejercitado el derecho de oposición delarticulo 21.1 del RGPD al que el artículo 18.1.d) RGPD vincula el derecho de limitación al tratamiento a quese refiere la parte recurrente.
5.- En todo caso, el recurso de casación se sustenta en la exigencia por la parte recurrente de una suerte derequisito de procedibilidad o de perseguibilidad, que condiciona el inicio por la Agencia Vasca de Protección deDatos del procedimiento para el ejercicio de la potestad sancionadora al ejercicio por el interesado del derechoa la limitación del tratamiento a que se refiere el artículo 18.1.d) del RGPD que acabamos de examinar.
La Sala no comparte los argumentos de la parte recurrente, pues ni el RGPD, ni la LOPDP, ni el Reglamentode desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal,aprobado por Real Decreto 1720/2007, de 21 de diciembre, contienen norma alguna que establezca el requisitode la exigibilidad del ejercicio del derecho a la limitación de tratamiento del artículo 18.1.d) del RGPD parainiciar un procedimiento sancionador por la infracción muy grave descrita en el artículo 72.1.a) de la LOPDP, portratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del RGPD,ni la parte recurrente cita norma alguna que ampare el requisito de procedibilidad que invoca en su recurso.
6.- El artículo 63 de la LOPDP diferencia entre dos tipos de procedimientos por posible vulneración de lanormativa de protección de datos, aquellos en los que un afectado reclame que no ha sido atendida su solicitudde ejercicio de los derechos reconocidos en los artículos 15 a 22 del RGPD y aquellos otros de investigaciónde la existencia de una posible infracción de lo dispuesto en el RGPD y en la propia LOPDP.
En este caso es claro que no nos encontramos ante un procedimiento que se refiera a la falta de atención deuna solicitud de los derechos establecidos por los artículos 15 a 22 del RGPD, puesto que la denunciante noha ejercitado ni el derecho de limitación del tratamiento del artículo 18.1.d) del RGPD, al que se refiere la parterecurrente en su escrito de interposición, ni el derecho de oposición del artículo 21.1 del RGPD a que el anteriorestá vinculado, ni ninguna de los restantes derechos contemplados en los artículos 18 a 22 del RGPG, como
6
JURISPRUDENCIA
resulta con claridad del propio escrito de denuncia que obra en el expediente administrativo (folios 1 y 2 delexpediente administrativo), en el que no se hace alusión a la falta de atención de una solicitud de ejercicio decualquiera de los derechos reconocidos en los artículos 18 a 22 del RGPD.
También la lectura del escrito de denuncia pone de manifiesto que lo que se interesa por la denunciante dela Agencia Vasca de Protección de Datos es la investigación de una posible infracción de las disposicionesdel RGPD y de la LOPDP. En efecto, la denunciante manifiesta en su escrito de denuncia que "el motivo de mireclamación/denuncia es el contenido del informe realizado en el servicio de urgencias, ya que revela variosdatos personales especialmente protegidos y que son totalmente irrelevantes desde el punto de vista clínico/médico respecto al motivo para acudir a urgencias y el tratamiento recibido (radiografía y vendaje en un dedode un pie)".
Añade dicho escrito de denuncia lo siguiente: "Considero que el hecho de revelar y exponer esos datospersonales de carácter especialmente protegido (hecho de ser mujer transexual) y la terminología utilizada,vulnera mi derecho a la protección de mis datos personales, mi derecho a la intimidad, [...] Exijo igualmente quese investigue esa vulneración de mis derechos, se determinen responsabilidades [...] y se apliquen las sancionescorrespondientes".
7.- Dispone el artículo 64.2 de la LOPD que cuando el procedimiento tenga por objeto la determinación de laposible existencia de una infracción de lo dispuesto en el RGPD y en la LOPD, como es ahora el caso, " seiniciará mediante acuerdo de inicio adoptado por propia iniciativa o como consecuencia de una reclamación."
No exige, por tanto, este precepto, ni ningún otro que el inicio del procedimiento sancionador en materia deprotección de datos se condicione al requisito previo del ejercicio del derecho a la limitación del tratamientodel artículo 18.1.d) del RGPD, como sostiene la parte recurrente, ni al ejercicio de ninguno otro de los derechosestablecidos por el RGPD.
8.- El ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD (derechos de acceso,rectificación, supresión, limitación del tratamiento, portabilidad de los datos y oposición) es una vía distinta eindependiente de la interposición de reclamaciones ante la Agencia Española de Protección de Datos o antela Agencia Vasca de Protección de Datos, conforme a lo dispuesto respectivamente en los artículos 64.2 y 65de la LOPDP y el artículo 9.1 de la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal deTitularidad Pública y de Creación de la Agencia Vasca de Protección de Datos.
Puede por tanto el interesado ejercitar los derechos reconocidos en los artículos 15 a 22 del RGPD y simultáneao alternativamente formular una reclamación o denuncia ante la Autoridad de Protección de Datos competentepor actuaciones que estime contrarias a la normativa de protección de datos, pero no existe exigencia legalalguna para que la reclamación o denuncia sea precedida necesariamente del ejercicio de limitación deltratamiento, como pretende la parte recurrente, o de cualquier otro de los derechos regulados por los artículos15 a 22 del RGPD.
QUINTO.- Sobre el motivo secundario de impugnación de no tener el documento derivado de la historia clínicaotro destinatario que el propio interesado.
Alega la parte recurrente, como motivo secundario de impugnación, que la Agencia Vasca de Protección deDatos no tuvo en cuenta la circunstancia de que el documento contenido en la historia clínica no ha tenidootro destinatario que la propia paciente, sin conocimiento para terceros, salvo que la paciente lo haya queridorevelar.
La alegación no puede prosperar, pues si bien es cierto que, como alega la parte recurrente, los datos de lahistoria clínica y los datos que se hicieron constar en el informe de alta de urgencias han sido comunicadosúnicamente a la persona titular de dichos datos y no han sido revelados por Osakidetxa-Servicio Vasco de Saluda ninguna otra persona, debe sin embargo tenerse en cuenta que en este caso la resolución sancionadora noaprecia una infracción del deber de confidencialidad garantizado por los artículos 5.1.f) del RGPD y 5.1 de laLOPD, o una vulneración del deber de guardar secreto sobre los datos de carácter personal del artículo 22.4.h)de la Ley 2/2004, de 25 de febrero, de la Comunidad Autónoma del País Vasco, sino que el procedimientosancionador se siguió, desde el acuerdo de inicio, para la investigación de una conducta que podría serconstitutiva de una vulneración del principio de minimización de datos establecido en el artículo 5.1.c) delRGPD y, en el mismo sentido, la resolución sancionadora no hace alusión alguna a la vulneración de los deberesde confidencialidad o de guardar secreto sobre los datos de carácter personal, sino que apreció una infracciónmuy grave por infracción del citado artículo 5.1.c) del RGPD (principio de minimización), al realizarse untratamiento de datos consistente en la consignación en el informe de alta emitido por el servicio de urgenciasde un gran número de datos de salud de la denunciante, sin observancia del indicado principio de minimizaciónde datos en los términos definidos en esta sentencia.
7
JURISPRUDENCIA
SEXTO.- Sobre la cuestión planteada por auto de admisión en relación con la falta de motivación de lasentencia recurrida.
El auto de admisión también plantea como cuestión de interés casacional en este recurso si se ha producidola falta de motivación e incongruencia denunciados por la parte recurrente.
Sobre esta cuestión ha de decirse, en primer lugar, que efectivamente la parte recurrente denunció en su escritode preparación del recurso que la sentencia impugnada infringió los artículos 24.1 y 120.3 CE, en relacióncon la doctrina del Tribunal Constitucional sobre la tutela judicial efectiva y la motivación de las sentencia,y el auto de admisión a trámite del recurso incluyó en su parte dispositiva, entre las cuestiones de interéscasacional, si se había producido la falta de motivación e incongruencia denunciada, si bien señalo también(FD 2º) que "el interés casacional ha de entenderse referido no tanto a la incongruencia o falta de motivaciónsino a la interpretación y aplicación de la norma sustantiva que ha sido desconocida por la sentencia", cuestiónésta última que también se incluyó en la parte dispositiva del auto de admisión por remisión al razonamientojurídico tercero de la resolución.
No obstante lo anterior, la parte recurrente, en su escrito de interposición del recurso, en el que de acuerdocon el artículo 92.3.a) de la Ley de la Jurisdicción, ha de "exponer razonadamente por qué han sido infringidaslas normas o la jurisprudencia que como tales se identificaron en el escrito de preparación", omitió cualquierreferencia a la falta de motivación e incongruencia de la sentencia impugnada que había denunciadoen el escrito de preparación, y dedicó los razonamientos del escrito de interposición a desarrollar, comoargumento principal, su criterio sobre la exigencia del ejercicio por el interesado del derecho de limitacióndel tratamiento establecido por artículo 18.1.d) RGPD como requisito previo para acordar el inicio delprocedimiento sancionador, así como a sostener, como motivo secundario, que la Agencia Vasca de Protecciónde Datos desatendió la circunstancia de que los datos no tuvieron otro destinatario que la propia pacientetitular de los mismos.
Sin perjuicio de la falta de exposición razonada por la parte recurrente en su escrito de interposición sobrela falta de motivación e incongruencia denunciadas en el escrito de preparación, la Sala considera que nocabe apreciar tales defectos en este caso, pues la sentencia impugnada ha exteriorizado de forma suficienteel razonamiento jurídico que sirve de fundamento a su decisión, siendo criterio reiterado de esta Sala que lamotivación de la sentencias no demanda un razonamiento exhaustivo y pormenorizado de todos los aspectosy perspectivas que las partes puedan tener de la cuestión a decidir, si el ajuste entre el fallo y las peticiones delas partes es sustancial y se resuelven las pretensiones válidamente deducidas en juicio.
Estimamos que la sentencia impugnada dio una respuesta suficiente a los argumentos de la Osakidetza-Servicio Vasco de Salud que intervino como parte recurrida en el recurso de apelación de la instancia. Ensu condición de parte recurrida expuso en su escrito de oposición a la apelación que se adhería en parte alrecurso, lo que fue rechazado motivadamente por la sentencia impugnada, y alegó también que la sentenciaapelada del Juzgado de lo Contencioso Administrativo de Vitoria-Gasteiz se inclinaba con claridad a favor desus tesis y pretensiones, siendo así que la sentencia impugnada exteriorizó, especialmente en su FD 5º, lasrazones jurídicas por las que consideró que la fundamentación de la sentencia apelada resultaba disconformecon la normativa de protección de datos.
A mayor abundamiento sobre este punto, el planteamiento de la hoy recurrente en su oposición al recursode apelación consistió en sostener que la cuestión objeto de debate no estaba relacionada con el principiode minimización de datos, sino con el derecho de limitación del tratamiento, y la sentencia impugnadarechazo implícitamente tal argumentación al apreciar el incumplimiento del principio de minimización de datosinvocado por la parte recurrente.
SÉPTIMO.- La respuesta a las cuestiones de interés casacional.
La Sala, en respuesta a las cuestiones de interés casacional formuladas en el auto de admisión, considera quela sentencia impugnada no incurre en falta de motivación o en incongruencia y que en un supuesto como elexaminado en este recurso, en el que un responsable de tratamiento de datos personales realiza un tratamientoque el interesado considera excesivo, cabe la denuncia ante la agencia de protección de datos competentey, en su caso, el inicio por esta de un expediente sancionador por la infracción del principio de minimizaciónde datos del artículo 5.1.c) del RGPD, sin que sea exigible como requisito de procedibilidad que el interesadoejerza el derecho a la limitación del tratamiento previsto en el artículo 18.1.d) del indicado Reglamento.
OCTAVO.- Conclusiones y costas.
De acuerdo con lo hasta aquí razonado, procede la desestimación del recurso de casación interpuesto por larepresentación de Osakidetza-Servicio Vasco de Salud contra la sentencia 401/2020, de fecha 17 de diciembre
8
JURISPRUDENCIA
de 2020, de la Sección 1ª de la Sala de lo Contencioso Administrativo del Tribunal Superior de Justicia delPaís Vasco.
En atención a lo dispuesto en el artículo 93.4 de la Ley de la Jurisdicción, acordamos que cada parte abonelas costas del recurso de casación ocasionadas a su instancia y las comunes por mitad.
F A L L O
Por todo lo expuesto, en nombre del Rey y por la autoridad que le confiere la Constitución, esta Sala ha decididode acuerdo con la interpretación de las normas establecida en el fundamento jurídico séptimo:
1.- Declarar no haber lugar y, por tanto, desestimar el presente recurso de casación número 1765/2021,interpuesto por Osakidetza-Servicio Vasco de Salud, contra la sentencia número 401/2020, de fecha de 17 dediciembre de 2020, dictada por la Sección 1ª de la Sala de lo Contencioso-Administrativo del Tribunal Superiorde Justicia del País Vasco, en el recurso de apelación número 748/2020.
2.- No imponer las costas del recurso de casación a ninguna de las partes.
Notifíquese esta resolución a las partes e insértese en la colección legislativa.
Así se acuerda y firma.
9