Protección de datos personales y recogida manual de datos: Comentario a la STJUE 10 de julio de 2018

María José Santos Morón, Catedrática de Derecho civil. Universidad Carlos III

RESUMEN

Este trabajo analiza, al hilo de las cuestiones prejudiciales resueltas en la STJUE comentada, determinados conceptos relevantes en el ámbito de la normativa europea de protección de datos. En concreto, los relativos a la interpretación de la excepción de “actividades exclusivamente personales o domésticas”, la noción de fichero y el concepto de responsable del tratamiento. Las dos primeras cuestiones siguen siendo relevantes tras la publicación del Reglamento Europeo 2016/79, para determinar el ámbito de aplicación material de la normativa de protección de datos. El concepto de responsable es igualmente esencial pues, además de ser el sujeto sobre el que pesa la carga de adoptar las medidas necesarias para evitar la lesión del derecho a la protección de datos personales, es el legitimado pasivamente para la reclamación de responsabilidad derivada de la vulneración de ese derecho, además de estar sujeto a posibles sanciones administrativas por infracción de la normativa aplicable.

ABSTRACT

This article analyses, with regard to the questions referred to the European Union Court in the commented Judgement, certain important concepts in the field of personal data protection. The exception of “purely personal or household activity” is analysed, as well as the concepts of filing system and data controller. The two first issues are still relevant to define the scope of application of the General Data Protection Regulation. The concept of data controller is also basic, as long as this is the person who must take the measures required to protect the rights of data subjects, and may be fined and subject to liability in case of damage suffered by any person as a result of an infringement of the European regulation.

PALABRAS CLAVE

Datos personales; tratamiento no automatizado; excepción de actividad exclusivamente doméstica; concepto de fichero; responsable del tratamiento.

KEYWORDS

Personal data; manual processing; “purely personal or household activity” exception; filing system; data controller.

Sentencia objeto de comentario

1. Introducción

2. Resumen del contenido de la Sentencia comentada

3. Análisis de los argumentos jurídicos de la Sentencia

4. Conclusiones

Agradecimientos

Referencias

Sentencia objeto de comentario

STUJE, Tietsosuojavaltuutettu contra Jehovan todistajat –uskonnollinen yhdysjunta (Testigos de Jehová contra Comisión de Protección de datos de Finlandia) de 10 de julio de 2018, Asunto C-25/17 (SP/SENT/961308).

1. Introducción

El art. 3.1 de la Directiva 95/46, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos, disponía que dicha norma era aplicable "al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero". De este precepto se desprendía que la protección dispensada por la Directiva se basaba, no tanto en la mera existencia de datos de carácter personal, como en el hecho de que esos datos fuesen objeto de tratamiento Nota . Pero el tratamiento que desencadenaba la protección articulada en la norma europea no era exclusivamente el automatizado. También se aplicaba al tratamient