Parece ser que SI, esta es la conclusión a la que ha llegado el Tribunal Supremo (en adelante TS), en su Sentencia núm. 1062/2019 de 12 de julio (rec. 4980/2018), desmarcándose así del criterio de la Audiencia Nacional que desestimó el recurso interpuesto por Iberdrola (actualmente i-DE, Redes Eléctricas Inteligentes) contra una resolución de la Secretaria de Estado de Energía a la hora de interpretar el alcance de la definición de datos de carácter personal.
Señala el TS que los datos de consumo energético individualizados para cada punto de suministro, contenidos en las Curvas de Carga Horaria ( en adelante CCH), constituyen datos de carácter personal y ello en la medida en que si se combinan o se ponen en relación con otros datos a los que se puede tener acceso de forma indirecta o a través de terceros, como puedan ser los datos incorporados al Sistema de Puntos de Suministro de Gas y Electricidad (SIPS) o a través de las inspecciones de las instalaciones.
Iberdrola impugnó en su día la citada Resolución de la Secretaría de Estado de Energía de 2 de junio de 2015, que aprobó determinados procedimientos de operación para el tratamiento de datos de medida procedentes de los equipos de tipo 5, a efectos de facturación y de liquidación de energía, obligando a los distribuidores (que son los responsables de la lectura de los contadores de los consumidores) a enviar las mediciones de la curvas de carga horaria individualizada, es decir las medidas horarias de consumo de cada consumidor, gestionados por las distribuidoras, al concentrador principal gestionado por el operador del sistema (OS).
Pues bien, hasta la aprobación de dicha resolución, las distribuidoras remitían los datos de CCH de forma agregada, y no individualizada, al operador del sistema, por lo que el operador del sistema no tenía acceso a esa información privada de los consumidores, ejerciendo su función en base a los datos agregados, pero a partir de ahora SI se puede saber qué hace cada consumidor privadamente en su casa.
Pero para que nos aclaremos ¿Que son los puntos de medida de suministro eléctrico tipo 5?
Según el artículo 7.5 del Real Decreto 1110/2007, de 24 de agosto, por el que se aprueba el Reglamento unificado de puntos de medida del sistema eléctrico (en adelante «RUPM»), son aquéllos que se instalan por clientes cuya potencia contrada en cualquier periodo sea igual o inferior a 15 KW, que son los que tenemos contratados la gran mayoría de los consumidores domésticos.
Estos datos de CCH individualizados, con desglose horario, permiten a quien tenga acceso a esa información conocer los hábitos de conducta privados de los consumidores, tales como las horas ordinarias de entrada y salida del domicilio, la hora en la que se va a dormir, las zonas horarias en la que hay más actividad en la vi-vienda o en local de negocio, el nivel de electrificación, la utilización de aparatos de refrigeración o calefacción, entre otros.
Datos que atañen sustancialmente a la esfera privada de la intimidad de cada consumidor.
Ahora bien, ¿Cuál es el objeto de controversia en lo que a protección de datos se refiere?
El recurso interpuesto por Iberdrola centra el objeto de la presente controversia en dos aspectos diferenciados, pero íntimamente relacionados entre sí:
1. DETERMINACIÓN DE SI LOS DATOS REFERIDOS A LA CURVA DE CARGA HORARIA (CCH) SON DATOS DE CARÁCTER PERSONAL
Según el art. 3.a) la ya derogada Ley Orgánica 15/1999, de 13 de diciembre (en adelante LOPD) aplicables por razones temporales al supuesto que nos ocupa y el actual art. 4 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante RGPD), definen este concepto como cualquier información concerniente a personas físicas identificadas o identificables.
La información que las empresas distribuidoras están obligadas a suministrar al operador del sistema es la CCH y el Código Universal de Punto de Suministro (en adelante CUPS), código de 20 a 22 caracteres alfanumérico. Este código, único por cada punto de suministro, no identifica directamente al usuario ni al titular del contrato de suministro, sino al aparato de medición. Esta información no puede considerarse referida a una «persona física identificada», pues el código alfanumérico no revela directamente la identidad del usuario.
Nos corresponde, por tanto, analizar si la información remitida puede entenderse referida a una persona “identificable”:
A tal efecto, es preciso señalar que tanto el artículo 2 de la Directiva 95/46/CE como el art. 5.1. o) del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la ya derogada LOPD, definen como persona identificable a «toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social».
Por ello, se trata de determinar si el operador del sistema, aun de forma indirecta, dispone de medios razonables a su alcance, en los términos expuestos, para vincular el CUPS y, por ende, los consumos individuales remitidos, con la identidad de la persona física titular del contrato de suministro o con el usuario de la vivienda.
La vinculación de un punto de suministro concreto con los datos referidos a la identidad titular del contrato figura en una base de datos denominada «el sistema de información de los puntos de suministro» (SIPS) en la que junto con el CUPS se contiene la información sobre la ubicación del punto de suministro (tipo de vía, nombre de la vía, número, piso y puerta), la población, la provincia, el nombre y apellidos del titular del punto de suministro, dirección completa del titular del punto de suministro y si el titular es persona física si se trata de su «Vivienda habitual» o «No vivienda habitual». Pero esta base de datos está en posesión de las distribuidoras, sin que el operador del sistema tenga acceso a la misma.
En el supuesto que estamos analizando el hecho de «que a partir del Código de punto de suministro es posible identificar al consumidor al que se refiere la información» lo reconoce expresamente la propia Agencia Española de Protección de Datos («AEPD»), en la página 9 de su Informe 2015/29, de 22 de junio de 2015, relativo al Proyecto de Real Decreto por el que se modifican distintas disposiciones en el sector eléctrico:
“no cabe duda que el Sistema de información de Puntos de Suministro incorpora datos de carácter personal, dado que a partir del Código de punto de suministro es posible identificar al consumidor al que se refiere la información, pudiéndose así vincular todo el contenido del sistema con dicho consumidor”
Por tanto en la práctica, es muy sencillo para el operador del sistema, una vez conoce los datos del CUPS, averiguar quién es su titular. En efecto, el artículo 4 del RUPM dispone:
«El operador del sistema es el responsable del sistema de medidas del sistema eléctrico nacional, debiendo velar por su buen funcionamiento y correcta gestión. En el uso de sus atribuciones, el operador del sistema podrá verificar todas las instalaciones del sistema de medidas de conformidad con el presente reglamento y sus instrucciones técnicas complementarias”
En definitiva, el operador del sistema con la información relativa a la curva de consumo horario y el código del punto de suministro no puede conocer la identidad del usuario, pero posteriormente, en su condición de responsable del sistema de medidas, puede hacer uso de las facultades de inspección y, en el curso de una investigación concreta sobre el correcto funcionamiento de los sistemas de medición, solicitar de las distribuidoras los datos de ubicación concreta de los puntos de suministro inspeccionados y éstas estarán obligadas a proporcionárselos.
Existe, por tanto, una vía legal para que el operador del sistema pueda solicitar y obtener de la compañía distribuidora los datos adicionales que permitan determinar la ubicación concreta del punto de consumo (su dirección) y con esta información, y sin mucha dificultad, poder conocer la identidad del titular de la vivienda o el usuario de la misma.
Por este motivo, debemos concluir que los datos de CCH, asociados a un CUPS constituyen datos de carácter personal, porque se trata de información que concierne a personas identificables sin necesidad de utilizar recursos desproporcionados.
Esta conclusión se ve reforzada tras la entrada en vigor de la nueva normativa en materia de protección de datos, donde se desarrolla el concepto de dato personal, para dar cabida, dentro de ella, a los datos seudonimizados.
A fin de interpretar dicha definición, el considerando 26 del RGPD, establece que «Los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable. Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable”.
De este modo, el concepto de dato personal, conforme al RGPD, incluiría los denominados «datos seudonimizados» (art. 4.5 RGPD)
En conclusión, no cabría duda de que los datos de CCH, cuando menos, participan de la naturaleza de los datos seudonimizados, por cuanto identificarían unívoca, individual y singularizadamente a los usuarios del sistema, mediante el uso de información adicional, siendo así que el RGPD señala que sus disposiciones serían de plena aplicación a los citados datos, lo que conduce a la conclusión de que los datos de la CCH son datos personales.
2. SOBRE LA EXIGENCIA DE CONSENTIMIENTO PREVIO DEL USUARIO
La segunda de las cuestiones que se plantean consiste en determinar si la comunicación al operador del sistema de los datos de consumo horario de cada punto de suministro, en los términos ya expuestos, implica una cesión de datos a terceros que exija el consentimiento del usuario.
El artículo 11 de la ya derogada LOPD, aplicable por razones temporales al supuesto que nos ocupa, dispone que:
«1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado».
Pero esta necesidad de obtener el previo consentimiento del interesado, puede ser excepcionada en determinados supuestos del artículo 11.2 de la derogada LOPD (ahora del artículo 6.1 apartados b) a f) del RGPD):
«El consentimiento exigido en el apartado anterior no será preciso:
[…]
Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique».
La respuesta a este motivo exige partir de que el tratamiento de los datos personales del usuario en relación con el suministro de energía eléctrica, se basa en una doble relación contractual del usuario:
1. Con la compañía comercializadora (contrato de suministro)
2. Con el titular de la red (contrato de acceso a la red de distribución y transporte).
Pero, al margen del consentimiento prestado por los usuarios para que sus datos personales sean tratados por las compañías distribuidoras y comercializadoras, el cumplimiento de la normativa vigente obliga a las compañías distribuidoras a remitir determinados datos a terceros, en concreto a la Administración y al operador del sistema eléctrico (OS), con el fin de garantizar y controlar el correcto funcionamiento de la red.
Y es en este contexto contractual y legal en el que se enmarca:
1. por un lado, la obligación de la empresa distribuidora, encargada de la lectura de los aparatos de medición del consumo del usuario, de remitir al operador del sistema la información los datos de consumo de los usuarios que con ellas contratan para su tratamiento conjunto (art. 5 RUPM)
2. y por otro, la posibilidad de que el operador del sistema, en cuando responsable del sistema de medidas que debe velar por su buen funcionamiento y correcta gestión, pueda instaurar un procedimiento de comprobación de los procesos de lectura con el objeto de determinar el correcto funcionamiento del sistema de medidas (art. 4 RUPM).
Así cuando lo solicite la Administración, el operador del sistema puede, previa petición de los datos de ubicación de tales puntos de suministro a las distribuidoras, realizar una inspección «in situ» de dichos puestos, o una muestra de los mismos.
Para finalizar, la remisión por las distribuidoras de los datos relativos a la ubicación concreta de uno o varios puestos de suministro, que es la que permite entender que nos encontramos ante un usuario identificable, solo se produce en relación con investigaciones concretas que persigue un fin de interés general y por tanto no requiere consentimiento previo del afectado.
