La sentencia de la Sala
de lo Contencioso Administrativo del Tribunal Supremo, sec. 3ª, de 4 de mayo de
2023, nº 547/2023, rec. 1200/2022, establece como doctrina que las personas
jurídicas o empresas no son titulares del derecho a la protección de datos
personales.
A las personas
jurídicas no se les aplica la protección de datos personales relacionados con
la comisión de infracciones administrativas que no conlleven amonestación
pública al infractor en las solicitudes de acceso a la información pública.
Por ello, no cabe
extender la normativa de la protección de datos a las personas jurídicas, no
son titulares del derecho a la protección de datos personales, al no haber fundamento
legal que lo permita.
El Supremo, aplicando
los artículos 14.2 y 15.1 de la Ley 19/2013, 1.1, 1.2 y 4 del Reglamento (UE)
2016/679 y 1 y 27.2 de la Ley Orgánica 3/2018, establece como doctrina que el
límite al derecho de acceso a la información pública relacionada con sanciones
administrativas que no conllevan la amonestación pública al infractor sólo se
refiere a las personas físicas sancionadas, con exclusión de las personas
jurídicas.
A) Antecedentes.
Se interpone por la
Generalidad de Cataluña el presente recurso de casación nº 1200/2022 contra la
sentencia dictada por la Sección Quinta de la Sala de lo
Contencioso-Administrativo de la Audiencia Nacional de 30 de septiembre de 2021
(recurso nº 1884/2020) en la que se estima en parte el recurso
contencioso-administrativo interpuesto por la "Fundación Privada
Residencia Bell Repós de Súria" contra la resolución nº 164/2020 de la Comisión
de Garantía del Derecho de Acceso a la Información Pública (en adelante, GAIP)
de 27 de febrero de 2020.
Esta última resolución
acordó estimar en parte la reclamación nº 804/2020 y declaró el derecho de la
periodista reclamante al acceso a la información solicitada relativa a las sanciones
impuestas durante el período 2014 a 2018 a residencias para personas mayores,
públicas o privadas, ubicadas en la aludida Comunidad Autónoma de acuerdo con
ciertas limitaciones (7) que se determinan en su parte dispositiva.
Disconforme con dicha decisión,
por la reseñada Fundación Bel Repós de Súria se promovió recurso
contencioso-administrativo ante la Sala de este orden del Tribunal Superior de
Justicia, que dicta Sentencia de fecha 30 de septiembre de 2021, objeto del
presente recurso de casación.
En su parte dispositiva
la Sala acuerda estimar parcialmente el recurso deducido, y anula parcialmente
la resolución del GAIP, "en el sentido de que en la información relativa a
la sanción impuesta a la Fundación debe excluirse su identificación, es decir
su nombre, la del establecimiento de que es titular y su ubicación geográfica
", en aplicación del artículo 15.1 de la Ley 19/2013, de 9 de diciembre.
Las razones que
sustentan el pronunciamiento de estimación parcial del recurso figuran en el
Fundamento Jurídico 5º, con el siguiente tenor literal:
<<(...) De los dos preceptos legales que se acaban de transcribir se colige que la protección de datos personales relacionados con la comisión de infracciones administrativas que no conlleven amonestación pública se sitúa al mismo nivel que los relativos a la ideología, la afiliación sindical, la religión, las creencias, el origen racial, la salud y la vida sexual, y la comisión de infracciones generales.
Por tanto, en supuestos como el presente y en concreto, en las circunstancias de la Fundación actora, no cabe desvelar su identidad como sancionada, como límite normativo de rango legal a los derechos de transparencia y acceso a la información pública a que se contraen las reiteradas Ley 19/13 y LP 19/2014.
No obstante, esa limitación en cuanto a la identificación de la sancionada, los reseñados derechos se preservan mediante la "disociación de los datos de carácter personal de modo que se impida la identificación de las personas afectadas" y el "acceso parcial previa omisión de la información afectada por el límite" (arts. 15.4 y 15 de la Ley 19/13).
Procede por todo ello, con estimación parcial del presente recurso contencioso, y en congruencia por demás con la medida cautelar adoptada en su momento en la pieza separada de este proceso, anular parcialmente la resolución impugnada, en el sentido de que, de la información relativa a la sanción impuesta a la Fundación actora, debe excluirse su identificación, la del establecimiento de que es titular y su ubicación geográfica.
Debiendo adoptarse adicionalmente las medidas necesarias para que, de haber sido librada indebidamente, como se apunta en el proceso, la información concernida por la limitación aquí reconocida, no se haga uso de la misma.
Con evidencia, la Fundación actora carece de legitimación para defender los derechos de las restantes residencias afectadas que deberán dilucidarse en los procesos que hayan instado, a la vista de las circunstancias concurrentes en cada caso. >>.
En el escrito de interposición del recurso de casación la Generalidad de Cataluña considera infringidos los artículos 14.2 y 15.1 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno; arts. 1.1, 1.2 y 4 del Reglamento (UE) 2016/679 de 27 de abril de 2016, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos); y 1 y 27.2 de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Afirmando que con la interposición del recurso de casación que se prepara se pretende que el Tribunal Supremo establezca como doctrina que el límite al derecho de acceso a la información pública relacionada con sanciones administrativas sólo se refiere a las personas físicas sancionadas, con exclusión de las personas jurídicas, en aplicación de los artículos citados. Invoca como justificación del interés casacional objetivo los artículos 88.2 b) y 88.2 c) de la Ley Jurisdiccional 29/1998 (LJCA).
Aduce, asimismo, la circunstancia prevista en el
art. 88.3.a) de la LJCA, por cuanto considera que no existe jurisprudencia en
relación con las sanciones administrativas impuestas a personas jurídicas que
determine que en estos casos está plenamente vigente el derecho de acceso a la
información pública, previa ponderación de los intereses en conflicto, y que,
en relación con esta cuestión, haya sentado que el límite al acceso fundado en
la protección de los datos de carácter personal solamente se predica de las
personas físicas y no de las personas jurídicas.
B) La cuestión que
reviste interés casacional objetivo.
Procede entonces que
entremos a examinar las cuestiones suscitadas en casación y , en particular, la
señalada en el auto de la Sección Primera de esta Sala de 11 de mayo de 2022,
en el que se declara que la cuestión planteada en el recurso que presenta
interés casacional objetivo para la formación de la jurisprudencia consiste en
determinar <<si es aplicable a las personas jurídicas la protección de
datos personales relacionados con la comisión de infracciones administrativas
que no conlleven amonestación pública al infractor en las solicitudes de acceso
a la información pública.>>
Y desde ahora dejamos
anticipado que no compartimos el parecer de la Sala del Tribunal de Cataluña y que,
en consecuencia, habremos de declarar haber lugar al presente recurso de
casación.
C) Régimen normativo
aplicable al caso.
El marco normativo en
el que se inserta la controversia y que es objeto de interpretación es el
siguiente:
Los artículos 14.2 y
15.1 de la Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la
Información Pública y Buen Gobierno disponen:
"Artículo 14.
Límites al derecho de acceso.
[...] 2. La aplicación de los límites será justificada y proporcionada a su objeto y finalidad de protección y atenderá a las circunstancias del caso concreto, especialmente a la concurrencia de un interés público o privado superior que justifique el acceso".
"Artículo 15.
Protección de datos personales.
1. Si la información solicitada contuviera datos personales que revelen la ideología, afiliación sindical, religión o creencias, el acceso únicamente se podrá autorizar en caso de que se contase con el consentimiento expreso y por escrito del afectado, a menos que dicho afectado hubiese hecho manifiestamente públicos los datos con anterioridad a que se solicitase el acceso.
Si la información incluyese datos personales que hagan referencia al origen racial, a la salud o a la vida sexual, incluyese datos genéticos o biométricos o contuviera datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor, el acceso solo se podrá autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquel estuviese amparado por una norma con rango de ley. "
Por su parte, los
artículos 1.1, 1.2 y 4 del Reglamento (UE) 2016/679, de 27 de abril, del
Parlamento Europeo y del Consejo, relativo a la protección de las personas
físicas en lo que se refiere al tratamiento de datos personales y a la libre
circulación de las personas y a la libre circulación de esos datos y por el que
se deroga la Directiva 95/46/CE; y 1 y 27.2 de la Ley Orgánica
3/2018, de 5 de diciembre, de protección de datos personales y garantía de los
derechos digitales disponen lo siguiente:
Artículos 1.1, 1.2 y 4
del Reglamento (UE) 2016/679, de 27 de abril, del Parlamento Europeo y del
Consejo, relativo a la protección de las personas físicas en lo que se refiere
al tratamiento de datos personales y a la libre circulación de las personas y a
la libre circulación de esos datos.
"Artículo 1.
Objeto
1. El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.
2. El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales".
"Artículo 4.
Definiciones.
A efectos del presente
Reglamento se entenderá por:
1) "datos
personales" : toda información sobre una persona física identificada o
identificable ("el interesado"); se considerará persona física
identificable toda persona cuya identidad pueda determinarse, directa o
indirectamente, en particular mediante un identificador, como por ejemplo un
nombre, un número de identificación , datos de localización, un identificador
en línea o uno o varios elementos propios de la identidad física, fisiológica,
genética, psíquica, económica, cultural o social de dicha persona;
2) "tratamiento”:
cualquier operación o conjunto de operaciones realizadas sobre datos personales
o conjuntos de datos personales, ya sea por procedimientos automatizados o no,
como la recogida, registro, organización, estructuración, conservación,
adaptación o modificación, extracción, consulta, utilización, comunicación por
transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo
o interconexión, limitación, supresión o destrucción;
3) "limitación del
tratamiento”: el marcado de los datos de carácter personal conservados con el
fin de limitar su tratamiento en el futuro;
4) "elaboración de
perfiles”: toda forma de tratamiento automatizado de datos personales
consistente en utilizar datos personales para evaluar determinados aspectos
personales de una persona física, en particular para analizar o predecir
aspectos relativos al rendimiento profesional, situación económica, salud,
preferencias personales, intereses, fiabilidad, comportamiento, ubicación o
movimientos de dicha persona física;
5)
"seudonimización”: el tratamiento de datos personales de manera tal que ya
no puedan atribuirse a un interesado sin utilizar información adicional,
siempre que dicha información adicional figure por separado y esté sujeta a
medidas técnicas y organizativas destinadas a garantizar que los datos
personales no se atribuyan a una persona física identificada o identificable;
6) "fichero”: todo
conjunto estructurado de datos personales, accesibles con arreglo a criterios
determinados, ya sea centralizado, descentralizado o repartido de forma
funcional o geográfica;
7) "responsable
del tratamiento" o "responsable”: la persona física o jurídica,
autoridad pública, servicio u otro organismo que, solo o junto con otros,
determine los fines y medios del tratamiento; si el Derecho de la Unión o de
los Estados miembros determina los fines y medios del tratamiento, el responsable
del tratamiento o los criterios específicos para su nombramiento podrá
establecerlos el Derecho de la Unión o de los Estados miembros;
8) "encargado del
tratamiento" o "encargado”: la persona física o jurídica, autoridad
pública, servicio u otro organismo que trate datos personales por cuenta del
responsable del tratamiento;
9) "destinatario”:
la persona física o jurídica, autoridad pública, servicio u otro organismo al
que se comuniquen datos personales, se trate o no de un tercero. No obstante,
no se considerarán destinatarios las autoridades públicas que puedan recibir
datos personales en el marco de una investigación concreta de conformidad con
el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos
por dichas autoridades públicas será conforme con las normas en materia de
protección de datos aplicables a los fines del tratamiento.
10) "tercero”:
persona física o jurídica, autoridad pública, servicio u organismo distinto del
interesado, del responsable del tratamiento, del encargado del tratamiento y de
las personas autorizadas para tratar los datos personales bajo la autoridad
directa del responsable o del encargado;
11)
"consentimiento del interesado”: toda manifestación de voluntad libre,
específica, informada e inequívoca por la que el interesado acepta, ya sea
mediante una declaración o una clara acción afirmativa, el tratamiento de datos
personales que le conciernen;
12) "violación de
la seguridad de los datos personales”: toda violación de la seguridad que
ocasione la destrucción, pérdida o alteración accidental o ilícita de datos
personales transmitidos, conservados o tratados de otra forma, o la
comunicación o acceso no autorizados a dichos datos;
13) "datos
genéticos”: datos personales relativos a las características genéticas
heredadas o adquiridas de una persona física que proporcionen una información
única sobre la fisiología o la salud de esa persona, obtenidos en particular
del análisis de una muestra biológica de tal persona;
14) "datos
biométricos”: datos personales obtenidos a partir de un tratamiento técnico
específico, relativos a las características físicas, fisiológicas o
conductuales de una persona física que permitan o confirmen la identificación
única de dicha persona, como imágenes faciales o datos dactiloscópicos;
15) "datos
relativos a la salud”: datos personales relativos a la salud física o mental de
una persona física, incluida la prestación de servicios de atención sanitaria,
que revelen información sobre su estado de salud;
16) "establecimiento
principal”:
a) en lo que se refiere
a un responsable del tratamiento con establecimientos en más de un Estado
miembro, el lugar de su administración central en la Unión, salvo que las
decisiones sobre los fines y los medios del tratamiento se tomen en otro
establecimiento del responsable en la Unión y este último establecimiento tenga
el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que
haya adoptado tales decisiones se considerará establecimiento principal;
b) en lo que se refiere
a un encargado del tratamiento con establecimientos en más de un Estado
miembro, el lugar de su administración central en la Unión o, si careciera de
esta, el establecimiento del encargado en la Unión en el que se realicen las
principales actividades de tratamiento en el contexto de las actividades de un
establecimiento del encargado en la medida en que el encargado esté sujeto a
obligaciones específicas con arreglo al presente Reglamento;
17) "representante”:
persona física o jurídica establecida en la Unión que, habiendo sido designada
por escrito por el responsable o el encargado del tratamiento con arreglo al
artículo 27, represente al responsable o al encargado en lo que respecta a sus
respectivas obligaciones en virtud del presente Reglamento;
18) "empresa “:
persona física o jurídica dedicada a una actividad económica,
independientemente de su forma jurídica, incluidas las sociedades o
asociaciones que desempeñen regularmente una actividad económica;
19) "grupo
empresarial”: grupo constituido por una empresa que ejerce el control y sus
empresas controladas;
20) "normas
corporativas vinculantes”: las políticas de protección de datos personales
asumidas por un responsable o encargado del tratamiento establecido en el
territorio de un Estado miembro para transferencias o un conjunto de
transferencias de datos personales a un responsable o encargado en uno o más
países terceros, dentro de un grupo empresarial o una unión de empresas
dedicadas a una actividad económica conjunta;
21) "autoridad de
control”: la autoridad pública independiente establecida por un Estado miembro
con arreglo a lo dispuesto en el artículo 51;
22) "autoridad de
control interesada”:
la autoridad de control
a la que afecta el tratamiento de datos personales debido a que:
a) el responsable o el
encargado del tratamiento está establecido en el territorio del Estado miembro
de esa autoridad de control;
b) los interesados que
residen en el Estado miembro de esa autoridad de control se ven sustancialmente
afectados o es probable que se vean sustancialmente afectados por el
tratamiento, o
c) se ha presentado una
reclamación ante esa autoridad de control;
23) "tratamiento
transfronterizo”:
a) el tratamiento de
datos personales realizado en el contexto de las actividades de
establecimientos en más de un Estado miembro de un responsable o un encargado
del tratamiento en la Unión, si el responsable o el encargado está establecido
en más de un Estado miembro, o
b) el tratamiento de
datos personales realizado en el contexto de las actividades de un único
establecimiento de un responsable o un encargado del tratamiento en la Unión,
pero que afecta sustancialmente o es probable que afecte sustancialmente a
interesados en más de un Estado miembro;
24) "objeción
pertinente y motivada" : la objeción a una propuesta de decisión sobre la
existencia o no de infracción del presente Reglamento, o sobre la conformidad
con el presente Reglamento de acciones previstas en relación con el responsable
o el encargado del tratamiento, que demuestre claramente la importancia de los
riesgos que entraña el proyecto de decisión para los derechos y libertades
fundamentales de los interesados y , en su caso, para la libre circulación de
datos personales dentro de la Unión;
25) "servicio de
la sociedad de la información”: todo servicio conforme a la definición del
artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento
Europeo y del Consejo (1);
26) "organización
internacional”: una organización internacional y sus entes subordinados de
Derecho internacional público o cualquier otro organismo creado mediante un
acuerdo entre dos o más países o en virtud de tal acuerdo."
Artículos 1 y 27.2 de
la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y
garantía de los derechos digitales:
"Artículo 1 Objeto de la ley.
La presente ley orgánica tiene por objeto:
a) Adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, y completar sus disposiciones.
b) El derecho fundamental de las personas físicas a la protección de datos personales, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica.
c) Garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución."
"Artículo 27.
Tratamiento de datos relativos a infracciones y sanciones administrativas.
(...)
2 Cuando no se cumpla
alguna de las condiciones previstas en el apartado anterior, los tratamientos
de datos referidos a infracciones y sanciones administrativas habrán de contar
con el consentimiento del interesado o estar autorizados por una norma con
rango de ley, en la que se regularán en su caso, garantías adicionales para los
derechos y libertades de los afectados".
D) Criterio del Tribunal Supremo sobre el alcance de los preceptos relacionados.
Pues bien, ante todo,
es oportuno precisar aquí que, como se desprende de los términos de la
controversia, lo que es objeto de debate es la afirmación de la Sala de
instancia que sostiene que el régimen jurídico de la protección de datos
personales es aplicable a las personas jurídicas, en el supuesto enjuiciado,
una fundación, titular de una residencia para personas mayores.
Considera la Sala de
Cataluña que la previsión del artículo 15.1 de la Ley 19/2013, de 9 de
diciembre, que contempla, el acceso a la información con datos sobre la
comisión de infracciones, sanciones administrativas que no conllevan
amonestación pública, es trasladable a la normativa de protección de datos:
artículos 1.1, 1.2 y 4 del Reglamento (UE) 2016/679, de 27 de abril, del
Parlamento Europeo y del Consejo y artículo 27.2 de la Ley Orgánica 3/2018, de
5 de diciembre, de protección de datos personales.
Pues bien, lleva razón
el Letrado de la Generalidad de Cataluña cuando sostiene que la meritada
regulación sobre protección de datos personales se constriñe a las personas
físicas y no incluye a las personas físicas. Planteamiento al que se ha unido
con posterioridad la Fundación aquí recurrida que en su escrito de oposición -y
en la vista oral- manifestó su conformidad con la tesis de la Generalidad sobre
el alcance de la normativa de la protección de datos.
La Ley Orgánica 3/2018,
de 5 de diciembre, de Protección de Datos y el Reglamento reseñado tienen por
objeto la protección de datos relativos a las personas físicas, como se
desprende de su articulado que expresamente se refiere a las personas físicas,
de modo que no cabe incluir en su ámbito de aplicación a las personas
jurídicas, que se encuentran excluidas de su ámbito de aplicación.
Ello nos lleva a
interpretar lo dispuesto en los artículos 27.2 de la Ley Orgánica de Protección
de Datos en relación con el artículo 15 de la Ley 19/2013, de Transparencia y
Acceso a la Información en el sentido de que el régimen específico previsto
para los datos en relación con la comisión de infracciones administrativas se
refiere en exclusiva a las personas físicas, en consonancia con la naturaleza
del derecho fundamental a la protección de datos como control del flujo de
informaciones que conciernen a cada persona (STC 11/1998, de 13 de enero) que garantiza,
en fin, el derecho de cada ciudadano al control de sus datos personales (STC
292/2000, de 30 de septiembre) y cuyo contenido se concreta en "el poder
de disposición y control sobre los datos personales que faculta a la persona a
decidir cuales de estos datos proporcionar, sea el Estado o un particular, o
cuáles puede este tercero recabar y, también permite al individuo saber quién
posee estos datos personales y para qué, pudiendo oponerse a esa posesión o
uso" (STC 76/2019, de 22 de mayo).
Por estas razones, cabe
considerar errónea la interpretación de la Sala de Cataluña que extiende la
aplicación de la normativa de la protección de datos a las personas jurídicas,
esto es, las considera titulares del derecho a la protección de datos, sin
fundamento legal que lo permita.
En efecto, con base en
tal entendimiento, la Sala acuerda la exclusión del acceso a la información en
relación con la comisión de una infracción administrativa de una persona
jurídica y ello genera una correlativa restricción del alcance del derecho de
acceso a la información pública, alterando la regulación legal vigente en
materia de infracciones administrativas que exige la debida ponderación de la
relevancia y el interés público en la información solicitada.
E) Conclusión.
1º) Sentadas las
anteriores conclusiones que nos llevan a la estimación del recurso de casación,
vemos que el escrito de interposición del recurso el Letrado de la Generalitat
interesa además de la estimación del recurso de casación y la anulación de la
Sentencia de instancia, la desestimación del recurso contencioso deducido en la
instancia, promovido por la Fundación Bell Repós frente al Acuerdo del GAIP
originalmente impugnado.
Pues bien, sucede que,
en el recurso de casación, el aludido Letrado de la Generalidad no plantea
alegaciones sustantivas referidas a la controversia en la instancia, que giró
en torno a los límites del acceso a la información. De modo que excluida la
argumentación asentada en la titularidad de la Fundación del derecho a la
protección de datos personales -tesis en la que la recurrida muestra su
conformidad- resta por examinar desde la perspectiva de las normas aplicables,
la Ley 19/2013 , de 9 de diciembre, sobre los límites y alcance del acceso a la
información en este concreto caso, que requiere una nueva ponderación de los
intereses y circunstancias concurrentes, debido a que la solución de la
instancia estuvo determinada por la equívoca aplicación de la normativa de
protección de datos. Al declararse la invalidez de la fundamentación jurídica
en relación a la Fundación entonces recurrente y el derecho de protección de
datos, es necesaria la devolución de las actuaciones a la Sala de instancia,
para que vuelva a analizar la cuestión suscitada teniendo en cuenta la doctrina
fijada por este Tribunal Supremo.
2º) Doctrina que se
fija.
De acuerdo con el
artículo 93.1 LJCA, esta Sala fija la interpretación de los artículos 14.2 y
15.1 de la Ley 19/2013, 1.1, 1.2 y 4 del Reglamento (UE) 2016/679 y 1 y 27.2 de
la Ley Orgánica 3/2018, estableciendo como doctrina que el límite al derecho de
acceso a la información pública relacionada con sanciones administrativas que
no conllevan la amonestación pública al infractor sólo se refiere a las
personas físicas sancionadas, con exclusión de las personas jurídicas.
www.gonzaleztorresabogados.com
928 244 935
No hay comentarios:
Publicar un comentario