Buscar este blog

miércoles, 24 de mayo de 2023

No cabe extender la normativa de la protección de datos a las personas jurídicas pues no son titulares del derecho a la protección de datos personales al no haber fundamento legal que lo permita.

 

La sentencia de la Sala de lo Contencioso Administrativo del Tribunal Supremo, sec. 3ª, de 4 de mayo de 2023, nº 547/2023, rec. 1200/2022, establece como doctrina que las personas jurídicas o empresas no son titulares del derecho a la protección de datos personales.

A las personas jurídicas no se les aplica la protección de datos personales relacionados con la comisión de infracciones administrativas que no conlleven amonestación pública al infractor en las solicitudes de acceso a la información pública.

Por ello, no cabe extender la normativa de la protección de datos a las personas jurídicas, no son titulares del derecho a la protección de datos personales, al no haber fundamento legal que lo permita.

El Supremo, aplicando los artículos 14.2 y 15.1 de la Ley 19/2013, 1.1, 1.2 y 4 del Reglamento (UE) 2016/679 y 1 y 27.2 de la Ley Orgánica 3/2018, establece como doctrina que el límite al derecho de acceso a la información pública relacionada con sanciones administrativas que no conllevan la amonestación pública al infractor sólo se refiere a las personas físicas sancionadas, con exclusión de las personas jurídicas.

A) Antecedentes.

Se interpone por la Generalidad de Cataluña el presente recurso de casación nº 1200/2022 contra la sentencia dictada por la Sección Quinta de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 30 de septiembre de 2021 (recurso nº 1884/2020) en la que se estima en parte el recurso contencioso-administrativo interpuesto por la "Fundación Privada Residencia Bell Repós de Súria" contra la resolución nº 164/2020 de la Comisión de Garantía del Derecho de Acceso a la Información Pública (en adelante, GAIP) de 27 de febrero de 2020.

Esta última resolución acordó estimar en parte la reclamación nº 804/2020 y declaró el derecho de la periodista reclamante al acceso a la información solicitada relativa a las sanciones impuestas durante el período 2014 a 2018 a residencias para personas mayores, públicas o privadas, ubicadas en la aludida Comunidad Autónoma de acuerdo con ciertas limitaciones (7) que se determinan en su parte dispositiva.

Disconforme con dicha decisión, por la reseñada Fundación Bel Repós de Súria se promovió recurso contencioso-administrativo ante la Sala de este orden del Tribunal Superior de Justicia, que dicta Sentencia de fecha 30 de septiembre de 2021, objeto del presente recurso de casación.

En su parte dispositiva la Sala acuerda estimar parcialmente el recurso deducido, y anula parcialmente la resolución del GAIP, "en el sentido de que en la información relativa a la sanción impuesta a la Fundación debe excluirse su identificación, es decir su nombre, la del establecimiento de que es titular y su ubicación geográfica ", en aplicación del artículo 15.1 de la Ley 19/2013, de 9 de diciembre.

Las razones que sustentan el pronunciamiento de estimación parcial del recurso figuran en el Fundamento Jurídico 5º, con el siguiente tenor literal:

<<(...) De los dos preceptos legales que se acaban de transcribir se colige que la protección de datos personales relacionados con la comisión de infracciones administrativas que no conlleven amonestación pública se sitúa al mismo nivel que los relativos a la ideología, la afiliación sindical, la religión, las creencias, el origen racial, la salud y la vida sexual, y la comisión de infracciones generales.

Por tanto, en supuestos como el presente y en concreto, en las circunstancias de la Fundación actora, no cabe desvelar su identidad como sancionada, como límite normativo de rango legal a los derechos de transparencia y acceso a la información pública a que se contraen las reiteradas Ley 19/13 y LP 19/2014.

No obstante, esa limitación en cuanto a la identificación de la sancionada, los reseñados derechos se preservan mediante la "disociación de los datos de carácter personal de modo que se impida la identificación de las personas afectadas" y el "acceso parcial previa omisión de la información afectada por el límite" (arts. 15.4 y 15 de la Ley 19/13).

Procede por todo ello, con estimación parcial del presente recurso contencioso, y en congruencia por demás con la medida cautelar adoptada en su momento en la pieza separada de este proceso, anular parcialmente la resolución impugnada, en el sentido de que, de la información relativa a la sanción impuesta a la Fundación actora, debe excluirse su identificación, la del establecimiento de que es titular y su ubicación geográfica.

Debiendo adoptarse adicionalmente las medidas necesarias para que, de haber sido librada indebidamente, como se apunta en el proceso, la información concernida por la limitación aquí reconocida, no se haga uso de la misma.

Con evidencia, la Fundación actora carece de legitimación para defender los derechos de las restantes residencias afectadas que deberán dilucidarse en los procesos que hayan instado, a la vista de las circunstancias concurrentes en cada caso. >>.

En el escrito de interposición del recurso de casación la Generalidad de Cataluña considera infringidos los artículos 14.2 y 15.1 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno; arts. 1.1, 1.2 y 4 del Reglamento (UE) 2016/679 de 27 de abril de 2016, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de  protección de datos); y 1 y 27.2 de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Afirmando que con la interposición del recurso de casación que se prepara se pretende que el Tribunal Supremo establezca como doctrina que el límite al derecho de acceso a la información pública relacionada con sanciones administrativas sólo se refiere a las personas físicas sancionadas, con exclusión de las personas jurídicas, en aplicación de los artículos citados. Invoca como justificación del interés casacional objetivo los artículos 88.2 b) y 88.2 c) de la Ley Jurisdiccional 29/1998 (LJCA). 

Aduce, asimismo, la circunstancia prevista en el art. 88.3.a) de la LJCA, por cuanto considera que no existe jurisprudencia en relación con las sanciones administrativas impuestas a personas jurídicas que determine que en estos casos está plenamente vigente el derecho de acceso a la información pública, previa ponderación de los intereses en conflicto, y que, en relación con esta cuestión, haya sentado que el límite al acceso fundado en la protección de los datos de carácter personal solamente se predica de las personas físicas y no de las personas jurídicas.

B) La cuestión que reviste interés casacional objetivo.

Procede entonces que entremos a examinar las cuestiones suscitadas en casación y , en particular, la señalada en el auto de la Sección Primera de esta Sala de 11 de mayo de 2022, en el que se declara que la cuestión planteada en el recurso que presenta interés casacional objetivo para la formación de la jurisprudencia consiste en determinar <<si es aplicable a las personas jurídicas la protección de datos personales relacionados con la comisión de infracciones administrativas que no conlleven amonestación pública al infractor en las solicitudes de acceso a la información pública.>>

Y desde ahora dejamos anticipado que no compartimos el parecer de la Sala del Tribunal de Cataluña y que, en consecuencia, habremos de declarar haber lugar al presente recurso de casación.

C) Régimen normativo aplicable al caso.

El marco normativo en el que se inserta la controversia y que es objeto de interpretación es el siguiente:

Los artículos 14.2 y 15.1 de la Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno disponen:

"Artículo 14. Límites al derecho de acceso.

[...] 2. La aplicación de los límites será justificada y proporcionada a su objeto y finalidad de protección y atenderá a las circunstancias del caso concreto, especialmente a la concurrencia de un interés público o privado superior que justifique el acceso".

"Artículo 15. Protección de datos personales.

1. Si la información solicitada contuviera datos personales que revelen la ideología, afiliación sindical, religión o creencias, el acceso únicamente se podrá autorizar en caso de que se contase con el consentimiento expreso y por escrito del afectado, a menos que dicho afectado hubiese hecho manifiestamente públicos los datos con anterioridad a que se solicitase el acceso.

Si la información incluyese datos personales que hagan referencia al origen racial, a la salud o a la vida sexual, incluyese datos genéticos o biométricos o contuviera datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor, el acceso solo se podrá autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquel estuviese amparado por una norma con rango de ley. "

Por su parte, los artículos 1.1, 1.2 y 4 del Reglamento (UE) 2016/679, de 27 de abril, del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que se refiere al tratamiento de datos personales y a la libre circulación de las personas y a la libre circulación de esos datos y por el que se deroga la Directiva 95/46/CE; y 1 y 27.2 de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales disponen lo siguiente:

Artículos 1.1, 1.2 y 4 del Reglamento (UE) 2016/679, de 27 de abril, del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que se refiere al tratamiento de datos personales y a la libre circulación de las personas y a la libre circulación de esos datos.

"Artículo 1. Objeto

1. El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.

2. El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales".

"Artículo 4. Definiciones.

A efectos del presente Reglamento se entenderá por:

1) "datos personales" : toda información sobre una persona física identificada o identificable ("el interesado"); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación , datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

2) "tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

3) "limitación del tratamiento”: el marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro;

4) "elaboración de perfiles”: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;

5) "seudonimización”: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;

6) "fichero”: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;

7) "responsable del tratamiento" o "responsable”: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;

8) "encargado del tratamiento" o "encargado”: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;

9) "destinatario”: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento.

10) "tercero”: persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado;

11) "consentimiento del interesado”: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen;

12) "violación de la seguridad de los datos personales”: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos;

13) "datos genéticos”: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona;

14) "datos biométricos”: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;

15) "datos relativos a la salud”: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud;

16) "establecimiento principal”:

a) en lo que se refiere a un responsable del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se considerará establecimiento principal;

b) en lo que se refiere a un encargado del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión o, si careciera de esta, el establecimiento del encargado en la Unión en el que se realicen las principales actividades de tratamiento en el contexto de las actividades de un establecimiento del encargado en la medida en que el encargado esté sujeto a obligaciones específicas con arreglo al presente Reglamento;

17) "representante”: persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud del presente Reglamento;

18) "empresa “: persona física o jurídica dedicada a una actividad económica, independientemente de su forma jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una actividad económica;

19) "grupo empresarial”: grupo constituido por una empresa que ejerce el control y sus empresas controladas;

20) "normas corporativas vinculantes”: las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta;

21) "autoridad de control”: la autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 51;

22) "autoridad de control interesada”:

la autoridad de control a la que afecta el tratamiento de datos personales debido a que:

a) el responsable o el encargado del tratamiento está establecido en el territorio del Estado miembro de esa autoridad de control;

b) los interesados que residen en el Estado miembro de esa autoridad de control se ven sustancialmente afectados o es probable que se vean sustancialmente afectados por el tratamiento, o

c) se ha presentado una reclamación ante esa autoridad de control;

23) "tratamiento transfronterizo”:

a) el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro, o

b) el tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro;

24) "objeción pertinente y motivada" : la objeción a una propuesta de decisión sobre la existencia o no de infracción del presente Reglamento, o sobre la conformidad con el presente Reglamento de acciones previstas en relación con el responsable o el encargado del tratamiento, que demuestre claramente la importancia de los riesgos que entraña el proyecto de decisión para los derechos y libertades fundamentales de los interesados y , en su caso, para la libre circulación de datos personales dentro de la Unión;

25) "servicio de la sociedad de la información”: todo servicio conforme a la definición del artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (1);

26) "organización internacional”: una organización internacional y sus entes subordinados de Derecho internacional público o cualquier otro organismo creado mediante un acuerdo entre dos o más países o en virtud de tal acuerdo."

Artículos 1 y 27.2 de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales:

"Artículo 1 Objeto de la ley.

La presente ley orgánica tiene por objeto:

a) Adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, y completar sus disposiciones.

b) El derecho fundamental de las personas físicas a la protección de datos personales, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica.

c) Garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución."

"Artículo 27. Tratamiento de datos relativos a infracciones y sanciones administrativas.

(...)

2 Cuando no se cumpla alguna de las condiciones previstas en el apartado anterior, los tratamientos de datos referidos a infracciones y sanciones administrativas habrán de contar con el consentimiento del interesado o estar autorizados por una norma con rango de ley, en la que se regularán en su caso, garantías adicionales para los derechos y libertades de los afectados".

D) Criterio del Tribunal Supremo sobre el alcance de los preceptos relacionados.

Pues bien, ante todo, es oportuno precisar aquí que, como se desprende de los términos de la controversia, lo que es objeto de debate es la afirmación de la Sala de instancia que sostiene que el régimen jurídico de la protección de datos personales es aplicable a las personas jurídicas, en el supuesto enjuiciado, una fundación, titular de una residencia para personas mayores.

Considera la Sala de Cataluña que la previsión del artículo 15.1 de la Ley 19/2013, de 9 de diciembre, que contempla, el acceso a la información con datos sobre la comisión de infracciones, sanciones administrativas que no conllevan amonestación pública, es trasladable a la normativa de protección de datos: artículos 1.1, 1.2 y 4 del Reglamento (UE) 2016/679, de 27 de abril, del Parlamento Europeo y del Consejo y artículo 27.2 de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales.

Pues bien, lleva razón el Letrado de la Generalidad de Cataluña cuando sostiene que la meritada regulación sobre protección de datos personales se constriñe a las personas físicas y no incluye a las personas físicas. Planteamiento al que se ha unido con posterioridad la Fundación aquí recurrida que en su escrito de oposición -y en la vista oral- manifestó su conformidad con la tesis de la Generalidad sobre el alcance de la normativa de la protección de datos.

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y el Reglamento reseñado tienen por objeto la protección de datos relativos a las personas físicas, como se desprende de su articulado que expresamente se refiere a las personas físicas, de modo que no cabe incluir en su ámbito de aplicación a las personas jurídicas, que se encuentran excluidas de su ámbito de aplicación.

Ello nos lleva a interpretar lo dispuesto en los artículos 27.2 de la Ley Orgánica de Protección de Datos en relación con el artículo 15 de la Ley 19/2013, de Transparencia y Acceso a la Información en el sentido de que el régimen específico previsto para los datos en relación con la comisión de infracciones administrativas se refiere en exclusiva a las personas físicas, en consonancia con la naturaleza del derecho fundamental a la protección de datos como control del flujo de informaciones que conciernen a cada persona (STC 11/1998, de 13 de enero) que garantiza, en fin, el derecho de cada ciudadano al control de sus datos personales (STC 292/2000, de 30 de septiembre) y cuyo contenido se concreta en "el poder de disposición y control sobre los datos personales que faculta a la persona a decidir cuales de estos datos proporcionar, sea el Estado o un particular, o cuáles puede este tercero recabar y, también permite al individuo saber quién posee estos datos personales y para qué, pudiendo oponerse a esa posesión o uso" (STC 76/2019, de 22 de mayo).

Por estas razones, cabe considerar errónea la interpretación de la Sala de Cataluña que extiende la aplicación de la normativa de la protección de datos a las personas jurídicas, esto es, las considera titulares del derecho a la protección de datos, sin fundamento legal que lo permita.

En efecto, con base en tal entendimiento, la Sala acuerda la exclusión del acceso a la información en relación con la comisión de una infracción administrativa de una persona jurídica y ello genera una correlativa restricción del alcance del derecho de acceso a la información pública, alterando la regulación legal vigente en materia de infracciones administrativas que exige la debida ponderación de la relevancia y el interés público en la información solicitada.

E) Conclusión.

1º) Sentadas las anteriores conclusiones que nos llevan a la estimación del recurso de casación, vemos que el escrito de interposición del recurso el Letrado de la Generalitat interesa además de la estimación del recurso de casación y la anulación de la Sentencia de instancia, la desestimación del recurso contencioso deducido en la instancia, promovido por la Fundación Bell Repós frente al Acuerdo del GAIP originalmente impugnado.

Pues bien, sucede que, en el recurso de casación, el aludido Letrado de la Generalidad no plantea alegaciones sustantivas referidas a la controversia en la instancia, que giró en torno a los límites del acceso a la información. De modo que excluida la argumentación asentada en la titularidad de la Fundación del derecho a la protección de datos personales -tesis en la que la recurrida muestra su conformidad- resta por examinar desde la perspectiva de las normas aplicables, la Ley 19/2013 , de 9 de diciembre, sobre los límites y alcance del acceso a la información en este concreto caso, que requiere una nueva ponderación de los intereses y circunstancias concurrentes, debido a que la solución de la instancia estuvo determinada por la equívoca aplicación de la normativa de protección de datos. Al declararse la invalidez de la fundamentación jurídica en relación a la Fundación entonces recurrente y el derecho de protección de datos, es necesaria la devolución de las actuaciones a la Sala de instancia, para que vuelva a analizar la cuestión suscitada teniendo en cuenta la doctrina fijada por este Tribunal Supremo.

2º) Doctrina que se fija.

De acuerdo con el artículo 93.1 LJCA, esta Sala fija la interpretación de los artículos 14.2 y 15.1 de la Ley 19/2013, 1.1, 1.2 y 4 del Reglamento (UE) 2016/679 y 1 y 27.2 de la Ley Orgánica 3/2018, estableciendo como doctrina que el límite al derecho de acceso a la información pública relacionada con sanciones administrativas que no conllevan la amonestación pública al infractor sólo se refiere a las personas físicas sancionadas, con exclusión de las personas jurídicas.

www.gonzaleztorresabogados.com

928 244 935




No hay comentarios: