Raquel Zuera Belsué
Administrativo
El derecho fundamental a la protección de datos personales deriva directamente de la Constitución y atribuye a los ciudadanos un poder de disposición sobre sus datos, de modo que, en base a su consentimiento, puedan disponer de los mismos. La Constitución Europea reconoce en dos ocasiones el derecho fundamental a la protección de datos. Asimismo, se establece que todos los países miembros de la Unión Europea deberán contar con una autoridad independiente que garantice y tutele tal derecho. La Ley Orgánica 3/2018, de 5 de diciembre, regula el derecho fundamental a la protección de datos y dispone que será la Agencia Española de Protección de Datos la encargada de tutelar y garantizar el derecho.
¿Qué implica dicho derecho? El reconocimiento al ciudadano de la facultad de controlar sus datos personales y la capacidad para disponer y decidir sobre los mismos. Por tanto, de dicha definición y del resto de regulación se infiere que los titulares de dicho derecho a la protección de datos de carácter personal son única y exclusivamente las personas físicas, no las personas jurídicas.
Sin embargo, el Tribunal Supremo, en su sentencia nº 547/2023 se ha visto conminado a resolver la siguiente cuestión de interés casacional objetivo para la formación de jurisprudencia planteada por la representación procesal de la Generalitat de Catalunya: determinar si es aplicable a las personas jurídicas la protección de datos personales relacionados con la comisión de infracciones administrativas que no conllevan amonestación pública al infractor en las solicitudes de acceso a la información pública.
Las normas objeto de interpretación son los artículos 14.2 y 15.1 de la Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno; los artículos 1.1., 1.2 y 4 del Reglamento (UE) 2016/679, de 27 de abril de 2016, del Parlamento Europeo y del Consejo, relativo a la Protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/45/CE (Reglamento General de Protección de Datos); y los artículos 1 y 27.2 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.
La Generalitat recurre en Casación la sentencia nº 3888/2021 de la Sección Quinta de la Sala de lo Contencioso-Administrativo del Tribunal Superior de Justicia, de 30 de septiembre de 2021 que considera que el contenido del artículo 15.1 de la Ley 19/2013, de 9 de diciembre, que contempla el acceso a la información con datos sobre la comisión de infracciones, sanciones administrativas que no conllevan amonestación pública, era trasladable a la normativa de protección de datos.
Así la Sala “a quo” acuerda la exclusión del acceso a la información en relación con la comisión de una infracción administrativa de una persona jurídica, lo que genera una correlativa restricción del alcance del derecho de acceso a la información pública, alterando la regulación legal vigente en la materia de infracciones administrativas que exige la debida ponderación de la relevancia y el interés público en la información solicitada.
El Tribunal Supremo, en la citada Resolución Judicial, realiza el siguiente razonamiento:
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y el Reglamento reseñado tienen por objeto la protección de datos relativos a las personas físicas, como se desprende de su articulado que expresamente se refiere a las personas físicas, de modo que no cabe incluir en su ámbito de aplicación a las personas jurídicas, que se encuentran excluidas del mismo.
Ello nos lleva a interpretar lo dispuesto en los artículos 27.2 de la Ley Orgánica de Protección de Datos en relación con el artículo 15 de la Ley 19/2013, de Transparencia y Acceso a la Información en el sentido de que el régimen específico previsto para los datos en relación con la comisión de infracciones administrativas se refiere en exclusiva a las personas físicas, en consonancia con la naturaleza del derecho fundamental a la protección de datos como control del flujo de informaciones que conciernen a cada persona (STC 11/1998, de 13 de enero) que garantiza, en fin, el derecho de cada ciudadano al control de sus datos personales y cuyo contenido se concreta en “el poder de disposición y control sobre los datos personales que faculta a la persona a decidir cuales de estos datos proporcionar, sea el Estado o un particular o cuales puede este tercero recabar y, también, permite al individuo saber quién posee estos datos personales y para qué, pudiendo oponerse a esta posesión o uso”.
Por estas razones, concluye el Tribunal Supremo que considera errónea la interpretación de la Sala del Tribunal Superior de Justicia de Catalunya y fija como doctrina la que sigue: “De acuerdo con el artículo 93.1 LJCA, esta Sala fija la interpretación de los artículos 14.2 y 15.1 de la Ley 19/2013, 1.1, 1.2 y 4 del Reglamento (UE) 2016/679 y 1 y 27.2 de la Ley Orgánica 3/2018, estableciendo como doctrina que el límite al derecho de acceso a la información pública relacionada con sanciones administrativas que no conllevan la amonestación pública al infracción sólo se refiere a las personas físicas sancionadas, con exclusión de las personas jurídicas.”
