derechos fundamentales

Expulsadas las personas jurídicas del templo de la protección de datos

Es sabido que la protección de datos personales es un valor constitucional, legal (Ley Orgánica 3/2018) y comunitario (Reglamento -UE- 2016/679 de 27 de abril de 2016); la vulneración del régimen establecido comporta sanciones al infractor.

Pues bien, como regla general, cuando se sanciona a una persona física, no se admite el acceso de terceros a la identidad del infractor, para no lesionar la esfera derechos constitucionales conectados con el derecho a la propia imagen, las creencias o ideas, y en general la reputación personal. El artículo 15 de la Ley 19/2013, de Transparencia y Acceso a la Información establece que “Si la información incluyese datos personales que hagan referencia al origen racial, a la salud o a la vida sexual, incluyese datos genéticos o biométricos o contuviera datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor, el acceso solo se podrá autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquel estuviera amparado por una norma con rango de ley”. O sea, las personas sancionadas tienen derecho a que no verse perjudicadas por el conocimiento de terceros por curiosidad, malicia o afán divulgativo.

El problema se plantea en si este “escudo” protege solamente a las personas físicas, o a todas las personas, tanto físicas y jurídicas (ej. fundaciones, asociaciones, sociedades mercantiles, entidades varias, etcétera).

Pues bien, la Sala catalana en una reciente sentencia extendió el manto protector que ocultaba la identificación del infractor, a las personas jurídicas; en el caso planteado era una Fundación, y reconoció el derecho “en el sentido de que, de la información relativa a la sanción impuesta a la Fundación actora, debe excluirse su identificación, la del establecimiento de que es titular y su ubicación geográfica”- Sin embargo, la sala tercera del Tribunal Supremo revocó este criterio sentando doctrina casacional sobre esta precisa cuestión:

Si es aplicable a las personas jurídicas la protección de datos personales relacionados con la comisión de infracciones administrativas que no conlleven amonestación pública al infractor en las solicitudes de acceso a la información pública.

La Sala razona en la reciente sentencia de 4 de mayo de 2023 (rec. 1200/2022):

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y el Reglamento reseñado tienen por objeto la protección de datos relativos a las personas físicas, como se desprende de su articulado que expresamente se refiere a las personas físicas, de modo que no cabe incluir en su ámbito de aplicación a las personas jurídicas, que se encuentran excluidas de su ámbito de aplicación.

Y concluye:

Ello nos lleva a interpretar lo dispuesto en los artículos 27.2 de la Ley Orgánica de Protección de Datos en relación con el artículo 15 de la Ley 19/2013, de Transparencia y Acceso a la Información en el sentido de que el régimen específico previsto para los datos en relación con la comisión de infracciones administrativas se refiere en exclusiva a las personas físicas, en consonancia con la naturaleza del derecho fundamental a la protección de datos como control del flujo de informaciones que conciernen a cada persona (STC 11/1998, de 13 de enero) que garantiza, en fin, el derecho de cada ciudadano al control de sus datos personales (STC 292/2000, de 30 de septiembre) y cuyo contenido se concreta en «el poder de disposición y control sobre los datos personales que faculta a la persona a decidir cuales de estos datos proporcionar, sea el Estado o un particular, o cuáles puede este tercero recabar y, también permite al individuo saber quién posee estos datos personales y para qué, pudiendo oponerse a esa posesión o uso» (STC 76/2019, de 22 de mayo ).

Por estas razones, cabe considerar errónea la interpretación de la Sala de Cataluña que extiende la aplicación de la normativa de la protección de datos a las personas jurídicas, esto es, las considera titulares del derecho a la protección de datos, sin fundamento legal que lo permita. En efecto, con base en tal entendimiento, la Sala acuerda la exclusión del acceso a la información en relación con la comisión de una infracción administrativa de una persona jurídica y ello genera una correlativa restricción del alcance del derecho de acceso a la información pública, alterando la regulación legal vigente en materia de infracciones administrativas que exige la debida ponderación de la relevancia y el interés público en la información solicitada.

En suma, la sala tercera se hace eco de algo notorio, que el régimen europeo de protección de datos personales se aplica únicamente a los datos de personas físicas, sin que se imponga a los datos sobre empresas ni ninguna otra persona jurídica, aunque eso sí, como advierte la propia Comisión, la información relacionada con empresas unipersonales puede constituir datos personales cuando permita la identificación de una persona física.

No obstante, bien está que quede clara la doctrina casacional, que excluye a las personas jurídicas de esta protección, aunque lege ferenda, quedan cuestiones en el aire. Una primera cuestión -de naturaleza teórica- que apuntaría tímidamente a extender tal protección (+) relativa al alcance del derecho a la intimidad de las personas jurídicas (reconocido por el propio Tribunal Constitucional y por el Tribunal Europeo de Derechos Humanos), y para sortear el ámbito subjetivo de la normativa legal, podría plantearse no ya la aplicación directa y literal de la norma, sino la mera aplicación analógica, por si pudieren existir razones que pueden compartirse en no facilitar la identidad de una persona física con la de no facilitarla de una persona jurídica.

Y una segunda cuestión, -de naturaleza empírica- que podría apuntalar la negativa de la protección (-), relativa a que si se extendiese esta protección a personas jurídicas, no faltarían personas físicas que las constituirían mirando de soslayo el beneficio de la opacidad de sus infracciones, que se excluirían de la transparencia.

Sin embargo, más allá de lo opinable, está lo sentado como cosa juzgada, y si además es doctrina casacional… punto redondo.

Finalmente, en conexión con esta materia, hemos de recordar la prerrogativa de las Administraciones públicas que no son multadas económicamente por las infracciones sobre protección de datos, por aquello de «no morderse la cola», o sea, que no se multe a la Administración y esa multa la pague la propia Administración (o sea, los ciudadanos). Curioso argumento cuando existen infinidad de multas previstas en leyes sectoriales que afectan a los presupuestos de las Administraciones infractoras.

Lo cierto es que el art.77 de la Ley Orgánica de Protección de Datos, de 2018, establece en el “Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento” (órganos constitucionales, administraciones públicas y grupos parlamentarios) que solo caben penas veniales y colaterales. pero no multas pecuniarias (esto es, apercibimiento, actuaciones disciplinarias, amonestación y publicación en la web (el art. 77.2 excluye la multa, que sería admisible conforme al derecho europeo si lo quiere el Estado). Es cierto que el contrapeso de esta singular prerrogativa radica en la garantía de la divulgación pública y crítica política de la Administración, desnuda ante los medios de comunicación y controles de gobierno. Pero sin multa económica, o sea, sin un factor para disuadir de infracciones.

En fin, se ve que todos son iguales ante la Ley pero unos más iguales que otros.

2 comments on “Expulsadas las personas jurídicas del templo de la protección de datos

  1. Me permitirá que difiera de su criterio.
    «la información relacionada con empresas unipersonales puede constituir datos personales cuando permita la identificación de una persona física.»
    Los datos del administrador o socio único de una empresa es de por si n dato público en el registro de la propiedad. «la identificación» no es dato personal protegido.

  2. Galán de Mora Abogados Barcelona

    A mi, en general, me parece acertado excluir a las personas jurídicas de la privacidad que debe garantizarse a las personas físicas. Respecto a la unipersonalidad de las empresas, parece asociar empresa unipersonal con persona física, cuestión que parece extenderse a muchos ámbitos, como en el caso de la Hacienda Pública, y que, a mi juicio, no es del todo correcto. Habría que analizar y definir mejor como tratar a las sociedad Unipersonales.

Gracias por comentar con el fin de mejorar

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: