La protección de datos de carácter personal, ¿es aplicable a las personas jurídicas?
"Protección de datos de las personas jurídicas"
(Foto: E&J)
La protección de datos de carácter personal, ¿es aplicable a las personas jurídicas?
"Protección de datos de las personas jurídicas"
(Foto: E&J)
En los últimos años, cada vez con más fuerza, nos encontramos en distintos ámbitos y concretamente, en el Derecho Administrativo con la llamada “protección de datos”.
Esta última disciplina, recoge el conjunto de medidas para garantizar y proteger los datos de carácter personal que sean susceptibles de tratamiento, así como a toda modalidad de uso posterior de estos datos por los sectores público y privado.
Con la incursión del Reglamento Europeo de Protección de Datos y su respectiva transposición a la legislación española (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales), esta área ha cobrado central trascendencia, siendo múltiples los sectores que han tenido que adecuar sus políticas a la nueva reglamentación en protección de datos para no ser sancionados.
La ciudadanía también ha sido consciente y se ha percatado de la importancia que tienen la protección de sus datos personales, sobre todo en los últimos tiempos con las aplicaciones de móvil, banca electrónica y multitud de webs que en el día a día podemos llegar a utilizar.
Pues bien, en este marco, el pasado mes, el Tribunal Supremo dictó una Sentencia que ha pasado casi desapercibida pero que tiene notables efectos prácticos en materia de protección de datos.
Se trata de la Sentencia núm. 547/2023 de la Sala tercera del Tribunal Supremo de 4 de mayo de 2023 (rec.1200/2022), dictada por la Sección Tercera, siendo la magistrada ponente la Ilustrísima Sra. Dña. María Isabel Perelló Doménech.
La Sentencia plantea como cuestión de interés casacional si es aplicable a las personas jurídicas la protección de datos personales; en el caso analizado, datos relacionados con la comisión de infracciones administrativas.
Y es que la sentencia del Tribunal Superior de Justicia de Cataluña, de 30 de septiembre de 2021, de la Sección Quinta de la Sala de lo Contencioso-Administrativo, había resuelto que, de una sanción administrativa impuesta a la Fundación actora, se excluyera su identificación, es decir, su nombre, la del establecimiento de que es titular y su ubicación geográfica, y si hubiera sido ya librada indebidamente esa información, no se hiciera uso de la misma.
Concretamente, el caso planteado era el de una periodista que había solicitado información al Departamento de Trabajo, Asuntos Sociales y Familias de la Generalitat Catalana, sobre sanciones impuestas a residencias para mayores, públicas, privadas y concertadas, ubicadas en Cataluña, en un determinado periodo (solicitando el nombre de la residencia, motivo de la sanción, importe y fecha).
El citado Departamento había emitido la información solicitada, recurriendo al TSJ de Cataluña una Fundación, que solicitaba excluir sus datos de la referida información.
El Tribunal autonómico daba la razón a la Fundación, estimando que, de la información, se excluyera la identificación de la misma: su nombre, la del establecimiento de que era titular y su ubicación geográfica.
La Generalitat catalana recurría en casación la referida resolución, planteando como cuestión de interés casacional, la protección de datos personales de las personas jurídicas en materia de infracciones administrativas.
Nuestro más alto Tribunal dispone en la meritada Sentencia lo siguiente:
“La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y el Reglamento reseñado tienen por objeto la protección de datos relativos a las personas físicas, como se desprende de su articulado que expresamente se refiere a las personas físicas, de modo que no cabe incluir en su ámbito de aplicación a las personas jurídicas, que se encuentran excluidas de su ámbito de aplicación.
Y continúa:
“Ello nos lleva a interpretar lo dispuesto en los artículos 27.2 de la Ley Orgánica de Protección de Datos en relación con el artículo 15 de la Ley 19/2013, de Transparencia y Acceso a la Información en el sentido de que el régimen específico previsto para los datos en relación con la comisión de infracciones administrativas se refiere en exclusiva a las personas físicas, en consonancia con la naturaleza del derecho fundamental a la protección de datos como control del flujo de informaciones que conciernen a cada persona (STC 11/1998, de 13 de enero) que garantiza, en fin, el derecho de cada ciudadano al control de sus datos personales (STC 292/2000, de 30 de septiembre) y cuyo contenido se concreta en ‘el poder de disposición y control sobre los datos personales que faculta a la persona a decidir cuáles de estos datos proporcionar, sea el Estado o un particular, o cuáles puede este tercero recabar, y también permite al individuo saber quién posee estos datos personales y para qué, pudiendo oponerse a esa posesión o uso’ (STC 76/2019, de 22 de mayo).”.
El Tribunal Supremo concluye: “Por estas razones, cabe considerar errónea la interpretación de la Sala de Cataluña que extiende la aplicación de la normativa de la protección de datos a las personas jurídicas, esto es, las considera titulares del derecho a la protección de datos, sin fundamento legal que lo permita.”
En este sentido, entiende la Sala que no es posible restringir el alcance del derecho de acceso a la información pública en lo que a la comisión de la infracción administrativa por una persona jurídica se refiere.
No debemos olvidar, nos recuerda el Tribunal, la necesaria ponderación de la relevancia y el interés público en la información solicitada.
En consecuencia, se establece como doctrina que el límite al derecho de acceso a la información pública relacionada con sanciones administrativas que no conllevan la amonestación pública al infractor, sólo se refiere a las personas físicas sancionadas, con exclusión de las personas jurídicas.