Límites al uso de datos personales en expedientes tributarios
La importancia de la información para los avances tecnológicos de los últimos años y los desafíos que conlleva para la privacidad de las personas, ha convertido al derecho a la protección de datos personales en uno de los protagonistas estrella de los conflictos jurídicos que están surgiendo alrededor de las nuevas tecnologías, hasta el punto de haber sido calificado en algunos foros como el derecho fundamental del siglo XXI.
La información es, sin ninguna duda, la principal materia prima que las Administraciones tributarias necesitan para funcionar. Por ello, la eficiencia y eficacia de los sistemas tributarios se está viendo claramente favorecida por el desarrollo en la última década de los sistemas de tratamiento de la información, sistemas que constituyen las herramientas más importantes en las que se apoya una Administración tributaria moderna.
Por ello, el Derecho tributario no es ajeno al protagonismo jurídico del derecho a la protección de datos y en los últimos años hemos podido comprobar cómo se ha incrementado su invocación en relación a los procedimientos seguidos para la aplicación de los tributos.
Un ejemplo reciente de ello es el que llevó a la Sentencia 5692/2023 (ECLI:ES:TS:2023:5692) de 22 de noviembre, de la Sala de lo Contencioso-Administrativo del Tribunal Supremo.
Era objeto de recurso una resolución de la Directora de la Agencia Española de Protección de Datos que inadmitió una reclamación formulada contra la AEAT por vulneración de su obligación de proteger y mantener la confidencialidad de los datos personales del reclamante. El reclamante aducía que en un procedimiento de comprobación e inspección por IVA e IRPF seguido frente a otra persona (su nuera) se habían utilizado sus datos personales. En concreto, se hacía constar en los acuerdos de liquidación su nombre y apellidos, DNI, vínculos familiares con terceras personas y datos de carácter patrimonial y económicos.
El Tribunal Supremo se planteó (ATS 14736/2022 - ECLI:ES:TS:2022:14736ª), como cuestión de interés casacional, “si la actuación de la Agencia Estatal de la Administración Tributaria vulnera el artículo 8 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales con la inclusión de cualesquiera datos personales de terceras personas no interesadas en los procedimientos tributarios, y si su tratamiento en dichos procedimientos tiene la consideración de cesión de datos personales fundado en el cumplimiento de una obligación legal a los efectos de la vigente normativa de protección de datos”.
Para resolver la cuestión, parte de reconocer que los tratamientos de datos que realiza una Administración tributaria se hayan sometidos al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD).
En consecuencia, parte de afirmar que resulta de aplicación a dichos tratamientos el art. 6 del RGPD cuando determina los supuestos en los que un tratamiento de datos personales puede reputarse lícito, satisfaciendo, así, el primero de los principios establecidos en su art. 5 cuando exige que los datos personales sean tratados de manera lícita.
De entre los supuestos de licitud que establece el apartado 1 del art. 6 del RGPD, considera que pueden resultar de aplicación al tratamiento de datos personales por una Administración tributaria en sus funciones de aplicación del sistema tributario, los previstos en las letras c) “el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;” y e) “el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”, de modo que resultaría de aplicación lo previsto en el art. 8 de la LOPD cuando, para el primer caso, exige que dicha obligación se prevea en “una norma de Derecho de la Unión Europea o una norma con rango de ley” y, para el segundo caso, que “derive de una competencia atribuida por una norma con rango de ley”.
De acuerdo con lo señalado por el Tribunal Supremo, el tratamiento de datos personales realizado por la AEAT en los expedientes de aplicación de los tributos, es legítimo en cuanto supone, tanto el cumplimiento de una obligación legal referida a la gestión eficiente de la recaudación tributaria y a la persecución del fraude fiscal, que atiende a un objetivo de interés general, de acuerdo con lo dispuesto en los artículos 31 y 103 de la Constitución, como de motivar las resoluciones que adopte conforme a lo dispuesto en el art. 102.2 c) de la Ley 58/2003, de 17 de diciembre, General Tributaria (LGT).
No resulta baladí que la base de legitimación para el tratamiento sea el cumplimiento de una obligación legal (art. 6.1.c del RGPD) pues ello tiene como consecuencia que no quepa el ejercicio del derecho de oposición, que el art. 22 del RGPD circunscribe a los tratamientos basados en lo dispuesto en el artículo 6, apartado 1, letras e) o f).
No obstante, la licitud o legitimidad del tratamiento no es el único principio que debe respetar el tratamiento de datos personales, sino que el art. 5 del RGPD contempla otros principios puestos en cuestión, que el Tribunal Supremo considera que se respetaron en el caso enjuiciado.
Así, en el caso enjuiciado se respetó el principio de proporcionalidad o minimización de datos, pues los datos tratados eran adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que fueron tratados, esto es, la efectiva aplicación de los tributos, tal como dispone el artículo 5 de la LGT, en el marco de las competencias de la AEAT.
Tampoco se vulneró el principio de limitación de la finalidad, que en el ámbito tributario tiene un reconocimiento propio cuando el art. 34.1.i de la LGT reconoce el derecho de los contribuyentes al carácter reservado de sus datos, pues dicho precepto permite el uso de los datos por la Administración tributaria para la aplicación de los tributos o recursos cuya gestión tenga encomendada y para la imposición de sanciones, como ocurrió en el supuesto analizado.
Por último, no cabe tampoco apreciar una vulneración del principio de confidencialidad, que el art. 95 de la LGT impone específicamente a las Administraciones tributarias cuando declara reservados los datos, informes o antecedentes que hayan obtenido en el desempeño de sus funciones, pues los datos fueron utilizados, como indica dicho precepto, para la efectiva aplicación de los tributos o recursos cuya gestión tenga encomendada, siendo, por tanto, un tratamiento autorizado y lícito.
En consecuencia, no cabe dudar de que las Administraciones Tributarias están legitimadas para tratar, en el curso de la tramitación y resolución de los procedimientos de gestión, inspección o recaudación tributaria de los que son competentes, datos personales, incluso de terceros distintos al sujeto obligado tributario sometido al expediente administrativo, siempre, claro está, que ese tratamiento en el caso concreto sea idóneo, adecuado, pertinente y necesario para la determinación de los hechos y la motivación de las resoluciones que se adopten.