Límits a l'ús de dades personals en expedients tributaris
La importància de la informació per als avenços tecnològics dels últims anys i els desafiaments que comporta per a la privacitat de les persones, ha convertit al dret a la protecció de dades personals en un dels protagonistes estrella dels conflictes jurídics que estan sorgint al voltant de les noves tecnologies, fins al punt d'haver estat qualificat en alguns fòrums com el dret fonamental del segle XXI.
La informació és, sense cap dubte, la principal primera matèria que les Administracions tributàries necessiten per funcionar. Per això, l'eficiència i eficàcia dels sistemes tributaris s'està veient clarament afavorida pel desenvolupament en l'última dècada dels sistemes de tractament de la informació, sistemes que constitueixen les eines més importants en les que es basa una Administració tributària moderna.
Per això, el Dret tributari no és aliè al protagonisme jurídic del dret a la protecció de dades i en els últims anys hem pogut comprovar com s'ha incrementat la seva invocació en relació amb els procediments seguits per a l'aplicació dels tributs.
Un exemple recent d'això és el que va portar a la Sentència 5692/2023 (ECLI: ÉS: TS: 2023:5692) de 22 de novembre, de la Sala Contenciosa Administrativa del Tribunal Suprem.
Era objecte de recurs una resolució de la Directora de l'Agència Espanyola de Protecció de Dades que va inadmetre una reclamació formulada contra l'AEAT per vulneració de la seva obligació de protegir i mantenir la confidencialitat de les dades personals del reclamant. El reclamant adduïa que en un procediment de comprovació i inspecció per IVA i IRPF seguit davant una altra persona (la seva jove) s'havien utilitzat les seves dades personals. En concret, es feia constar en els acords de liquidació el seu nom i cognoms, DNI, vincles familiars amb terceres persones i dades de caràcter patrimonial i econòmics.
El Tribunal Suprem es va plantejar (ATS 14736/2022 - ECLI: ÉS: TS: 2022:14736ª), com qüestió d'interès cassacional , “si l'actuació de l'Agència Estatal de l'Administració Tributària vulnera l'article 8 de la Llei orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals amb la inclusió de qualssevol dades personals de terceres persones no interessades en els procediments tributaris, i si el seu tractament en aquests procediments té la consideració de cessió de dades personals fundat en el compliment d'una obligació legal als efectes de la vigent normativa de protecció de dades”.
Per resoldre la qüestió, part de reconèixer que els tractaments de dades que realitza una Administració tributària s'hagin sotmesos al Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades (RGPD) i a la Llei orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals (LOPD).
En conseqüència, part d'afirmar que resulta d'aplicació a aquests tractaments l'art.6 del RGPD quan determina els supòsits en els que un tractament de dades personals pot reputar-se lícit, satisfent, així, el primer dels principis establerts en el seu art. 5 quan exigeix que les dades personals siguin tractats de manera lícita.
D'entre els supòsits de licitud que estableix l'apartat 1 de l'art.6 del RGPD, considera que poden resultar d'aplicació al tractament de dades personals per una Administració tributària en les seves funcions d'aplicació del sistema tributari, els previstos en les lletres c) “el tractament és necessari per al compliment d'una obligació legal aplicable al responsable del tractament;” i e) “el tractament és necessari per al compliment d'una missió realitzada en interès públic o en l'exercici de poders públics conferits al responsable del tractament”, de manera que resultaria d'aplicació el que preveu l'art.8 de la LOPD quan, per al primer cas, exigeix que aquesta obligació es prevegi en “una norma de Dret de la Unió Europea o una norma amb rang de llei” i, per al segon cas, que “derivi d'una competència atribuïda per una norma amb rang de llei”.
D'acord amb el que ha assenyalat pel Tribunal Suprem, el tractament de dades personals realitzat per l'AEAT en els expedients d'aplicació dels tributs, és legítim quant suposa, tant el compliment d'una obligació legal referida a la gestió eficient de la recaptació tributària i a la persecució del frau fiscal, que atén a un objectiu d'interès general, d'acord amb el que disposen els articles 31 i 103 de la Constitució, com de motivar les resolucions que adopti conforme al que disposa l'art.102.2 c) de la Llei 58/2003, de 17 de desembre, General Tributària (LGT).
No resulta intranscendent que la base de legitimació per al tractament sigui el compliment d'una obligació legal (art. 6.1.c del RGPD) doncs això té com a conseqüència que no càpiga l'exercici del dret d'oposició, que l'art.22 del RGPD circumscriu als tractaments basats en el que disposa l'article 6, apartat 1, lletres e) o f).
No obstant això, la licitud o legitimitat del tractament no és l'únic principi que ha de respectar el tractament de dades personals, sinó que l'art.5 del RGPD té en compte altres principis llocs en qüestió, que el Tribunal Suprem considera que es van respectar en el cas enjudiciat.
Així, en el cas enjudiciat es va respectar el principi de proporcionalitat o minimització de dades, doncs les dades tractats eren adequats, pertinents i limitats al necessari en relació amb els fins per als quals van ser tractats, això és, l'efectiva aplicació dels tributs, tal com disposa l'article 5 de la LGT, en el marc de les competències de l'AEAT.
Tampoc es va vulnerar el principi de limitació de la finalitat, que en l'àmbit tributari té un reconeixement mateix quan l'art.34.1.i de la LGT reconeix el dret dels contribuents al caràcter reservat de les seves dades, doncs aquest precepte permet l'ús de les dades per l'Administració tributària per a l'aplicació dels tributs o recursos de la qual gestió tingui encomanada i per a la imposició de sancions, com va ocórrer en el supòsit analitzat.
Finalment, no cap tampoc apreciar una vulneració del principi de confidencialitat, que l'art.95 de la LGT imposa específicament a les Administracions tributàries quan declara reservats les dades, informes o antecedents que hagin obtingut en l'acompliment de les seves funcions, doncs les dades van ser utilitzats, com indica aquest precepte, per a l'efectiva aplicació dels tributs o recursos de la qual gestió tingui encomanada, essent, per tant, un tractament autoritzat i lícit.
En conseqüència, no es pot dubtar de què les Administracions Tributàries estan legitimades per tractar, en el curs de la tramitació i resolució dels procediments de gestió, inspecció o recaptació tributària dels que són competents, dades personals, fins i tot de tercers diferents del subjecte obligat tributari sotmès a l'expedient administratiu, sempre, clar està, que aquell tractament en el cas concret sigui idoni, adequat, pertinent i necessari per a la determinació dels fets i la motivació de les resolucions que s'adoptin.