A importancia da información para os avances tecnolóxicos dos últimos anos e os desafíos que comporta para a privacidade das persoas, converteu ao dereito á protección de datos persoais nun dos protagonistas estrela dos conflitos xurídicos que están xurdindo arredor das novas tecnoloxías, ata o punto de ser cualificado nalgúns foros como o dereito fundamental do século XXI.

A información é, sen ningunha dúbida, a principal materia prima que as Administracións tributarias necesitan para funcionar. Por iso, a eficiencia e eficacia dos sistemas tributarios éstáse vendo claramente favorecida polo desenvolvemento na última década dos sistemas de tratamento da información, sistemas que constitúen as ferramentas máis importantes en que se apoia unha Administración tributaria moderna.

Por iso, o Dereito tributario non é alleo ao protagonismo xurídico do dereito á protección de datos e nos últimos anos puidemos comprobar como incrementouse a súa invocación en relación aos procedementos seguidos para a aplicación dos tributos.

Un exemplo recente diso é o que levou á Sentenza 5692/2023 (ECLI: É: TS: 2023:5692) do 22 de novembro, da Sala do Contencioso-administrativo do Tribunal Supremo.

Era obxecto de recurso unha resolución da directora da Axencia Española de Protección de Datos que inadmitió unha reclamación formulada contra a AEAT por vulneración da súa obriga de protexer e manter a confidencialidade dos datos persoais do reclamante. O reclamante aducía que nun procedemento de comprobación e inspección por IVE e IRPF seguido fronte a outra persoa (a súa nora) utilizáranse os seus datos persoais. En concreto, facíase constar nos acordos de liquidación o seu nome e apelidos, DNI, vínculos familiares con terceiras persoas e datos de carácter patrimonial e económico.

O Tribunal Supremo propuxose (ATS 14736/2022 - ECLI: É: TS: 2022:14736ª), como cuestión de interese casacional, “se a actuación da Axencia Estatal da Administración Tributaria vulnera o artigo 8 da Lei Orgánica 3/2018, do 5 de decembro, de Protección de Datos Persoais e garantía dos dereitos dixitais coa inclusión de calquera datos persoais de terceiras persoas non interesadas nos procedementos tributarios, e se o seu tratamento nos devanditos procedementos ten a consideración de cesión de datos persoais fundado no cumprimento dunha obriga legal aos efectos da vixente normativa de protección de datos”.

Para resolver a cuestión, parte de recoñecer que os tratamentos de datos que realiza unha Administración tributaria háxanse sometidos ao Regulamento (UE) 2016/679 do Parlamento Europeo e do Consello, do 27 de abril de 2016, relativo á protección das persoas físicas no que fai ao tratamento de datos persoais e á libre circulación destes datos (RGPD) e á Lei Orgánica 3/2018, do 5 de decembro, de Protección de Datos Persoais e garantía dos dereitos dixitais (LOPD).

En consecuencia, parte de afirmar que resulta de aplicación aos devanditos tratamentos o art. 6 do RGPD cando determina os supostos en que un tratamento de datos persoais pode reputarse lícito, satisfacendo, así, o primeiro dos principios establecidos no seu art. 5 cando esixe que os datos persoais sexan tratados de maneira lícita.

De entre os supostos de licitude que establece o apartado 1 do art. 6 do RGPD , considera que poden resultar de aplicación ao tratamento de datos persoais por unha Administración tributaria nas súas funcións de aplicación do sistema tributario, os previstos nas letras c) “o tratamento cómpre para o cumprimento dunha obriga legal aplicable ao responsable do tratamento;” e e) “o tratamento cómpre para o cumprimento dunha misión realizada en interese público ou no exercicio de poderes públicos conferidos ao responsable do tratamento ”, de xeito que resultaría de aplicación o previsto no art. 8 da LOPD cando, para o primeiro caso, esixe que a devandita obriga se prevexa nunha “norma “de Dereito da Unión Europea ou unha norma con rango de lei##2##” e, para o segundo caso, que “derive dunha competencia atribuída por unha norma con rango de lei”.

De acordo co sinalado polo Tribunal Supremo, o tratamento de datos persoais realizado pola AEAT nos expedientes de aplicación dos tributos, é lexítimo en canto supón, tanto o cumprimento dunha obriga legal referida á xestión eficiente da recadación tributaria e á persecución da fraude fiscal, que atende un obxectivo de interese xeral, de acordo co que se dispón nos artigos 31 e 103 da Constitución, como de motivar as resolucións que adopte conforme ao que se dispón no art. 102.2 c) da Lei 58/2003, do 17 de decembro, Xeral Tributaria (LGT).

Non resulta fútil que a base de lexitimación para o tratamento sexa o cumprimento dunha obriga legal (art. 6.1.c do RGPD) pois iso ten como consecuencia que non caiba o exercicio do dereito de oposición, que o art. 22 do RGPD circunscribe aos tratamentos baseados no que se dispón no artigo 6, apartado 1, letras e) ou f).

Non obstante, a licitude ou lexitimidade do tratamento non é o único principio que debe respectar o tratamento de datos persoais, senón que o art. 5 do RGPD contempla outros principios postos en cuestión, que o Tribunal Supremo considera que se respectaron no caso axuizado.

Así, no caso axuizado respectouse o principio de proporcionalidade ou minimización de datos, pois os datos tratados eran axeitados, pertinentes e limitados ao necesario en relación cos fins para os que foron tratados, isto é, a efectiva aplicación dos tributos, tal como dispón o artigo 5 da LGT , no marco das competencias da AEAT.

Tampouco se vulnerou o principio de limitación da finalidade, que no ámbito tributario ten un recoñecemento propio cando o art. 34.1.i da LGT recoñece o dereito dos contribuíntes ao carácter reservado dos seus datos, pois o devandito precepto permite o uso dos datos pola Administración tributaria para a aplicación dos tributos ou recursos cuxa xestión teña encomendada e para a imposición de sancións, como ocorreu no suposto analizado.

Por último, non cabe tampouco apreciar unha vulneración do principio de confidencialidade, que o art. 95 da LGT impón especificamente ás Administracións tributarias cando declara reservados os datos, informes ou antecedentes que obtivesen no desempeño das súas funcións, pois os datos foron utilizados, como indica o devandito precepto, para a efectiva aplicación dos tributos ou recursos cuxa xestión teña encomendada, sendo, polo tanto, un tratamento autorizado e lícito.

En consecuencia, non cabe dubidar de que as Administracións Tributarias están lexitimadas para tratar, no curso da tramitación e resolución dos procedementos de xestión, inspección ou recadación tributaria de que son competentes, datos persoais, incluso de terceiros distintos ao suxeito obrigado tributario sometido ao expediente administrativo, sempre, claro está, que ese tratamento no caso concreto sexa idóneo, axeitado, pertinente e necesario para a determinación dos feitos e a motivación das resolucións que se adopten.