La importància de la informació per als avanços tecnològics dels últims anys i els desafiaments que comporta per a la privacitat de les persones, ha convertit al dret a la protecció de dades personals en un dels protagonistes estel dels conflictes jurídics que estan sorgint al voltant de les noves tecnologies, fins el punt d'haver sigut qualificat en alguns fòrums com el dret fonamental del segle XXI.

La informació és, sense cap dubte, la principal primera matèria que les Administracions tributàries necessiten per a funcionar. Per això, l'eficiència i eficàcia dels sistemes tributaris s'està veient clarament afavorida pel desenvolupament en l'última dècada dels sistemes de tractament de la informació, sistemes que constituïxen les ferramentes més importants en les que es basa una Administració tributària moderna.

Per això, el Dret tributari no és aliè al protagonisme jurídic del dret a la protecció de dades i en els últims anys hem pogut comprovar com s'ha incrementat la seua invocació en relació amb els procediments seguits per a l'aplicació dels tributs.

Un exemple recent d'això és el que va portar a la Sentencia 5692/2023 (ECLI: ÉS: TS: 2023:5692) de 22 de novembre, de la Sala del Contenciós-Administratiu del Tribunal Suprem.

Era objecte de recurs una resolució de la Directora de l'Agència Espanyola de Protecció de Dades que va inadmetre una reclamació formulada contra l'AEAT per vulneració de la seua obligació de protegir i mantindre la confidencialitat de les dades personals del reclamant. El reclamant adduïa que en un procediment de comprovació i inspecció per IVA i IRPF seguit enfront d'una altra persona (la seua jove) s'havien utilitzat les seues dades personals. En concret, es feia constar en els acords de liquidació el seu nom i cognoms, DNI, vincles familiars amb terceres persones i dades de caràcter patrimonial i econòmics.

El Tribunal Suprem es va plantejar (ATS 14736/2022 - ECLI: ÉS: TS: 2022:14736ª), com qüestió d'interés cassacional , “si l'actuació de l'Agència Estatal de l'Administració Tributària vulnera l'article 8 de la Llei orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals amb la inclusió de qualssevol dades personals de terceres persones no interessades en els procediments tributaris, i si el seu tractament en estos procediments té la consideració de cessió de dades personals fundat en el compliment d'una obligació legal a l'efecte de la vigent normativa de protecció de dades”.

Per a resoldre la qüestió, part de reconéixer que els tractaments de dades que realitza una Administració tributària s'hagen sotmesos al Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'estes dades (RGPD) i a la Llei orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals (LOPD).

En conseqüència, part d'afirmar que resulta d'aplicació a estos tractaments l'art.6 del RGPD quan determina els supòsits en els que un tractament de dades personals pot reputar-se lícit, satisfent, així, el primer dels principis establits en el seu art. 5 quan exigix que les dades personals siguen tractats de manera lícita.

D'entre els supòsits de licitud que establix l'apartat 1 de l'art.6 del RGPD, considera que poden resultar d'aplicació al tractament de dades personals per una Administració tributària en les seues funcions d'aplicació del sistema tributari, els prevists en les lletres c) “el tractament és necessari per al compliment d'una obligació legal aplicable al responsable del tractament;” i e) “el tractament és necessari per al compliment d'una missió realitzada en interés públic o en l'exercici de poders públics conferits al responsable del tractament”, de manera que resultaria d'aplicació el que preveu l'art.8 de la LOPD quan, per al primer cas, exigix que esta obligació es preveja en “una norma de Dret de la Unió Europea o una norma amb rang de llei” i, per al segon cas, que “derive d'una competència atribuïda per una norma amb rang de llei”.

D'acord amb l'assenyalat pel Tribunal Suprem, el tractament de dades personals realitzat per l'AEAT en els expedientes d'aplicació dels tributs, és legítim quan suposa, tant el compliment d'una obligació legal referida a la gestió eficient de la recaptació tributària i a la persecució del frau fiscal, que atén a un objectiu d'interés general, d'acord amb el que disposen els articles 31 i 103 de la Constitució, com de motivar les resolucions que adopte conforme al que disposa l'art.102.2 c) de la Llei 58/2003, de 17 de desembre, General Tributària (LGT).

No resulta intranscendent que la base de legitimació per al tractament siga el compliment d'una obligació legal (art. 6.1.c del RGPD) doncs això té com a conseqüència que no càpia l'exercici del dret d'oposició, que l'art.22 del RGPD circumscriu als tractaments basats en el que disposa l'article 6, apartat 1, lletres e) o f).

No obstant això, la licitud o legitimitat del tractament no és l'únic comence que ha de respectar el tractament de dades personals, sinó que l'art.5 del RGPD contempla altres principis llocs en qüestió, que el Tribunal Suprem considera que es van respectar en el cas enjudiciat.

Així, en el cas enjudiciat es va respectar el principi de proporcionalitat o minimització de dades, doncs les dades tractats eren adequats, pertinents i limitats al necessari en relació amb els fins per als quals van anar tractats, açò és, l'efectiva aplicació dels tributs, tal com disposa l'article 5 de la LGT, en el marc de les competències de l'AEAT.

Tampoc es va vulnerar el principi de limitació de la finalitat, que en l'àmbit tributari té un reconeixement mateix quan l'art.34.1.i de la LGT reconeix el dret dels contribuents al caràcter reservat de les seues dades, doncs este precepte permet l'ús de les dades per l'Administració tributària per a l'aplicació dels tributs o recursos de la qual gestió tinga encomanada i per a la imposició de sanciones, com va ocórrer en el supòsit analitzat.

Finalment, no cal tampoc apreciar una vulneració del principi de confidencialitat, que l'art.95 de la LGT imposa específicament a les Administracions tributàries quan declara reservats les dades, informes o antecedents que hagen obtingut en l'acompliment de les seues funcions, doncs les dades van anar utilitzats, com indica este precepte, per a l'efectiva aplicació dels tributs o recursos de la qual gestió tinga encomanada, sent, per tant, un tractament autoritzat i lícit.

En conseqüència, no cal dubtar de què les Administracions Tributàries estan legitimades per a tractar, en el curs de la tramitació i resolució dels procediments de gestió, inspecció o recaptació tributària dels que són competents, dades personals, fins i tot de tercers diferents al subjecte obligat tributari sotmés a l'expediente administratiu, sempre, clar està, que aquell tractament en el cas concret siga idoni, adequat, pertinent i necessari per a la determinació dels fets i la motivació de les resolucions que s'adopten.