CN14-005 DICTAMEN SOBRE LA CESIÓN DE INFORMACIÓN OBRANTE EN UN EXPEDIENTE DE INSPECCIÓN, REALIZADA POR LA HACIENDA FORAL DE XXXXX A UN AYUNTAMIENTO. ANTECEDENTES PRIMERO: Por un ciudadano se solicita dictamen en relación con el asunto referenciado en el encabezamiento, figurando en el escrito presentado, entre otras cosas, lo siguiente: El suscrito fue objeto de expediente de inspección tributaria por la Hacienda Foral de XXXXX en cuyo seno se pusieron de manifiesto distintas circunstancias de hecho que pude haber admitido con independencia de las posibilidades de discusión, en atención a circunstancias muy diversas, sustancialmente de carácter personal, que parecían aconsejar el cierre de la inspección con acuerdo. Una vez finalizado el expediente la Dirección de la Hacienda Foral de XXXXX remitió al Ayuntamiento de XXXXX, de quien soy funcionario, una comunicación en la que se manifestaban datos concretos obtenidos en el seno del procedimiento de inspección, y en relación con él, y que constaban en su correspondiente expediente, por si pudieran constituir infracción de la ley 53/1984, de incompatibilidades del personal al servicio de las Administraciones Públicas. Que el informe que solicito, en consecuencia, a fin de ordenar mis posibilidades de defensa en relación con el expediente disciplinario derivado de la referida comunicación, es sobre si la actuación de la Hacienda Foral de XXXXX o de sus concretos funcionarios actuantes, consistente en transmitir de oficio a otra Administración Pública datos contenidos en el expediente de inspección y obtenidos en su seno, relacionados con actividades que pudieran suponer vulneración de la ley de incompatibilidades, constituye una vulneración de la normativa de protección de datos, por constituir cesión de datos protegidos sin la autorización del interesado, o por cualquier causa; con especial consideración de la incidencia del artículo 22.3.f) de la Ley Vasca 2/2004 citada, y del artículo 94 de la Norma Foral 2/2005, de 10 de marzo, General tributaria del Territorio Histórico de Bizkaia c/ Beato Tomás de Zumárraga, 71, 3º - 01008 Vitoria Gasteiz - Tel. 945 016 230 - Fax. 945 016 231 avpd@avpd.es - www.avpd.es
SEGUNDO: El artículo 17.1 de la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, en su apartado n) atribuye a la Agencia Vasca de Protección de Datos la siguiente función: Atender a las consultas que en materia de protección de datos de carácter personal le formulen las administraciones públicas, instituciones y corporaciones a que se refiere el artículo 2.1 de esta Ley, así como otras personas físicas o jurídicas, en relación con los tratamientos de datos de carácter personal incluidos en el ámbito de aplicación de esta Ley. Corresponde a esta Agencia Vasca de Protección de Datos, en virtud de la normativa citada, la emisión del dictamen en respuesta a la consulta formulada. CONSIDERACIONES I Se somete al criterio de la Agencia Vasca de Protección de Datos el ajuste al derecho fundamental de la actuación de la Hacienda Foral de XXXXX, consistente en remitir de oficio al Ayuntamiento de Bilbao, datos incluidos en un expediente de inspección por un posible incumplimiento de la ley de incompatibilidades del consultante, que es funcionario de dicho Ayuntamiento. II La Agencia Vasca de Protección de Datos ha analizado estos tratamientos en otros dictámenes, pudiendo citarse el CN12-033 del que incluimos el siguiente fragmento: En primer lugar, y con carácter previo al resolución de esta consulta, es necesario recordar que el derecho fundamental a la protección de datos de carácter personal, que deriva del artículo 18.4 CE, contiene un instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los restantes derechos de los ciudadanos que, además, es en sí mismo «un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la lealtad de las personas provenientes de un uso ilegítimo del tratamiento mecanizado de datos» (sentencias 254/1993, 143/1994, 94/1998, 292/2000, entre otras). Pero el propio Tribunal Constitucional ha declarado que ese derecho a la protección de datos no es tampoco ilimitado. Según la doctrina constitucional, esos límites han de encontrarse en los restantes derechos fundamentales y bienes jurídicos constitucionalmente 2
protegidos, pues así lo exige el principio de unidad de la Constitución. Los derechos fundamentales pueden ceder ante bienes e incluso intereses constitucionalmente relevantes, siempre que el recorte que experimenten sea necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y respetuoso con el contenido esencial del derecho fundamental restringido (sentencias 57/1994 y 18/1999, citadas en la sentencia 292/2000). En definitiva, la limitación al derecho a la protección de datos sólo cabe cuando, legalmente establecida, esté justificada en atención a derechos y bienes de relevancia constitucional, que hay que proteger, y siempre que sea proporcionada a ese interés constitucional prevalente. II El artículo 103.3 de la Constitución dispone que La Ley regulará el estatuto de los funcionarios públicos, el acceso a la función pública de acuerdo con los principios de mérito y capacidad, las peculiaridades del ejercicio de su derecho a sindicación, el sistema de incompatibilidad y las garantías para la imparcialidad en el ejercicio de sus funciones por los funcionarios públicos La regulación de las incompatibilidades está integrada dentro del régimen estatutario de los funcionarios públicos y se basa en la necesidad de que el personal al servicio de las Administraciones Públicas se dedique a las actividades que demande el propio servicio público, evitando el ejercicio de las actividades que puedan impedir o menoscabar el estricto cumplimiento de sus deberes o comprometer su imparcialidad o independencia. En la actualidad, el régimen de incompatibilidades del personal al servicio de las Administraciones Públicas se regula en la Ley 53/1984, de 26 de diciembre, y el incumplimiento de las normas sobre incompatibilidades constituye una infracción muy grave, a tenor de los dispuesto en el artículo 95.2n) de la Ley 7/2007, de 12 de abril, del Estatuto Básico del Empleado Público, y 83h) de la Ley 6/1989, de la Función Pública Vasca. De acuerdo con el artículo 27 del Real Decreto 33/1986, de 10 de enero, por el que se aprueba el Reglamento de Régimen Disciplinario de los Funcionarios de la Administración del Estado, el procedimiento sancionador se iniciará siempre de oficio, por acuerdo del órgano competente, bien por propia iniciativa o como consecuencia de orden superior, moción razonada de los subordinados o denuncia. De conformidad con la normativa legal citada, en el ámbito de la función pública se reconoce la legitimidad de determinados tratamientos de datos sin el consentimiento del afectado, cuando sean necesarios para el correcto cumplimiento de las funciones que la Constitución 3
encomienda a los empleados públicos, y en este sentido, el régimen sancionador lo que trata es de garantizar el mejor desarrollo de ese servicio público. III En el caso que nos ocupa, y según la información que el propio consultante aporta, la Hacienda Foral de XXXXX ha puesto en conocimiento del Ayuntamiento de XXXXX información obrante en un expediente de inspección. A nuestro juicio, este tratamiento de datos lo realiza la Diputación Foral de XXXXX en aplicación del principio de cooperación entre Administraciones, recogido en el artículo 4 de la Ley 30/1992 de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. Pero además de la perspectiva general, hemos de analizar el tratamiento de datos desde la óptica del derecho a la autodeterminación informativa. Así, la remisión de información realizada por la Hacienda Foral de XXXXX al Ayuntamiento de XXXXX supone una comunicación o cesión de datos, tratamiento definido en el artículo 3.i de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD) como: Toda revelación de datos realizada a una persona distinta del interesado. El régimen general de las cesiones de datos se regula en el artículo 11 de la LOPD, cuyo punto primero establece la regla básica de la necesidad del consentimiento: 1.- Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. Esta regla general se excepciona en una serie de supuestos enunciados en el punto 2, a los que hay que añadir el que figura en el artículo 7f) de la Directiva 95/46CE, relativa a la protección de datos personales y a la libre circulación de estos datos. Este precepto legal, de efecto directo en los Estados miembros según la Sentencia del Tribunal de Justicia de la Unión Europea de 24 de noviembre de 2011, cuya doctrina se confirma por la Sentencia del Tribunal Supremo de 8 de febrero de 2012, señala lo siguiente: Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si:. f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva. La protección de los datos personales del individuo es un derecho fundamental que le garantiza el poder de control sobre los mismos, y tiene la finalidad de impedir un trato lesivo para la dignidad de la persona. 4
La restricción del derecho fundamental a la protección de datos, como se ha expuesto, exige en todo caso un análisis de proporcionalidad, que debe realizarse caso por caso. En el supuesto objeto de consulta, teniendo en cuenta el interés legítimo que motiva el tratamiento, y que la información afectada no pueden ser considerada como propia de la esfera íntima de la persona titular de los datos, entendemos que no se vulnera el derecho fundamental. En Vitoria-Gasteiz, a 11 de marzo de 2014 5