Per contestar al títol d’aquest article comentaré la Sentència del Tribunal Constitucional (TC) núm. 23/2022, de 21 de febrer, que resol el recurs d’empara interposat pel conseller i secretari del Consell d’Administració de l’empresa Damm contra la sanció que l’imposà la Comissió Nacional del Mercat de Valors (CNMV), consistent en una multa per un import de 30.000 euros i la publicació d’aquesta sanció en el Butlletí Oficial de l’Estat (BOE).

1. Plantejament de la qüestió. L’anonimització de dades en les sentències

Els fets sancionats tenen el seu origen en l’adquisició, per compte d’una tercera persona (la seva filla), d’accions de la dita empresa disposant d’informació privilegiada sobre la mateixa, referent a la proposta d’aprovació d’exclusió de negociació de les accions mitjançant una oferta pública d’adquisició.

La persona sancionada interposà un recurs d’empara davant el TC, que fonamentava en diversos extrems. Pel que aquí interessa em centraré únicament en la queixa que formulava respecte la publicació de la sanció al BOE.

Abans, però, dedicaré unes línies a un altre extrem que potser cridi l’atenció a qui consulti aquesta sentència del TC, com és el fet que en la versió publicada s’identifica la persona recurrent d’empara a través del seu nom i cognoms.

En la publicació de les sentències per part dels òrgans judicials que conformen el sistema judicial espanyol, se sol utilitzar pseudònims per referir-se a les persones físiques que poden estar identificades en la versió original de la sentència dictada.

Al respecte, l’article 235 de la Llei orgànica 6/1985, d’1 de juliol, del Poder Judicial (LOPJ) preveu que l’accés a les resolucions judicials, a determinats punts d’aquestes, o a altres actuacions processals, pels que no són part en el procediment i que acreditin un interès legítim i directe, es pot dur a terme amb dissociació prèvia, anonimització o una altra mesura de protecció de les dades personals que aquestes continguin i amb ple respecte al dret a la intimitat, als drets de les persones que requereixin un deure de tutela especial o a la garantia de l’anonimat de les víctimes o perjudicats, quan sigui procedent.

No obstant això, l’article 235 bis de la LOPJ disposa que és públic l’accés a les dades personals contingudes en les parts dispositives de les sentències fermes condemnatòries de determinats delictes, com la defraudació de la Hisenda Pública.

En la resta de casos, la publicació de la sentència s’ha de fer amb l’anonimització o pseudonimització de les dades de les persones afectades.

Pel que fa a la publicació de les sentències del TC, inicialment la Llei orgànica 2/1979, de 3 d’octubre, del TC (LOTC) no imposava l’anonimització de les dades de les persones afectades. Fou a partir de l’any 2007 que es modificà l’article 86 de l’LOTC, en el sentit d’habilitar el TC a disposar que les sentències i altres resolucions dictades puguin ser objecte de publicació a través d’altres mitjans, i adoptar, si escau, les mesures que consideri pertinents per a la protecció dels drets reconeguts a l’article 18.4 de la Constitució espanyola (CE), del qual deriva el dret fonamental a la protecció de dades personals.

Així, d’acord amb aquest precepte de l’LOTC, els pronunciaments del TC no han de ser necessàriament anonimitzats o pseudonimitzats, sinó que només ho són en aquells supòsits en què el suprem intèrpret de la CE ho consideri oportú, per protegir el dret a la protecció de dades personals.

Posteriorment, en data 23 de juliol de 2015, el Ple del TC va adoptar l’Acord per regular l’exclusió de les dades d’identitat personal en la publicació de les resolucions jurisdiccionals. En aquest Acord s’indica que es preservarà d’ofici l’anonimat dels menors i persones que requereixin un especial deure de tutela, de les víctimes de delictes en què la seva difusió pugui derivar en especials perjudicis i de les persones que no siguin part en el procés constitucional. En la resta de casos, es preveu que el TC pugui exceptuar, d’ofici o a instància de part, la identitat de la persona afectada.

Aquest Acord també estableix que el sistema d’anonimització consisteix a substituir la identitat per les inicials corresponents, ometent la resta de dades que permetin la identificació de la persona. En relació amb aquest sistema, l’Autoritat Catalana de Protecció de Dades ha assenyalat que la substitució del nom i cognoms per les inicials reals de la persona afectada no és pròpiament un mètode d’anonimització, sinó que comporta la difusió d’una dada personal de forma parcial, incompleta o escapçada, que pot permetre la identificació de la persona afectada (dictamen CNS 10/2016).

2. Supòsit plantejat davant del TC: publicació de la identitat de persones sancionades

Torno al supòsit que enjudiciava la Sentència del TC núm. 23/2022, en allò referent a la publicació al BOE de la sanció imposada per la CNMV, publicació imposada per l’article 304 del Reial decret legislatiu 4/2015, del 23 d’octubre, pel qual s’aprova el text refós de la Llei del Mercat de Valors (TRLMV). Aquest precepte determina que les sancions per infraccions molt greus i greus han de ser publicades al BOE una vegada siguin fermes en via administrativa. S’exclou així, la publicitat al BOE de les sancions lleus que pugui imposar la CNMV.

En el recurs interposat davant l’Audiència Nacional, la representació de la persona sancionada adduïa que la publicació de la sanció amb el nom complet era un tractament de dades personals desproporcionat per assolir la finalitat perseguida, ja que el TRLMV anava més enllà del que preveia la norma europea en virtut de la qual es va modificar el TRLMV (la Directiva 2003/6/CE, de 28 de gener de 2003, sobre les operacions amb informació privilegiada i la manipulació del mercat). En concret, per la circumstància relativa al fet que la publicació al BOE esdevé un tractament permanent, tot i que la Directiva 2003/6/CE n’autoritzava la publicació, però no de manera automàtica, sinó sotmesa a un control de proporcionalitat en cada cas concret (art. 14.4).

El precepte invocat de la Directiva disposava que “Los Estados miembros establecerán que la autoridad competente pueda revelar al público las medidas o sanciones que se impongan por el incumplimiento de las medidas adoptadas de conformidad con la presente Directiva, salvo que la revelación comprometiera seriamente a los mercados financieros o causara un daño desproporcionado a las partes implicadas.”

Davant d’aquesta al·legació, l’Audiència Nacional (AN) aplicà la doctrina fixada per la sentència de 21 de juliol de 2009 de la Secció Tercera de la Sala Contenciosa Administrativa del Tribunal Suprem (Recurs 507/2008), amb ocasió d’un recurs de cassació per a la unificació de doctrina, en què es descartava que aquestes mesures de publicitat de les sancions, que van ser introduïdes a la Llei del mercat de valors a través de Llei 44/2002, tinguessin naturalesa d’una sanció, malgrat el caràcter aflictiu i dissuasiu. En aquesta doctrina es considerava que la publicació al BOE era una conseqüència de la sanció, i que com a tal no requeria altra cosa que aparèixer expressament prevista a la norma, per exigències del principi de seguretat jurídica (art. 9.3 CE). Considerava l’AN, en definitiva, que la publicació de la identitat de la persona sancionada tal com està prevista a l’article 304 TRLMV no comporta una sanció, ja que es configura com un mitjà de difusió destinat a oferir informació rellevant sobre el mercat i, en particular, pel que fa a l’abús de mercat i ús d’informació privilegiada.

L’AN també excloïa que s’hagués produït una vulneració del dret europeu per l’automatisme de la publicació, ja que la persona sancionada va poder sol·licitar, tant en el recurs administratiu com en via judicial, la mesura de suspensió de la publicació si considerava que els danys que pogués provocar la publicació eren irreparables, i que havien d’anteposar-se als interessos públics que pretén garantir la publicació.

L’AN també descartava que s’hagués vulnerat la normativa sobre protecció de dades personals, al considerar que la publicació al BOE no s’identificava amb un tractament de dades personals, sinó amb una difusió d’informació rellevant en els mercats financers, a fi de procurar la integritat del mercat i la informació de conductes que constitueixen un abús de mercat.

La sentència dictada per l’AN fou recorreguda davant el Tribunal Suprem, qui va inadmetre el recurs per considerar que l’assumpte mancava d’interès cassacional objectiu per a la formació de jurisprudència.

Atès l’anterior, la persona sancionada va interposar un recurs d’empara davant el TC contra la resolució de la CNMV que li imposava una multa de 30.000 euros i ordenava la publicació de la sanció al BOE, per la vulneració del “dret fonamental al procediment administratiu sancionador” i del principi de proporcionalitat de les sancions (art. 24.2 CE), i la vulneració del dret fonamental a la protecció de dades (art. 18.4 CE), aspecte aquest últim que és el que aquí interessa.

En relació amb el dret fonamental a la protecció de dades personals, la part recurrent considerava que es vulnerava aquest dret, atès que la CNMV va decidir, de forma automàtica i sense tenir en compte les circumstàncies del cas concret, publicar al BOE el nom complet de la persona recurrent, la qual cosa considerava que era un tractament de dades personals desproporcionat per a la finalitat perseguida i que, a més, era un tractament permanent, atès el caràcter inalterable dels diaris oficials.

Així doncs, la persona recurrent invocava els principis de minimització de les dades i de limitació del termini de conservació, que posteriorment va recollir, a les diccions “c” i “e”, l’article 5.1 del Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes (RGPD).

Per la seva banda, l’advocat de l’Estat que representava la CNMV defensava que el recurrent no argumentava la desproporció de la publicació de la sanció al BOE, que està prevista en una norma amb rang legal (la Llei del mercat de valors). Afegia que la finalitat perseguida amb la publicació de la sanció responia a l’interès públic de protegir l’adequat funcionament del mercat de valors, que la publicació al BOE no implicava la incorporació de dades personals en un fitxer estructurat i que davant l’accés a la publicació del BOE mitjançant cercadors d’internet es podia exercir el dret a l’oblit en cerques d’internet previst a l’article 93 de la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (LOPDGDD).

D’altra banda, el Ministeri Fiscal, en el seu escrit d’al·legacions, defensava que la publicació de la sanció al BOE sí que era un tractament de dades personals subjecte a la normativa de protecció de dades personals. Segons el Ministeri Fiscal, el tractament era lícit, però sostenia que la norma que l’habilitava no contenia garanties directes de ponderació en relació amb la protecció de dades. I, en qualsevol cas, remarcava que en la resolució de la CNMV no s’efectuava cap mena de ponderació sobre l’abast, la intensitat i l’eventual modulació de la publicació de la sanció al BOE, tenint en compte que la publicació al BOE és il·limitada, atès el seu caràcter inalterable. Per tot això, el Ministeri Fiscal concloïa que s’havia vulnerat el dret fonamental a la protecció de dades personals.

El TC en la seva sentència, un cop repassat el règim jurídic de la protecció de dades personals i de la publicació de la sanció imposada, aborda en primer lloc si hi ha un tractament de dades personals. A aquest respecte, en base a la normativa llavors vigent (anterior a l’RGPD), recorda que existeix tal tractament quan les dades personals estan contingudes o destinades a ser incloses en un conjunt estructurat o organitzat de dades personals conforme uns criteris determinats, és a dir, en un fitxer que permeti accedir de forma sistemàtica a dades personals. Conforme l’anterior, el TC conclou que tant la comunicació de la resolució sancionadora a l’Agència Estatal del BOE, com la seva publicació al dit diari oficial, és un tractament de dades personals.

A continuació, el TC recorda que el dret fonamental a la protecció de dades personals no és un dret il·limitat i que aquests límits es poden trobar en els restants drets fonamentals i béns jurídics constitucionalment protegits, mitjançant una llei que ha d’expressar tots i cadascun dels pressupòsits i condicions de la intervenció. Aquesta norma legal ha d’ajustar-se a les exigències del principi de proporcionalitat per poder considerar que la limitació al dret fonamental és conforme a la CE. És a dir, cal que l’habilitació legal persegueixi una finalitat constitucionalment legítima i que s’empari en aquest objectiu constitucional de manera proporcionada. Això últim exigeix, a la seva vegada, verificar el compliment del triple judici de proporcionalitat.

Exposat l’anterior, el TC aplica la seva jurisprudència al supòsit enjudiciat. En primer lloc, el TC exposa que la remissió de la resolució sancionadora a l’Agència Estatal del BOE es va efectuar en compliment de fins relacionats amb les funcions legítimes de la CNMV i de l’agència esmentada i comptava amb l’expressa habilitació legal (art. 304 TRLMV), per la qual cosa aquest tractament no requeria el consentiment de la persona afectada, d’acord amb l’article 11.2.a de la LOPD del 1999, llavors vigent. En aplicació del marc normatiu vigent (RGPD), l’argumentació del TC no s’alteraria, atès que no es requeriria tampoc el consentiment de la persona afectada, al concórrer les bases jurídiques de l’obligació legal i compliment d’una missió en interès públic o l’exercici de poders públics (art. 6.1.c i 6.1.e RGPD).

D’altra banda, el TC avança que aquesta mesura és proporcionada pels motius següents. En primer lloc, en allò que respecta a la publicitat de les sancions greus i molt greus, d’acord amb l’article 304 del TRLMV, el TC indica que aquesta mesura té com a finalitat primordial garantir la transparència dels mercats de valors, la correcta formació dels preus en aquests i la protecció dels inversors, així com reforçar el caràcter dissuasiu de les sancions d’aquella naturalesa. Aquestes finalitats legítimes el TC les vincula amb la protecció del dret de llibertat d’empresa, protegit a l’article 38 de la CE, i a un interès general de tota la Unió Europea que es posa de relleu en el Reglament (UE) 2014/596 sobre abús de mercat, que ha derogat la Directiva 2003/6/CE. I afegeix que la publicació dels comportaments més lesius per a la integritat i el bon funcionament del mercat és una mesura adequada i idònia per assolir aquesta finalitat (judici d’idoneïtat).

En segon lloc, el TC addueix que el legislador, a partir de la llei del mercat de valors, va optar per reforçar el sistema de transparència mitjançant la publicitat de les sancions més greus a través del BOE, que garanteix una difusió activa i més àmplia dels comportaments més lesius per al mercat, a diferència de la publicitat mitjançant el registre de sancions en el web de la CNMV.

En allò referent al fet que el Reglament (UE) d’abús de mercat (aplicable pocs dies després de la imposició de la sanció) permeti a les autoritats competents dels Estats membres una avaluació, cas per cas, de la proporcionalitat de la publicació de la identitat de la persona sancionada, el TC remarca que aquesta norma europea només estableix la publicitat de les sancions en el web de les autoritats competents, de manera que la publicació de les sancions al BOE no es regula per aquesta norma europea, sinó pel dret intern que disposa com a regla general la publicació al BOE de les infraccions greus i molt greus com a una eina imprescindible en mans de la CNMV per portar a terme les funcions que la llei li encomana (judici de necessitat), quedant-ne al marge les infraccions lleus.

I, en tercer lloc, argumenta el TC que el legislador ha limitat l’abast de la informació objecte de publicació a allò estrictament necessari per a la consecució de la seva finalitat. És a dir, a la publicació de la part dispositiva de la resolució, que inclou el tipus i naturalesa de la infracció i la identitat de la persona sancionada, evitant que es publiquin altres dades personals que puguin figurar en la resolució sancionadora, que no són necessàries per assolir aquella finalitat (judici de proporcionalitat en sentit estricte).

En relació amb la queixa del recurrent en empara pel caràcter permanent i indefinit de la publicació al BOE, el TC aborda la presumpta vulneració del principi de “temporalitat”, que ha recollit l’RGPD com a principi de limitació del termini de conservació (art. 5.1.e RGPD).

El TC entén que aquest principi queda preservat mitjançant la possibilitat d’exercir el dret a l’oblit, regulat en l’actualitat als articles 17 de l’RGPD i 93 i 94 de l’LOPDGDD, a fi d’impedir l’accés a les dades personals i posterior indexació per part davant dels motors de cerca específics proporcionats pel web de la Agència Estatal del BOE o dels cercadors generals d’internet. Per tant, encara que les publicacions al BOE tenen la condició d’inalterables i no es poden modificar ni eliminar les dades personals que hi figuren, l’ordenament jurídic permet a la persona afectada exercir el dret que els motors de cerca d’internet eliminin de la llista dels resultats obtinguts després d’una cerca a partir del seu nom, els enllaços que continguin informació relativa a la seva persona una vegada ja no siguin necessaris o pertinents, en funció de la finalitat perseguida, el temps transcorregut i la naturalesa i interès públic de la informació.

Per tot això, el TC conclou que no s’ha vulnerat el dret fonamental a la protecció de dades personals.

3. Comentaris a la sentència

Un cop abordada l’argumentació del TC, destaco una conseqüència de la publicació de les sancions que no s’analitza en la sentència del TC comentada. Aquesta conseqüència és que la normativa de transparència (art. 15.1 de la Llei estatal 19/2013 i art. 23 de la Llei catalana 19/2014), que als efectes de transparència i accés a la informació configuren les dades relatives a la comissió d’infraccions administratives com a categories especials de dades, estableixen com a regla general que s’ha de denegar l’exercici del dret d’accés a informació pública que conté aquesta tipologia de dades d’una persona física. Però aquesta regla general decau quan la comissió de la infracció comporta l’amonestació pública, supòsit en què sí que s’hauria de facilitar l’accés a la informació de caràcter sancionador, atesa la publicitat prèvia.

Un altre aspecte a comentar és que el TC no va analitzar de manera específica l’adequació a un altre principi de l’RGPD, com és el principi de minimització de les dades previst a l’article 5.1.c de l’RGPD. En efecte, resulta interessant analitzar si la forma en què la CNMV donà publicitat a la sanció a través del BOE, s’ajustava al principi de minimització de les dades.

Des d’aquesta perspectiva cal partir de la base que l’article 304 del TRLMV no especifica com s’ha d’identificar, en la publicació al BOE, la persona que és sancionada per la CNMV per la comissió d’una infracció greu o molt greu, un cop la sanció sigui ferma en via administrativa. Per aquest motiu, la CNMV opta per identificar la persona sancionada únicament a través del seu nom i cognoms, sense afegir cap dada identificativa addicional.

L’any 2017, quan va tenir lloc la publicació controvertida al BOE, encara no s’havia aprovat l’LOPDGDD, que en la seva disposició addicional setena determina com s’ha de procedir en la identificació de les persones interessades en notificacions edictals i publicació d’actes administratius. A partir de la vigència d’aquesta norma, en un cas de publicació d’actes administratius amb dades personals com el que aquí s’ha analitzat, la identificació s’ha de fer a través del nom i cognoms, “amb l’afegit de quatre xifres numèriques aleatòries” del DNI. Sobre aquesta menció a la publicació parcial del DNI, cal dir però que l’Agència Espanyola de Protecció de Dades (AEPD) va emetre un informe sobre la publicació de qualificacions universitàries (informe 2019-0030) en el qual indicava que, en consideració al principi de minimització de les dades, l’afegitó del DNI parcial només pertocaria si hi ha coincidència en el nom i cognoms de dues o més persones. En aplicació d’aquest criteri de l’AEPD es pot considerar que tampoc pertocaria afegir el DNI parcial en el cas aquí examinat.

En base a les consideracions anteriors, es pot concloure que la identificació de la persona sancionada per la CNMV al BOE, únicament amb el seu nom i cognoms, s’adequaria al principi de minimització de les dades.

En aquest punt vull remarcar que altres normes sectorials també han previst la publicació del nom i cognoms de persones responsables d’infraccions administratives, com és el cas de la normativa tributària, que exigeix la publicitat de situacions d’incompliment rellevant de les obligacions tributàries. En concret, aquesta obligació està regulada a l’article 95 bis de la Llei 58/2003, de 17 de desembre, general tributària (LGT), introduït per la Llei 34/2015, de 21 de setembre. Aquest precepte imposa la publicació de les conegudes llistes de morosos amb l’Administració tributària, on figuren identificades les persones amb un deute tributari superior als 600.000 euros.

Sobre la forma en què s’han d’identificar les persones físiques que figuren en aquesta llista, a diferència de la regla general regulada a la disposició addicional setena de l’LOPDGDD, l’apartat 2n de l’article 95 bis de l’LGT concreta que en el cas de persones físiques s’han d’identificar a través del seu nom i cognoms i el NIF (complet), la qual cosa suposa una afectació major al dret a la protecció de dades personals. Tal divergència amb la previsió general de la DA 7a de l’LOPDGDD podria obeir al fet que l’afegitó de l’article 95 bis a l’LGT es va produir l’any 2015, és a dir, amb anterioritat a l’LOPDGDD, aprovada el desembre de 2018. Cal subratllar però que l’article 95 bis de l’LGT fou modificat per la Llei 11/2021, de 9 de juliol, amb la qual es rebaixà el llindar dels deutes i sancions de 1.000.000 € a 600.000 €, de manera que es podria haver aprofitat aquesta modificació per ajustar-se a la previsió general de l’LOPDGDD.

En tot cas, malgrat que el precepte indicat de l’LGT mantingui l’exigència de publicar conjuntament el nom i cognoms i el DNI (complet), sembla clar que hauria de prevaldre la regla general de la DA 7a de l’LOPDGDD, que prohibeix expressament la publicació conjunta del nom i cognoms i el DNI complet, prohibició que al seu torn s’ajusta al principi de minimització de les dades (art. 5.1.c RGPD). En conseqüència, l’eventual publicació del nom i cognoms i el DNI complet de persones físiques, tal com exigeix l’article 95 bis de l’LGT, s’hauria de considerar contrària al principi de minimització.

4. Conclusió

Segons el TC, la publicació de les persones sancionades, quan així està prevista en una norma amb rang legal, no vulnera el dret fonamental a la protecció de dades. No obstant això, aquesta publicació hauria de respectar el principi de minimització de les dades, de manera que s’hauria d’identificar la persona infractora a través del seu nom i cognoms, i afegir-hi només les quatres xifres del DNI o document equivalent quan hi hagi risc de confusió.

Carles San José
Consultor del sector públic i professor col·laborador de Dret Administratiu a la UOC