(+34) 954 29 30 31

¿Vulnera la protección de datos la publicación de una resolución de la CNMV en el BOE con los datos identificativos del infractor?

En el año 2016 la CNMV acordó imponer a un consejero de una importante empresa cervecera nacional una multa de 30.000 euros por una infracción muy grave. Además, acordó igualmente la publicación en el BOE de esta infracción, haciendo constar que la sanción únicamente era firme en vía administrativa, sin perjuicio de las potestades de revisión jurisdiccional.

El consejero recurrió en alzada y en la vía contencioso-administrativa, además de la comisión de la infracción, la publicación en el BOE de la imposición de la sanción. Este consejero consideró que con esta publicación en el BOE se vulneraba la legislación sobre protección de datos y que se infringía su derecho fundamental a la protección de datos

Estos recursos fueron desestimados, de ahí que el consejero planteara un recurso de casación ante el Tribunal Supremo. Este recurso fue inadmitido a trámite por apreciar la Sala que el asunto carecía de interés casacional objetivo para la formación de jurisprudencia.

Tras ello, el consejero presentó un recurso de amparo ante el Tribunal Constitucional contra la resolución dictada por la CNMV en la que se imponía la multa y la publicación de la sanción en el BOE, atribuyendo dos quejas constitucionales: la vulneración del «derecho fundamental al procedimiento administrativo sancionador» y del principio de proporcionalidad de las sanciones, y la vulneración del derecho fundamental a la protección de datos personales.

Por lo que respecta a la alegación de vulneración del derecho fundamental a la protección de datos personales, el consejero afirmaba en su recurso que la CNMV había decidido, de forma automática, sin tener en cuenta en modo alguno las circunstancias del caso concreto, publicar en el BOE su nombre completo, lo que constituyó un tratamiento de los datos personales desproporcionado para la finalidad perseguida, y que rompía el principio básico de temporalidad en el tratamiento, en la medida en que la publicación en el BOE es una publicación permanente. Sostenía que, aunque existía una base jurídica legal para la publicación ordenada por la CNMV, el artículo 304 TRLMV, que esta norma vulneraba el contenido esencial del artículo 18.4 CE, por lo que, como consecuencia de su aplicación, había desembocado en una lesión concreta de su derecho fundamental.

Igualmente, el consejero consideraba que la publicación en el BOE constituía un tratamiento de datos, y que la publicación en el BOE suponía una cesión de dichos datos a todos sin limitación temporal, incumpliéndose el principio de proporcionalidad.

El Tribunal Constitucional acordó la admisión a trámite del recurso de amparo, apreciando que concurría en el mismo una especial trascendencia constitucional porque planteaba un problema o afectaba a una faceta de un derecho fundamental sobre el que no había doctrina constitucional.

El abogado del Estado interesó la desestimación del recurso, y el fiscal estimó que las resoluciones de la CNMV que acordaban y ejecutaban la publicación de la sanción impuesta en el BOE, sin efectuar ningún tipo de ponderación sobre su alcance, intensidad y eventual modulación, no se acomodaban al principio de proporcionalidad en la restricción de los derechos y por ello vulneraban el derecho a la protección de datos del artículo 18.4. CE, y proponía una estimación parcial de la demanda de amparo.

Finalmente, el Tribunal Constitucional expuso en su Sentencia 23/2022, de 21 de febrero de 2022 el ámbito objetivo de la normativa de protección de datos y los principios que rigen el tratamiento de los datos personales, e indicó que el legislador nacional había optado en la Ley del mercado de valores por una doble vía de publicación de las sanciones en este ámbito: en el BOE y en un registro de la CNMV accesible a través de su sitio web.

Respecto a la jurisprudencia constitucional sobre el alcance y contenido del derecho fundamental a la protección de datos de carácter personal, el Tribunal Constitucional recordó en su sentencia que la definición, contenido y alcance del derecho a la protección de datos ya se había abordado en profundidad en la su Sentencia 292/2000, de 30 de noviembre, FFJJ 5 a 9, y que había sido sintetizada más recientemente en su Sentencia 76/2019, de 22 de mayo, FJ 5.

El Tribunal también precisó que «el derecho a la protección de datos no es ilimitado, y aunque la Constitución no le imponga expresamente límites específicos, ni remita a los poderes públicos para su determinación como ha hecho con otros derechos fundamentales, no cabe duda de que han de encontrarlos en los restantes derechos fundamentales y bienes jurídicos constitucionalmente protegidos, pues así lo exige el principio de unidad de la Constitución.

También recordó el Tribunal que el control de una medida legislativa a la luz de las «exigencias del principio de proporcionalidad» se articula en dos fases: la primera parte de ese canon de control consiste en examinar que la norma persigue una finalidad constitucionalmente legítima, y la segunda parte implica revisar si la medida legal se ampara en ese objetivo constitucional de un modo proporcionado. Y que esta segunda fase de análisis exige, a su vez, verificar, sucesivamente el cumplimiento de «la triple condición de adecuación de la medida al objetivo propuesto (juicio de idoneidad); necesidad de la medida para alcanzar su objetivo, sin que sea posible su logro a través de otra más moderada con igual eficacia (juicio de necesidad) y ponderación de la medida por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto)».

A continuación, el Tribunal concluyó lo siguiente:

  • Que la comunicación de la resolución emitida por la CNMV para su publicación en el BOE constituía un supuesto de tratamiento de datos personales protegido por el artículo 18.4 CE, y que la publicación de esa resolución en el BOE constituía un tratamiento de datos personales objeto de dicha protección constitucional.
  • Que la remisión por la CNMV de la resolución para su publicación en el BOE se realizaba en orden al cumplimiento de fines directamente relacionados con las funciones legítimas de las entidades cedente y cesionaria y que contaba con expresa habilitación legal, por lo que no requería del consentimiento del interesado
  • Que esa comunicación constituía un tratamiento de datos necesario para el cumplimiento de una obligación legal aplicable a la CNMV (publicar las sanciones por determinadas faltas); de igual modo, la publicación de la sanción en el BOE resulta exigible para el organismo editor de este diario oficial conforme a la misma habilitación legal.
  • Ahora bien, la existencia de una base jurídica que legitimaba el tratamiento, tanto de la comunicación de la resolución como de su ulterior publicación oficial, no eximía del cumplimiento del resto de los principios que rigen la protección de datos de carácter personal.

Por último, el Tribunal Constitucional sentenció que la publicidad de las sanciones muy graves y graves conforme dispone el artículo 304 TRLMV responde a una finalidad constitucional legítima, y es idónea, necesaria y proporcionada para alcanzarla.

Pedro López de Lemus Rodríguez

Sin comentarios

Lo sentimos, no se permiten comentarios en este momento