Читать книгу Inteligencia artificial y administración tributaria: eficiencia administrativa y defensa de los derechos de los contribuyentes - Fernando Serrano Antón - Страница 23

El derecho fundamental a la protección de datos está incluido en el artículo 18.4 CE38 y es un derecho fundamental autónomo respecto del derecho a la intimidad personal y familiar del artículo 18.1 CE, conforme a la doctrina del Tribunal Constitucional, que se sintetiza como sigue39:

(i) El constituyente quiso garantizar con el artículo 18.4 CE un ámbito de protección específico y más idóneo del que podían ofrecer, por sí mismos, los derechos fundamentales mencionados en el artículo 18.1 CE.

(ii) El artículo 18.4 CE contiene la “libertad informática”, que es el derecho a controlar el uso de los datos insertos en un programa informático (“habeas data”) y comprende, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención.

(iii) Este derecho fundamental a la protección de datos, a diferencia del derecho a la intimidad del artículo 18.1 CE, con quien comparte el objetivo de ofrecer una eficaz protección constitucional de la vida privada personal y familiar, atribuye a su titular un haz de facultades que consiste en su mayor parte en el poder jurídico de imponer a terceros la realización u omisión de determinados comportamientos cuya concreta regulación debe establecer la Ley, aquella que conforme al artículo 18.4 CE debe limitar el uso de la informática, bien desarrollando el derecho fundamental a la protección de datos (artículo 81.1 CE), bien regulando su ejercicio (artículo 53.1 CE).

(iv) La peculiaridad de este derecho fundamental a la protección de datos respecto de aquel derecho fundamental tan afín como es el de la intimidad radica, pues, en su distinta función, lo que apareja que también su objeto y contenido difieran.

(v) La función del derecho fundamental a la intimidad del artículo 18.1 CE es la de proteger frente a cualquier invasión que pueda realizarse en aquel ámbito de la vida personal y familiar que la persona desea excluir del conocimiento ajeno y de las intromisiones de terceros en contra de su voluntad.

(vi) La función del derecho fundamental a la protección de datos del artículo 18.4 CE es garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado.

(vii) El objeto de la protección del derecho fundamental a la protección de datos no son sólo los datos íntimos de la persona, para cuya protección está ya el artículo 18.1 CE, sino cualesquiera datos personales, sean o no íntimos, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales.

(viii) El contenido del derecho fundamental a la protección de datos del artículo 18.4 CE consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso.

(ix) Finalmente, en cuanto a los límites de este derecho fundamental a la protección de datos del artículo 18.4 CE, la efectividad del deber de contribuir previsto en el artículo 31.1 CE constituye una finalidad constitucionalmente legítima que puede restringirlo.

Atinadamente apunta Olivares Olivares, por tanto, que «el debate entre prevalencia absoluta del deber de contribuir sobre el derecho a la protección de datos y viceversa es un debate estéril. El verdadero debate se encuentra en cómo se adecuan las garantías exigibles durante el uso de información personal por parte de la Administración tributaria o las limitaciones a la protección de datos en función de las circunstancias del tratamiento que se lleve a cabo»40.

Sabido es que este derecho fundamental a la protección de datos personales, que es de configuración legal, está desarrollado hoy en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales («LOPD y GDD» en adelante), y que con su aprobación el Legislador español ha pretendido adaptar la regulación interna al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) («RGPD» en lo sucesivo)41.

Sabido es también que cualquier limitación de un derecho fundamental, conforme a la consolidada doctrina del TC, debe estar prevista en una norma con rango de ley; debe atender a la protección de un bien jurídico con relevancia constitucional, y debe ser sometida a un juicio de idoneidad, necesidad y proporcionalidad en sentido estricto.

Pues bien, la licitud del tratamiento de datos personales por la Administración tributaria se puede sustentar en su necesidad para el cumplimiento de una obligación legal (artículo 6.1.c) RGPD42) o en su necesidad para el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos conferidos al responsable (artículo 6.1.e) RGPD43). Conviene advertir al respecto que el artículo 8 LOPD y GDD44 exige: cuando se sustente en el artículo 6.1.c) RGPD, que así lo prevea una norma del Derecho de la Unión Europea o una norma con rango de ley, y cuando se sustente en el supuesto del artículo 6.1.e) RGPD, que derive de una competencia atribuida por una norma con rango de ley.

Tratándose de datos personales de categorías especiales, con arreglo al artículo 9.1 RGPD45; esto es, de datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, los genéticos, los biométricos dirigidos a identificar de manera unívoca a una persona física y los relativos a la salud, a la vida sexual o las orientaciones sexuales de una persona física, la justificación de su tratamiento en el marco de procedimientos tributarios se encontraría en el artículo 9.2.g) RGPD46, conforme al cual, la prohibición general de tratamiento de estos datos personales especiales se excluiría por razones de interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, siempre que dicho tratamiento sea proporcional al objetivo perseguido, respete en lo esencial el derecho a la protección de datos y se establezcan medidas adecuadas y específicas para proteger los derechos fundamentales de los interesados. De acuerdo con el artículo 9.2 LOPD y GDD, primer inciso47, estos tratamientos de datos personales especiales con sustento en el artículo 9.2.g) RGPD, cuando estén fundados en el Derecho español, deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad.

Dicha norma con rango de ley debe identificar la finalidad de la injerencia en el derecho fundamental, delimitar los presupuestos y las condiciones de esa injerencia y establecer las garantías adecuadas para la debida protección del derecho fundamental a la protección de datos personales para no ser considerada inconstitucional, en los términos que derivan de la sentencia del Tribunal Constitucional 76/2019, de 22 de mayo (ES:TS:2019:76), fundamentos jurídicos 7 a 9, referida a uno de esos datos personales de categoría especial: las opiniones políticas.

Tratándose de la comunicación de datos personales entre autoridades públicas, se ha de tener en cuenta el considerando 31 RGPD, según el cual: «[l]as solicitudes de comunicación de las autoridades públicas siempre deben presentarse por escrito, de forma motivada y con carácter ocasional, y no deben referirse a la totalidad de un fichero ni dar lugar a la interconexión de varios ficheros».

Tratándose del intercambio internacional de información tributaria, se ha de tener en cuenta la disposición adicional decimotercera LOPD y GDD, con arreglo a la cual: «Las transferencias de datos tributarios entre el Reino de España y otros Estados o entidades internacionales o supranacionales, se regularán por los términos y con los límites establecidos en la normativa sobre asistencia mutua entre los Estados de la Unión Europea, o en el marco de los convenios para evitar la doble imposición o de otros convenios internacionales, así como por las normas sobre la asistencia mutua establecidas en el Capítulo VI del Título III de la Ley 58/2003, de 17 de diciembre, General Tributaria». Esta remisión no puede suponer, como es lógico, una minoración de las garantías previstas en el RGPD que resulten de aplicación, porque, conforme a los artículos 2 –«Ámbito de aplicación material»–, y 3 –«Ámbito territorial, RGPD»–, el uso de esta información personal no recae en ninguno de los supuestos de exclusión, tal y como sostiene OLIVARES OLIVARES48.

Debe subrayarse además que el artículo 23.1 RGPD prevé, en su letra e)49, la posibilidad de que el Derecho de la Unión Europea o el de los Estados miembros limite, a través de medidas legislativas, el alcance de las obligaciones contempladas en los artículos 12 a 22 –«Derechos de los interesados»– y 34 –«Comunicación de una violación de la seguridad de los datos personales al interesado»– RGPD, así como también en el artículo 5 –«Principios relativos al tratamiento»–, en la medida que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 12 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular económico o financiero, inclusive en el ámbito fiscal.

Con tal fundamento, como apunta OLIVARES OLIVARES50, la Administración tributaria puede quedar legalmente exenta del modo en que se concreta la transparencia (artículo 12 «Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado» RGPD) y del deber de informar (artículos 13 «Información que deberá facilitarse cuando los datos personales se obtengan del interesado», y 14 «Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado», RGPD), y puede limitar los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y de no ser objeto de una decisión automatizada, incluida la elaboración de perfiles [artículos 15 «Derecho de acceso del interesado», 16 «Derecho de rectificación», 17 «Derecho de supresión (“el derecho al olvido”)», 18 «Derecho a la limitación del tratamiento», 21 «Derecho de oposición», y 22 «Decisiones individuales automatizadas, incluida la elaboración de perfiles», RGPD].

El propio artículo 23 RGPD advierte empero, en su apartado 2, que cualquier medida legislativa que se adopte con fundamento en su apartado 1, contendrá como mínimo disposiciones específicas sobre: a) la finalidad del tratamiento o de las categorías de tratamiento; b) las categorías de datos personales de que se trate; c) el alcance de las limitaciones establecidas; d) las garantías para evitar accesos o transferencias ilícitos o abusivos; e) la determinación del responsable o de categorías de responsables; f) los plazos de conservación y las garantías aplicables habida cuenta de la naturaleza alcance y objetivos del tratamiento o las categorías de tratamiento; g) los riesgos para los derechos y libertades de los interesados, y h) el derecho de los interesados a ser informados sobre la limitación, salvo si puede ser perjudicial a los fines de esta.

Al ser esto así, denuncia con razón OLIVARES OLIVARES51 que la disposición adicional decimocuarta de la LOPD y GDD52 puede entrar en conflicto con el artículo 23.2 RGPD, pues mantiene vigentes los artículos 23 y 24 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en tanto no sean expresamente modificados, sustituidos o derogados, y el apartado 2 del artículo 23, que no ha sido modificado, sustituido o derogado desde que resulta aplicable el RGPD (25 de mayo de 2018), se limita a establecer, sin más aditamentos, que «[l]os responsables de los ficheros de la Hacienda Pública podrán, igualmente, denegar el ejercicio de los derechos a que se refiere el apartado anterior cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado esté siendo objeto de actuaciones inspectoras».

El apartado V del propio Preámbulo LOPD y GDD despeja cualquier duda que pudiera caber sobre lo que se pretende con el mantenimiento de la vigencia de dicho precepto legal: «en virtud de la referida disposición adicional, las Administraciones tributarias responsables de los ficheros de datos con trascendencia tributaria a que se refiere el artículo 95 de la Ley 58/2003, de 17 de diciembre, General Tributaria, podrán, en relación con dichos datos, denegar el ejercicio de los derechos a que se refieren los artículos 15 a 22 del Reglamento (UE) 2016/679, cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado esté siendo objeto de actuaciones inspectoras».

En fin, vista la actitud de la Administración tributaria española y del Legislador español con las garantías previstas en el RGPD para que el tratamiento de los datos personales de los obligados tributarios sea lícito, leal y transparente, resulta difícil no compartir la siguiente reflexión de OLIVARES OLIVARES: «no es un derecho (fundamental) que tenga por objeto impedir o dificultar la actividad administrativa. Lamentablemente, si este paradigma no se interioriza por la Administración tributaria y el propio legislador, continuaremos observando (…) carencias»53.