Hace escasos días, los medios de comunicación se hacían eco de una resolución, recientemente, emitida por la Sala tercera de lo Contencioso-administrativo del Tribunal Supremo (en adelante, TS) (STC 1007/2019 de 8 de julio de 2019) contra el Instituto de la vivienda de la Comunidad de Madrid (en adelante, IVIMA) y con la que el TS acababa con años de idas y venidas, de resoluciones y sentencias en las que se analizaba, desde un punto de vista de protección de datos, la actuación del IVIMA durante un proceso de enajenación de 32 promociones de viviendas de su propiedad.
Y sí, el TS confirma, con su sentencia, la existencia de una vulneración de la normativa en materia de protección de datos por parte del IVIMA. Hecho que ya adelantaron la Agencia Española de Protección de Datos (en adelante AEPD) en su resolución R/00851/2015 y la Sala de lo Contencioso número 1 de la Audiencia Nacional, (en adelante AN) en su sentencia 5119/2017.
Pero antes de analizar la fundamentación de estos entes jurídicos, y poder comprender, así, la trascendencia de las resoluciones, hemos de ponernos en situación. Año 2013. El IVIMA saca a concurso, la enajenación de 32 promociones de viviendas en situación de arrendamiento y arrendamiento con opción a compra, algunas de las cuales se encontraban inmersas en procesos litigiosos de diversa índole. Al concurso, licitaron un número cerrado de empresas que, tras superar la primera fase del concurso y firmar el compromiso de confidencialidad que se les requería, accedieron a toda aquella documentación que debían conocer respecto de los bienes objeto de enajenación, a través de un portal de acceso restringido, denominado data room.
Desde el punto de vista de protección de datos, ¿qué hecho acontece, entonces, que pone en entredicho la actuación del IVIMA?
Es necesario mencionar que el pliego de condiciones, que regula el procedimiento del concurso, fue publicado en el perfil del contratante en la página web de la Comunidad de Madrid. Dicho pliego estaba conformado, entre otros, por los anexos I y VIII que recogían una relación detallada de 41 viviendas que se encontraban inmersas en diversos procedimientos litigiosos. A la relación de las viviendas, lo acompañaban los nombres y apellidos de los 34 arrendatarios, así como otras informaciones relativas a las viviendas tales como la referencia catastral, dirección, municipio…etc. Dicha información era de acceso libre, y descargable por todo aquel que accediese al perfil del contratante en la dirección web http://www.madrid.org/contratospublicos. Se mantuvo pública 19 días.
A las vista de las denuncias presentadas por los afectados, se efectúan, por parte de la AEPD, las actuaciones de investigación oportunas y que tienen como resultado final la incoación de un procedimiento de declaración de infracción por presunta vulneración, por parte del IVIMA de los artículos 6.1 y 10 de la Ley Orgánica de Protección de Datos 15/1999 (en adelante, LOPD 15/99), ya derogada en la actualidad por la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales 3/2018 (en adelante, LOPDGDD). No obstante, el 9 de marzo de 2015, en propuesta de resolución, la AEPD declara el archivo de la infracción del artículo 10, imputada al IVIMA; manteniendo la comisión de una infracción sobre el artículo 6.1 de la LOPD 15/99.
A pesar de la derogación de la LOPD 15/99, sobre la que los distintos entes públicos y jurídicos fundamentan sus respectivas decisiones, en el presente artículo, trataremos de identificar los preceptos de la actual normativa, Reglamento Europeo de Protección de Datos (RGPD) y LOPDGDD, que se corresponden con el artículo de la LOPD 15/99 infringido.
Entonces, ¿cuáles son los fundamentos esgrimidos por la AEPD, para considerar la existencia de una infracción sobre el artículo 6.1?
Es importante reseñar que toda la fundamentación de la AEPD no versa sobre la publicación, en sí misma, de los datos de carácter personal sino sobre si esta publicación, así como el medio en el cual se hizo, resultaban pertinentes y adecuados para cumplir con la finalidad perseguida por el IVIMA.
Por todos es sabido que el tratamiento de datos de carácter personal ha de estar legitimado en una de las bases recogidas en el artículo 6 del RGPD. La ausencia de alguna de ellas constituye, como así lo indica la AEPD, un límite al derecho fundamental a la protección de datos. Este es el primer punto en el que la AEPD fundamenta su decisión: no consta, en el caso concreto, acreditada la concurrencia de ninguna base legitimadora que habilite la publicación de los datos de los arrendatarios en el perfil del contratante.
El IVIMA basa su defensa en que el motivo por el que se incluyeron los datos de particulares inmersos en procedimientos litigiosos, fue el cumplimiento de lo previsto en el artículo 49.3 de la Ley 3/2001, de 21 de junio, de Patrimonio de la Comunidad de Madrid así como en el artículo 140 de la Ley 33/2013 de 3 de noviembre de Patrimonio de las Administraciones Públicas que recogen la necesidad de que, en la enajenación de bienes litigiosos pertenecientes al patrimonio de la Comunidad de Madrid, se deberá hacer mención expresa y detallada del objeto, partes y referencia del litigio concreto que afecta al bien. Considera, por tanto, que su actuación fue legítima por hacerlo dentro del ejercicio de sus funciones públicas, y su deber de transparencia, y que se contemplaban cómo excepción en el artículo 6.2 LOPD 15/1999 y se encuadrarían dentro del principio de licitud del actual artículo 6 del RGPD.
Invocamos en este punto, el actual principio de minimización de datos recogido en el artículo 5.1.c) del RGPD que recoge que tanto en el momento de recogida de los datos, cómo durante su tratamiento, estos han de ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
Considera, la AEPD, en un segundo punto, que, la exposición en abierto, con la precisión de los nombres y apellidos fue innecesaria e impertinente al fin pretendido; pues las obligaciones recogidas en los preceptos alegados por el IVIMA se podían haber hecho efectivas, de igual manera pero de un modo restringido, en el data room, que era accesible sólo por parte de los licitadores o, inclusive, en el momento de la propia adjudicación. Incumple, así, el principio de minimización de datos.
Adicionalmente, la AEPD establece que el principio de transparencia no puede ser tenido en cuenta como justificación, en el presente caso, toda vez que la identidad de los afectados no resulta de una relevancia pública tal, que justificase su acceso universal mediante su publicación en la web.
Así, concluye, la puesta a disposición en Internet supone una divulgación que desborda la esfera de privacidad de los sujetos interesados haciéndolo accesible sin límites a terceros que no ostentan interés legítimo alguno.
Recurrida, dicha resolución, por el letrado de la Comunidad de Madrid mediante recurso contencioso-administrativo ante la Sala número 1 de lo Contencioso Administrativo de la AN, este órgano judicial no hace sino confirmar la resolución, y criterios, establecidos por la AEPD al considerar que las obligaciones de publicidad y transparencia de la actuación pública, deben siempre ser aplicados de una forma armónica con el resto del ordenamiento jurídico, y si bien la normativa invocada por el IVIMA le exige hacer mención expresa a cierta información de los bienes enajenados, no era necesario que la publicidad se hiciese en abierto..
El TS responde.
Tras el análisis de las resoluciones y sentencias que lo precedían, la necesaria jurisprudencia de otros entes judiciales, así como los preceptos del Derecho estatal, de la Unión Europea, del Convenio del Consejo de Europa para la protección de datos de carácter personal y la doctrina del Tribunal Constitucional, el TS y el TSJUE, el alto Tribunal concluye que:
– Las autoridades públicas son responsables de garantizar que no se divulguen datos personales que no sean absolutamente necesarios para el ejercicio de funciones públicas y adecuados para la finalidad perseguida (principio de minimización de datos).
– Considera desproporcionada la actuación del IVIMA en la medida que la revelación de datos personales a través de la publicación de los pliegos de condiciones en abierto en la página web de la Comunidad de Madrid, excedió de lo necesario para cumplir las previsiones de publicidad y transparencia establecidas en la Ley 3/2001 y 33/2013 puesto que podía haberse efectuado la divulgación de dicha información mediante el acceso telemático restringido a los licitadores en la segunda fase del procedimiento o en el momento de la adjudicación.
– La difusión de datos personales en abierto y con acceso ilimitado, en una página web de la Administración Pública con ocasión de la tramitación de un procedimiento de contratación administrativa está sometida al cumplimiento de la normativa vigente en materia de protección de datos, y, específicamente, al deber jurídico de recabar el consentimiento de los afectados sobre la recogida y tratamiento de datos cuanto no se revelen imprescindibles, necesarios o pertinentes para el adecuado y regular ejercicio de las funciones públicas; no siendo aplicable, en este caso, el supuesto de excepción alegado por el IVIMA.
En virtud de lo anteriormente expuesto, debemos concluir que esta sentencia es un claro ejemplo de que el principio de transparencia y el ejercicio de la función pública, no es un escudo absoluto bajo el que puedan ampararse las Administraciones Públicas en su actuar, sino que, ante cualquier tratamiento, se deberán siempre tener en cuenta, de un modo conjunto, todas las normas que conforman el ordenamiento jurídico español y entre las que se encuentran, por supuesto, el RGPD y la LOPDGDD.
