CN13-021 DICTAMEN RELATIVO A LA CESIÓN DE DATOS OBRANTES EN UN FICHERO DE TITULARIDAD DE LA ADMINISTRACIÓN GENERAL DE LA CAPV A LA INSPECCIÓN DE TRIBUTOS ANTECEDENTES PRIMERO: Con fecha 5 de junio de 2013 tiene entrada en la Agencia Vasca de Protección de Datos, mediante correo electrónico, consulta en relación con el asunto arriba referenciado. SEGUNDO: El artículo 17.1 de la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, en su apartado n) atribuye a la Agencia Vasca de Protección de Datos la siguiente función: “Atender a las consultas que en materia de protección de datos de carácter personal le formulen las administraciones públicas, instituciones y corporaciones a que se refiere el artículo 2.1 de esta Ley, así como otras personas físicas o jurídicas, en relación con los tratamientos de datos de carácter personal incluidos en el ámbito de aplicación de esta Ley.” Corresponde a esta Agencia Vasca de Protección de Datos, en virtud de la normativa más arriba citada, la emisión del informe en respuesta a la consulta formulada. CONSIDERACIONES La consulta formulada plantea si resulta conforme a la normativa de protección de datos, la solicitud formulada por la Inspección de Tributos de la Hacienda Foral de XXXXX, de cesión de la información de personas y entidades obrante en el “Registro de Empresas y Establecimientos Turísticos del País Vasco”, responsabilidad de la Dirección de Turismo de la Administración General de la CAPV. La cesión o comunicación de datos de carácter personal, es definida por el art. 3i) de la Ley Orgánica 15/1999, de 13 de diciembre (LOPD, en adelante), como “toda revelación de datos realizada a una persona distinta del interesado”. En relación con las cesiones el artículo 11.1 de la LOPD señala que “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el c/ Beato Tomás de Zumárraga, 71, 3º - 01008 Vitoria – Gasteiz - Tel. 945 016 230 - Fax. 945 016 231 avpd@avpd.es - www.avpd.es previo consentimiento del interesado”. No obstante, ese consentimiento no será preciso según el artículo 11.2 a) cuando la cesión esté autorizada en una norma con rango de Ley que otorgue cobertura a la misma. La solicitud de información efectuada por la Inspección Tributaria de XXXXX a la Dirección de Turismo, se funda en los artículos 104, 29.2 f) y g), 90 y 91 de la Norma Foral 2/2005, de 8 de marzo, General Tributaria del Territorio Histórico de XXXXX, y de acuerdo con los artículos 5, 111 y 162 de esa misma Norma Foral y los artículos 69 y 70 del Reglamento de Inspección Tributaria del Territorio Histórico de XXXXX, aprobado por Decreto Foral 31/2010, de 16 de noviembre. Los preceptos invocados por la Inspección Tributaria establecen las obligaciones de todos los obligados tributarios de aportar a la Administración tributaria los libros, registros, documentos e información que deban conservar en relación con el cumplimiento de sus obligaciones tributarias, y de facilitar la práctica de las inspecciones y comprobaciones administrativas. Esos preceptos se refieren también a las potestades y funciones de comprobación e investigación de la propia Administración Tributaria, y a las actuaciones de obtención de la información por la inspección tributaria, de conformidad con lo previsto en los artículos 90 a 92 de la propia Norma Foral. El artículo 91 de esa Norma Foral 2/2005, se refiere, precisamente, a la cesión de datos en el ámbito tributario, estableciendo la obligación, entre otros, de los órganos de las Administraciones Públicas, de suministrar a la Administración tributaria cuantos datos, informes y antecedentes con trascendencia tributaria recabe ésta mediante disposiciones de carácter general o a través de requerimientos concretos, y a prestarle, a ella y a sus agentes, apoyo, concurso, auxilio y protección para el ejercicio de sus funciones, disponiendo además, que esas cesiones de datos que se deban efectuar a la Administración tributaria no requerirá el consentimiento del afectado. Esta misma obligación se contempla también en artículo 94 de la Ley 58/2003, de 17 de diciembre, General Tributaria. De lo antedicho se desprende que en el presente caso existe cobertura legal para la cesión, sin consentimiento de los afectados, de la información que requiera la Inspección Tributaria, siempre y cuando esa información revista trascendencia tributaria y se fundamente en un requerimiento concreto debidamente justificado. Si lo está, esa cesión estará amparada en el artículo 11.2 a) de la LOPD. En todo caso, es necesario recordar que el principio de calidad de los datos proclamado por el artículo 4 LOPD, impediría la cesión indiscriminada a la Administración Tributaria de toda la información obrante en un fichero público, salvo que se justificase debidamente que el tratamiento de todos los datos personales obrantes en ese fichero son estrictamente necesarios para el ejercicio de sus legítimas funciones. II Hechas estas consideraciones generales sobre la cesión de datos personales a la Hacienda Foral, y a la vista del fichero cuya información se solicita (Registro de empresas y establecimientos turísticos del País Vasco), es preciso apuntar dos cuestiones. 2 La primera, que sólo las personas físicas son titulares del derecho fundamental a la protección de datos de carácter personal que deriva del art. 18.4 CE. Por ello, la protección conferida por la Ley Orgánica 15/1999, de 13 de diciembre, no es aplicable a las personas jurídicas. Así se deduce claramente de la propia LOPD, que en su artículo 2.1 párrafo 1º, dispone que “La presente Ley orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”, siendo datos de carácter personal, de conformidad con el artículo 3 a) de la misma Ley Orgánica “cualquier información concerniente a personas físicas identificadas o identificables.” En segundo lugar, es necesario tener también presente el artículo 2.3 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la LOPD (RDLOPD, en adelante) cuando dispone que “los datos relativos a empresarios individuales, cuando hagan referencia a ellos en sus calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal”. En relación con el alcance de este precepto reglamentario, la Agencia Española de Protección de Datos viene manteniendo, entre otros, en sus informes jurídicos 42/2008 y 53/2008, que cuando los datos referidos a los empresarios individuales aparecen ligados, exclusivamente, a su actividad comercial o mercantil, o identifican aunque sea con su nombre y apellido un determinado establecimiento, no se encuentran sometidos a la protección de la Ley Orgánica 15/1999, siempre que el tratamiento de esos datos se lleve a cabo en el ámbito o esfera empresarial. Por el contrario, si el tratamiento de los datos del empresario individual se realiza con una finalidad distinta de la de mantener una relación empresarial con el establecimiento, estaría plenamente protegido por la normativa de protección de datos de carácter personal. Como puede advertirse, y ya lo apuntó el propio Tribunal Supremo unos meses antes de la aprobación del RDLOPD, en su Sentencia de 9 de mayo de 2007 (RJ2007\4376), la tarea de determinar en cada caso el carácter personal o no del dato de que se trate es en muchas casos compleja. En este sentido, merece destacarse la Sentencia de 12 de mayo de 2011, de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional (RJCA\2012\2), cuando señala “No puede concluirse, por tanto, que los empresarios individuales y profesionales estén en su conjunto excluidos del ámbito de protección de la LOPD, sino que se hace necesario diferenciar (y la línea divisoria es confusa y difusa) cuando un dato del empresario o profesional, se refiere a la vida privada de la persona y cuando a la empresa o profesión, pues solo en el primer caso cabe aplicar la protección de la LO 15/1999. Labor de diferenciación que puede basarse en dos criterios distintos y complementarios: Uno, el criterio objetivo de la clase y la naturaleza de los datos tratados, según estén en conexión y se refieran a una esfera (la íntima y personal) o a otra (la profesional) de la actividad. Otro, el de la finalidad del tratamiento y circunstancias en que éste se desarrolla, criterio éste que operaría en aquellos casos en que alguno de los datos profesionales coincida con los particulares (por ej. coincidencia de domicilio 3 privado con el de la empresa, o cuando no se pueda acreditar si una deuda es de la empresa o si es personal del interesado). Acorde con dicha doctrina, y haciendo hincapié en que la LOPD tiene por objeto garantizar y proteger los datos personales entendiendo por tales, ex artículo 3.a) de dicha Ley "cualquier información concerniente a persona física identificadas o identificables" esta Sala ha considerado, en ocasiones anteriores en que se ha planteado la misma controversia, que dicha Ley sí ampara los datos personales de los profesionales del mercado de la construcción (arquitectos) en la sentencia de 2111-2002 (RJCA 2003, 40) (Rec. 881/2000 ).Y también en la sentencia de 25-6-2003, Rec. 1099/2000 ), entendimos incluidos en el ámbito protector de la Ley los datos personales de particulares que actuaban como promotores en la construcción de su propia vivienda. Además, en nuestra sentencia de 11-2-2004 (RJCA 2004, 421) (Rec. 119/2002 ) y ya bajo la vigencia de la actual LOPD, hemos entendido que el dato del afectado, aunque se refería al lugar de ejercicio de su profesión (un despacho de abogados) era un dato de una persona física con una actividad profesional cuya protección caía en la órbita de la Ley Orgánica 15/1999 "pues los datos personales son predicables de todos los ciudadanos, sin que puedan excluirse de dicha previsión los relativos a aquellos que realizan una profesión, pues el ejercicio de esta actividad no puede ser equiparado a estos efectos a la de una empresa, como parece mantener el recurrente". CONCLUSIÓN La cesión de datos obrantes en un fichero público a la Inspección tributaria, en los términos señalados en el cuerpo de este dictamen, es conforme con la normativa de protección de datos de carácter personal. En Vitoria-Gasteiz, a 4 de julio de 2013 4