Las Administraciones públicas deben ser diligentes con el tratamiento de los datos de carácter personal que obran en sus ficheros, respetando el derecho fundamental a la protección de datos, consagrado en la Constitución. En algunos casos, no es fácil conciliar la protección de datos con las exigencias de publicidad de los actos administrativos. Existen zonas de fricción dado que el cumplimiento de determinados requisitos legales por las Administraciones públicas puede poner en riesgo la seguridad de los datos personales de los destinatarios de los actos administrativos. Lo aconsejable en estas situaciones es optar por la interpretación más favorable al derecho fundamental a la protección de datos.

Todo esto viene a cuento de dos recientes resoluciones de la Agencia Española de Protección de Datos, en las que se declara la comisión de infracciones administrativas graves, tipificadas en el artículo 44.3.h) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), por la Agencia Tributaría de les Illes BalearsR/00912/2015– y por la Diputación Provincial de Burgos –R/1992/2015. Se les imputa a estas Administraciones la vulneración del principio de seguridad de los datos por la deficiente notificación de diligencias de embargo a los interesados.

Se consideran hechos probados que en los documentos utilizados por estas Administraciones Públicas para practicar las notificaciones, queda constancia que contienen diligencias de embargo a los destinatarios. En uno y otro caso es visible en el exterior de los documentos notificados por Correos que contienen notificaciones de embargo, junto con los datos personales de los destinarios.

Tanto la Agencia Tributaría de les Illes Balears como la Diputación Provincial de Burgos alegan que se trata de notificaciones administrativas en el curso de procedimientos de apremio, practicadas conforme a lo previsto en la normativa aplicable, al igual que hacen otras Administraciones Públicas. Y añaden en su defensa que estos documentos notificados por Correos, sólo pueden ser recogidos, en principio, por el interesado o personas que se encuentren en su domicilio y hagan constar su identidad. Es decir, no son documentos a los que tenga acceso cualquier persona

La Agencia Española de Protección de Datos en las resoluciones adoptadas considera vulnerado el principio de seguridad de los datos, establecido en el artículo 9 LOPD. Este artículo impone a los responsables de los ficheros la obligación de adoptar medidas de índole técnica y organizativa que garanticen dicha seguridad; estas medidas tienen por finalidad evitar el acceso por parte de terceros el acceso no autorizado a datos personales.

Las medidas de seguridad se clasifican en distintos niveles –básico, medio y alto- atendiendo a la naturaleza de la información tratada; es decir, teniendo en cuenta la mayor o menor necesidad de garantizar la confidencialidad e integridad de los datos de carácter personal. En lo que respecta a los ficheros o tratamientos de datos de carácter personal de los que son responsables las Administraciones tributarias y estén relacionado con el ejercicio de las potestades tributarias, deberán implantarse, además de las medidas de seguridad de nivel básico, las de medidas de nivel medio, de acuerdo con lo establecido en el artículo 81.2.c) del RD 1720/2007, de 21 de diciembre, que aprueba el Reglamento de desarrollo de la LOPD.

La conclusión a la que se llega es que estas Administraciones incumplieron la obligación de adoptar las medidas técnicas y organizativas necesarias para evitar el acceso no autorizado por parte de terceros a datos personales que constan en sus ficheros. El incumplimiento consistió en establecer un sistema de notificación que no impedía de manera fidedigna que los datos personales del interesado –nombre, apellidos y domicilio-, asociados a la situación de impago, pudieran ser accesibles por terceros. Se rechaza que la normativa reguladora de la notificación de los actos administrativos –incluidos los de naturaleza tributaria- exija que la información contenida en el acto notificado resulte visible en el exterior del documento que se notifica.

El criterio que sigue en estos casos la Agencia Española de Protección de Datos, es el mismo que había seguido anteriormente con empresas de cobro de morosos, que destacaban con grandes caracteres en el anverso y el reverso de los sobres utilizados la condición de morosos de los destinatarios. Estas resoluciones han sido confirmadas por sentencias de la Audiencia Nacional, entre otras en la  SAN 3333/2014, de 10 de julio.

A la vista de estas resoluciones de la Agencia Española de Protección de Datos, las Administraciones públicas que practiquen notificaciones administrativas por correo de actos de naturaleza tributaria, deberán evitar que en el exterior del documento aparezcan referencias al acto que se notifica. Lo que no queda claro es si esa referencia deberá desaparecer también de la tarjeta de acuse de recibo adherida al documento que contiene la notificación.

Pedro Corvinos Baseca