Los hechos que dieron lugar a la sanción confirmada en vía judicial, sucintamente expuestos, ocurrieron durante los meses de octubre y noviembre de 2014. Consistieron en que la entidad demandante (junto a la entidad Òmnium Cultural), en el marco de la campaña “Ara és l’Hora”, llevó a cabo una encuesta en todo el ámbito territorial de Cataluña, que afectaba a tres millones de domicilios, y en la que se preguntaba a cada encuestado sobre las prioridades de Cataluña “cuando fuera un estado” y si iría a votar en la consulta del 9 de noviembre de 2014 “sobre el futuro político de Cataluña”. La encuesta se realizó tratando no solo los datos personales de los encuestados que dieron su consentimiento expreso y por escrito, sino también los de aquellos que no lo dieron, lo que constituye un incumplimiento del art. 7.2 de la Ley Orgánica 15/1999, de protección de datos de carácter personal, a la sazón aplicable (tratar datos que revelen la ideología sin el consentimiento expreso y por escrito del afectado), constitutivo de infracción muy grave conforme al art. 44.4.b) de dicha ley.
La sentencia, de la que ha sido ponente el magistrado Enrique Arnaldo Alcubilla, tras rechazar los óbices planteados por el abogado del Estado, realiza un examen detallado de las distintas quejas formuladas por la entidad ANC en su demanda de amparo, descartando que se hayan producido las lesiones constitucionales que alega la demandante y desestimando, en consecuencia, el recurso de amparo.
Así cabe destacar, en particular, que se descarta que la sentencia impugnada en amparo haya incurrido en la alegada lesión del derecho a la tutela judicial efectiva por atribuir responsabilidad individual a la entidad ANC en los hechos sancionados. Aprecia en este sentido el TC que los varios actores que participan en el diseño de un tratamiento de datos personales quedan sujetos cada uno de ellos a las disposiciones aplicables en materia de protección de datos, conforme a la normativa aplicable en esta materia (particularmente respecto a la figura jurídica del “responsable del tratamiento”); es decir, que la sentencia impugnada rechaza de manera suficientemente motivada y fundada en Derecho los distintos argumentos que ANC, basándose en que participaba conjuntamente con Òmnium Cultural en las actividades de diseño y ejecución, hizo valer para instar que se declarase una responsabilidad solidaria de ambas entidades.
El Tribunal Constitucional descarta asimismo que la sentencia impugnada haya incurrido en una lesión refleja o indirecta de la libertad ideológica, de la libertad de expresión y del derecho de asociación de la entidad ANC, por cuanto la interpretación que de la normativa aplicable al caso lleva a cabo la Audiencia Nacional no puede ser tildada de arbitraria, ilógica o infundada, ni cabe apreciar que otorgue un alcance desmedido al derecho fundamental a la protección de datos de carácter personal.
STC 07.03.22
La Sala Segunda del Tribunal Constitucional, compuesta por el magistrado don Juan Antonio Xiol Rios, vicepresidente; los magistrados don Antonio Narváez Rodríguez, don Cándido Conde-Pumpido Tourón, don Ramón Sáez Valcárcel, don Enrique Arnaldo Alcubilla y la magistrada doña Concepción Espejel Jorquera, ha pronunciado
EN NOMBRE DEL REY
la siguiente
SENTENCIA
En el recurso de amparo núm. 141-2020, interpuesto por la procuradora de los tribunales doña María Jesús González Díez en nombre y representación de la entidad Assemblea Nacional Catalana, asistida por el abogado don Manuel Martínez Ribas, contra la sentencia dictada el 22 de febrero de 2019 por la Sección Primera de la Sala de lo Contencioso-administrativo de la Audiencia Nacional en el procedimiento ordinario núm. 455-2016, interpuesto contra la resolución de la Agencia Española de Protección de Datos de 5 de abril de 2016, confirmatoria en reposición de la resolución de 18 de noviembre de 2015, recaída en el procedimiento sancionador PS/00235/2015. Ha sido parte el abogado del Estado y ha intervenido el Ministerio Fiscal. Ha sido ponente el magistrado don Enrique Arnaldo Alcubilla.
I. Antecedentes
1. La entidad Assemblea Nacional Catalana (en adelante, ANC), representada por la procuradora de los tribunales doña María Jesús González Díez, interpuso recurso de amparo contra la resolución judicial mencionada en el encabezamiento mediante escrito registrado en este tribunal el 8 de enero de 2020.
2. Los hechos en que se fundamenta la demanda de amparo son los que seguidamente se relacionan.
a) Las entidades ANC y Òmnium Cultural (en adelante, OC) promovieron durante los meses de octubre y noviembre de 2014 la campaña “Ara és l´Hora” para la realización de una encuesta (que denominaron la “gigaencuesta”), realizada en todo el ámbito territorial de Cataluña, que afectaba a tres millones de domicilios. Para recoger las respuestas y los datos personales de los encuestados ambas entidades crearon un fichero compartido con el nombre de la campaña, que inscribieron en el registro de la Agencia Española de Protección de Datos (AEPD) el 27 de agosto de 2014. Para realizar la encuesta crearon un formulario que contenía un cuestionario de seis preguntas (las cinco primeras versaban sobre las prioridades de Cataluña “cuando fuera un estado” y la sexta inquiría si el encuestado iría a votar en la consulta del 9 de noviembre de 2014) y un espacio al final para datos personales del encuestado y su consentimiento para tratarlos.
Además, ambas entidades firmaron un contrato con una entidad certificada a fin de destruir, luego de mecanizar las respuestas, los formularios y el resto de material en papel de la encuesta.
La encuesta se realizó principalmente mediante la “visita puerta a puerta” realizada por 30.000 voluntarios. El territorio se dividió en 100.000 zonas (cada zona abarcaba unos pocos portales). A los voluntarios se les entregó un “kit de encuestador”, en el que, además de los formularios de encuesta, había un “mapa de visita” por cada zona atribuida y un “mapa de mapas”. Cada “mapa de visita” contenía la identificación de la caja de almacenamiento, del mapa en sí y del voluntario; un espacio para detallar el número total de puertas; un resumen de visitas (distingue entre “no abren”, “no quieren hacer la encuesta” y “encuesta hecha”); y un espacio para realizar anotaciones por cada puerta (constan anotaciones como “no irá a votar, no es legal.
NO”, “SI” o “No quiere atender. NO”). Los códigos de “mapa de visita” y de caja son alfanuméricos, generados de forma automática y secuencial por un programa de ordenador;
señalan el municipio, un código dentro del municipio y el equipo encuestador.
El “kit de encuestador” contiene una guía. Indica que la encuesta se rellenaría por el encuestador, que anotaría las respuestas de forma que el interlocutor las viera. Consta también que se pedirían los datos personales, para poder procesar las respuestas de los encuestados y enviarles información de interés. Y que aquellos debían firmar la encuesta y dar su consentimiento para cumplir la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD), a la sazón aplicable, señalando que “están en su derecho de hacerlo [no dar el consentimiento] y si no lo hacen, no recogemos ningún dato” (en el material del curso, en un recuadro, en rojo con grandes tipos, se indica: “Es muy importante que si no se firma y acepta el formulario de la encuesta no se llene ningún dato”). Una vez finalizada, se anotará en el encabezamiento de la encuesta el código identificador y el código de voluntario.
A raíz de varias denuncias, la inspección de la AEPD, en fase previa de investigación, realizó una serie de actuaciones. El 29 de octubre de 2014 accedió a los sistemas de información de ANC y en particular a la aplicación desarrollada para la recogida de las respuestas a la encuesta y de los datos identificativos de los encuestados; examinó asimismo en la sede de la ANC las encuestas existentes en ese momento. En la sede de OC los inspectores de la AEPD accedieron el 26 de noviembre de 2014 a la zona de tratamiento de datos, en donde se realizaron las comprobaciones oportunas.
A la vista del resultado de las actividades de investigación llevadas a cabo por el servicio de inspección de la AEPD, el director de esta acordó el 3 de junio de 2015 iniciar procedimiento sancionador a ANC y OC por presunta infracción del art 7.2 LOPD (prohibición de tratar datos personales de ideología sin consentimiento expreso) y les requirió el cese en el uso ilícito de los datos personales, a lo que accedieron ANC y OC, que además alegaron lo que juzgaron oportuno en relación a las imputaciones contenidas en el acuerdo de inicio del procedimiento sancionador.
Concluido este, por resolución de la AEPD de 18 de noviembre de 2015 le fue impuesta a la entidad ANC una sanción de 200.000 euros por incumplimiento del art. 7.2 LOPD, constitutivo de infracción muy grave [art. 44.4.b) LOPD].
La AEPD considera, en vista del resultado de las inspecciones realizadas, que aunque se programó que solo se hiciesen encuestas con consentimiento, la realidad es que la aplicación informática recogía ambas categorías, pues el número total de encuestas era superior al de encuestas con consentimiento; la mecanización de los dos contenidos del formulario (respuestas a la encuesta e identidad de encuestados) se hacía en una misma pantalla. Además, aunque se recogían en bases de datos distintas, tenían campos comunes que permitían la conexión de las respuestas a la encuesta con los datos personales del encuestador; junto a los formularios (respuestas a la encuesta más datos de identidad), hay unos “mapas de visita” que contenían un “resumen de visita” y anotaciones a mano de los encuestadores relativos a cada puerta. Uno y otras incluían información de quienes (por no estar en casa, no abrir u otro motivo) no hacían la encuesta, datos que para la AEPD reflejan una posición respecto del proceso soberanista; el formulario en papel y los “mapas de visita en papel”, una vez mecanizados, se archivaban (los formularios sin separación entre respuestas y datos de identidad) en cajas dotadas con códigos que conducían a espacios muy reducidos, con lo que era fácil localizar las personas de referencia.
La AEPD concluyó que ANC y OC, al diseñar y desarrollar el tratamiento de datos incumplieron el art. 7.2 LOPD (que prohíbe tratar sin consentimiento expreso y por escrito datos de ideología) y que ello cometieron la infracción muy grave prevista en el art. 44.4 b) LOPD.
Apreciando que ANC, tras el requerimiento de la AEPD, cesó en el tratamiento ilícito de los datos personales y que ello supone una disminución de culpabilidad y antijuridicidad del hecho (art.
45.5 LOPD), la AEPD impuso a ANC una sanción de 200.000 euros (dentro del escalón inferior, el de infracciones graves, que va de 40.000 a 300.000 euros). Idéntica sanción le fue impuesta a OC. Por otra parte, la resolución de la AEPD impuso también a la entidad ANC una sanción de 40.000 euros, por vulneración del principio de seguridad de los datos del art. 9 LOPD, constitutiva de infracción grave [art. 43.3.h) LOPD].
Contra la resolución sancionadora interpusieron las entidades ANC y OC recurso de reposición, que fue desestimado por resolución de la directora de la AEPD 5 de abril de 2016.
b) Las entidades ANC y OC recurrieron por separado en vía contencioso-administrativa sus sanciones. En el caso de la entidad OC, una vez agotada la vía judicial, interpuso recurso de amparo, que fue inadmitido por ATC 75/2021, de 22 de julio, por incumplimiento de los requisitos de procedibilidad.
c) El recurso contencioso-administrativo de la ANC contra la resolución sancionadora de la AEPD fundamentaba la pretendida nulidad del acto impugnado en varios motivos: no se trataron datos de carácter personal (los que se trataron solo remotamente identifican a personas físicas); aunque lo fuesen, no estaban incorporados a un fichero; la sanción impuesta ha infringido el principio de responsabilidad (dado que ni se declaró una responsabilidad solidaria, ni se procedió a individualizar la responsabilidad de cada una de las dos entidades) y el de culpabilidad (la conducta sancionada no fue intencionada, ni tampoco negligente); la sanción impuesta ha infringido también el principio de legalidad al haber valorado ilógicamente la AEPD las pruebas que obran en el expediente (lo que determina que se haya sancionado una conducta que no era típica); y ha infringido asimismo el principio de proporcionalidad (debido a los factores que la AEPD usó para graduar la sanción y porque ha impuesto en este caso una multa de cuantía muy superior a otros en que ha sancionado el tratamiento de datos especialmente protegidos).
Subsidiariamente, adujo que los datos personales tratados no eran de ideología (o al menos no son especialmente protegidos, pues solo las opiniones políticas tienen ese carácter según la Directiva 95/46/CE). Al no caber esa calificación, los hechos serían constitutivos de infracción grave [art. 44.3 b) LOPD], debiendo sancionarse ex art. 45.5 LOPD en el arco de las sanciones leves. Subsidiariamente, aun manteniendo la declaración de una infracción muy grave y de una sanción en el escalón inferior, interesaba que, en virtud de una serie de atenuantes, la sanción se ajustase al mínimo previsto para las sanciones graves (40.000 €).
d) La sentencia de la Sección Primera de la Sala de lo Contencioso-administrativo de la Audiencia Nacional de 22 de febrero de 2019 (procedimiento ordinario núm. 455-2016), desestimó la demanda de la entidad ANC. Razona que “se hace referencia en la demanda a la ilógica valoración de prueba por parte de la AEPD, pero sin mayor especificación” y contesta explícitamente el resto de alegaciones de ANC. Sobre la cualidad de personales de los datos tratados, destaca que se acredita en el expediente que existe una codificación que permite asociar los datos de la encuesta y las anotaciones de los voluntarios a un domicilio concreto. Y sobre si esos datos se trataban de un modo estructurado, resuelve que “existía un fichero manual estructurado y existía también un fichero automatizado estructurado, de forma que [...] el encuestador introducía los datos personales de los encuestados y el resultado de la encuesta a la vez, por lo que existía correspondencia entre lo que había declarado una persona y sus datos de carácter personal”.
La citada sentencia razona que el fin de la encuesta era proporcionar una consulta ideológica y estimular la participación en ella. Conecta dicha finalidad con el contenido de la encuesta realizada, en la que se planteaban preguntas relacionadas con la posición ideológica de los encuestados, y concluye apreciando que se efectuó un tratamiento de datos de ideología de las personas encuestadas. Añade que “sin necesidad de valorar si la LOPD, al exigir consentimiento expreso y por escrito en estos casos, se ajusta o no a la Directiva europea (que exige consentimiento explícito), lo cierto es que el tratamiento de datos personales de ideología [fue] no consentido, como se deriva de irregularidades observadas por inspectores de la Agencia y recogidas en la relación de hechos probados. Manifiesta tal entidad actora en la demanda que, una vez procesados los resultados de la encuesta, únicamente se iban a conservar los datos de las personas que habían proporcionado sus datos y habían aceptado el tratamiento y, por tanto, solo se guardarían los formularios como prueba de dicha aceptación. Sin embargo, figura acreditado que en los formularios examinados por los inspectores de la AEPD, tanto mecanizados como pendientes de ello, no se había procedido a la separación física de la parte destinada a registrar las respuestas y la parte destinada a recabar datos de carácter personal”.
Descarta la alegada falta de culpabilidad porque, según la jurisprudencia del Tribunal Supremo que cita expresamente, “aunque la culpabilidad de la conducta debe también ser objeto de prueba, debe considerarse [] que ordinariamente los elementos volitivos y cognoscitivos necesarios para apreciar aquélla forman parte de la conducta típica probada, y que su exclusión requiere que acredite la ausencia de tales elementos, o en su vertiente normativa que se ha empleado la diligencia que era exigible por quien aduce su inexistencia; no basta, en suma, para la exculpación frente a un comportamiento típicamente antijurídico la invocación de la ausencia de culpa”. Concluye así que “concurre una conducta culpable por parte de ANC en el caso que nos ocupa, que se concreta en la recogida de datos personales relativos a ideología respecto de personas que negaron su consentimiento para dicho tratamiento de datos, o respecto de personas que ni siquiera conocían que dicha recogida de datos personales se estaba produciendo”.
La sentencia rechaza igualmente la pretensión de que ANC y OC fuesen consideradas responsables solidarias. Consideró a tal efecto “esclarecedor el Dictamen 1/2010 del GT29, en el que se indica que <<[] la definición de tratamiento contenida en el art 2.b) de la Directiva no excluye la posibilidad de que distintos agentes estén implicados en diferentes operaciones o conjuntos de operaciones en materia de datos personales. Estas operaciones pueden producirse simultáneamente o en distintas fases>>. Y se concluye que [] <<los distintos grados de control pueden dar lugar a distintos grados de responsabilidad, y desde luego no cabe presumir que haya una responsabilidad solidaria en todos los casos>> [...]”. Concluye la sentencia que esto es lo que sucede en el supuesto enjuiciado, pues “en el propio formulario de encuesta, tanto Òmnium como ANC reconocen su responsabilidad plena y a título individual respecto de los hechos cuando exponen: <<le pedimos su consentimiento para incluir los datos personales recogidos en este formulario en el fichero “Ara és l´Hora”, el responsable del cual es Assemblea Nacional Catalana y Òmnium Cultural, con la finalidad de llevar a cabo acciones o campañas, generales o personalizadas e informarle de las mismas, así como realizar estudios estadísticos y encuestas o estudios de opinión en el marco y en relación con el proceso soberanista de Catalunya>>”. Entiende por ello que “ha de declararse una responsabilidad individual y a título <<personal>> (aun tratándose de una persona jurídica) de cada una de ambas personas jurídicas, dada la posibilidad de varias partes o corresponsables determinen conjuntamente, para una única operación de tratamiento, los fines y los medios del tratamiento que se vaya a llevar a cabo, tal y como refiere el mencionado Dictamen 1/2010 del GT29, que alude a la posibilidad de que distintos agentes estén implicados en diferentes operaciones o conjuntos de operaciones en materia de datos personales”.
La sentencia razona, sobre el principio de proporcionalidad y la apreciación de atenuantes y agravantes, que “la resolución sancionadora analiza dicho principio y aplica la previsión contenida en tal art. 45.5 LOPD, aplicando una infracción inferior en grado [pues el] requerimiento efectuado por AEPD, consistente en la cesación en la utilización ilícita de datos de personas que negaron su participación en la encuesta o que no consintieron expresamente el tratamiento de sus datos, fue atendido por la ANC y OC, que eliminaron la información.
Teniéndose en cuenta además que, tras el requerimiento de la Agencia, también separaron la parte de la encuesta relativa a las respuestas de la referida a los datos personales del encuestado y su consentimiento. Sin que la mayor rebaja de la sanción que se pretende por ANC pueda ser atendida pues, contrariamente a lo invocado en la demanda, no concurren las circunstancias del art 45.4 LOPD que se enumeran por aquélla. Además de que sí ha existido intencionalidad y culpabilidad, la infracción no se refiere solo a cuatro encuestas y tres “mapas de visita”, sino a todo el sistema de organización y consulta y en definitiva de obtención de datos personales de ideología [] Tampoco ha resultado acreditada una mayor implementación de procedimientos adecuados para cumplir con LOPD que se invoca en la demanda, además de la que ya fue tomada en consideración por la Agencia para rebajar la sanción. Sin que sea apreciable, por último, la inexistencia de reincidencia, dado que tanto la entidad actora como OC tienen pendientes, por hechos similares o idénticos a los enjuiciados en este pleito, varios procedimientos judiciales”.
e) Presentada por la entidad ANC solicitud de corrección, aclaración, subsanación y complemento de la sentencia, tal pretensión fue desestimada por auto de 5 de abril de 2019 de la Sección Primera de la Sala de lo Contencioso- administrativo de la Audiencia Nacional.
f) La entidad ANC preparó contra la sentencia de la Audiencia Nacional recurso de casación, que fue inadmitido por auto de la Sección Primera de la Sala de lo Contenciosoadministrativo del Tribunal Supremo de 7 de noviembre de 2019, al apreciar que “las cuestiones planteadas y las alegaciones desplegadas en el escrito de preparación deben tildarse de manifiestamente carentes de interés casacional”, al versar sobre “la valoración de elementos fácticos” o referirse a “cuestiones de hecho excluidas de la casación”.
3. La demanda de amparo se interpone ex art. 44.1 LOTC frente a la sentencia de la Sección Primera de la Sala de lo Contencioso-administrativo de la Audiencia Nacional de 22 de febrero de 2019, por violación de los derechos a la tutela judicial efectiva (art. 24.1 CE) y a la defensa y a la presunción de inocencia (art. 24.2 CE); sostiene también que la interpretación tan amplia que la sentencia da al derecho de protección de datos (art. 18.4 CE) deja vacíos de contenido los referidos derechos que garantiza el art. 24 CE, con incidencia en los derechos de libertad ideológica, expresión y asociación (arts. 16.1, 20.1 y 22 CE).
Se alega en primer lugar que la sentencia impugnada incurre en una valoración ilógica de la prueba, concretada en varios aspectos: frente a lo que se entiende en la sentencia, sostiene la demandante que las notas a mano en el mapa de visita (del tipo “no abre”) las hacía el voluntario para no repetir puerta, no se automatizaban y su constancia en papel se destruía una vez incluidos los datos que sí se mecanizaban; que el código geográfico usado para almacenar el papel a conservar (solo la constancia en papel del consentimiento) no desciende a detallar el domicilio, solo identifica un conjunto de calles, y el que señala el portal solo estaba en el “mapa de visita”, que se destruía; que es erróneo afirmar que hay datos mecanizados sin consentimiento, pues todos ellos provenían de formularios con consentimiento expreso del encuestado, y también lo es sancionar por el tratamiento en papel, pues lo único que se conserva en papel es el consentimiento de quien lo ha dado, destruyéndose el resto; que la sentencia califica de tratamiento inconsentido el relativo a datos presentes en formularios en papel durante el proceso de mecanización (respuestas de encuestados cuyo consentimiento no consta, anotaciones sobre quienes no abren), sin reparar que los formularios en papel se destruyen (“fichero temporal”); que la sentencia considera acreditado que en los formularios examinados por los inspectores de la AEPD, tanto mecanizados como pendientes de ello, no se había procedido a la separación física de la parte destinada a registrar las respuestas y la parte destinada a recabar datos de carácter personal, cuando tales inspectores comprobaron en su visita que la separación sí se producía; que la sentencia, al atribuir la cualidad de datos ideológicos a las anotaciones del tipo “no abre”, no atiende a los datos en sí, sino a la condición de ANC, al contenido y contexto de la encuesta y a cómo se declaró en AEPD el fichero “Ara és l´Hora”, cuando el hecho de no abrir la puerta no revela posición contraria a la independencia (puede deberse a no tener tiempo o estar ausente) y que el fichero general fuera declarado en la AEPD como destinado a recoger datos de ideología no implica que todos los subficheros hayan de responder a esa caracterización; que la sentencia, a pesar de negar que ANC y OC respondan solidariamente del tratamiento conjunto de datos por ser posible que “distintos agentes estén implicados en diferentes operaciones o conjuntos de operaciones”, no indica cuáles fueron realizadas por ANC, sino que la sanción abarca todas las operaciones de tratamiento; que la sentencia es ilógica por considerar atenuante que, tras requerirlo la AEPD, la ANC cesara en el tratamiento ilícito y separase las respuestas de la parte que recogía la identidad y el consentimiento, dado que no está probado que hubiera infracción previa que debiera cesar. Y también sería ilógica al decir que “sí ha existido intencionalidad y culpabilidad”, cuando previamente había situado el elemento subjetivo de la sanción en la falta de diligencia.
La segunda queja reprocha a la sentencia que considere el elemento subjetivo de la sanción inherente a la conducta que integra el elemento objetivo del tipo (tratar datos personales de ideología es por definición un conducta culpable) de modo que no baste para exculparse frente a un comportamiento típico con invocar la ausencia de culpa. La entidad ANC alega que así se altera la carga de la prueba, generándole indefensión y privándole de la presunción de inocencia.
Argumenta, además, que adoptó todas las medidas posibles de diligencia ex ante y ex post, no señalando la sentencia ninguna cautela concreta que dejase de adoptar.
La demandante alega en tercer lugar que la sentencia incurre en incongruencia omisiva por varios motivos: no razona cómo a partir del nombre y número de la calle, únicos datos que constan en la codificación geográfica, es posible asociar datos con personas, ni plantea cuestión prejudicial respecto del sentido del art. 2.2 de la Directiva 95/46/CE; no contesta a la alegación de que el art. 8 de esa Directiva, que tiene efecto directo de armonización completa, prevé que el consentimiento sea explícito (no expreso y por escrito); y no contesta sobre la aplicabilidad del art. 8.2.d) de la misma Directiva, que prevé que las asociaciones cuya finalidad sea política pueden tratar sin consentimiento los datos de sus miembros y personas con quienes mantengan contactos regulares, pues, en el entendimiento de que contestar la encuesta implica adhesión al independentismo, las personas que la han contestado estarían incursas en ese precepto.
Como conclusión de la demanda de amparo se afirma que la interpretación extensiva que realiza la sentencia impugnada del derecho a la protección de datos deja vacíos de contenido los alegados derechos a la tutela judicial efectiva, a la defensa y a la presunción de inocencia (art. 24 CE), con incidencia en los derechos de libertad ideológica, expresión y asociación (arts. 16.1, 20.1 y 22 CE).
En relación con lo anterior, bajo la rúbrica “especial trascendencia constitucional”, se alude “al rigor interpretativo excesivo de la norma del derecho fundamental a la protección de datos [...] hasta el punto en el que ya el concreto interés merecedor de protección muta hasta convertirse en obstáculo insalvable al ejercicio de otros derechos y otras libertades”. Y afirma que “perjudica [] el asociacionismo (art. 22 CE) y que tal efecto tiene igualmente sus consecuencias en la esfera de la libertad individual (libertad ideológica ex art.16 CE y de expresión ex art. 20 CE)”. Relacionado con ello expone que actividades como la “gigaencuesta” son medios de que disponen las asociaciones para ejercitar la libertad ideológica y la de expresión.
Razona también que este precedente afectará “a cualesquiera ‘asociación’ que defienda la libertad de expresión y la libertad de ideología”. Sostiene por ello que, que para asegurar la eficacia de tales derechos y libertades, procede interpretar que el art. 8.2 d) de la Directiva 95/46/CE habilita el tratamiento de datos personales que implica este tipo de encuestas.
Interesa en conclusión la recurrente que se le otorgue el amparo, con declaración de nulidad de la sentencia impugnada y retroacción de actuaciones para que la Audiencia Nacional dicte nueva sentencia fundada en derecho, con valoración congruente y no arbitraria de los hechos y pruebas objeto de enjuiciamiento.
4. Por providencia de 19 de abril de 2021, la Sección Tercera de este tribunal acordó admitir a trámite el recurso de amparo, al apreciar que concurre en el mismo una especial trascendencia constitucional, dado que plantea un problema o afecta a una faceta del derecho fundamental sobre el que no hay doctrina del tribunal y trasciende del caso concreto porque plantea una cuestión jurídica de relevante y general repercusión social y económica [STC 155/2019, FJ 2 a) y g)].
Por ello, en aplicación del art. 51 LOTC, se ordena dirigir atenta comunicación a la Sección Primera de la Sala de lo Contencioso-administrativo del Tribunal Supremo y a la Sección Primera de la Sala de lo Contencioso-administrativo de la Audiencia Nacional a fin de que, en plazo que no exceda de diez días, remitan, respectivamente, certificación o fotocopia adverada de las actuaciones correspondientes al recurso de casación nº 4548/2019 y al recurso ordinario nº 455/2016, debiendo previamente emplazarse a quienes hubieran sido parte en el procedimiento, excepto a la demandante, para que en el plazo de diez días puedan comparecer, si lo desean, en el recurso de amparo.
5. El abogado del Estado, mediante escrito registrado en el Tribunal Constitucional el 26 de mayo de 2021, solicita que se le tenga por personado y parte en este recurso de amparo.
6. La secretaría de justicia de la Sección Tercera de este tribunal, por diligencia de ordenación de 4 de junio de 2021, acordó dar por personado y parte en el procedimiento al abogado del Estado y dar vista de las actuaciones al Ministerio Fiscal y a las partes personadas por plazo común de veinte días para presentar las alegaciones que estimasen pertinentes, de conformidad con el art. 52 LOTC.
7. El abogado del Estado, por escrito registrado en este tribunal el 12 de julio de 2021, solicita la inadmisión y subsidiaria desestimación del recurso de amparo.
Razona en primer lugar que la demandante trata de utilizar el recurso de amparo como una nueva instancia en orden a revisar cuestiones de pura legalidad ordinaria, que reproduce en este proceso constitucional. Pretende la demandante que se lleve a cabo una nueva valoración de la prueba, “anclando” su pretensión nominalmente en algún derecho fundamental. El abogado del Estado aprecia “que esta actitud procesalmente de todo punto inadecuada informa todas las argumentaciones del recurso”.
Razona asimismo el abogado del Estado que “la cuestión del conflicto, y necesaria ponderación, entre el derecho a la protección de datos personales y otros derechos, como el de libertad ideológica o de información/expresión, que es de lo que trata este recurso, ya se ha planteado en los tribunales repetidamente, tanto en el TJUE como ante el Tribunal Constitucional”. Reseña con detalle las sentencias del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014 (C-131/12, asunto Google c. España) y de 10 de julio de 2018 (C-25/17, asunto Testigos de Jehová) y las SSTC 292/2000 y 76/2019, para concluir que no solo no hay lesión de los derechos garantizados por los arts. 16, 20 y 22 CE sino que, además, el presente caso no plantea ninguna faceta nueva derivada del conflicto entre tales derechos que no haya sido ya abordada en esas resoluciones, por lo que no concurre el presupuesto de la especial transcendencia constitucional.
En consecuencia, el abogado del Estado insta la inadmisión a trámite del recurso de amparo, por plantear cuestiones de legalidad ordinaria y carecer de especial trascendencia constitucional.
Subsidiariamente sostiene que no se han producido las vulneraciones que alega la demandante de amparo. Así, sobre la queja referida a la alegación de ilógica valoración de la prueba, que a su juicio la demandante centra en la interpretación que la Audiencia Nacional dio a los conceptos de dato personal y de fichero, el abogado del Estado sostiene que “la sentencia en realidad específica, valora y razona ampliamente su interpretación normativa y la aplicación de los preceptos sancionadores al caso enjuiciado”. Expone, además, que la sentencia ha “comprobado los hechos, entendiendo por esto la verificación de la acreditación de los mismos realizada por la Administración sancionadora, a efectos de adecuar o verificar la adecuación de la normativa aplicable a los hechos acaecidos”. Y que en modo alguno se desprende de una apreciación prima facie, única posible en la revisión en amparo, que se trate de una valoración arbitraria, incursa en error patente o manifiestamente irrazonable.
Destaca a continuación que la clase de responsabilidad (individual o solidaria) en que ANC puede haber incurrido es una cuestión de legalidad ordinaria. La demandante alegó al respecto lo que tuvo por oportuno ante la jurisdicción ordinaria, resolviendo la sentencia impugnada, “con claridad y sobre la base de criterios jurídicos de legalidad ordinaria”, que en la responsabilidad de ANC por la conducta infractora no cabe ver un supuesto de solidaridad.
Argumenta, de otro lado, que cuando se trata de infracciones administrativas imputadas a personas jurídicas, si bien el elemento subjetivo de la culpa no se suprime, “ese principio se ha de aplicar necesariamente de forma distinta a como se hace respecto de las personas físicas. Esta construcción distinta de la imputabilidad de la autoría de la infracción a la persona jurídica nace de la propia naturaleza de ficción jurídica a la que responden estos sujetos. Falta en ellos el elemento volitivo en sentido estricto, pero no la capacidad de infringir las normas a las que están sometidos. Capacidad de infracción y reprochabilidad directa que deriva del bien jurídico protegido por la norma que se infringe y la necesidad de que dicha protección sea realmente eficaz (en el presente caso se trata del riguroso cumplimiento de las medidas de seguridad para prevenir la comisión de actos delictivos) y por el riesgo que, en consecuencia, debe asumir la persona jurídica que está sujeta al cumplimiento de dicha norma” (STC 246/1991, FJ 2). Reseña también la STC 129/2003, FJ 8, que transcribe esa misma doctrina y luego afirma que “en el caso, habiendo existido actividad probatoria de cargo sobre los hechos que se le imputaban a la mercantil ahora recurrente, era a ella a quien competía proporcionar a los órganos administrativos que han intervenido en la sustanciación del expediente un principio de prueba, por mínimo que fuera, que permitiera hacerles pensar que la infracción de la norma no le era reprochable”. Sobre la base de esta doctrina constitucional, sostiene el abogado del Estado que la entidad ANC, al infringir las normas de protección de datos personales, “produjo una falta de protección eficaz a ese bien jurídico protegido”, de donde deriva la concurrencia del elemento subjetivo de la culpa.
Alega por último que, al ser la acomodación o no de la norma interna al Derecho de la Unión Europea un problema de legalidad ordinaria, la demandante pretende que la decisión de la Audiencia Nacional de no plantear cuestión prejudicial ante el Tribunal de Justicia de la Unión Europea, se considere como un vicio de incongruencia omisiva, lesiva del derecho a la tutela judicial efectiva (art. 24.1 CE). Infracción que, a juicio del abogado del Estado, no existe, pues la Audiencia Nacional expuso las razones (que se podrán compartir o no) por las cuales, de acuerdo con la naturaleza de la cuestión prejudicial como cauce específico para resolver aspectos de posible contradicción entre el Derecho de la Unión y el Derecho interno, no consideró que fuera procedente el planteamiento de esa cuestión.
8. El Ministerio Fiscal, por escrito registrado en este tribunal el 15 de julio de 2021, interesa que se estime parcialmente el recurso de amparo. Sostiene que procede desestimar todas las quejas de la entidad demandante, salvo la relativa a que la sentencia impugnada ha vulnerado su derecho a la tutela judicial efectiva (art. 24.1 CE), en su vertiente de derecho a una resolución motivada, por cuanto no dio respuesta debidamente motivada a la cuestión sustancial planteada por la entidad ANC respecto a que la responsabilidad por la infracción administrativa, consistente en el tratamiento inconsentido de datos personales organizado conjuntamente por ANC y OC, debe ser considerada como de carácter solidario, al tratarse de una sola conducta con dos entidades responsables.
Las alegaciones del Ministerio Fiscal pueden resumirse del modo que sigue. Resalta en primer lugar que los hechos probados obrantes en la resolución sancionadora son asumidos enteramente por la sentencia impugnada y que los motivos que fundan el recurso contenciosoadministrativo contra aquella son principalmente jurídicos, por lo que es del todo impropio hablar de que la sentencia efectuara una supuesta valoración ilógica de la prueba. Cuestión distinta es determinar si, como también sostiene la recurrente, la sentencia ha vulnerado el derecho a obtener una resolución debidamente motivada (art. 24.1 CE). A la vista de la argumentación desplegada en la demanda de amparo procede considerar desde la óptica de esta invocación tres cuestiones: si las informaciones cuyo tratamiento habría infringido el art. 7.2 LOPD debían reputarse datos personales; si podía hablarse con propiedad de que los datos personales se contenían en un fichero estructurado; y si los datos obtenidos en las encuestas constituían datos de ideología.
Sobre la primera cuestión, el Ministerio Fiscal considera decisiva la forma de recogida de la información, que se codificaba y registraba asociada al domicilio del afectado y se almacenaba según un sistema estructurado que permitía su localización, procedimiento común a toda la “gigaencuesta” y por ello también a la información no mecanizada. Y concluye que esas informaciones tienen la condición de datos personales, en tanto que con los datos almacenados cabía la identificación de sus titulares.
Destaca, en cuanto a la segunda cuestión, que la documentación en soporte de papel (respuestas a la encuesta, datos identificativos y notas apuntadas por los voluntarios) se almacenaba por zonas geográficas, a cuyo fin existía una codificación de zonas realizada para la organización de la encuesta y utilizada también para el almacenamiento. Y que los voluntarios registraban en la aplicación informática los datos de identidad de los encuestados y las respuestas a la encuesta a la vez, por lo que existía correlación entre lo que había declarado una persona y sus datos de identidad. Se trata de criterios de archivo que permitían la localización de los datos personales, de donde se sigue que se trata de ficheros estructurados, tanto el de datos mecanizados como el que contiene datos no mecanizados.
Sobre la tercera cuestión, relaciona la finalidad del fichero declarada al registrarlo en la AEPD (“promover la creación de las condiciones políticas y sociales necesarias para constituir el estado catalán propio, independiente, de derecho, social y democrático”) con el contenido ya reseñado de las preguntas que integraban la encuesta, de donde se deriva que las preguntas partían de una determinada posición ideológica, con la que necesariamente había de estarse conforme para contestarlas. Lógicamente, aquellas personas que, habiendo sido invitadas a someterse a la encuesta se negaron a ello expresa o tácitamente, también expresaron así un posicionamiento ideológico reconocible con facilidad.
En conclusión, la infracción del art. 7.2 LOPD quedó acreditada, por lo que los reproches que se dirigen en este punto a la sentencia impugnada resultan infundados.
Aborda a continuación el Ministerio Fiscal las cuestiones relativas a determinar si la responsabilidad por la conducta infractora debe imputarse solidariamente a las entidades ANC y OC, como pretende la demandante, y a si la graduación de la sanción impuesta a esta incurrió en desproporción. Respecto de esta segunda cuestión, sostiene el Ministerio Fiscal que la sentencia impugnada dio a la pretensión de la recurrente una contestación debidamente razonada, confirmando el criterio expresado en la resolución sancionadora de aplicar la sanción inferior en grado a la que en principio correspondería, en atención a que, tras el requerimiento de la AEPD, la ANC cesó en el tratamiento ilícito de datos y separó las respuestas de la parte que recogía la identidad y el consentimiento.
En cambio, respecto de la primera cuestión considera el Ministerio Fiscal que la sentencia impugnada no dio respuesta suficientemente motivada a la pretensión de la ANC de que, en caso de apreciarse que se ha cometido la infracción del art. 7.2 LOPD, debía considerarse que existió una sola conducta infractora con dos entidades responsables de forma solidaria, ANC y OC. La sentencia no tomó en consideración las circunstancias del caso invocadas en el recurso:
que ANC y OC organizaron conjuntamente la encuesta y fijaron los fines y los medios del tratamiento de datos al efecto; que se notificó a la AEPD la inscripción de idéntico fichero en el registro general de datos; que la cláusula informativa inserta en los formularios de encuesta legitimaba el mismo tratamiento de datos; y que los contratos con los encargados de tratamiento que obran en el expediente administrativo se suscribieron por las dos entidades. En consecuencia, esta queja debe ser estimada, debiendo declararse la vulneración del derecho a la tutela judicial efectiva, en su dimensión de derecho a obtener una resolución debidamente motivada.
Respecto de la segunda alegación de la demanda de amparo, referida a que la entidad ANC habría sido privada de sus derechos a la defensa y a la presunción de inocencia (art. 24.2 CE) en cuanto a la determinación del elemento subjetivo de la sanción impuesta, el Ministerio Fiscal descarta que se ha producido esa supuesta vulneración constitucional. Razona que la operación de tratar datos personales implica una conducta compleja difícilmente ejecutable de un modo no consciente y voluntario (a esto se referiría la sentencia impugnada cuando cita la doctrina de las sentencias del Tribunal Supremo de 9 octubre de 2009 y 23 octubre de 2010, acerca de que la realización objetiva del tipo lleva inherente el elemento subjetivo del mismo).
La sentencia impugnada considera que el comportamiento de la entidad infractora es de naturaleza culposa o negligente, porque entiende que la conducta típica (“tratar datos personales”) comenzó con la recogida de los datos personales, operación en la que concurre la conducta incorrecta de los voluntarios de recoger datos de ideología de personas que negaron su consentimiento para dicho tratamiento y de personas que ni siquiera eran sabedoras de que dicha recogida de datos se estaba produciendo, no habiendo tenido la entidad infractora la suficiente diligencia al formar, vigilar y controlar a tales voluntarios, sobre todo si se tiene en cuenta que se recogían datos de ideología.
Tampoco aprecia el Ministerio Fiscal que la sentencia incurra en la incongruencia omisiva que denuncia la entidad ANC en su tercera alegación. A la solicitud de planteamiento de dos cuestiones prejudiciales se dio contestación expresa en la sentencia impugnada, si bien en un sentido desfavorable. Y el rechazo a la aplicabilidad del art. 8.2.d) Directiva 95/46/CE se derivaría tácitamente de la consideración expresa de que los arts. 7.2 LOPD y 8.1 de la Directiva 95/46/CE han sido infringidos por la conducta de la entidad ANC.
Aborda en fin el Ministerio Fiscal la queja de la recurrente relativa que la sentencia impugnada se basa en una interpretación extensiva de la legislación de protección de datos personales, causando de modo reflejo la lesión del derecho de asociación (art. 22 CE) de la entidad ANC, así como de sus libertades ideológica (art. 16.1 CE) y de expresión (art. 20.1 CE).
Considera el Fiscal que, aunque la argumentación de esta queja se realiza con ocasión de justificar la especial transcendencia constitucional del recurso de amparo, ello no es obstáculo para que la alegada vulneración se tenga por oportunamente realizada, si bien postula que sea desestimada, porque el ejercicio de esos derechos sustantivos por quien efectúa una operación de tratamiento de datos personales está condicionado a la observancia de las normas que regulan dicho tratamiento, de modo que el ejercicio de aquellos no puede justificar el incumplimiento de estas, sin que pueda olvidarse que tal incumplimiento provocará de ordinario una violación del derecho de un tercero a la protección de datos personales (art. 18.4 CE).
En conclusión, el Ministerio Fiscal interesa la estimación parcial del recurso de amparo, declarando la vulneración del derecho a la tutela judicial efectiva (art. 24.1 CE) de la recurrente, por no haber dado la sentencia impugnada respuesta debidamente fundada en derecho a la cuestión sustancial relativa a considerar que existió una sola conducta infractora con dos entidades responsables, ANC y OC, y que la responsabilidad de estas debe ser considerada de naturaleza solidaria. Para restablecer a la recurrente en la integridad de su derecho interesa que anule la sentencia impugnada, a fin de que la Sección Primera de la Sala de lo Contencioso- administrativo de la Audiencia Nacional dicte otra respetuosa con el derecho fundamental a la tutela judicial efectiva.
9. La representación procesal de la entidad demandante de amparo no presentó alegaciones.
10. Por providencia de 3 de marzo de 2022, se señaló para deliberación y votación de la presente sentencia el día 7 del mismo mes y año.
II. Fundamentos jurídicos
1. Objeto del proceso y alegaciones de las partes Mediante el presente recurso de amparo se impugna, con invocación del art. 44 LOTC, la sentencia de la Sección Primera de la Sala de lo Contencioso-administrativo de la Audiencia Nacional de 22 de febrero de 2019, que desestima el recurso contencioso-administrativo interpuesto contra la resolución de la Agencia Española de Protección de Datos (AEPD) de 18 de noviembre de 2015, confirmada en reposición por resolución de 5 de abril de 2016, en la que se acuerda imponer a la entidad Assemblea Nacional Catalana (en adelante, ANC) una sanción de 200.000 euros por realizar un tratamiento de datos personales con incumplimiento del art. 7.2 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD), que prohíbe tratar sin consentimiento expreso y por escrito datos de ideología, lo que constituye infracción muy grave tipificada por el art. 44.4 b) LOPD.
La entidad demandante de amparo sostiene que, por los varios motivos detallados en los antecedentes, dicha resolución judicial incurre en vulneración de los derechos a la tutela judicial efectiva sin indefensión (art. 24.1 CE) y a la defensa y a la presunción de inocencia (art. 24.2 CE); además, al dar una interpretación desmesuradamente amplia al derecho de protección de datos (art. 18.4 CE), deja vacíos de contenido los alegados derechos del art. 24 CE, con incidencia en los derechos de libertad ideológica, expresión y asociación (arts. 16.1, 20.1 y 22 CE).
El abogado del Estado solicita que se inadmita este recurso de amparo, porque a su juicio suscita únicamente cuestiones de legalidad ordinaria y, además, por no concurrir el presupuesto de la especial transcendencia constitucional; subsidiariamente interesa que se desestime el recurso, con arreglo a las razones que han quedado expuestas en los antecedentes de la presente sentencia.
En fin, el Ministerio Fiscal interesa la estimación parcial del recurso de amparo, para que se declare la vulneración del derecho a la tutela judicial efectiva de la demandante, en cuanto a que la sentencia impugnada no dio respuesta debidamente fundada en derecho a la cuestión sustancial planteada por aquella respecto a considerar que existió una sola conducta infractora con dos entidades responsables y que la responsabilidad de estas debe ser considerada de naturaleza solidaria.
2. Rechazo de los óbices de procedibilidad alegados por el abogado del Estado El abogado del Estado alega que los distintos argumentos que la demandante emplea para fundamentar sus quejas sobre la vulneración de los derechos a la tutela judicial efectiva sin indefensión, a la defensa y a la presunción de inocencia no expresan más que su discrepancia con la respuesta dada por la sentencia impugnada a las cuestiones de legalidad ordinaria suscitadas en el proceso contencioso-administrativo. La demandante reproduce esas cuestiones en su recurso de amparo, que pretende utilizar como una nueva instancia revisora, lo que debe conducir a la inadmisión del recurso.
Este tribunal aprecia, sin embargo, que no procede acoger esta pretensión del abogado del Estado, pues de lo que se trata precisamente es de determinar si la sentencia impugnada, al resolver las cuestiones de legalidad planteadas en el proceso a quo, ha incurrido en las vulneraciones de derechos fundamentales que alega la demandante de amparo.
Considera asimismo el abogado del Estado que este recurso de amparo resulta inadmisible por carecer de especial trascendencia constitucional, toda vez que las sentencias del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014 (C-131/12, asunto Google c. España) y de 10 de julio de 2018 (C-25/17, asunto Testigos de Jehová) y las SSTC 292/2000 y 76/2019 habrían definido ya de modo reiterado la relación existente entre el derecho a la protección de datos personales y los derechos de libertad ideológica y de información y expresión.
Tampoco este alegato puede ser acogido. Aun siendo cierto que de las sentencias citadas se derivan algunos criterios para resolver las situaciones de conflicto entre los derechos fundamentales indicados, no lo es menos que la ponderación que se requiere en este caso no viene determinada sino de modo parcial por los criterios interpretativos generales establecidos en tales pronunciamientos, por lo que este tribunal considera que el presente asunto está dotado de especial trascendencia constitucional, como así lo apreció al acordar su admisión a trámite, en la medida que le da ocasión de definir con más precisión una dimensión del derecho a la protección de datos personales y de las libertades ideológica, de información y de expresión que sigue siendo novedosa, como es el alcance recíproco de esos derechos y libertades en situaciones de conflicto entre ellos, lo que constituye además una cuestión jurídica de relevante y general repercusión [STC 155/2019, FJ 2 a) y g)].
3. Sobre las vulneraciones del derecho a la tutela judicial efectiva (art. 24.1 CE) por la “valoración ilógica de la prueba” Bajo la rúbrica “valoración ilógica de la prueba”, la demanda de amparo viene a reprochar a la sentencia impugnada que haya incurrido en graves deficiencias en su motivación, como señala el Ministerio Fiscal. Lo que se plantea en este primer motivo de impugnación, en suma, es una supuesta vulneración del derecho a la tutela judicial efectiva (art. 24.1 CE), en su vertiente de derecho a una respuesta fundada en Derecho y debidamente motivada.
Como se desprende de los antecedentes, se alega que la sentencia impugnada incurre en deficiencia de motivación por valoración ilógica de la prueba, que la demanda de amparo concreta en ocho aspectos distintos, que presentan cierta heterogeneidad. El tribunal considerará en este epígrafe los cinco primeros alegatos. En ellos la demandante viene a razonar que, frente a lo que se entiende en la sentencia, el “mapa de visita”, que sería el único documento en soporte de papel que tiene un código que revela el domicilio del titular de los datos personales tratados, no se conservaba sino que se destruía, pues solo servía para no repetir innecesariamente visitas y así realizar la encuesta de un modo más eficaz. En segundo lugar, que solo se mecanizaban en la aplicación informática las respuestas a la encuesta de quienes hubieran otorgado su consentimiento, por lo que la circunstancia de que, como consecuencia de cómo se procedía a la mecanización y de cómo se estructuraba la aplicación informática en varias tablas que tenían campos comunes, se pudiera relacionar las respuestas con los encuestados, no revela más que un tratamiento de datos personales completamente consentido por los interesados.
Se suscitan, de este modo, algunas discrepancias sobre los hechos que se consideran probados en la sentencia y a partir de ello se argumenta que la apreciación que realiza la sentencia impugnada (que con ocasión de la “gigaencuesta” la entidad ANC ha tratado de un modo estructurado datos personales de los encuestados) refleja una interpretación extensiva de los conceptos legales de dato personal y fichero (conjunto estructurado de datos) que son los que delimitan la conducta que es objeto de prohibición por la combinación de los arts. 7.2 y 44.4. b) LOPD, con lo que en última instancia se ha dado por válido que se haya sancionado una conducta que es atípica. Esta es la razón por la que en la demanda de amparo, en un fundamento jurídico previo y de alcance transversal, se alega que “la sentencia recurrida incurrió en una serie de irregularidades que han terminado por construir una sentencia que presenta graves deficiencias en su motivación y que, en su conjunto, conculca de forma inevitable los principios de legalidad, seguridad jurídica y presunción de inocencia”.
Para dar respuesta a esta queja, que plantea, como se ha indicado, una supuesta vulneración del derecho a la tutela judicial efectiva, en su vertiente de derecho a una respuesta fundada en Derecho y debidamente motivada, hay que tener en cuenta la delimitación de hechos probados que se contiene en la resolución sancionadora de la AEPD, toda vez que la sentencia impugnada asume ese relato fáctico para resolver a partir del mismo el recurso contenciosoadministrativo interpuesto por la demandante.
La resolución sancionadora considera realizada la conducta prohibida en el art. 7.2 LOPD porque la entidad ANC llevó a cabo (determinó qué datos se tratarían y de qué manera), con ocasión de la realización de la “gigaencuesta”, dos tratamientos de datos personales: la incorporación a una aplicación informática de las respuestas a la encuesta de las personas que no dieron su consentimiento; y la recogida en cada “mapa de visita” de anotaciones a mano alusivas a la posición respecto de la encuesta de quienes ni siquiera llegaron a realizarla (por ejemplo: “no abre”, “no interesa”, “pase más adelante”, “no irá a votar”).
Con relación al primero de esos dos tratamientos de datos personales, la resolución sancionadora destaca que los inspectores de la AEPD, en su visita de 29 de octubre de 2014 a la sede de la entidad ANC, constataron lo siguiente: que en la aplicación informática figura un número total de encuestas superior al número de las que presentan el consentimiento del encuestado; que se incorporan a la vez las respuestas a las encuestas (primera parte del formulario) y los datos personales (segunda parte del formulario); y que se tratan en tablas distintas, pero en ambas tablas se consigna quién realiza la incorporación y a qué hora, de modo que una y otra tabla están enteramente correlacionadas. La resolución sancionadora resalta igualmente que los inspectores de la AEPD, en visita de 26 de noviembre de 2014 a la sede de la entidad OC, comprueban que en las cajas abiertas donde se halla la documentación que se está incorporando a la aplicación informática hay formularios con la encuesta realizada que no constan consentidos. La AEPD deriva, a partir de estas constataciones, el hecho probado de que la entidad ANC automatizaba de un modo ordenado (en el sentido de fácilmente accesible) las respuestas a la encuesta de quienes no habían prestado su consentimiento, por lo que concluye que había organizado, sin consentimiento de sus titulares, un tratamiento estructurado de datos personales.
Esta apreciación es la que confirma en sus propios términos la sentencia impugnada en los fundamentos jurídicos 5 y 6, transcritos en lo más relevante en los antecedentes de hecho de la presente resolución.
En relación con el segundo de esos dos tratamientos de datos personales, la resolución sancionadora destaca que los inspectores de la AEPD, en sus visitas de 29 de octubre de 2014 y de 26 de noviembre de 2014 a las sedes de las entidades ANC y OC, constataron que, aparte de los formularios de encuesta, en las cajas había otros documentos denominados “mapas de visita”, que presentan una codificación que identifica el portal y que contienen espacios al lado de cada puerta para hacer anotaciones. En estos mapas de visita aparecen anotaciones a mano (del tipo “no abre”, “no interesa”, “pase más adelante”, “no irá a votar”) respecto de aquellas personas que no solo no han prestado consentimiento alguno sino que ni siquiera han hecho la encuesta, anotaciones que la AEPD considera que revelan su posicionamiento ideológico frente al proceso soberanista de Cataluña y que se integran en un tratamiento estructurado (a través del código que incorporan identifican el domicilio de la persona a que se refieren). Los inspectores de la AEPD constataron, además, que el “mapa de visita” está presente en las cajas que están pendientes de mecanizar y también en las cajas que ya han sido mecanizadas.
La entidad ANC sostiene que los inspectores de la AEPD lo único que apreciaron es la fase de mecanización de los documentos; la afirmación de estos de que el “mapa de visita” está presente en el material mecanizado y no mecanizado habría que referirla a ese preciso momento.
De ahí no cabe deducir que el “mapa de visita” se conservara terminada la fase de mecanización.
No cabe, en opinión de la demandante, extrapolar lo observado en la fase de mecanización y concluir que el “mapa de visita” se archivaba, constituyendo así un tratamiento estructurado en soporte papel de datos personales.
Pues bien, no cabe acoger esta alegación de la demandante porque, como resulta de la resolución sancionadora confirmada por la sentencia impugnada, la AEPD no sanciona la conducta de conservar el “mapa de visita”, sino que, como destaca el Ministerio Fiscal, el tratamiento de datos personales sancionado se refiere a la recogida inconsentida por los voluntarios de datos personales a través de las anotaciones en el “mapa de visita”. Entiende la AEPD que recoger datos personales (las anotaciones a mano que los voluntarios hacen en el mapa de visita revelan la ideología del encuestado) de un modo estructurado (el mapa de visita contiene un código que identifica el domicilio y las anotaciones se ajustan al orden previsto en el mapa de visita) es en sí mismo (e independiente de si luego se archiva o se destruye) un tratamiento inconsentido y por tanto lesivo de la prohibición establecida en el art. 7.2 LOPD. Esta motivación es la que confirma la sentencia impugnada en los fundamentos jurídicos 5 y 6, transcritos en lo más relevante en los antecedentes de hecho de la presente resolución.
Ello supone que la sentencia impugnada, que confirma expresamente en sus propios términos la resolución sancionadora de la AEPD, ha resuelto expresamente y mediante una argumentación fundada en Derecho acerca de las discrepancias que la demandante formuló, en el procedimiento sancionador primero y en el recurso contencioso-administrativo después, en cuanto a la delimitación de los hechos probados y a la subsunción de los mismos en los conceptos legales de dato personal y fichero que delimitan la norma sancionadora; razonamiento jurídico que este tribunal no considera incurso en irrazonabilidad o en quiebra lógica lesiva del derecho a la tutela judicial efectiva, dadas las circunstancias del caso. Procede, en consecuencia, desestimar la pretendida vulneración de este derecho fundamental, en lo que se refiere a los referidos cinco primeros alegatos contenidos en el primer motivo de impugnación del recurso de amparo.
4. Sobre las alegadas vulneraciones del derecho a la tutela judicial efectiva (art. 24.1 CE) en relación con la condición de especialmente protegidos de los datos tratados La sexta alegación de las que la demanda hace valer bajo el primer motivo de impugnación razona que la sentencia recurrida, al atribuir la cualidad de datos ideológicos a las anotaciones del tipo “no abre”, no atiende a los datos en sí, sino a la condición de ANC, al contenido y contexto de la encuesta y a cómo se declaró en AEPD el fichero “Ara es l´Hora”.
ANC aduce que no abrir la puerta no revela posición contraria a la independencia, puede deberse a no tener tiempo o estar ausente, y que el fichero general sea declarado en la AEPD como destinado a recoger datos de ideología no implica que todos los subficheros hayan de responder a esa caracterización.
Se trata, por tanto, de una controversia estrictamente jurídica. La entidad ANC sostiene que entender que las notas realizadas en cada mapa de visita revelan el posicionamiento ideológico de la persona de referencia frente al proceso soberanista catalán implica una interpretación extensiva del concepto legal “datos de carácter personal que revelen la ideología” que delimita la prohibición del art. 7.2 LOPD, que a su vez integra el tipo infractor.
La sentencia impugnada desestima esta alegación, razonando que una de las finalidades de las entidades organizadoras de la encuesta, de acuerdo con lo afirmado por ellas mismas, “es la de proporcionar una consulta ideológica y estimular la participación en ella”, y que, al “relacionar dicha finalidad con el contenido de las encuestas realizadas, que indudablemente plantea unas preguntas relacionadas con la posición ideológica de los encuestados, la conclusión es que sí se efectúa un tratamiento de datos de ideología de las personas que cumplimentan dicha encuesta”.
Dicho de otro modo, la Audiencia Nacional, a partir de la apreciación de los datos fácticos concurrentes en el caso, relaciona la finalidad del fichero con el nombre de la campaña declarada por la propia recurrente al registrarlo en la AEPD (“promover la creación de las condiciones políticas y sociales necesarias para constituir el estado catalán propio, independiente, de derecho, social y democrático”) con el contenido ya reseñado de las preguntas que integraban la encuesta, preguntas que partían de una determinada posición ideológica (de apoyo al proceso independentista catalán), con la que necesariamente había de estarse conforme para contestarlas.
Lógicamente, como apunta en sus alegaciones el Ministerio Fiscal, aquellas personas que, habiendo sido invitadas a someterse a la encuesta se negaron a ello expresa o tácitamente, también expresaron así un posicionamiento ideológico reconocible con facilidad. A la vista de lo razonado, cabe señalar que no resulta en modo alguno irrazonable inferir, como se hace en la sentencia impugnada, que la posibilidad de conocer, a través de la encuesta, el posicionamiento de las personas encuestadas en relación con el proceso soberanista de Cataluña, implica conocer la opinión política (vale decir la posición ideológica) de estas al respecto.
Por otra parte resulta pertinente destacar la amplitud con la que se configura normativamente el concepto “datos de carácter personal que revelen la ideología”. El art. 3 LOPD, en términos casi idénticos que el art. 2 de la Directiva 95/46/CE, define “dato personal” como “cualquier información concerniente a personas físicas identificadas o identificables”. La Propuesta de la Comisión Europea [COM (90) 314 final, 13.9.1990, p. 19] que culminó en la citada Directiva, en relación a la definición de dato personal, señala “[c]omo en el Convenio 108 [adoptado por el Consejo de Europa el 28 de enero de 1981], se adopta una amplia definición con el fin de comprender toda información que pueda conectarse con un individuo”. Por su parte, el art. 7.2 LOPD no delimita la prohibición de tratamiento sin consentimiento en relación a los datos personales que en sí mismos sean ideológicos, sino de un modo más amplio en relación a los que revelen la ideología la persona a la que identifiquen.
En consecuencia, este tribunal aprecia que, así delimitada la prohibición de tratamiento inconsentido de datos personales en el art. 7.2 LOPD, el razonamiento mediante el que la sentencia impugnada desestima la referida alegación de la entidad ANC no puede considerarse como una decisión arbitraria, irrazonable o incursa en error patente, por lo que satisface las exigencias del derecho a la tutela judicial efectiva en su vertiente de derecho a una respuesta fundada en Derecho y debidamente motivada, quedando por ello desestimada esta queja.
5. Sobre la alegada vulneración del derecho a la tutela judicial efectiva (art. 24.1 CE) en relación con la atribución de responsabilidad individual a la recurrente En la séptima alegación que se hace valer en el primer motivo de impugnación de la demanda de amparo, se reprocha a la sentencia impugnada que, en lugar de apreciar la existencia de una única infracción, de la que habrían de responder solidariamente las entidades ANC y OC, considerase que concurría una responsabilidad individual y a título “personal” de cada una de esas personas jurídicas. La recurrente en amparo se queja específicamente de que la Audiencia Nacional no tuviese en cuenta los concretos argumentos con los que aquella sostuvo en el recurso contencioso-administrativo su pretensión de que, para el caso de que no se anulase la sanción impuesta por la AEPD, fuera declarado que la responsabilidad era solidaria; también se duele de que, habiéndose inclinado la Audiencia Nacional por descartar la responsabilidad solidaria, no haya procedido a señalar cuáles son las concretas actividades del tratamiento de datos de las que se considera responsable a la entidad ANC. Esas dos circunstancias determinarían que la sentencia impugnada vulnere el derecho de la recurrente a obtener una resolución fundada en Derecho, como dimensión del derecho a la tutela judicial efectiva (art. 24.1 CE).
Como se ha indicado, el Ministerio Fiscal también entiende que se ha producido la alegada vulneración del derecho garantizado por el art. 24.1 CE, en cuanto la sentencia impugnada no habría dado una respuesta debidamente motivada a la cuestión sustancial planteada por la demandante respecto a que, en caso de apreciarse que su conducta ha infringido la normativa de protección de datos personales, su responsabilidad por la infracción administrativa imputada, consistente en el tratamiento inconsentido de datos de ideología organizado conjuntamente por las entidades ANC y OC, debe ser considerada como de carácter solidario, al tratarse de una sola conducta con dos entidades responsables.
Para dar respuesta a esta queja debe tenerse en cuenta que la sentencia impugnada razona, en su fundamento de derecho noveno, que “el art. 2 d) de la Directiva 95/46/CE, al definir la figura de responsable del fichero o tratamiento, alude a que la determinación de los fines y los medios del tratamiento de datos personales se puede hacer <<solo o conjuntamente con otros>> [] Es dicho poder de decisión sobre la finalidad y uso del tratamiento donde radica la esencia de la figura del responsable de fichero o tratamiento, responsable que puede venir constituido, a tenor de la normativa expuesta, bien por una persona o bien por varias personas. A este respecto resulta esclarecedor el Dictamen 1/2010 del GT29, que indica que <<[] la definición de tratamiento contenida en el art 2.b) de la Directiva no excluye la posibilidad de que distintos agentes estén implicados en diferentes operaciones o conjuntos de operaciones en materia de datos personales.
Estas operaciones pueden producirse simultáneamente o en distintas fases>>. Y se concluye que <<la participación de las partes en la determinación de los fines y los medios del tratamiento en el contexto del control conjunto puede revestir distintas formas y el reparto no tiene que ser necesariamente a partes iguales ... Los distintos grados de control pueden dar lugar a distintos grados de responsabilidad, y desde luego no cabe presumir que haya una responsabilidad solidaria en todos los casos”.
Toda la argumentación de la sentencia gira en torno a la figura jurídica del responsable del tratamiento que determina los fines y los medios del tratamiento conjuntamente con otros, categoría normativa que el vigente Reglamento (UE) 2016/1979 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (RGPD), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE también denomina corresponsable del tratamiento (art. 26). Se trata de un concepto autónomo y específico de la legislación de protección de datos personales, que ha sido interpretado en sus líneas principales por el Tribunal de Justicia de la Unión Europea, sobre todo en las sentencias de 5 de junio de 2018, asunto Wirtschaftsakademie SchleswigHolstein, C-210/16; de 10 de julio de 2018, asunto Jehovan todistajat, C-25/17; y de 29 de julio de 2019, asunto Fashion ID, C-40/17.
No es impertinente recordar al respecto que, aunque el Derecho de la Unión Europea no pueda considerarse canon de constitucionalidad, sí cabe otorgarle un valor hermenéutico, con fundamento en el art. 10.2 CE, incluyendo tanto los tratados constitutivos y sus sucesivas reformas, como el Derecho derivado (entre otras, SSTC 292/2000, de 30 de noviembre, FJ 3; 136/2011, de 13 de septiembre, FJ 2; 13/2017, de 30 de enero, FJ 6, y 76/2019, de 22 de mayo, FJ 3); así como la interpretación que de tales normas realiza el Tribunal de Justicia de la Unión Europea (SSTC 61/2013, de 14 de marzo, FJ 5; 66/2015, de 13 de abril, FJ 3; 140/2016, de 21 de julio, FJ 5; 3/2018, de 22 de enero, FJ 4; 32/2019, de 28 de febrero, FJ 6; y 156/2021, de 26 de septiembre, FJ 2, por todas). En particular en la materia que nos ocupa, toda vez que el desarrollo legislativo del derecho a la protección de datos personales “se halla en la actualidad parcialmente determinado por el Derecho de la Unión Europea” (STC 76/2019, de 22 de mayo, FJ 3).
Pues bien, la primera de las citadas sentencias del Tribunal de Justicia de la Unión Europea sienta (§§ 26 a 29) los principios informadores de este concepto legal de corresponsable del tratamiento, que se reiteran en las demás (sentencias de 10 de julio de 2018, asunto Jehovan todistajat, § 65; y de 29 de julio de 2019, asunto Fashion ID, § 67). Se afirma en los referidos apartados de la sentencia de 5 de junio de 2018, asunto Wirtschaftsakademie Schleswig-Holstein que la “Directiva 95/46 tiene por objeto garantizar un nivel elevado de protección de las libertades y los derechos fundamentales de las personas físicas, sobre todo de su vida privada, en relación con el tratamiento de datos personales (sentencia de 11 de diciembre de 2014, Ryne, C-212/13, § 27). Conforme a este objetivo, el art 2, letra d), de dicha Directiva define de manera amplia el concepto de <<responsable del tratamiento>>, refiriéndose a la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales. En efecto, tal como ya ha declarado el Tribunal de Justicia, el objetivo de esta disposición consiste en garantizar, mediante una definición amplia del concepto de <<responsable>>, una protección eficaz y completa de los interesados (sentencia de 13 de mayo de 2014, Google Spain y Google, C-131/12, § 34). Además, puesto que, tal como prevé expresamente el art 2, letra d), de la Directiva 95/46, el concepto de <<responsable del tratamiento>> se refiere al organismo que <<solo o conjuntamente con otros>> determine los fines y los medios del tratamiento de datos personales, dicho concepto no se remite necesariamente a una única entidad, sino que puede aludir a varios actores que participen en ese tratamiento, cada uno de los cuales estará por tanto sujeto a las disposiciones aplicables en materia de protección de datos”.
n la sentencia de 29 de julio de 2019, asunto Fashion ID, se abordaba una situación en que una empresa de comercio electrónico dedicada a la venta de prendas de vestir (Fashion ID) insertó en su sitio de Internet el módulo social “me gusta” de Facebook. Simplemente con accionar esa función se transmitían ciertos datos personales del usuario a Facebook, que a su vez decide de un modo exclusivo cuáles eran los fines de tratamiento de esos datos. El Tribunal de Justicia de la Unión Europea resuelve en este caso que “una persona física o jurídica únicamente puede ser responsable, en el sentido del art 2, letra d), de la Directiva 95/46, conjuntamente con otros, de las operaciones de tratamiento de datos personales cuyos fines y medios determine conjuntamente. En cambio, y sin perjuicio de una eventual responsabilidad civil prevista en el Derecho nacional al respecto, dicha persona física o jurídica no puede ser considerada responsable, en el sentido de dicha disposición, de las operaciones anteriores o posteriores de la cadena de tratamiento respecto de las que no determine los fines ni los medios “ (§ 74). Queda claro, por tanto, que cuando se distinguen varias fases del tratamiento o varios conjuntos de operaciones de tratamiento no se está haciendo referencia a las distintas actividades de ejecución material del tratamiento sino a la existencia de fases del tratamiento con diferente diseño (donde qué datos personales se tratarán, con qué fines y en virtud de qué medios difiere). La empresa en cuestión era corresponsable del tratamiento en cuanto a la transmisión de los datos personales derivada del uso del módulo social de Facebook, pero ninguna capacidad de influencia tenía respecto del diseño del tratamiento que Facebook realizaba una vez recibidos los datos personales de quien accionaba la función “me gusta”. No tiene sentido, en conclusión, que la condición de corresponsable del tratamiento de la empresa se proyecte sobre esa segunda fase del tratamiento, en cuyo diseño no participa.
Este planteamiento, conforme al cual las distintas fases o conjuntos de operaciones de tratamiento se refieren a su diseño y no a su ejecución material, ya había quedado apuntada en la citada sentencia de 10 de julio de 2018, asunto Jehovan todistajat. En ella se examina un caso en que los miembros de la comunidad de los Testigos de Jehová realizaban, en el ámbito de su actividad de predicación puerta a puerta, anotaciones sobre las visitas efectuadas a personas que ni ellos mismos ni la comunidad conocían previamente. El Tribunal de Justicia de la Unión Europea entendió que la comunidad de los Testigos de Jehová, a pesar de que no participara en la ejecución del tratamiento de datos, era corresponsable, en la medida en que tenía capacidad de influir en cómo se organizaba la actividad de predicación y, por tanto, en qué datos recogían sus miembros y con qué finalidad. Dicha sentencia, en su § 69, razonó en concreto que “la responsabilidad conjunta de varios agentes respecto a un mismo tratamiento en virtud de dicho precepto [art 2, letra d), de la Directiva 95/46] no supone que cada uno de ellos tenga acceso a los datos personales en cuestión (véase, en este sentido, la sentencia de 5 de junio de 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, § 38)”.
De todo lo anterior se desprende que los “diferentes conjuntos de operaciones” o “distintos grados de responsabilidad” a que alude el “Dictamen 1/2010 del GT29” que cita la sentencia impugnada (el GT29 es el grupo de trabajo independiente, creado al amparo del art. 29 de la Directiva 95/46/CE, que se ha ocupado de cuestiones relacionadas con la protección de la privacidad y los datos personales hasta la entrada en aplicación del RGPD, el 25 de mayo de 2018), no se determinan en función de la mayor o menor participación en las actividades de ejecución del tratamiento de datos personales, sino de la mayor o menor participación en el diseño del mismo. Por este motivo, la sentencia impugnada no incurre en ningún defecto de motivación lesivo del derecho a la tutela judicial efectiva por no precisar qué concretas actividades del tratamiento de datos que nos ocupa ejecutó la entidad ANC. Ello es irrelevante para determinar si esta entidad es responsable del tratamiento y en qué medida lo es. Lo decisivo es, como señala la sentencia impugnada, el “poder de decisión sobre la finalidad y uso del tratamiento” y resulta acreditado, como se razona en la sentencia, que el poder de decisión de la entidad ANC se proyectó sobre todo el tratamiento de datos personales asociado a la “gigaencuesta”.
El otro elemento interpretativo que resulta relevante para resolver la presente queja es que la jurisprudencia del Tribunal de Justicia de la Unión Europea antes reseñada ha interpretado que el sentido de la figura del corresponsable es que en los tratamientos de datos complejos la presencia de varios responsables no haga resentir el nivel elevado de protección que garantiza el régimen previsto en la Directiva 95/46/CE, de modo que cada uno de los actores que participen en ese tratamiento estará por tanto sujeto a las disposiciones aplicables en materia de protección de datos. Este propósito de garantía de un alto nivel de protección es el que resalta la argumentación de la sentencia impugnada que ha sido transcrita, en particular al citar el “Dictamen 1/2010 del GT29” en la parte que afirma que “[] la definición de tratamiento contenida en el art 2.b) de la Directiva no excluye la posibilidad de que distintos agentes estén implicados en diferentes operaciones o conjuntos de operaciones en materia de datos personales”.
Con este razonamiento la sentencia impugnada viene a destacar que las entidades ANC y OC, al determinar conjuntamente los fines y los medios del tratamiento de datos personales asociado a la “gigaencuesta”, están cada una de ellas sujetas a las disposiciones aplicables en materia de protección de datos, criterio jurisprudencial sobre la funcionalidad del concepto de corresponsable del tratamiento que ha venido a ratificar el vigente art. 26.3 RGPD (“Independientemente de los términos del acuerdo a que se refiere el apartado 1, los interesados podrán ejercer los derechos que les reconoce el presente Reglamento frente a, y en contra de, cada uno de los responsables”).
En conclusión, la sentencia impugnada, al resolver que los varios actores que participan en el diseño de un tratamiento de datos personales están sujetos cada uno de ellos a las disposiciones aplicables en materia de protección de datos, está necesariamente rechazando todos los distintos argumentos que la entidad ANC, basándose en que participaba conjuntamente con la entidad OC en las actividades de diseño y ejecución, hizo valer para instar que se declarase una responsabilidad solidaria de ambas entidades. No se advierte, por tanto, que la sentencia impugnada haya incurrido en deficiencias de motivación lesivas del derecho a la tutela judicial efectiva, por lo que procede desestimar también esta concreta queja de la recurrente.
6. Sobre las vulneraciones alegadas en relación con la proporcionalidad en la graduación de la sanción La última alegación que se hace valer en el primer motivo de impugnación de la demanda de amparo alude a que la sentencia impugnada se apoyaría en un razonamiento ilógico al examinar el principio de proporcionalidad en la graduación de la sanción, dado que rechazó aplicar la atenuante de falta de intencionalidad de la entidad ANC, al apreciar que existió intencionalidad y culpabilidad en su conducta, cuando previamente había situado el elemento subjetivo de la sanción en la falta de diligencia, según la recurrente.
Lo que se plantea en este punto es, una vez más, la supuesta quiebra lógica en el razonamiento de la sentencia impugnada al dar respuesta a los alegatos de la demandante en su recurso contencioso-administrativo, infracción que determinaría que no pudiera considerarse una resolución fundada en Derecho, con la consiguiente vulneración del derecho a la tutela judicial efectiva (art. 24.1 CE).
Pues bien, como señala el Ministerio Fiscal, la sentencia impugnada dio a la pretensión de la recurrente una respuesta suficientemente motivada, confirmando el criterio expresado en la resolución sancionadora de aplicar la sanción inferior en grado a la que en principio correspondería (art. 45.5 LOPD), en atención a que, tras el requerimiento de la AEPD, la recurrente cesó en el tratamiento ilícito de datos y separó las respuestas de la parte que recogía la identidad y el consentimiento. Además, la sentencia, tras confirmar esa reducción de la sanción acordada por la AEPD, razona que la mayor rebaja de la sanción que se pretende por la recurrente no puede ser atendida “pues, contrariamente a lo invocado en la demanda, no concurren las circunstancias del art 45.4 LOPD que se enumeran por aquella. Además de que sí ha existido intencionalidad y culpabilidad, la infracción no se refiere solo a cuatro encuestas y tres <<Mapas de visitas>>, sino a todo el sistema de organización y consulta y en definitiva de obtención de datos personales de ideología, tal como se ha indicado, que fue desplegado por tal entidad actora con anterioridad a la consulta soberanista del 9 de noviembre de 2014”. Añade que “Tampoco ha resultado acreditada una mayor implementación de procedimientos adecuados para cumplir con la LOPD que se invoca en la demanda, además de que ya fue tomada en consideración por la Agencia para rebajar la sanción. Sin que sea apreciable, por último, la inexistencia de reincidencia, dado que tanto la entidad actora como Òmnium tienen pendientes ante esta Sala, por hechos similares o idénticos a los enjuiciados en este pleito, varios procedimientos judiciales”.
A la vista de estos razonamientos, este tribunal aprecia que la sentencia impugnada dio a la pretensión de la recurrente relativa a la aplicación del principio de proporcionalidad en la graduación de la sanción una contestación motivada y debidamente razonada, que confirma expresamente el criterio que había adoptado la resolución sancionadora de la AEPD. Resulta relevante, además, señalar que la resolución sancionadora no consideró debidamente acreditada la concurrencia de las circunstancias atenuantes del art. 45.4 LOPD aducidas por la recurrente, entre las cuales se encontraba la ausencia de intencionalidad. Este criterio (no tener por acreditada la ausencia de intencionalidad) se asume por la sentencia impugnada, al confirmar enteramente la resolución sancionadora. No se advierte, por tanto, ninguna contradicción o quiebra lógica en la fundamentación de la sentencia por situar el elemento subjetivo de la sanción en la falta de diligencia de la entidad ANC y, al mismo tiempo, rechazar la pretensión de esta de que se aplicase una atenuante por falta de intencionalidad.
En consecuencia, también esta concreta queja de la recurrente debe ser desestimada.
7. Sobre la alegada vulneración de los derechos a la defensa y a la presunción de inocencia con ocasión de la determinación del elemento subjetivo de la sanción La demanda de amparo, como segundo motivo de impugnación, reprocha a la sentencia impugnada que, con cita de la jurisprudencia establecida en las sentencias del Tribunal Supremo de 9 octubre de 2009 y 23 octubre de 2010, considere que el elemento subjetivo de la infracción que se sanciona es inherente a la conducta que integra el elemento objetivo del tipo (tratar datos personales de ideología es por definición un conducta culpable), de modo que no basta para exculparse frente a un comportamiento típico con invocar la ausencia de culpa. La recurrente denuncia que se invierte la carga de la prueba, privándola así de sus derechos a la defensa y a la presunción de inocencia. Sin embargo, su argumentación no va encaminada a justificar la invocada lesión de estos derechos, garantizados por el art. 24.2 CE, sino que lo que de nuevo se reprocha a la sentencia impugnada, en realidad, es que incurra en una motivación irrazonable, lo que impediría considerarla como una resolución fundada en Derecho.
Conviene en todo caso precisar que la sentencia impugnada, sin perjuicio de considerar que el elemento subjetivo de la infracción que se sanciona es inherente a la conducta que integra el elemento objetivo del tipo (prohibición de tratar datos personales que revelen la ideología sin consentimiento expreso y por escrito), sitúa el elemento subjetivo de la infracción en la culpa en que incurre la entidad ANC por realizar una actividad que entraña altos riesgos (recoger datos personales que revelan la ideología) sin disponer las cautelas apropiadas, en particular en materia de formación, vigilancia y control de los voluntarios. Razona expresamente que “[c]oncurre también una conducta culpable por parte de ANC en el caso que nos ocupa. Conducta que configura el ilícito administrativo –artículo 44.4.b) de la LOPD en relación con el artículo 7 de la misma– que requiere la existencia de culpa, y se concreta, en el presente supuesto, en la recogida de datos personales relativos a ideología respecto de personas que negaron su consentimiento para dicho tratamiento de datos, o respecto de personas que ni siquiera conocían que dicha recogida de datos personales se estaba produciendo. Falta de diligencia que configura el elemento de culpabilidad de la infracción administrativa y resulta imputable a la entidad recurrente, y que no precisa la concurrencia de dolo”.
Confirma de un modo decisivo que este argumento es la ratio decidendi de la sentencia impugnada en este punto la circunstancia de que la resolución sancionadora (confirmada enteramente por la sentencia) considere que la entidad ANC realizó una conducta culpable, consistente en no actuar con la diligencia suficiente para evitar que se cometieran cualesquiera infracciones en materia de protección de datos derivadas de las actuaciones realizadas por los voluntarios en la “gigaencuesta”. Para apoyar este planteamiento se invoca en la resolución sancionadora, confirmada por la sentencia impugnada, reiterada jurisprudencia del Tribunal Supremo que, en relación con las infracciones en materia de protección de datos personales imputadas a responsables de tratamiento que actúan a través de personas físicas a su servicio, estiman que, aunque en el tratamiento de los datos intervenga un tercero, es al responsable a quien incumbe adoptar el nivel de diligencia adecuada a las circunstancias del tratamiento. Como advierte el Ministerio Fiscal, la operación de tratar datos personales implica una conducta compleja difícilmente ejecutable de un modo no consciente y voluntario (a esto alude la sentencia impugnada cuando cita la referida jurisprudencia del Tribunal Supremo acerca de que la realización objetiva del tipo lleva inherente el elemento subjetivo del mismo). La sentencia considera que el comportamiento de la recurrente es de naturaleza culposa, porque entiende que la conducta típica comenzó con la recogida de los datos personales, operación en la que concurre la conducta incorrecta de los voluntarios de recopilar datos de ideología de personas que negaron su consentimiento para dicho tratamiento y de personas que ni siquiera eran conocedoras de que dicha recogida de datos se estaba produciendo, no habiendo tenido la recurrente la suficiente diligencia al formar, vigilar y controlar a tales voluntarios.
En la propia demanda de amparo se reconoce que la sentencia impugnada asume este entendimiento del elemento subjetivo de la infracción, al argumentar que también con este razonamiento la sentencia incurriría en las vulneraciones indicadas, porque la recurrente adoptó todas las cautelas posibles tanto ex ante como ex post, sin que la sentencia señale ninguna cautela concreta que aquella hubiera dejado de desplegar. Por otra parte, tampoco este reproche, desde la perspectiva de los derechos garantizados por el art. 24 CE, puede ser acogido, pues la sentencia impugnada (confirmando la resolución sancionadora) enfatiza que es el riesgo grave para el derecho fundamental a la protección de datos personales que conlleva el tratamiento de datos de ideología realizado por la recurrente lo que exigía un mayor grado de diligencia por parte de esta.
Por consiguiente, queda rechazada asimismo esta concreta queja de la demanda de amparo.
8. Sobre la alegada incongruencia omisiva En el tercer motivo de impugnación de la demanda de amparo se imputa a la sentencia impugnada la lesión del derecho a la tutela judicial efectiva sin indefensión (art. 24.1 CE), por haber incurrido en incongruencia omisiva, al no dar respuesta a una serie de alegaciones sustanciales de la recurrente y por no haber planteado ante el Tribunal de Justicia de la Unión Europea las cuestiones prejudiciales que se solicitaban en relación con dichas alegaciones.
Según reiterada doctrina constitucional (por todas, STC 4/2006, de 16 de enero, FJ 3), hay incongruencia omisiva o ex silentio que vulnera el derecho fundamental garantizado por el art. 24.1 CE “cuando, por dejar imprejuzgada la pretensión oportunamente planteada, el órgano judicial no tutela los derechos e intereses legítimos sometidos a su jurisdicción, provocando una denegación de justicia”. La exigencia constitucional de que el órgano judicial dé una respuesta a las pretensiones oportunamente planteadas por las partes en el proceso se proyecta sobre las pretensiones en sí mismas y también sobre las “alegaciones sustanciales”; no así respecto de “una simple alegación secundaria, instrumental en el razonamiento jurídico”. La omisión de respuesta judicial en estos casos comportaría una denegación de justicia lesiva del art. 24.1 CE. Por otra parte, la ausencia de respuesta del órgano judicial “no debe hacerse equivaler a la falta de respuesta expresa, pues los requisitos constitucionales mínimos de la tutela judicial pueden satisfacerse con una respuesta tácita”. En tal sentido, “para poder apreciar la existencia de una respuesta tácita es necesario que del conjunto de los razonamientos contenidos en la resolución puedan deducirse razonablemente los motivos fundamentadores de la misma”.
Las alegaciones sustanciales que no habrían tenido respuesta judicial, según la recurrente, serían las siguientes: a) que las anotaciones a mano en los “mapas de visita” no son datos personales en el sentido del art. 2.2 de la Directiva 95/46/CE, porque no hay manera de asociarlas con una persona física; b) que los datos personales procesados en el tratamiento de datos controvertido lo han sido con consentimiento explícito, que es el único exigido por el art. 8.2.a) de la Directiva 95/46/CE, debiendo considerarse desplazado el requerimiento de consentimiento expreso y por escrito previsto en el art. 7.2 LOPD; y c) que debiera entenderse que el art. 8.2.d) de la Directiva 95/46/CE autoriza que las asociaciones de naturaleza política (como lo es ANC) traten sin consentimiento datos personales sobre ideología relativos a asuntos sobre los que se proyecta su fin social. Además, en el recurso contencioso-administrativo se solicitó a la Audiencia Nacional que se elevasen al Tribunal de Justicia de la Unión Europea cuestiones prejudiciales de interpretación respecto de los arts. 2.2, 8.2.a) y 8.2.d) de la citada Directiva, en relación con dichas alegaciones.
La sentencia impugnada ha dado respuesta expresa a las dos primeras alegaciones sustanciales. Razona, en síntesis, respecto de la primera cuestión, que las anotaciones a mano se asocian con facilidad a una persona física, porque el “mapa de visita” donde se consignan contiene un código que revela el domicilio concreto, por lo que se puede llevar a cabo la identificación de la persona encuestada sin grandes esfuerzos, siendo así que los principios de la protección de datos se aplican a toda persona física identificada o identificable. Y respecto de la segunda cuestión, que no es relevante preguntarse si la LOPD, al exigir “consentimiento expreso y por escrito” para el tratamiento de datos sensibles o especialmente cualificados, como son los relativos a la ideología (art. 7.2 LOPD), se ajusta o no a la Directiva 95/46/CE (que exige “consentimiento explícito”), dado que lo que ha quedado probado es el tratamiento por parte de la entidad ANC de datos personales que revelan la ideología, “datos sensibles o especialmente cualificados que en cualquier caso requieren un reforzamiento de la prestación del consentimiento de su titular para ser objeto de tratamiento”. En suma, la entidad ANC fue sancionada por tratar los datos de ideología sin el consentimiento de los afectados (los de quienes responden la encuesta pero no dan el consentimiento y los de quienes ni siquiera saben que se están haciendo a mano anotaciones respecto de ellos).
La tercera alegación sustancial debe entenderse resuelta de modo tácito como consecuencia de la consideración expresa de la sentencia impugnada de que la normativa en materia de protección de datos personales exige “en cualquier caso” un consentimiento reforzado para el tratamiento de datos personales que revelen la ideología de los interesados, apreciando que “en definitiva, la ANC trató los datos personales de ideología de los encuestados sin el consentimiento reforzado que dicho tratamiento de tal categoría especial de datos personales requiere, con vulneración de lo preceptuado en el artículo 7 de la LOPD”.
La sentencia impugnada también contiene una respuesta expresa a la solicitud de planteamiento de cuestiones prejudiciales, al señalar en su fundamento de derecho decimoprimero, in fine, que la Sala no considera necesario “a tenor de los razonamientos efectuados, el planteamiento de cuestión prejudicial alguna ante el Tribunal de Justicia de la Unión Europea [] En primer lugar hay que poner de relieve que, siendo la presente sentencia susceptible de ser recurrida en casación ante el Tribunal Supremo, esta Sala de la Audiencia Nacional no estaría obligada a plantear cuestión de prejudicialidad ante el Tribunal de Justicia de la Unión Europea, según el art. 267 del Tratado de Funcionamiento de la Unión Europea, lo que bastaría [] Pero, además, no se considera que existan en el caso concreto motivos para plantear las cuestiones prejudiciales, pues no se aprecia ningún aspecto que se oponga a la normativa comunitaria, y en concreto, a los artículos 2, 8.1 y 2 de la Directiva 95/46/CE”.
En definitiva, la sentencia impugnada dio respuesta tanto a las pretensiones como a las alegaciones sustanciales planteadas por la recurrente en su recurso contencioso-administrativo, lo que excluye la pretendida incongruencia omisiva que se denuncia en el tercer motivo de impugnación de la demanda de amparo, que queda por ello desestimado.
9. Sobre la invocada lesión refleja de los derechos garantizados en los arts. 16.1, 20.1 y 22 CE por la pretendida interpretación extensiva del derecho a la protección de datos personales Como colofón de la demanda de amparo, al concluir el último motivo de impugnación, relativo a la incongruencia omisiva, la recurrente sostiene que la interpretación tan amplia que la sentencia da al derecho de protección de datos (art. 18.4 CE) deja vacíos de contenido los derechos a la tutela judicial efectiva, a la defensa y a la presunción de inocencia (art. 24 CE), con incidencia en los derechos de libertad ideológica, expresión y asociación (arts. 16.1, 20.1 y 22 CE). Se trata de un argumento que también emplea la recurrente para justificar la especial trascendencia constitucional del recurso de amparo, como ya se dijo.
Concluye la demanda de amparo, en efecto, afirmando que “las justificaciones que utiliza la Audiencia Nacional para apreciar la existencia de datos personales y fichero estructurado, que la información recogida revela ideología de personas concretas, la culpabilidad de ANC, así como su intencionalidad, falta de diligencia, necesario consentimiento omitido y demás circunstancias del tratamiento, resultan contradictorias en su conjunto y peligrosísimas a futuro pues da una alcance demasiado amplio al derecho fundamental a la protección de datos (art. 18.4 CE) para dejar prácticamente huecos de contenido a los otros derechos fundamentales argumentados más arriba (los del art. 24 CE con incidencia colateral a los de los arts. 16, 20 y 22 CE)”.
En relación con ello, la recurrente sostiene que el art. 8.2 d) de la Directiva 95/46/CE excluye de la prohibición de tratar datos referidos a la ideología sin consentimiento de los interesados el tratamiento efectuado por una asociación cuya finalidad sea política, en el ámbito de sus actividades legítimas y con las debidas garantías, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de esa asociación o a “personas que mantengan contactos regulares” con aquella. A su juicio, este último inciso (“personas que mantengan contactos regulares [con la asociación]”) daría plena cobertura a un supuesto como el de la “gigaencuesta”, por lo que no estaríamos ante una conducta prohibida por el art. 7.2 LOPD, en contra de lo que entiende la sentencia impugnada, confirmando la resolución sancionadora. La sentencia habría dado en su interpretación de la normativa de protección de datos personales un alcance demasiado amplio al derecho a la protección de datos, ocasionando con ello de manera refleja el menoscabo de los derechos garantizados por el art. 24 CE, así como de las libertades ideológica y de expresión y del derecho de asociación de la recurrente.
Como ya se ha indicado, la sentencia impugnada ha rechazado la exégesis que del art.
8.2 d) de la Directiva 95/46/CE propone la recurrente y asimismo ha descartado que la normativa interna en materia de protección de datos aplicada en el caso se oponga en algún aspecto a lo dispuesto en el art. 8.2 de la referida Directiva. Confirmando la resolución sancionadora, la sentencia considera acreditado, conforme ha quedado expuesto, que la entidad ANC trató datos personales que revelan la ideología de los encuestados sin el consentimiento reforzado que el art.
7.2 LOPD requiere para el tratamiento de tal categoría especial de datos personales, y descarta que la conducta llevada a cabo por esa asociación pueda entenderse incluida en alguna excepción a la prohibición de tratar datos referidos a la ideología sin consentimiento de los interesados. Una prohibición legal que se orienta a proteger el derecho a la protección de datos de las personas individuales, lo que a todas luces constituye una finalidad constitucionalmente legítima, pues se trata de un bien jurídico protegido directamente en la Constitución (art. 18.4 CE), máxime cuando esa protección lo es en una dimensión que está especialmente conectada con la dignidad de la persona humana, como lo es el control sobre la información que tiene capacidad de revelar las posiciones ideológicas.
Esta interpretación que de la normativa aplicable al caso en materia de protección de datos personales lleva a cabo la sentencia impugnada no puede ser tildada de arbitraria, ilógica o infundada, ni cabe apreciar que suponga otorgar un alcance desmedido al derecho fundamental a la protección de datos de carácter personal. Antes bien, es la interpretación propuesta por la recurrente la que vendría a forzar la propia literalidad y el sentido de la norma a la que pretende acogerse. En efecto, el inciso “personas que mantengan contactos regulares [con la asociación]”, por su intensa determinación, no deja espacio que permita el entendimiento amplio de la excepción prevista en el art. 8.2 d) de la Directiva 95/46/CE propugnada por la recurrente, que abarcaría a cualesquiera personas independientemente de su grado de contacto con la asociación responsable del tratamiento, lo que carece de fundamento.
Queda en consecuencia rechazada esta última queja.
FALLO
En atención a todo lo expuesto, el Tribunal Constitucional, por la autoridad que le confiere la Constitución de la Nación española, ha decidido desestimar el recurso de amparo interpuesto por la entidad Assemblea Nacional Catalana.
Publíquese esta sentencia en el “Boletín Oficial del Estado”.
Dada en Madrid, a 7 de marzo de 2022.
