¿Puede la Agencia Tributaria rastrear Internet para investigar sin vulnerar la protección de datos?

Miniatura noticia

Según una noticia aparecida recientemente la Agencia Tributaria “usará las redes sociales para completar los vínculos familiares, de negocios y personales de los supuestos defraudadores”. De hecho, ya existiría personal dedicado a esta labor rastreando blogs, y webs, sobre todo las referentes a compra y venta de coches y pisos. De ser así, en muchas ocasiones se estaría produciendo un tratamiento de datos personales, cuando la información de la persona en cuestión, por ejemplo, anunciando la venta de un coche, fuese sobre una persona identificada o identificable. Cuestión diferente sería en el uso de “nicks” o “apodos”, donde la citada identificación sería más compleja, en ocasiones incluso imposible.

Por ello, debemos preguntarnos si esta actividad de rastreo cumple con la normativa de protección de datos, y por ende, con la LOPD.

¿Puede la Agencia Tributaria recabar datos personales de terceros sin consentimiento de redes sociales y webs?

Uno de los principios de la LOPD es el del consentimiento: para tratar datos de carácter personales será necesario el consentimiento inequívoco del afectado, salvo que una Ley disponga otra cosa (artículo 6.1).

El artículo 6.2 recoge una serie de excepciones al principio del consentimiento. Entre ellos, “cuando se recojan para el ejercicio de las funciones propias de las Administraciones públicas”.

Sin embargo, este precepto no es aplicable a este caso concreto. Primero, porque donde se recaban o más bien se publican datos, son en redes sociales o webs por parte de particulares, es decir, no es una Administración la que recaba datos en primera instancia. Segundo, porque, en todo caso, su posible aplicación sería totalmente excesiva. Significaría que todo lo que está en Internet podría ser utilizado no sólo por la Administración Tributaria sino por cualquier Administración.

¿Y la obligación de facilitar información a la Agencia Tributaria?

Se trata de una cuestión diferente regulada por los artículos 93 y 94 de la Ley 58/2003, de 17 de diciembre, General Tributaria, en relación con el artículo 11.2.a de la LOPD, que permite ceder datos de carácter personal, sin consentimiento, siempre y cuando exista una habilitación legal.

 Concretamente, el artículo 93 obliga a las personas físicas o jurídicas, públicas y privadas a facilitar toda clase de datos, informes, antecedentes y justificantes con trascendencia tributaria relacionadas con el cumplimiento de sus propias obligaciones tributarias o deducidos de sus relaciones económicas, profesionales o financieras con otras personas.

Este precepto se completa con el artículo 94, que regula las Autoridades que están sometidas al deber de suministrar a la Administración tributaria cuantos datos, informes y antecedentes con trascendencia tributaria recabe ésta mediante disposiciones de carácter general o a través de requerimientos concretos, y a prestarle, a ella y a sus agentes, apoyo, concurso, auxilio y protección para el ejercicio de sus funciones. Entre las obligadas se encuentran las Administraciones públicas, partidos políticos, asociaciones empresariales y sindicatos.

¿Supone el rastreo la aplicación de estos dos preceptos citados?

No, estamos ante una situación diferente. Obviamente, el artículo 94 queda descartado al monitorizar redes sociales o webs de titularidad privada, al referirse el citado precepto a Autoridades públicas.

En cuanto al artículo, como digo se van a realizar (o se está realizando) un rastreo o monitorización, de manera que no se están dirigiendo requerimientos de información a los titulares de redes sociales o webs.

¿Contiene la LOPD algún precepto sobre la Agencia Tributaria?

Existe una excepción en el artículo 23.2 en relación con el ejercicio de los derechos de acceso, rectificación y cancelación, de forma que los responsables de los ficheros de la Hacienda Pública, podrán denegar el ejercicio de estos derechos cuando obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado está siendo objeto de actuaciones inspectoras.

Obviamente, este precepto tampoco sirve para justificar el rastreo o monitorización, ya que se refiere al ejercicio de los derechos conocidos como ARCO.

¿Es Internet una fuente accesible al público?

Ya hemos visto en este post las excepciones al consentimiento de los artículo 6.2 y 11.2.a) de la LOPD no son aplicables.

Otra opción sería si Internet fuese una fuente accesible al público, que según el artículo 3.j tienen tal consideración “Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y los Boletines oficiales y los medios de comunicación”. Este precepto se complementa con lo regulado en el artículo 7 del Reglamento de desarrollo de la LOPD.

En este sentido, el informe 342/2008 de la Agencia Española de Protección de Datos sobre la creación y notificación de un fichero basado en el almacenamiento de datos obtenidos de Internet es claro:

Ambas definiciones (el transcrito de la LOPD y el 7 de su Reglamento de desarrollo) tienen una enumeración taxativa respecto a lo que cabe considerar como fuentes accesibles al público, lo que impide que consideremos a las páginas web como fuentes accesibles al público. Por ello, para tratar la información contenida en dichas páginas debería de obtenerse el consentimiento de los afectados.

¿Existe interés legítimo de la Agencia Tributaria al recabar estos datos sin perjudicar derechos de los afectados?

La última opción sería si la actuación de la Agencia Tributaria podría ampararse en el artículo 7.f) de la Directiva 95/46, que supone la posibilidad de tratar datos personales siempre y cuando sea necesario para obtener un interés legítimo para el responsable o terceros y no se perjudiquen los derechos y libertades del interesado o afectados”.

En este mismo blog, ya analizamos en su día el Dictamen del Grupo del Artículo 29 de Protección de Datos sobre la aplicación del citado precepto, destacando para este caso concreto que estamos analizando lo siguiente:

  • El artículo 7.f no distingue entre responsable público o privado, es decir, el precepto puede ser utilizado por las Administraciones públicas. No ocurre así en la Propuesta de Reglamento de Protección de Datos que lo limita al ámbito privado, ya que los tratamientos que realicen las Administraciones públicas deben tener base legal.
  • Entre los supuestos que se consideran como legítimos se encuentra la prevención y la lucha contra el fraude financiero.

No obstante lo anterior, este caso nos recuerda en cierta medida al Registro de Pasajeros (PNR), también analizado en este blog, ya que supondría que al realizar la monitorización todos seríamos sospechosos de defraudar. El citado Grupo del Artículo 29 consideró en su día que dicho Registro no era proporcional, y el propio Director de la AEPD también se ha manifestado en contra del mismo.

En conclusión, habrá que esperar a que la Agencia Española de Protección de Datos se manifieste sobre si es viable la aplicación del interés legítimo, o llevar a cabo la correspondiente modificación legal que permita la mencionada monitorización para fines de investigación de la Agencia Tributaria.


Enviar una respuesta

Protección de datos de carácter personal: con el envío del comentario, el usuario admite haber leído y aceptado la información en materia de protección de datos de carácter personal que se incluye en la información legal existente en esta página, al que se accede a través de pestaña bajo ese título, "Información legal" , situada en la parte superior de la página de inicio de este blog, y donde se informa de los titulares del blog, de las finalidades para las que se utilizarán los datos personales comunicados, así como la dirección para el ejercicio de los derechos reconocidos en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Los datos marcados con asterisco, son de obligado cumplimiento para aceptar la publicación del comentario. Si tales datos no fuesen facilitados, el comentario enviado será eliminado sin proceder a su publicación.

*