Última revisión
16/10/2025

Texto

Sentencia Contencioso-Administrativo 1206/2025 Tribunal Supremo. Sala de lo Contencioso-Administrativo. Sección Tercera, Rec. 5268/2022 de 29 de septiembre del 2025

Texto

Relacionados:

Voces

Jurisprudencia

Prácticos

Formularios

Resoluciones

Temas

Legislación

Tiempo de lectura: 175 min

Orden: Administrativo

Fecha: 29 de Septiembre de 2025

Tribunal: Tribunal Supremo

Ponente: JOSE MANUEL BANDRES SANCHEZ-CRUZAT

Nº de sentencia: 1206/2025

Núm. Cendoj: 28079130032025100184

Núm. Ecli: ES:TS:2025:4096

Núm. Roj: STS 4096:2025

Resumen:

Protección de datos. Agencia Tributaria.

Encabezamiento

T R I B U N A L S U P R E M O

Sala de lo Contencioso-Administrativo

Sección Tercera

Sentencia núm. 1.206/2025

Fecha de sentencia: 29/09/2025

Tipo de procedimiento: R. CASACION

Número del procedimiento: 5268/2022

Fallo/Acuerdo:

Fecha de Votación y Fallo: 23/09/2025

Ponente: Excmo. Sr. D. José Manuel Bandrés Sánchez-Cruzat

Procedencia: AUD.NACIONAL SALA C/A. SECCION 1

Letrado de la Administración de Justicia: Sección 003

Transcrito por:

Nota:

R. CASACION núm.: 5268/2022

Ponente: Excmo. Sr. D. José Manuel Bandrés Sánchez-Cruzat

Letrado de la Administración de Justicia: Sección 003

TRIBUNAL SUPREMO

Sala de lo Contencioso-Administrativo

Sección Tercera

Sentencia núm. 1206/2025

Excmos. Sres. y Excmas. Sras.

D. José Manuel Bandrés Sánchez-Cruzat, presidente

D. Eduardo Calvo Rojas

D. José Luis Gil Ibáñez

D.ª Berta María Santillán Pedrosa

D. Juan Pedro Quintana Carretero

D.ª Pilar Cancer Minchot

D.ª Margarita Beladiez Rojo

En Madrid, a 29 de septiembre de 2025.

Esta Sala ha visto el recurso de casación, registrado con el número 5268/2022, interpuesto por la Procuradora de los Tribunales Isabel de Noriega Quintanilla, en nombre y representación de María Purificación, bajo la dirección letrada de Aguistín María Altés Santos, contra la sentencia de la Sección Primeras de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 28 de abril de 2022, dictada en el recurso contencioso-administrativo número 224/2021, que desestimó el recurso contencioso-administrativo planteado contra la resolución de la Directora de la Agencia Española de Protección de Datos de 16 de diciembre de 2020, dictada en el expediente NUM000, que inadmite a trámite la reclamación presentada contra la Agencia Estatal de Administración Tributaria por vulneración de la obligación de proteger y mantener la confidencialidad de los datos personales.

Ha sido parte recurrida el Abogado del Estado en la representación que ostenta.

Ha sido ponente el Excmo. Sr. D. José Manuel Bandrés Sánchez-Cruzat.

PRIMERO.- .-En el recurso contencioso-administrativo número 224/2021, la Sección Primera de la Sala de lo Contencioso- Administrativo de la Audiencia Nacional dictó sentencia el 28 de abril de 2022, cuyo fallo dice literalmente:

«ª.- RECHAZAR la causa de inadmisibilidad del recurso contencioso administrativo opuesto por el Abogado del Estado.

2º.- DESESTIMAR el recurso contencioso administrativo interpuesto por el Procurador de los Tribunales Sr. De Noriega Arquer, en nombre y representación de Dª María Purificación , frente a la Resolución de la Directora de la Agencia Española de Protección de Datos de fecha 16 de diciembre de 2020, dictada en el expediente NUM001, que inadmite a trámite la reclamación presentada.

3º.- Co n imposición de costas a la actora.

La presente sentencia es susceptible de recurso de casación ante el Tribunal Supremo que deberá prepararse ante esta Sala en el plazo de 30 días contados desde el siguiente al de su notificación; en el escrito de preparación del recurso deberá acreditarse el cumplimiento de los requisitos establecidos en el artículo 89.2 de la Ley de la Jurisdicción justificando el interés casacional que presenta.»

La Sala de instancia fundamenta la decisión de desestimar el recurso contencioso-administrativo, con base en la exposición de las siguientes consideraciones jurídicas:

SEGUNDO.- La actora aduce que la resolución impugnada incurre en graves errores de calificación jurídica. En primer lugar, por cuanto no se formuló reclamación contra la AEAT por el tratamiento de datos personales de la recurrente, sino por la cesión de tales datos a una tercera persona, al haber puesto en dichas liquidaciones, en conocimiento de una tercera persona los datos personales de la recurrente. En segundo lugar, porque las liquidaciones en un procedimiento de inspección no constituyen una resolución sancionadora, sin que dicha parte haya hecho referencia a procedimiento sancionador alguno.

En cuanto al fondo, se centra en los dos acuerdos de liquidación aportados en vía administrativa, correspondientes al IVA e IRPF de los periodos impositivos 2015 y 2016 notificados a la obligada tributaria Dª Elena, pues en los mismos, según alega, se contiene la acreditación de las infracciones cometidas por la AEAT en materia de protección de datos. Señala que la recurrente no ha sido objeto de comprobación e investigación en los procedimientos de inspección en cuyo ámbito se extienden dichos acuerdos de liquidación, por lo que no tiene la condición de interesada en dicho expediente ni en los que del mismo pudieran derivarse en un futuro. Añade, que a la afectada no se le ha informado que la Inspección Actuaria tenía intención de utilizar sus datos personales, ni le ha sido recabada su autorización para el uso de tales datos, y la inclusión de cualesquiera datos personales de terceras personas no interesadas en tal procedimiento administrativo, no necesarios para la fundamentación de los acuerdos de liquidación, tiene la consideración de cesión de datos personales. Considera, por ello, que la AEAT ha cedido datos personales de la recurrente a la obligada tributaria, sin legitimación y habilitación legal para ello y sin autorización expresa de la afectada.

Abundando en lo expuesto, indica que el artículo 94.5 de la Ley 58/2003, de 17 de diciembre, General Tributaria (LGT), no da cobertura para que la AEAT haga constar en unos acuerdos de liquidación dictados en un procedimiento de inspección sobre las obligaciones tributarias de Dª Elena, y del artículo 95.1 de la misma LGT, se sigue que la AEAT no puede ni debe informar de los datos personales de un obligado tributario, contribuyente o administrado a un particular por ningún medio. Ello supone, a su entender, una o varias infracciones de la normativa de protección de datos.

El Abogado del Estado, por su parte, opone, en primer lugar, inadmisibilidad del recurso por falta de legitimación de la recurrente.

Subsidiariamente, y en cuanto al fondo considera que las menciones relativas a la demandante contenidas en los acuerdos de liquidación encuentran sustento en el artículo 6.1.c) y e) del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD), y también en el artículo 8 de la LOPDGDD.

A tal fin señala que los acuerdos de liquidación responden a la competencia que tiene atribuida la Administración tributaria en orden a la aplicación de los tributos, así como al cumplimiento de la obligación que pesa sobre la misma en cuanto a la motivación de las liquidaciones tributarias, ex artículo 102.2.c) LGT.

En estos términos, indica, resulta que en dichos acuerdos de liquidación se cuestiona por la Administración las facturas de gastos procedentes de Jofimoser Els Pins, como proveedor de servicios de la obligada tributaria Sra. Elena, y al objeto de fundamentar la obligación legal de la Administración de justificar la no deducción por parte de la misma de los gastos que le habían sido facturados por Jofimoser, resultaba imprescindible poner de manifiesto la actividad y operaciones del resto de estancos de personas vinculadas familiarmente, al objeto de fundamentar la instrumentalización de Jofimoser para disminuir la tributación de las personas titulares de los estancos y de la propia sociedad registrando gastos que en realidad son personales de los administradores y familiares (entre ellos la actora).

Por ello, considera que no existe indicio alguno de vulneración por la AEAT en materia de protección de datos.

TERCERO.- En primer lugar se va a examinar la causa de inadmisibilidad del recurso opuesta por el Abogado del Estado y la codemandada CGT, al amparo del artículo 69.b) de la Ley de la Jurisdicción, por de legitimación de la recurrente, denunciante ante la AEPD.

Debemos tomar como punto de partida, para examinar dicha causa de inadmisibilidad, que la legitimación constituye un presupuesto inexcusable de proceso, disponiendo el artículo 19. 1. a) de la LJCA, que " Están legitimados ante el orden jurisdiccional contencioso-administrativo: a) Las personas físicas o jurídicas que ostenten un derecho o interés legítimo".

En el ámbito propio de protección de datos en el que nos encontramos, cabe citar la STS de 6 de octubre de 2009 (Rec. 4.712/2005) que expresa que " quien denuncia hechos que considera constitutivos de infracción de legislación de protección de datos carece de legitimación activa para impugnar en vía jurisdiccional lo que resuelva la Agencia. Así se desprende de las sentencias de esta Sala de 6 de noviembre de 2007 y, con mayor nitidez aún, de 10 de diciembre de 2008 ".

La razón de dicha falta de legitimación radica, según la citada sentencia de 6 de octubre de 2009, en que el denunciante carece de la condición de interesado en el procedimiento sancionador que se pueda incoar a resultas de su denuncia, pues ni la LOPD, ni su Reglamento de desarrollo le reconocen esa condición. Y por lo que se refiere a los principios generales del derecho administrativo sancionador prosigue la citada sentencia " aunque en algunas ocasiones esta Sala ha dicho que el denunciante puede impugnar el archivo de la denuncia por la Administración, no se admite que el denunciante pueda impugnar la resolución administrativa final. El argumento crucial en esta materia es que el denunciante, incluso cuando se considere a sí mismo "víctima" de la infracción denunciada, no tiene un derecho subjetivo ni un interés legítimo a que el denunciado sea sancionado. El poder punitivo pertenece únicamente a la Administración que tiene encomendada la correspondiente potestad sancionadora -en este caso, la Agencia Española de Protección de Datos- y por consiguiente, sólo la Administración tiene un interés tutelado por el ordenamiento jurídico en que el infractor sea sancionado. (...). En otras palabras, los tribunales contencioso-administrativos pueden y deben controlar la legalidad de los actos administrativos en materia sancionadora; pero no pueden sustituir a la Administración en el ejercicio de las potestades sancionadoras que la ley encomienda a aquélla.

Cuanto se acaba de decir debe ser objeto de una precisión: el denunciante de una infracción de la legislación de protección de datos carece de legitimación activa para impugnar la resolución de la Agencia en lo que concierne al resultado sancionador mismo (imposición de una sanción, cuantía de la misma, exculpación, etc); pero llegado el caso, puede tener legitimación activa con respecto a aspectos de la resolución distintos del específicamente sancionador siempre que, por supuesto, pueda mostrar algún genuino interés digno de tutela".

Según señala la STS de 9 de junio de 2014 (Rec. 526/2011), es de aplicación la doctrina jurisprudencial de dicha Sala del Tribunal Supremo recaída en relación con expedientes sancionadores del Consejo General del Poder Judicial, que también ha sido aplicada en el ámbito que nos ocupa del ejercicio de las potestades sancionadoras de la AEPD, en sentencia de 24 de enero de 2013 (Rec. 51/2010) que "reconoce legitimación al denunciante para demandar el desarrollo de la actividad investigadora que resulte conveniente para la debida averiguación de los hechos que hayan sido denunciados, pero no para que esa actividad necesariamente finalice en una resolución sancionadora y esto último porque la imposición de una sanción a la persona denunciada, al no producir efecto positivo alguno en la esfera jurídica del denunciante, ni elimina carga ni gravamen de clase alguna en dicha esfera, no encarna el interés real que resulta necesario para que pueda ser apreciada la legitimación que, como inexcusable presupuesto del proceso contencioso administrativo exige el artículo 19 de la Ley Jurisdiccional ." Criterio que se reitera en la STS de 18 de mayo de 2015 (Rec. 277/2013) y en la posterior STS de 1 de enero de 2018 (Rec. 2368/2016) recaídas en esta misma materia de protección de datos.

Pues bien, en el caso de autos, en el suplico de la demanda se solicita que se dicte sentencia " po r la qué estimando el recurso interpuesto por mi mandante contra la Resolución dictada por la Agencia Española de Protección de Datos de 17 de diciembre de 2021, declarando su nulidad, así como ordene la admisión a trámite de la re reclamación formulada en su día por D. Braulio ", en lugar de por Dª María Purificación, lo que obedece a un irrelevante error material de transcripción.

Así las cosas, habiéndose dictado la resolución recurrida de plano y no pretendiéndose en la demanda el ejercicio de la potestad sancionadora, considera la Sala, que la recurrente tiene legitimación para impugnar en esta vía jurisdiccional la resolución de la AEPD recurrida, procediendo rechazar la causa de inadmisibilidad invocada.

CUARTO.- Con carácter previo conviene hacer una referencia a los errores de calificación jurídica que la demanda (Hecho tercero) atribuye a la resolución recurrida.

Se sostiene que la reclamación contra la AEAT no se formuló por el tratamiento de datos de la recurrente, sino por la cesión de tales datos a un tercero. Sin embargo, de la lectura de la resolución de la AEPD no se desprende ni cabe apreciar el citado error de calificación jurídica que se imputa de forma genérica, como veremos con detenimiento al examinar en el fondo del asunto. A lo anterior, añadir, que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, utiliza un concepto amplio de tratamiento. En este sentido el artículo 4 del RGPD señala que, a los efectos de dicho Reglamento, se entenderá por: " 2) « tratamiento» : cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o difusión".

De otro lado, el hecho de que la AEPD efectúe unas referencias genéricas sobre la posibilidad que otorga la Ley 39/2015, de 1 de octubre, de abrir un periodo de información o actuaciones previas con el fin de conocer las circunstancias del caso y la conveniencia de iniciar o no un procedimiento, así como sobre el contenido de dichas actuaciones previas en los supuestos de procedimientos sancionadores, no implica que considere las liquidaciones en un procedimiento de inspección como resoluciones sancionadoras, lo que en ningún momento se afirma ni resulta de dicha resolución.

QUINTO.- En cuanto al fondo, la cuestión que se suscita es esencialmente jurídica y consiste en dilucidar si existen indicios de vulneración de la normativa de protección de datos por parte de la AEAT en los Acuerdos de Liquidación correspondientes al Impuesto sobre el Valor Añadido (IVA) y al Impuesto sobre la Renta de las Personas Físicas de los periodos impositivos 2015 y 2016, referidos a la obligada tributaria Dª. Elena, al figurar en los mismos datos personales de la recurrente, cuñada de la Sra. Elena, tales como su DNI, su vinculación en condición de administradora, al igual que su hermano D. Braulio y esposo de la recurrente, con la empresa Jofimoser- Els Pins S.L. (de la que la obligada tributaria aportó facturas como proveedora de servicios) etc.

Interesa precisar, desde este momento, qué si bien en la página 10 de la reclamación administrativa, los datos consignados en dichos acuerdos de liquidación relativos a que Dª María Purificación es titular de un estanco y que en dicha actividad mantiene relación con la empresa Jofimoser- Els Pins, se califican como datos personales "especialmente protegidos", con terminología utilizada por la derogada Ley Orgánica 15/1999, de 13 de diciembre, artículo 7, en el que no hubieran tenido encuadre, así como tampoco lo tienen dentro del "tratamiento de categorías especiales de datos personales" a que se refiere el artículo 9 del RGPD, que el Considerando 51 del citado Reglamento, califica como tales a aquellos datos que " por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales". Por tanto, el art. 9.2.g) RGPD que se cita como infringido en la demanda, y no puede desvincularse del apartado 1 de dicho precepto, no resulta aquí de aplicación al referirse a una categoría específica de datos entre los que no se incluyen los que nos ocupan.

Sentado lo anterior y en orden a resolver la cuestión suscitada se va a partir de la normativa aplicable.

El artículo 6.1 del RGPD, sobre "licitud del tratamiento", establece, por lo que aquí nos interesa: "1 . El tratamiento sólo será lícito si cumple al menos una de las siguientes condiciones: (...)

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; (...)

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento".

Y en la normativa interna, el artículo 8 de la LOPDGDD "Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos", dispone:

"1 . El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) del Reglamento (UE) 2016/679 , cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV del Reglamento (UE) 2016/679.

2. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el artículo 6.1 e) del Reglamento (UE) 2016/679 , cuando derive de una competencia atribuida por una norma con rango de ley".

Además, el artículo 95.1 de la Ley General Tributaria, dentro del Título III sobre la aplicación de los tributos, consagra el carácter reservado y finalista de la información en poder de la Administración tributaria, en los siguientes términos: " 1. Los datos, informes o antecedentes obtenidos por la Administración tributaria en el desempeño de sus funciones tienen carácter reservado y sólo podrán ser utilizados para la efectiva aplicación de los tributos o recursos cuya gestión tenga encomendada y para la imposición de las sanciones que procedan, sin que puedan ser comunicados o cedidos a terceros, salvo que la cesión tenga por objeto" (...)".

Es decir, el precepto alude al carácter reservado de los datos tributarios en poder de la Administración tributaria, destacando que solo pueden ser utilizados con fines tributarios dentro de sus funciones y en el marco o ámbito de sus competencias.

Pues bien, los acuerdos de liquidación que nos ocupan, referidos a la obligada tributaria Dª Elena, responden a la competencia que tiene atribuida la Administración tributaria en orden a la aplicación de los tributos y que se desarrolla, " a través de los procedimientos administrativos de gestión, inspección y recaudación y los demás previstos en este título.", artículo 83.3 LGT.

Liquidaciones tributarias que la Administración tributaria tiene obligación de motivar "cuando no se ajusten a los datos consignados por el obligado tributario o a la aplicación o interpretación de la normativa realizada por el mismo, con expresión de los hechos y elementosesenciales que las originen, así como de los fundamentos de derecho." ( art. 102.2.c) LGT) .

En el caso de autos, a tenor de los citados acuerdos de liquidación resulta que la Administración tributaria cuestiona el importe de las facturas de gastos procedentes de la empresa Jofimoser Els Pins S.L, como proveedora de servicios profesionales de la obligada tributaria Dª Elena, titular de un estanco en Vilaseca, en el que además de tabacos y artículos de fumador, vende también, al parecer, loterías y efectos timbrados, recargas de tarjetas de teléfonos etc. Y en dichos acuerdos, y en relación con dichas facturas, se hacen unas consideraciones sobre Jofimoser, destacando su carácter de empresa familiar, en la que figuran como administradores la hoy recurrente Dª María Purificación, identificada por su NIF, y su hermano D. Braulio, cónyuge de la obligada tributaria, titulares también de sendos estancos, poniendo de manifiesto la actividad y operaciones del resto de los estancos de personas vinculadas familiarmente, etc, con la finalidad de motivar y justificar que no se consideraban deducibles las facturas de gastos provenientes de la citada empresa, al igual que tampoco lo eran las cuotas de IVA soportado que figuraban en dichas facturas. Es decir, se trataba de fundamentar, en definitiva, la instrumentalización de Jofimoser para disminuir la tributación de las personas titulares de los estancos, como Dª Elena y la de la propia sociedad registrando gastos, qué en realidad, parecen ser de los administradores y familiares (entre ellos, la recurrente).

Sostiene la actora que no era necesario incluir dichos datos titularidad de la recurrente para que la AEAT formulara los citados acuerdos de liquidación, pues a su entender, bastaba con mantener el anonimato de los nombres, sin perjuicio de que en caso de recursos en ulteriores instancias judiciales pudiera concretarlos.

Sin embargo, este alegato no puede compartirse. En efecto, para motivar de forma suficiente y acreditar por parte de la Administración tributaria las razones del rechazo de los citados gastos resultaba imprescindible consignar los datos personales que se plasmaron en dichos acuerdos, entre otros, NIF, nombre y apellidos, administradora de Jofimoser, etc, Ello permitía poner de relieve esas vinculaciones familiares y con la sociedad, que se consideraban determinantes, junto con otros datos, de la falta de justificación de lo facturado por Jofimoser a la Sra. Elena.

Por tanto, no se trata de que los datos de la recurrente incluidos en los acuerdos de liquidación en cuestión se hayan cedido a un tercero (obligado tributario), sino que dichos datos se han utilizado por parte de la AEAT en el ejercicio de sus funciones y de las potestades atribuidas a la Administración tributaria al servicio de los intereses públicos, con fines tributarios, con el objeto de fundamentar, como resulta legalmente exigible, la instrumentalización de Jofimoser para disminuir la tributación, entre otras personas, de la obligada tributaria y justificar, en suma, porque no consideraba deducibles, el importe de las facturas de gastos de Jofimoser que la misma pretendía.

Esas menciones relativas a la demandante contenidas en los citados acuerdos de liquidación encuentran sustento en la normativa comunitaria y nacional expuesta, por lo que no resultaba necesario recabar por la Administración tributaria el consentimiento expreso de la recurrente.

En consecuencia, no cabe apreciar indicio de vulneración de la normativa de protección de datos por parte de la AEAT, tampoco del artículo 9.2.g) de la LOPDGD de no aplicación al caso, como hemos dicho más arriba, ni de medidas de seguridad, ni de ninguno otro de los preceptos que se citan como vulnerados en la demanda, procediendo la desestimación del recurso contencioso administrativo interpuesto.

SEGUNDO.-Contra la referida sentencia, la representación procesal de María Purificación preparó recurso de casación, que la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional tuvo preparado mediante auto de 22 de junio de 2022, que al tiempo, ordeno remitir las actuaciones al Tribunal Supremo, previo emplazamiento de los litigantes.

TERCERO.-Recibidas las actuaciones y personadas las partes, la Sección Primera de la Sala de lo Contencioso-Administrativo del Tribunal Supremo, dictó auto el 1 de diciembre de 2022, cuya parte dispositiva dice literalmente:

« 1.º)Admitir el recurso de casación n.º 5268/2022 preparado por la representación procesal de D.ª María Purificación contra la sentencia dictada por La Sección Primera de la Sala de lo Contencioso-administrativo de la Audiencia Nacional, de fecha 28 de abril de 2022, desestimatoria del recurso contencioso-administrativo n.º 224/2021.

2.º)Declarar que la cuestión planteada en el recurso que presenta interés casacional objetivo para la formación de la jurisprudencia consiste en determinar si la actuación de la Agencia Estatal de la Administración Tributaria vulnera el artículo 8 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales con la inclusión de cualesquiera datos personales de terceras personas no interesadas en los procedimientos tributarios, y si su tratamiento en dichos procedimientos tiene la consideración de cesión de datos personales fundado en el cumplimiento de una obligación legal a los efectos de la vigente normativa de protección de datos.

3.º)Identificar como normas jurídicas que, en principio, serán objeto de interpretación: el artículo 8 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. El artículo 6.1.c) y e) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), así como los artículos 95 y 102.2.c) de la Ley 58/2003, de 17 de diciembre, General Tributaria; sin perjuicio de que la sentencia haya de extenderse a otras cuestiones o normas si así lo exigiere el debate finalmente trabado en el recurso.

4.º)Ordenar la publicación de este auto en la página web del Tribunal Supremo, haciendo referencia al mismo, con sucinta mención de las normas que serán objeto de interpretación.

5.º)Comunicar inmediatamente a la Sala de instancia la decisión adoptada en este auto.

6.º)Para la sustanciación del recurso, remítanse las actuacion».

CUARTO.-Por diligencia de ordenación de 20 de diciembre de 2022, habiendo sido admitido a trámite el recurso de casación, y recibidas las actuaciones en esta Sala de lo Contencioso-Administrativo del Tribunal Supremo, se establece que una vez transcurra el plazo de treinta días que el artículo 92.1 de la Ley reguladora de la Jurisdicción Contencioso-Administrativa establece para la presentación del escrito de interposición del recurso de casación, se acordará. La Procuradora de los Tribunales Isabel de Noriega Quintanilla en nombre y representación de María Purificación, presentó escrito de interposición del recurso de casación el 6 de febrero de 2023, en el que, tras exponer los motivos de impugnación que consideró oportunos, lo concluyó con el siguiente SUPLICO:

«Que habiendo presentado este escrito, con sus copias, se sirva admitirlo, y, en su virtud, me tenga por personada y parte, y tenga por, en tiempo y forma, contra la Sentencia dictada por la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de fecha 28 de abril de 2.022, y previos los trámites procesales oportunos, en su día se sirva dictar Sentencia por la que, casando y anulando la Sentencia recurrida ya referenciada, se estime plenamente nuestro recurso en los términos interesados, en la que se condene a la parte recurrida a la incoación de expediente sancionador contra la AEAT y los funcionarios actuantes responsables de los actos administrativos correspondientes, por cuanto que informar de datos personales de mi representado a una tercera persona, no destinataria de los mismos y sin cobertura legal que legitime para ello, por parte de la AEAT supone la comisión de una infracción en materia de protección de datos por la cesión de datos personales a terceras personas de forma ilegítima.»

QUINTO.-Por diligencia de ordenación de 3 de marzo de 2023, se tiene por interpuesto recurso de casación, y se acuerda dar traslado del escrito de interposición a la parte recurrida y personada, para que pueda oponerse al recurso en el plazo de treinta días, lo que efectuó mediante escrito de oposición de fecha 12 de abril de 2023, en el que tras efectuar las manifestaciones que consideró oportunas lo concluyo con el siguiente SUPLICO:

«que teniendo por presentado este escrito y por formulada oposición al recurso de casación, previos los trámites oportunos, dicte sentencia por la que fije doctrina en los términos interesados en el anterior apartado tercero y desestime el recurso de casación, confirmando la sentencia recurrida por ser ajustada a Derecho. »

SEXTO.-Por providencia de 4 de mayo de 2023, se acuerda no ha lugar al señalamiento de vista; y por providencia 23 de septiembre de 2025, se designo Magistrado Ponente al Excmo. Sr. D. José Manuel Bandrés Sánchez-Cruzat y se señala este recurso para votación y fallo el 25 de septiembre de 2025, fecha en que tuvo lugar el acto.

PRIMERO.- Sobre el objeto y el planteamiento del recurso de casación: El asunto litigioso relativo a la impugnación de la sentencia dictada por la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 28 de abril de 2022 .

El recurso de casación que enjuiciamos, interpuesto por la representación procesal de María Purificación, al amparo de los artículos 86 y siguientes de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa, en la redacción introducida por la Ley Orgánica 7/2015, de 21 de julio, tiene por objeto la pretensión de que se revoque la sentencia dictada por la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 28 de abril de 2022, que desestimó el recurso contencioso-administrativo planteado contra la resolución de la Directora de la Agencia Española de Protección de Datos de 16 de diciembre de 2020, dictada en el expediente NUM000, que inadmite a trámite la reclamación presentada contra la Agencia Estatal de Administración Tributaria por vulneración de la obligación de proteger y mantener la confidencialidad de los datos personales.

La sentencia impugnada, cuya fundamentación jurídica hemos transcrito en los los antecedentes de hecho de esta sentencia, sustenta la decisión de desestimar el recurso contencioso-administrativo con base en el argumento de que no cabe apreciar indicio de vulneración de la normativa de protección de datos por parte de la Agencia Estatal de Administración Tributaria, puesto que las menciones relativas a la demandante en los acuerdos de liquidación a favor de la Hacienda Pública correspondientes al Impuesto sobre el Valor Añadido y en el Impuesto sobre la Renta de las Personas Físicas, en relación a las actuaciones con el cumplimiento de las obligaciones tributarias de otro contribuyente, Amparo, tienen cobertura en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos), que dispone que el tratamiento de datos serán lícito si cumple al menos con uno de los requisitos, referidos a que sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento o cuando el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o el ejercicio de poderes públicos confiados al responsable del tratamiento, así como en el artículo 8 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

También se razona que la actuación de la Agencia Estatal de Administración Tributaria tiene soporte en los artículos 95 y 102 de la Ley General Tributaria, que atribuye a la Administración Tributaria competencias, en materia de gestión, inspección y recaudación de los tributos, ya que está obligada a motivar fundadamente sus acuerdos; lo que revela que, en el caso enjuiciado, estaba justificado consignar los nombres identificativos y otros datos relevantes de aquellas personas relacionadas con las actuaciones fiscales incoadas a la obligada tributaria.

El recurso de casación se funda, en primer término, en la infracción del artículo 8 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, el artículo 6.1 c) y e) del Reglamento UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

Se aduce, al respecto, que una relación de parentesco, ya sea cercana o lejana, no es base legal habilitante para que la Agencia Estatal de Administración Tributaria ceda a una tercera persona, no destinataria de los mismos (la obligada tributaria contra la que se inició el procedimiento de inspección), datos personales de la afectada recurrente, que no aparece ni como interesada ni como obligada tributaria de dicho procedimiento, incluyendo datos referidos a la relación de parentesco.

Se reprocha a la Sala de instancia que solamente haga referencia a la actividad de tratamiento de datos y a la legitimidad de la Agencia Estatal de Administración Tributaria para realizar dicho tratamiento en cumplimiento de una obligación legal, y no aluda a la legitimidad o ilegitimidad de la cesión de datos que era el objeto de la denuncia.

En segundo termino, se alega la infracción del articulo 95 de la Ley 58/2003, de 17 de diciembre, General Tributaria, en relación con la divulgación de datos personales de carácter personal con transcendencia tributaria que tienen carácter reservado.

Se cuestiona la sentencia impugnada porque hace una sucinta referencia a dichos preceptos, y no tiene en cuenta la completa lista númerus clausus referida a las personas, organismos y entidades que si pueden ser destinatarios de la cesión de datos personales, entre los que no se citan a personas físicas o terceros particulares respecto de los datos personales de los que la agencia estatal de administración tributaria tuviera conocimiento en el ejercicio del tratamiento de dichos datos.

En tercer termino, se aduce la infracción del articulo 12.2 c) de la Ley 38/2003, de 17 de noviembre, General de Subvenciones.

Se argumenta que la Sala de instancia debió considerar la aplicación restrictiva de dicho precepto, a efectos de determinar el alcance de la obligación de motivación de las liquidaciones tributarias, y, en consecuencia, debió llegar a la conclusión de que era procedente la ocultación de la identidad de terceras personas a las que se refiere el procedimiento de inspección tributaria.

SEGUNDO.- Sobre el marco normativo aplicable y acerca de la doctrina jurisprudencial que resulta relevante en el enjuiciamiento de este recurso de casación.

Antes de abordar, concretamente, el examen de las infracciones del ordenamiento jurídico y de la jurisprudencia que aduce la defensa letrada de la parte recurrente, procede dejar constancia de las normas jurídicas que resultan aplicables, así como recordar la doctrina jurisprudencial del Tribunal de Justicia de la Unión Europea y del Tribunal Supremo que consideramos relevante para resolver la presente controversia casacional.

A) El Derecho de la Unión Europea

El articulo 8 de la Carta de los Derechos Fundamentales de la Unión Europea, bajo el epígrafe «Protección de datos de carácter personal», dispone:

«1. Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.

2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que le conciernan y a obtener su rectificación.

3. El respeto de estas normas estará sujeto al control de una autoridad independiente »

El artículo 6 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), dispone:

«1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

2. Los Estados miembros podrán mantener o introducir disposiciones más específicas a fin de adaptar la aplicación de las normas del presente Reglamento con respecto al tratamiento en cumplimiento del apartado 1, letras c) y e), fijando de manera más precisa requisitos específicos de tratamiento y otras medidas que garanticen un tratamiento lícito y equitativo, con inclusión de otras situaciones específicas de tratamiento a tenor del capítulo IX.

3. La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por:

a) el Derecho de la Unión, o

b) el Derecho de los Estados miembros que se aplique al responsable del tratamiento.

La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Dicha base jurídica podrá contener disposiciones específicas para adaptar la aplicación de normas del presente Reglamento, entre otras: las condiciones generales que rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados afectados; las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación; la limitación de

la finalidad; los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones específicas de tratamiento a tenor del capítulo IX. El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido.

4. Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23,

apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:

a) cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;

b) el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento;

c) la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10;

d) las posibles consecuencias para los interesados del tratamiento ulterior previsto;

e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización»

B) El Derecho Estatal.

El artículo 18 de la Constitución española, en sus apartados 1 y 4, dispone:

«1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen

[...]

4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.»

El artículo 8 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, bajo la rubrica «Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos», establece:

«1. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) del Reglamento (UE) 2016/679, cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV del Reglamento (UE) 2016/679.

2. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el artículo 6.1 e) del Reglamento (UE) 2016/679, cuando derive de una competencia atribuida por una norma con rango de ley»

El artículo 95 de la ley 58/2003, de 17 de diciembre, General de Tributaria, bajo el epígrafe, « Carácter reservado de los datos con trascendencia tributaria», dispone:

«1. Los datos, informes o antecedentes obtenidos por la Administración tributaria en el desempeño de sus funciones tienen carácter reservado y sólo podrán ser utilizados para la efectiva aplicación de los tributos o recursos cuya gestión tenga encomendada y para la imposición de las sanciones que procedan, sin que puedan ser cedidos o comunicados a terceros, salvo que la cesión tenga por objeto:

a) La colaboración con los órganos jurisdiccionales y el Ministerio Fiscal en la investigación o persecución de delitos que no sean perseguibles únicamente a instancia de persona agraviada.

b) La colaboración con otras Administraciones tributarias a efectos del cumplimiento de obligaciones fiscales en el ámbito de sus competencias.

c) La colaboración con la Inspección de Trabajo y Seguridad Social y con las entidades gestoras y servicios comunes de la Seguridad Social en la lucha contra el fraude en la cotización y recaudación de las cuotas del sistema de Seguridad Social y contra el fraude en la obtención y disfrute de las prestaciones a cargo del sistema; así como para la determinación del nivel de aportación de cada usuario en las prestaciones del Sistema Nacional de Salud.

d) La colaboración con las Administraciones públicas para la prevención y lucha contra el delito fiscal y contra el fraude en la obtención o percepción de ayudas o subvenciones a cargo de fondos públicos o de la Unión Europea, incluyendo las medidas oportunas para prevenir, detectar y corregir el fraude, la corrupción y los conflictos de intereses que afecten a los intereses financieros de la Unión Europea.

e) La colaboración con las comisiones parlamentarias de investigación en el marco legalmente establecido.

f) La protección de los derechos e intereses de los menores e incapacitados por los órganos jurisdiccionales o el Ministerio Fiscal.

g) La colaboración con el Tribunal de Cuentas en el ejercicio de sus funciones de fiscalización de la Agencia Estatal de Administración Tributaria.

h) La colaboración con los jueces y tribunales para la ejecución de resoluciones judiciales firmes. La solicitud judicial de información exigirá resolución expresa en la que, previa ponderación de los intereses públicos y privados afectados en el asunto de que se trate y por haberse agotado los demás medios o fuentes de conocimiento sobre la existencia de bienes y derechos del deudor, se motive la necesidad de recabar datos de la Administración tributaria.

i) La colaboración con el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias, con la Comisión de Vigilancia de Actividades de Financiación del Terrorismo y con la Secretaría de ambas comisiones, en el ejercicio de sus funciones respectivas.

j) La colaboración con órganos o entidades de derecho público encargados de la recaudación de recursos públicos no tributarios para la correcta identificación de los obligados al pago y con la Dirección General de Tráfico para la práctica de las notificaciones a los mismos, dirigidas al cobro de tales recursos.

k) La colaboración con las Administraciones públicas para el desarrollo de sus funciones, previa autorización de los obligados tributarios a que se refieran los datos suministrados.

l) La colaboración con la Intervención General de la Administración del Estado en el ejercicio de sus funciones de control de la gestión económico-financiera, el seguimiento del déficit público, el control de subvenciones y ayudas públicas y la lucha contra la morosidad en las operaciones comerciales de las entidades del Sector Público.

m) La colaboración con la Oficina de Recuperación y Gestión de Activos mediante la cesión de los datos, informes o antecedentes necesarios para la localización de los bienes y derechos susceptibles de ser embargados o decomisados en un determinado proceso penal, previa acreditación de esta circunstancia.

n) La colaboración con las entidades responsables de los procedimientos de adjudicación de contratos y concesión de subvenciones vinculadas a la ejecución del Plan de

Recuperación, Transformación y Resiliencia, en relación con el análisis sistemático de riesgo de conflicto de interés.

2. En los casos de cesión previstos en el apartado anterior, la información de carácter tributario deberá ser suministrada preferentemente mediante la utilización de medios informáticos o telemáticos. Cuando las Administraciones públicas puedan disponer de la

información por dichos medios, no podrán exigir a los interesados la aportación de certificados de la Administración tributaria en relación con dicha información.

3. La Administración tributaria adoptará las medidas necesarias para garantizar la confidencialidad de la información tributaria y su uso adecuado.

Cuantas autoridades o funcionarios tengan conocimiento de estos datos, informes o antecedentes estarán obligados al más estricto y completo sigilo respecto de ellos, salvo en los casos citados. Con independencia de las responsabilidades penales o civiles que pudieran derivarse, la infracción de este particular deber de sigilo se considerará siempre falta disciplinaria muy grave.

Cuando se aprecie la posible existencia de un delito no perseguible únicamente a instancia de persona agraviada, la Administración tributaria deducirá el tanto de culpa o remitirá al Ministerio Fiscal relación circunstanciada de los hechos que se estimen constitutivos de delito. También podrá iniciarse directamente el oportuno procedimiento mediante querella a través del Servicio Jurídico competente.

4. El carácter reservado de los datos establecido en este artículo no impedirá la publicidad de los mismos cuando ésta se derive de la normativa de la Unión Europea.

5. Los retenedores y obligados a realizar ingresos a cuenta sólo podrán utilizar los datos, informes o antecedentes relativos a otros obligados tributarios para el correcto cumplimiento y efectiva aplicación de la obligación de realizar pagos a cuenta. Dichos datos deberán ser comunicados a la Administración tributaria en los casos previstos en la normativa propia de cada tributo.

Salvo lo dispuesto en el párrafo anterior, los referidos datos, informes o antecedentes tienen carácter reservado. Los retenedores y obligados a realizar ingresos a cuenta quedan sujetos al más estricto y completo sigilo respecto de ellos.

6. La cesión de información en el ámbito de la asistencia mutua se regirá por lo dispuesto en el artículo 177 ter de esta Ley.»

El artículo 102 de la Ley 58/2003, de 17 de diciembre, General de Tributaria, , bajo el epígrafe «Notificación de las liquidaciones tributarias», en su apartado 2 c), establece:

«2. Las liquidaciones se notificarán con expresión de:

c) La motivación de las mismas cuando no se ajusten a los datos consignados por el obligado tributario o a la aplicación o interpretación de la normativa realizada por el mismo, con expresión de los hechos y elementos esenciales que las originen, así como de los fundamentos de derecho.»

C) La doctrina del Tribunal de Justicia de la Unión Europea.

En la sentencia del Tribunal de Justicia de la Unió Europea, de 27 de septiembre de 2017 (Asunto C-73/16) se considera legitima la actuación de las autoridades tributarias de los Estados miembros, relativas al tratamiento de datos personales de terceras personas, a efectos de recaudación y de lucha contra el fraude fiscal, en los siguientes términos:

«1) El artículo 47 de la Carta de los Derechos Fundamentales de la Unión Europea debe interpretarse en el sentido de que no se opone a una normativa nacional que subordine la posibilidad de que ejercite la acción judicial quien afirme que ha sido vulnerado el derecho a la protección de los datos personales que le garantiza la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, a la condición de que esa persona agote las vías de recurso de que disponga ante las autoridades administrativas nacionales, siempre que la regulación concreta del ejercicio de dichas vías de recurso no afecte de forma desproporcionada al derecho a la tutela judicial efectiva que recoge el propio artículo 47 de la Carta. En particular, es necesario que el agotamiento previo de esas vías de recurso no implique un retraso sustancial a efectos del ejercicio de la acción judicial, suponga la interrupción de la prescripción de los correspondientes derechos y no ocasione gastos excesivos.

2) El artículo 47 de la Carta de los Derechos Fundamentales de la Unión Europea debe interpretarse en el sentido de que se opone a que un tribunal nacional inadmita una prueba de la infracción de la protección de datos personales que confiere la Directiva 95/46 consistente en una lista que, como la controvertida, sea presentada por el interesado y que contenga datos personales suyos, en el supuesto de que ese interesado haya obtenido la lista sin el consentimiento, que requiere la ley, del responsable del tratamiento de los datos en cuestión, a menos que dicha inadmisión venga establecida por la normativa nacional y que respete tanto el contenido esencial del derecho a la tutela judicial efectiva como el principio de proporcionalidad.

3) El artículo 7, letra e), de la Directiva 95/46 debe interpretarse en el sentido de que no se opone a que, sin que medie el consentimiento de los interesados, las autoridades de los Estados miembros traten datos personales a efectos de recaudación y de lucha contra el fraude fiscal, tal como se hizo en el litigio principal mediante la elaboración de la lista controvertida, siempre que, por un lado, la normativa nacional confiera a dichas autoridades, a efectos de la disposición mencionada, misiones de interés público, que la elaboración de la lista y la inclusión en la misma de los interesados sean efectivamente idóneas y necesarias para cumplir los objetivos perseguidos y que existan motivos suficientes para presumir que la inclusión de los interesados en la lista obedece a un motivo y siempre que, por otro lado, concurran todas las condiciones a que obliga la propia Directiva 95/46 para que ese tratamiento de datos personales sea lícito.»

En la ulterior sentencia del Tribunal de Justicia de la Unión Europea de 22 de junio de 2021 (asunto C-439/19), se declara:

« El artículo 10 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), debe interpretarse en el sentido de que se aplica al tratamiento de datos personales relativos a puntos impuestos a conductores por infracciones de tráfico.

2) Las disposiciones del Reglamento 2016/679, en particular sus artículos 5, apartado 1, 6, apartado 1, letra e), y 10, deben interpretarse en el sentido de que se oponen a una normativa nacional que obliga al organismo público encargado del registro en el que se inscriben los puntos impuestos a conductores por infracciones de tráfico a establecer que dichos datos sean accesibles al público sin que la persona que solicite ese acceso tenga que justificar un interés específico en obtenerlos.

3) Las disposiciones del Reglamento 2016/679, en particular sus artículos 5, apartado 1, 6, apartado 1, letra e), y 10, deben interpretarse en el sentido de que se oponen a una normativa nacional que autoriza al organismo público encargado del registro en el que se inscriben los puntos impuestos por infracciones de tráfico a los conductores a comunicar dichos datos a operadores económicos a efectos de su reutilización.

4) El principio de primacía del Derecho de la Unión debe interpretarse en el sentido de que se opone a que el tribunal constitucional de un Estado miembro que conoce de un recurso interpuesto contra una normativa nacional que, a la luz de una resolución del Tribunal de Justicia dictada tras la remisión prejudicial correspondiente, resulta ser incompatible con el Derecho de la Unión decida, con arreglo al principio de seguridad jurídica, que se mantienen los efectos jurídicos de dicha normativa hasta la fecha en que ese tribunal constitucional dicte una sentencia que resuelva definitivamente sobre tal recurso de inconstitucionalidad.

D) La doctrina del Tribunal Supremo.

En la sentencia de esta sala de lo Contencioso-Administrativo del Tribunal Supremo núm. 1520/2023, de 22 de noviembre de 2023 (RC 5352/2022), en relación con el tratamiento de datos personales efectuado por la Agencia Estatal de Agencia Tributaria, dijimos:

«El artículo 8 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y el artículo 6.2 c) y e) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que disponen que el tratamiento de datos personales será lícito, entre otros supuestos, cuando sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, o cuando sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, no se oponen a que la Agencia Estatal de Administración Tributaria, en el curso de la tramitación y resolución de un procedimiento de gestión, inspección o recaudación tributaria, utilice datos de carácter personal de terceras personas físicas, distintas al sujeto obligado tributario sometido al expediente administrativo, siempre y cuando el tratamiento de los datos se ampare en las facultades que se confieren a las autoridades tributarias para luchar contra el fraude fiscal, que la inclusión de los datos se limite a aquellos que se revelen adecuados, idóneos, pertinentes y necesarios para la determinación de los hechos y motivar las resoluciones que se adopten, y que sea proporcionada al fin legitimo perseguido para lo que son tratados. »

TERCERO.- Sobre las infracciones del ordenamiento jurídico en que se fundamenta el recurso de casación.

La cuestión que reviste interés casacional objetivo para la formación de jurisprudencia, sobre la que esta Sala de lo Contencioso-Administrativo del Tribunal Supremo debe pronunciarse, tal como se expone en el Auto de la Sección Primera de esta Sala de 1 de diciembre de 2022, consiste en determinar si la actuación de la Agencia Estatal de Administración Tributaria vulnera el artículo 8 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, con la inclusión de cualesquiera datos personales de terceras personas no interesadas en los procedimientos tributarios, y si su tratamiento en dichos procedimientos tiene la consideración de cesión de datos personales fundado en el cumplimiento de una obligación legal a los efectos de la vigente normativa de protección de datos.

Delimitada, en estos estrictos términos, la controversia casacional, esta Sala, siguiendo las consideraciones jurídicas efectuadas en la precedente sentencia núm. 1520/2023, de 22 de noviembre de 2023, debe precisar, en primer termino, que la actuación de la Agencia Estatal de Administración Tributaria debe caracterizarse como tratamiento de datos personales (y no como cesión de datos, tal como sostiene la parte recurrente, pues propiamente no concurre el presupuesto de revelación inherente a la cesión o comunicación de datos), conforme a lo dispuesto en el artículo 4 del Reglamento (UE) 2016/679, ya que se trata de la utilización de determinados datos personales de un tercero por un organismo público responsable del tratamiento en el curso de un procedimiento de comprobación e inspección tributaria, que, en la medida que los datos están directamente relacionados con las actividades económicas desarrolladas por la obligada tributaria, y debido a su transcendencia fiscal para integrar el supuesto de hecho tributario, mantenemos que está plenamente justificada que figuren en los acuerdos de liquidación.

En efecto, esta Sala, compartiendo los razonamientos de la sentencia impugnada, sostiene que la actuación cuestionada de la Agencia Estatal de Administración Tributaria no infringe el articulo 8 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, ni el artículo 6.1 c) y e) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Al respecto, debe señalarse que, a tenor de lo dispuesto en el artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea, que dispone que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan, y que establece que estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley, y del artículo 18 de la Constitución española que garantiza el derecho a la privacidad y la protección de los datos personales, consideramos legítimo el tratamiento de los datos personales de la recurrente fundado en el cumplimiento de una obligación legal exigible al responsable del tratamiento, referida a la gestión eficiente de la recaudación tributaria y a la persecución del fraude fiscal, que atiende a un objetivo de interés general, de acuerdo con lo dispuesto en los artículos 31 y 103 de la Constitución y se revela necesario para el ejercicio de la funciones de comprobación e inspección del cumplimiento de las obligaciones tributarias, que impone a la Administración Tributaria la regular persecución del procedimiento y motivar las resoluciones que adopte conforme a lo dispuesto en el articulo 102.2 c) de la Ley General Tributaria.

En este sentido, cabe subrayar que el deber de la Agencia Estatal de la Administración Tributaria de velar por el cumplimiento efectivo de las obligaciones tributarias constituye un objetivo de interés general, que a la luz de la doctrina jurispurdencial del Tribunal de Justicia de la Unión Europea, determina el reconocimiento de la licitud del tratamiento de datos de carácter personal a través del ejercicio de potestades de carácter publico para la realización de misiones de interés público amparadas por el artículo 8 del reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), en consonancia con lo dispuesto en el artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea y el artículo 18 de la Constitución española.

Procede, asimismo, significar, al respecto, que estimamos que el tratamiento de los datos personales de la 439/recurrente por la Agencia Estatal de Administración Tributaria se revela adecuado, de acuerdo con lo dispuesto en el artículo 8 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y el artículo 6 del Reglamento (UE) 2016/679, porque resulta necesario para fijar los hechos relativos a la comprobación del incumplimiento de las obligaciones fiscales por la contribuyente investigada Amparo, y la inclusión de los datos no se revela desproporcionada, ya que solo se recogen datos personales, pertinentes y apropiados para tal fin.

Por ello, no estimamos convincente la tesis argumental que desarrolla la defensa letrada de la parte recurrente, que insiste en caracterizar la actuación de la Agencia Estatal de Administración Tributaria de cesión de datos personales, con base en el argumento de que no existe base legal para que la Agencia desvele datos personales de la persona física particular que no ocupa la posición de interesado en el procedimiento tributario, mediante la cesión a una tercera persona (la obligada tributaria contra la que se inició el procedimiento administrativo) sin contar con el consentimiento del titular de los datos personales, eludiendo que de ningún modo el tratamiento de los datos ha supuesto una injerencia indebida de las autoridades tributarias en la esfera del derecho a la privacidad y a la protección de datos personales que garantiza el artículo 18 de la Constitución.

Debe recordarse que la utilización de datos personales de terceras personas, distintas al obligado tributario, por la Administración Tributaria, sin el preceptivo consentimiento, debe considerarse legitima, tal como se infiere de la doctrina del Tribunal de Justicia de la Unión Europea expuesta en las sentencias de 27 de septiembre de 2017 (asunto C-73/16) y 22 de julio de 2021 (asunto C-439/19), en aquellos supuestos, como acontece en el presente caso, siempre que responda a objetivos de interés general relacionados con la persecución del fraude fiscal, y se acredite el tratamiento de datos personales es proporcionado y no excede de lo estrictamente necesario para cumplir tal fin, y se produzca en el marco de un procedimiento en cuya tramitación se hayan garantizado la protección de los derechos fundamentales y libertades de los interesados y afectados.

Asimismo, procede descartar que la sentencia impugnada infrinja el articulo 95 de la Ley 58/2003, de 17 de diciembre, General Tributaria, por cuanto compartimos el criterio de la Sala de instancia, respecto de que la Agencia Estatal de Administración Tributaria no ha violado el carácter reservado de los datos personales, pues la consignación de determinados datos personales de la actual recurrente, referidos a la identificación del nombre y apellidos, DNI, vínculos familiares y datos económicos, se efectúa para la efectiva exacción de los tributos, tal como dispone el artículo 5 de la Ley General Tributaria, en el marco de las competencias de la Agencia Estatal de Administración Tributaria, en el curso de un procedimiento de comprobación del cumplimiento de las obligaciones tributarias, revelándose idónea y necesaria para la efectiva aplicación de la normativa tributaria, en la medida que era imprescindible para el correcto ejercicio de la función recaudatoria.

Tampoco apreciamos que la sentencia impugnada infrinja el artículo 102.2 c) de la Ley General Tributaria, puesto que la utilización de los datos personales del actual recurrente era necesaria, en razón de las circunstancias concurrentes, referidas a los vínculos familiares y profesionales existentes entre el empleado de la empresa proveedora de servicios profesionales que giraba las facturas y la obligada tributaria, para poder fundamentar los Acuerdos de liquidación, y garantizar el derecho de defensa de la obligada tributaria, que tiene derecho a conocer con precisión la relación de hechos que justifican el levantamiento de las actas de propuesta de liquidación por la Hacienda Púbica, lo que comporta que, a efectos de cumplir la exigencia de motivación de los actos tributarios, deban figurar aquellos datos personales del actual recurrente que, como hemos expuesto, se revelan adecuados, idóneos y proporcionados para el cumplimiento del mismo fin.

CUARTO.- Sobre la formación de jurisprudencia acerca de la interpretacióndel artículo 8 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y del artículo 6.1 c ) y e) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 , relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en relación con lo dispuesto en los artículos 95 y 102 de la Ley 58/2003, de 17 de diciembre, General Tributaria .

Conforme a los razonamientos jurídicos expuestos en el precedente fundamento jurídico tercero, esta Sala, dando respuesta a la cuestión que presenta interés casacional objetivo para la formación de jurisprudencia, declara que:

El artículo 8 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y el artículo 6.2 c) y e) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que disponen que el tratamiento de datos personales será lícito, entre otros supuestos, cuando sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, o cuando sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, no se oponen, a la luz de lo dispuesto en el articulo 8 de la Carta de los Derechos Fundamentales de la Unión Europea y del artículo 18 de la Constitución española, a que la Agencia Estatal de Administración Tributaria, en el curso de la tramitación y resolución de un procedimiento de gestión, inspección o recaudación tributaria, utilice datos de carácter personal de terceras personas físicas, distintas al sujeto obligado tributario sometido al expediente administrativo, siempre y cuando el tratamiento de los datos se ampare en las facultades que se confieren a las autoridades tributarias para luchar contra el fraude fiscal, la inclusión de los datos se limite a aquellos que se revelen adecuados, idóneos, pertinentes y necesarios para la determinación de los hechos y motivar las resoluciones que se adopten, y que sea proporcionada al fin legitimo perseguido para lo que son tratados.

En consecuencia con lo razonado, procede declarar no haber lugar al recurso casación interpuesto por la representación procesal de María Purificación contra la sentencia dictada por la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 28 de abril de 2022.

QUINTO- Sobre las costas procesales.

De conformidad con lo dispuesto en los artículos 93.4 y 139.1 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa, no procede la imposición de las costas causadas en el presente recurso de casación, manteniendo el pronunciamiento de la sentencia de instancia relativo a la imposición de las costas a la parte actora.

Por todo lo expuesto, en nombre del Rey y por la autoridad que le confiere la Constitución, esta Sala ha decidido una vez fijada en el fundamento jurídico tercero de esta sentencia la doctrina jurisprudencial relativa a la interpretación del artículo 8 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y el artículo 6 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos,

Primero.- Declarar no haber lugar al recurso de casacióninterpuesto por la representación procesal de María Purificación contra la sentencia dictada por la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 28 de abril de 2022.

Segundo.- No efectuar expresa imposición de las costas procesalescausadas en el presente recurso de casación, manteniendo el pronunciamiento de la sentencia de instancia relativo a la imposición de las costas a la parte actora.

Notifíquese esta resolución a las partes e insértese en la colección legislativa.

Así se acuerda y firma.

Antecedentes