STS 547/2023, 4 de Mayo de 2023

• Jurisdicción: España
• Número de resolución: 547/2023
• Emisor: Tribunal Supremo, sala tercera, (Contencioso Administrativo)
• Fecha: 04 Mayo 2023

Sentencia citada en: una sentencia

T R I B U N A L S U P R E M O

Sala de lo Contencioso-Administrativo

Sección Tercera

Sentencia núm. 547/2023

Fecha de sentencia: 04/05/2023

Tipo de procedimiento: R. CASACION

Número del procedimiento: 1200/2022

Fallo/Acuerdo:

Fecha de Vista: 18/04/2023

Ponente: Excma. Sra. D.ª María Isabel Perelló Doménech

Procedencia: T.S.J.CATALUÑA CON/AD SEC.5

Letrado de la Administración de Justicia: Ilmo. Sr. D. Luis Martín Contreras

Transcrito por: BPM

Nota:

R. CASACION núm.: 1200/2022

Ponente: Excma. Sra. D.ª María Isabel Perelló Doménech

Letrado de la Administración de Justicia: Ilmo. Sr. D. Luis Martín Contreras

TRIBUNAL SUPREMO

Sala de lo Contencioso-Administrativo

Sección Tercera

Sentencia núm. 547/2023

Excmos. Sres. y Excma. Sra.

D. Eduardo Espín Templado, presidente

D. José Manuel Bandrés Sánchez-Cruzat

D. Eduardo Calvo Rojas

D.ª María Isabel Perelló Doménech

D. Diego Córdoba Castroverde

En Madrid, a 4 de mayo de 2023.

Esta Sala ha visto por los magistrados indicados al margen, el recurso de casación número 1200/2022 interpuesto por el Letrado de la GENERALIDAD DE CATALUÑA, contra la sentencia de 30 de septiembre de 2021 de la Sección Quinta de la Sala de lo Contencioso-Administrativo del Tribunal Superior de Justicia de Cataluña, dictada en el recurso número 110/2020, sobre acceso a información de expediente sancionador a persona jurídica.

Se ha personado como parte recurrida el Procurador de los tribunales D. Argimiro Vázquez Guillén, en nombre y representación de la FUNDACIÓ PRIVADA RESIDENCIA BELL REPÓS DE SÚRIA, con la asistencia letrada de D. José Maria Barcelona Pedret.

Ha sido ponente la Excma. Sra. D.ª María Isabel Perelló Doménech.

ANTECEDENTES DE HECHO

PRIMERO

La representación procesal de la Generalidad de Cataluña interpone recurso de casación contra la sentencia nº 3888/2021 de la Sección Quinta de la Sala de lo Contencioso-administrativo del Tribunal Superior de Justicia de Cataluña, de 30 de septiembre de 2021, que estimó parcialmente el recurso núm. 110/2020 interpuesto por la "Fundació Privada Residencia Bell Repós de Súria", en materia de acceso a la información.

La sentencia del TSJ de Cataluña anula parcialmente la resolución 164/2020, adoptada en sesión de 27 de febrero de 2020 por la Comissió de Garantía del Dret dŽAccés a la Informació Pública (GAIP), en el sentido de que, de la información relativa a la sanción impuesta a la Fundación actora, debe excluirse su identificación, es decir su nombre, la del establecimiento de que es titular y su ubicación geográfica, debiendo adoptarse adicionalmente las medidas necesarias para que, de haber sido librada indebidamente la información concernida por la limitación reconocida, no se haga uso de la misma.

La Resolución 164/2020, de 27 de febrero de 2020 del GAIP, trae causa de la reclamación de una periodista frente a la negativa de la Direcció de Serveis del DTASF (Departament de Treball, Afers Socials i Families de la Generalitat de Catalunya), que solicitó le facilitaran la siguiente información:

1. Sobre sanciones a residencias para mayores, públicas, privadas y concertadas, ubicadas en Cataluña

2. En concreto las impuestas durante los años 2014 a 2018, inclusive, comprendiendo, el nombre de cada residencia sancionada, el motivo de la sanción, el importe de la sanción y su fecha.

La mencionada resolución acordaba:

"1. Estimar parcialmente la Reclamación 804/2020 y declarar el Derecho de la persona reclamante a la información solicitada sobre sanción a residencias para personas mayores indicada en el antecedente 2, de acuerdo con las siguientes precisiones y limitaciones:

1.1 De acuerdo con el fundamento jurídico 9, la información afectada por la solicitud es la relativa a sanciones notificadas entre los días 4 de enero de 2014 y 31 de diciembre de 2018, ambos incluidos.

1.2 De acuerdo con el fundamento jurídico 10, en el caso de sanciones que se hayan revocat o anulado, o que no son firmes, de la información solicitada que se facilite a la persona reclamante se ha de omitir el nombre de la residencia afectada.

1.3 De acuerdo con los fundamentos jurídicos 11 y 14, en el caso de las sanciones impuestas a residencias que hayan cambiado de titularitat posteriormente a la notificación de la sanción de la que se informa, de la información solicitada que se facilita a la persona reclamante se ha de omitir el nombre de la residencia.

2. Anular la resolución de la Dirección de Servicios del DTASF de 4 de diciembre de 2019 indicada en el antecedente 3"

Disconforme con la Sentencia del TSJ, la representación letrada de la Generalidad de Cataluña preparó recurso de casación, que fue admitido por la Sala de instancia, remitiendo las actuaciones con emplazamiento de las partes ante este Tribunal Supremo.

SEGUNDO

Personadas las partes en tiempo y forma, mediante Auto de 11 de mayo de 2022, la Sección Primera de esta Sala admitió a trámite el recurso de casación declarando que la cuestión que presenta interés casacional objetivo para la formación de la jurisprudencia, consiste en:

"determinar si es aplicable a las personas jurídicas la protección de datos personales relacionados con la comisión de infracciones administrativas que no conlleven amonestación pública al infractor en las solicitudes de acceso a la información pública."

Y considera que las normas que, en principio serán objeto de interpretación son los artículos 14.2 y 15.1 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno; los artículos 1.1, 1.2 y 4 del Reglamento (UE) 2016/679 de 27 de abril de 2016, del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos); y los artículos 1 y 27.2 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.

TERCERO

La Generalidad de Cataluña formalizó el 27 de junio de 2022 la interposición de su recurso de casación, en el que alega que la sentencia recurrida en casación infringe los artículos 14.2 y 15.1 de la Ley 19/2013, de 9 de diciembre de Transparencia; 1.1, 1.2 y 4 del Reglamento (UE) 2016/679 de 27 de abril de 2016, del Parlamento Europeo y del Consejo, que deroga la Directiva 65/46/CE (Reglamento General de Protección de Datos); y 1 y 27.2 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, al aplicar indebidamente la normativa de protección de datos a las personas jurídicas con el fin de excluir el acceso a la información relacionada con las sanciones administrativas impuestas que no conllevasen la amonestación pública al infractor.

Considera que la exclusión automática del derecho de acceso a la información pública relacionada con sanciones administrativas que prevé el artículo 15.1 de la Ley 19/2013 sólo puede entenderse referida a las "personas físicas" por lo que la Sentencia recurrida, al haber extendido esta exclusión al caso de una persona jurídica (la Fundació Privada Residencia Bell Repós de Súria), habría infringido toda la legislación que se ha citado. Manifiesta que, aplicar a las personas jurídicas una norma destinada a la protección de la información sensible relacionada con personas físicas, con el fin de proteger la identidad de dichas personas jurídicas, supone una vulneración de la legislación estatal que regula la transparencia y de la normativa estatal y de la Unión Europea en materia de tratamiento de datos personales de las personas físicas.

Sus pretensiones, en resumen, son las siguientes:

En primer lugar, que el Tribunal Supremo fije, de acuerdo con el artículo 93.1 LJCA, una interpretación de los artículos 14.2 y 15.1 de la Ley 19/2013, 1.1, 1.2 y 4 del Reglamento (UE) 2016/679 y 1 y 27.2 de la Ley Orgánica 3/2018, que establezca como doctrina que "el límite al derecho de acceso a la información pública relacionada con sanciones administrativas que no conllevasen la amonestación pública al infractor sólo se refiere a las personas físicas sancionadas, con exclusión de las personas jurídicas".

En segundo lugar, que el Tribunal Supremo, de acuerdo con el citado artículo 93.1 LJCA, declare que ha lugar al presente recurso de casación y, en consecuencia, anule la sentencia recurrida y desestime el recurso contencioso- administrativo interpuesto por la Fundació Privada Residencia Bell Repos de Súria ante el TSJ de Cataluña.

Y al amparo del art. 93.4 LJCA y al art. 139.1 LJCA, que la sentencia que resulte del presente recurso de casación condene en las costas de la instancia a la Fundació Privada Residencia Bell Repós de Súria.

Termina suplicando, dicte sentencia por la que, estimando el presente recurso de casación:

1. Fije el criterio interpretativo expresado en alegación tercera de este escrito

2. Declare que ha lugar a la casación de la citada Sentencia nº 3888 de 30 de septiembre de 2021 de la Sección 5ª de la Sala Contencioso-Administrativa del Tribunal Superior de Justicia de Cataluña y la anule.

3. Desestime el recurso contencioso administrativo nº 100/2020 (Recurso Sala TSJ 1884/2020) interpuesto por la Fundació Privada Residencia Bell Repós de Súria ante la Sección 5ª de la Sala Contencioso-Administrativa del Tribunal Superior de Justicia de Cataluña.

4. Condene en las costas de la instancia a la Fundació Privada Residencia Bell Repós de Súria.

CUARTO

Dado traslado para oposición, el trámite fue evacuado por la representación procesal de la Fundació Privada Bell Repós de Súria, mediante escrito de 18 de julio de 2022, en el que:

En primer lugar, manifiesta su conformidad con la primera parte del recurso de casación, por coincidir en que se debe fijar por el TS la interpretación del art. 15 de la Ley 19/2013, en relación con el Reglamento (UE) 2016/679 y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, que establezca una doctrina en relación a que el límite del artículo 15 de la Ley 19/2013, relativo a la protección de datos, se refiere a personas físicas, no a personas jurídicas.

Y, en segundo lugar, muestra su disconformidad con la segunda parte, por cuanto conforme al art. 93.1 LJCA, no procede anular la sentencia recurrida y desestimar el recurso contencioso-administrativo interpuesto, siendo posible anular la sentencia solo en parte, corrigiendo la sentencia impugnada en su fundamentación errónea, pero manteniendo su fallo por ser acorde con la legalidad vigente.

Considera que, a la vista de las sentencias dictadas por el TSJ de Cataluña (nº 1239/2022 de 31 de marzo; nº 1264/2022 de 31 de marzo; y nº 1859/2022 de 18 de mayo), existe una contradicción con la sentencia recurrida, ya que aquellas establecen que la normativa de protección de datos no es aplicable. Dichas sentencias son firmes.

Termina suplicando dicte sentencia desestimatoria del recurso de casación, confirmando el fallo de la sentencia recurrida, y fije una interpretación del artículo 15.1 de la Ley 19/2013, en relación con el Reglamento (UE) 2016/679 y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, en el sentido desarrollado en el escrito.

QUINTO

Quedando las actuaciones pendientes de señalamiento, se fijó para celebración de VISTA Pública el día 18 de abril de 2023 a las 10Ž00 horas, fecha y hora en las que tuvo lugar su celebración, quedando el contenido de dicho acto documentado en la correspondiente acta y en el soporte digital (CD) que obra unido a las actuaciones, procediendo esta Sala a continuación a la deliberación y votación, con observancia de las disposiciones legales.

FUNDAMENTOS DE DERECHO

PRIMERO

Antecedentes y contenido de la resolución impugnada.

Se interpone por la Generalidad de Cataluña el presente recurso de casación nº 1200/2022 contra la sentencia dictada por la Sección Quinta de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 30 de septiembre de 2021 (recurso nº 1884/2020) en la que se estima en parte el recurso contencioso-administrativo interpuesto por la "Fundación Privada Residencia Bell Repós de Súria" contra la resolución nº 164/2020 de la Comissió de Garantía del Dret DŽAccés a la Informació Pública (en adelante, GAIP) de 27 de febrero de 2020.

Esta última resolución acordó estimar en parte la reclamación nº 804/2020 y declaró el derecho de la periodista reclamante al acceso a la información solicitada relativa a las sanciones impuestas durante el período 2014 a 2018 a residencias para personas mayores, públicas o privadas, ubicadas en la aludida Comunidad Autónoma de acuerdo con ciertas limitaciones (7) que se determinan en su parte dispositiva.

Disconforme con dicha decisión, por la reseñada Fundación Bel Repós de Súria se promovió recurso contencioso-administrativo ante la Sala de este orden del Tribunal Superior de Justicia, que dicta Sentencia de fecha 30 de septiembre de 2021, objeto del presente recurso de casación.

En su parte dispositiva la Sala acuerda estimar parcialmente el recurso deducido, y anula parcialmente la resolución del GAIP, "en el sentido de que en la información relativa a la sanción impuesta a la Fundación debe excluirse su identificación, es decir su nombre, la del establecimiento de que es titular y su ubicación geográfica", en aplicación del artículo 15.1 de la Ley 19/2013, de 9 de diciembre.

Las razones que sustentan el pronunciamiento de estimación parcial del recurso figuran en el Fundamento Jurídico 5º, con el siguiente tenor literal:

(...) De los dos preceptos legales que se acaban de transcribir se colige que la protección de datos personales relacionados con la comisión de infracciones administrativas que no conlleven amonestación pública, se sitúa al mismo nivel que los relativos a la ideología, la afiliación sindical, la religión, las creencias, el origen racial, la salud y la vida sexual, y la comisión de infracciones generales.

Por tanto, en supuestos como el presente y en concreto, en las circunstancias de la Fundación actora, no cabe desvelar su identidad como sancionada, como límite normativo de rango legal a los derechos de transparencia y acceso a la información pública a que se contraen las reiteradas Ley 19/13 y LP 19/2014.

No obstante esa limitación en cuanto a la identificación de la sancionada, los reseñados derechos se preservan mediante la "disociación de los datos de carácter personal de modo que se impida la identificación de las personas afectadas" y el "acceso parcial previa omisión de la información afectada por el límite" ( arts. 15.4 y 15 de la Ley 19/13).

Procede por todo ello, con estimación parcial del presente recurso contencioso, y en congruencia por demás con la medida cautelar adoptada en su momento en la pieza separada de este proceso, anular parcialmente la resolución impugnada, en el sentido de que, de la información relativa a la sanción impuesta a la Fundación actora, debe excluirse su identificación, la del establecimiento de que es titular y su ubicación geográfica.

Debiendo adoptarse adicionalmente las medidas necesarias para que, de haber sido librada indebidamente, como se apunta en el proceso, la información concernida por la limitación aquí reconocida, no se haga uso de la misma.

Con evidencia, la Fundación actora carece de legitimación para defender los derechos de las restantes residencias afectadas que deberán dilucidarse en los procesos que hayan instado, a la vista de las circunstancias concurrentes en cada caso.

En el escrito de interposición del recurso de casación la Generalidad de Cataluña considera infringidos los artículos 14.2 y 15.1 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno; arts. 1.1, 1.2 y 4 del Reglamento (UE) 2016/679 de 27 de abril de 2016, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos); y 1 y 27.2 de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Afirmando que con la interposición del recurso de casación que se prepara se pretende que el Tribunal Supremo establezca como doctrina que el límite al derecho de acceso a la información pública relacionada con sanciones administrativas sólo se refiere a las personas físicas sancionadas, con exclusión de las personas jurídicas, en aplicación de los artículos citados. Invoca como justificación del interés casacional objetivo los artículos 88.2 b) y 88.2 c) de la Ley Jurisdiccional 29/1998 (LJCA). Aduce, asimismo, la circunstancia prevista en el art. 88.3.a) de la LJCA, por cuanto considera que no existe jurisprudencia en relación con las sanciones administrativas impuestas a personas jurídicas que determine que en estos casos está plenamente vigente el derecho de acceso a la información pública, previa ponderación de los intereses en conflicto, y que, en relación con esta cuestión, haya sentado que el límite al acceso fundado en la protección de los datos de carácter personal solamente se predica de las personas físicas y no de las personas jurídicas.

SEGUNDO

La cuestión que reviste interés casacional objetivo.

Procede entonces que entremos a examinar las cuestiones suscitadas en casación y, en particular, la señalada en el auto de la Sección Primera de esta Sala de 11 de mayo de 2022, en el que se declara que la cuestión planteada en el recurso que presenta interés casacional objetivo para la formación de la jurisprudencia consiste en determinar «si es aplicable a las personas jurídicas la protección de datos personales relacionados con la comisión de infracciones administrativas que no conlleven amonestación pública al infractor en las solicitudes de acceso a la información pública.»

Y desde ahora dejamos anticipado que no compartimos el parecer de la Sala del Tribunal de Cataluña y que en consecuencia, habremos de declarar haber lugar al presente recurso de casación.

TERCERO

Régimen normativo aplicable al caso.

El marco normativo en el que se inserta la controversia y que es objeto de interpretación es el siguiente:

Los artículos 14.2 y 15.1 de la Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno disponen:

"Artículo 14. Límites al derecho de acceso.

[...] 2. La aplicación de los límites será justificada y proporcionada a su objeto y finalidad de protección y atenderá a las circunstancias del caso concreto, especialmente a la concurrencia de un interés público o privado superior que justifique el acceso".

"Artículo 15. Protección de datos personales.

1. Si la información solicitada contuviera datos personales que revelen la ideología, afiliación sindical, religión o creencias, el acceso únicamente se podrá autorizar en caso de que se contase con el consentimiento expreso y por escrito del afectado, a menos que dicho afectado hubiese hecho manifiestamente públicos los datos con anterioridad a que se solicitase el acceso.

   Si la información incluyese datos personales que hagan referencia al origen racial, a la salud o a la vida sexual, incluyese datos genéticos o biométricos o contuviera datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor, el acceso solo se podrá autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquel estuviese amparado por una norma con rango de ley. "

   Por su parte, los artículos 1.1, 1.2 y 4 del Reglamento (UE) 2016/679, de 27 de abril, del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que se refiere al tratamiento de datos personales y a la libre circulación de las personas y a la libre circulación de esos datos y por el que se deroga la Directiva 95/46/CE; y 1 y 27.2 de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales disponen lo siguiente:

   Artículos 1.1, 1.2 y 4 del Reglamento (UE) 2016/679, de 27 de abril, del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que se refiere al tratamiento de datos personales y a la libre circulación de las personas y a la libre circulación de esos datos

   "Artículo 1. Objeto

1. El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.

2. El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales. "

   "Artículo 4. Definiciones

   A efectos del presente Reglamento se entenderá por:

   1) "datos personales" : toda información sobre una persona física identificada o identificable ("el interesado"); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

   2) "tratamiento" : cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

   3) "limitación del tratamiento" : el marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro;

   4) "elaboración de perfiles" : toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;

   5) "seudonimización" : el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;

   6) "fichero" : todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;

   7) "responsable del tratamiento" o "responsable" : la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;

   8) "encargado del tratamiento" o "encargado" : la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;

   9) "destinatario" : la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento

   10) "tercero" : persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado;

   11) "consentimiento del interesado" : toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen;

   12) "violación de la seguridad de los datos personales" : toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos;

   13) "datos genéticos" : datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona;

   14) "datos biométricos" : datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;

   15) "datos relativos a la salud" : datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud;

   16) "establecimiento principal" :

   1. en lo que se refiere a un responsable del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se considerará establecimiento principal;

   2. en lo que se refiere a un encargado del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión o, si careciera de esta, el establecimiento del encargado en la Unión en el que se realicen las principales actividades de tratamiento en el contexto de las actividades de un establecimiento del encargado en la medida en que el encargado esté sujeto a obligaciones específicas con arreglo al presente Reglamento;

      17) "representante" : persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud del presente Reglamento;

      18) "empresa" : persona física o jurídica dedicada a una actividad económica, independientemente de su forma jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una actividad económica;

      19) "grupo empresarial" : grupo constituido por una empresa que ejerce el control y sus empresas controladas;

      20) "normas corporativas vinculantes" : las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta;

      21) "autoridad de control" : la autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 51;

      22) "autoridad de control interesada" :

      la autoridad de control a la que afecta el tratamiento de datos personales debido a que:

   1. el responsable o el encargado del tratamiento está establecido en el territorio del Estado miembro de esa autoridad de control;

   2. los interesados que residen en el Estado miembro de esa autoridad de control se ven sustancialmente afectados o es probable que se vean sustancialmente afectados por el tratamiento, o

   3. se ha presentado una reclamación ante esa autoridad de control;

      23) "tratamiento transfronterizo" :

   1. el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro, o

   2. el tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro;

      24) "objeción pertinente y motivada" : la objeción a una propuesta de decisión sobre la existencia o no de infracción del presente Reglamento, o sobre la conformidad con el presente Reglamento de acciones previstas en relación con el responsable o el encargado del tratamiento, que demuestre claramente la importancia de los riesgos que entraña el proyecto de decisión para los derechos y libertades fundamentales de los interesados y, en su caso, para la libre circulación de datos personales dentro de la Unión;

      25) "servicio de la sociedad de la información" : todo servicio conforme a la definición del artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo ( 1 );

      26) "organización internacional" : una organización internacional y sus entes subordinados de Derecho internacional público o cualquier otro organismo creado mediante un acuerdo entre dos o más países o en virtud de tal acuerdo."

      Artículos 1 y 27.2 de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales:

      "Artículo 1 Objeto de la ley.

      La presente ley orgánica tiene por objeto:

   1. Adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, y completar sus disposiciones.

   2. El derecho fundamental de las personas físicas a la protección de datos personales, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica.

   3. Garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución."

      "Artículo 27. Tratamiento de datos relativos a infracciones y sanciones administrativas.

      (...)

      2 Cuando no se cumpla alguna de las condiciones previstas en el apartado anterior, los tratamientos de datos referidos a infracciones y sanciones administrativas habrán de contar con el consentimiento del interesado o estar autorizados por una norma con rango de ley, en la que se regularán en su caso, garantías adicionales para los derechos y libertades de los afectados"

CUARTO

Criterio de esta Sala sobre el alcance de los preceptos relacionados.

Pues bien, ante todo, es oportuno precisar aquí que, como se desprende de los términos de la controversia, lo que es objeto de debate es la afirmación de la Sala de instancia que sostiene que el régimen jurídico de la protección de datos personales es aplicable a las personas jurídicas, en el supuesto enjuiciado, una fundación, titular de una residencia para personas mayores.

Considera la Sala de Cataluña que la previsión del artículo 15.1 de la Ley 19/2013, de 9 de diciembre, que contempla, el acceso a la información con datos sobre la comisión de infracciones, sanciones administrativas que no conllevan amonestación pública, es trasladable a la normativa de protección de datos: artículos 1.1, 1.2 y 4 del Reglamento (UE) 2016/679, de 27 de abril, del Parlamento Europeo y del Consejo y artículo 27.2 de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales.

Pues bien, lleva razón el Letrado de la Generalidad de Cataluña cuando sostiene que la meritada regulación sobre protección de datos personales se constriñe a las personas físicas y no incluye a las personas físicas. Planteamiento al que se ha unido con posterioridad la Fundación aquí recurrida que en su escrito de oposición -y en la vista oral- manifestó su conformidad con la tesis de la Generalidad sobre el alcance de la normativa de la protección de datos.

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y el Reglamento reseñado tienen por objeto la protección de datos relativos a las personas físicas, como se desprende de su articulado que expresamente se refiere a las personas físicas, de modo que no cabe incluir en su ámbito de aplicación a las personas jurídicas, que se encuentran excluidas de su ámbito de aplicación.

Ello nos lleva a interpretar lo dispuesto en los artículos 27.2 de la Ley Orgánica de Protección de Datos en relación con el artículo 15 de la Ley 19/2013, de Transparencia y Acceso a la Información en el sentido de que el régimen específico previsto para los datos en relación con la comisión de infracciones administrativas se refiere en exclusiva a las personas físicas, en consonancia con la naturaleza del derecho fundamental a la protección de datos como control del flujo de informaciones que conciernen a cada persona ( STC 11/1998, de 13 de enero) que garantiza, en fin, el derecho de cada ciudadano al control de sus datos personales ( STC 292/2000, de 30 de septiembre) y cuyo contenido se concreta en "el poder de disposición y control sobre los datos personales que faculta a la persona a decidir cuales de estos datos proporcionar, sea el Estado o un particular, o cuáles puede este tercero recabar y, también permite al individuo saber quién posee estos datos personales y para qué, pudiendo oponerse a esa posesión o uso" ( STC 76/2019, de 22 de mayo).

Por estas razones, cabe considerar errónea la interpretación de la Sala de Cataluña que extiende la aplicación de la normativa de la protección de datos a las personas jurídicas, esto es, las considera titulares del derecho a la protección de datos, sin fundamento legal que lo permita. En efecto, con base en tal entendimiento, la Sala acuerda la exclusión del acceso a la información en relación con la comisión de una infracción administrativa de una persona jurídica y ello genera una correlativa restricción del alcance del derecho de acceso a la información pública, alterando la regulación legal vigente en materia de infracciones administrativas que exige la debida ponderación de la relevancia y el interés público en la información solicitada.

QUINTO

Conclusión.

Sentadas las anteriores conclusiones que nos llevan a la estimación del recurso de casación, vemos que el escrito de interposición del recurso el Letrado de la Generalitat interesa además de la estimación del recurso de casación y la anulación de la Sentencia de instancia, la desestimación del recurso contencioso deducido en la instancia, promovido por la Fundación Bell Repós frente al Acuerdo del GAIP originalmente impugnado.

Pues bien, sucede que en el recurso de casación, el aludido Letrado de la Generalidad no plantea alegaciones sustantivas referidas a la controversia en la instancia, que giró en torno a los límites del acceso a la información. De modo que excluida la argumentación asentada en la titularidad de la Fundación del derecho a la protección de datos personales -tesis en la que la recurrida muestra su conformidad- resta por examinar desde la perspectiva de las normas aplicables, la Ley 19/2013 , de 9 de diciembre, sobre los límites y alcance del acceso a la información en este concreto caso, que requiere una nueva ponderación de los intereses y circunstancias concurrentes, debido a que la solución de la instancia estuvo determinada por la equívoca aplicación de la normativa de protección de datos. Al declararse la invalidez de la fundamentación jurídica en relación a la Fundación entonces recurrente y el derecho de protección de datos, es necesaria la devolución de las actuaciones a la Sala de instancia, para que vuelva a analizar la cuestión suscitada teniendo en cuenta la doctrina fijada por este Tribunal Supremo.

SEXTO

Doctrina que se fija

De acuerdo con el artículo 93.1 LJCA, esta Sala fija la interpretación de los artículos 14.2 y 15.1 de la Ley 19/2013, 1.1, 1.2 y 4 del Reglamento (UE) 2016/679 y 1 y 27.2 de la Ley Orgánica 3/2018, estableciendo como doctrina que el límite al derecho de acceso a la información pública relacionada con sanciones administrativas que no conllevan la amonestación pública al infractor sólo se refiere a las personas físicas sancionadas, con exclusión de las personas jurídicas.

SÉPTIMO

Costas.

De conformidad con el artículo 93.4 LJCA, cada parte abonará las costas causadas a su instancia en el presente recurso de casación.

F A L L O

Por todo lo expuesto, en nombre del Rey y por la autoridad que le confiere la Constitución, esta Sala ha decidido , de acuerdo con la interpretación de las normas establecida en el fundamento jurídico sexto de esta sentencia:

1. HA LUGAR al recurso de casación número 1200/2022 interpuesto por el Letrado de la GENERALIDAD DE CATALUÑA, contra la sentencia de 30 de septiembre de 2021 de la Sección Quinta de la Sala de lo Contencioso- Administrativo del Tribunal Superior de Justicia de Cataluña, dictada en el recurso número 110/2020, que se anula.

2. - RETROTRAER las actuaciones a la Sección Quinta de la Sala de lo Contencioso-administrativo del Tribunal Superior de Justicia de Cataluña, a fin de que dicte nueva Sentencia en el recurso núm. 110/2020 interpuesto por la Fundació Privada Residencia Bell Repós de Súria, contra la resolución 164/2020, de 27 de febrero de 2020, de la Comissió de Garantía del Dret dŽAccés a la Informació Púbica (GAIP), a partir de la doctrina fijada por este Tribunal en el F.J 6ª de esta Sentencia.

3. Sin imposición de las costas a ninguna de las partes procesales.

Notifíquese esta resolución a las partes e insértese en la colección legislativa.

Así se acuerda y firma.