STC 23/2022, 21 de Febrero de 2022

JurisdicciónEspaña
Número de resolución23/2022
Fecha21 Febrero 2022

La Sala Segunda del Tribunal Constitucional, compuesta por el magistrado don Juan Antonio Xiol Ríos, presidente; los magistrados don Antonio Narváez Rodríguez, don Cándido Conde-Pumpido Tourón, don Ramón Sáez Valcárcel y don Enrique Arnaldo Alcubilla, y la magistrada doña Concepción Espejel Jorquera, ha pronunciado

EN NOMBRE DEL REY

la siguiente

SENTENCIA

En el recurso de amparo núm. 6420-2019, promovido a instancia de don Ramón Agenjo Bosch, representado por la procuradora de los tribunales doña Isabel Juliá Corujo y asistido por el letrado don Alejandro Huergo Lora, contra la resolución dictada por la Comisión Nacional del Mercado de Valores el 18 de mayo de 2016, por la que se impone a don Ramón Agenjo Bosch una multa de 30 000 € y la publicación de la sanción en el “BOE” por la comisión de una infracción muy grave del art. 99, letra o), en relación con el art. 81.2, ambos de la Ley 24/1988, de 28 de julio, del mercado de valores. Ha comparecido el abogado del Estado. Ha intervenido el Ministerio Fiscal. Ha sido ponente el magistrado don Cándido Conde-Pumpido Tourón.

Antecedentes

  1. Mediante escrito presentando en el registro general de este tribunal el 11 de noviembre de 2019, la procuradora de los tribunales doña Isabel Juliá Corujo, actuando en nombre y representación de don Ramón Agenjo Bosch, bajo la defensa del letrado don Alejandro Huergo Lora, interpuso recurso de amparo contra la resolución indicada en el encabezamiento.

  2. Los hechos en los que se funda el presente recurso de amparo son, en síntesis, los siguientes:

    1. Mediante resolución de 18 de mayo de 2016, el consejo de la Comisión Nacional del Mercado de Valores (en adelante, CNMV) acordó imponer a Don Ramón Agenjo Bosch, consejero y secretario del consejo de administración de Sociedad Anónima DAMM, S.A. (en adelante, DAMM, S.A.), una multa por importe de 30 000 € y su publicación en el “BOE” por la comisión de una infracción muy grave del art. 99, letra o), en relación con el art. 81.2, ambos de la Ley 24/1988, de 28 de julio, del mercado de valores (en adelante, LMV), por haber adquirido por cuenta de un tercero acciones de DAMM, S.A., el 7 agosto de 2014 disponiendo de información privilegiada sobre la misma. Disposiciones que se corresponden respectivamente con los arts. 282.6 y 227.1 del texto refundido de la Ley del mercado de valores, que fue aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre (en adelante, TRLMV). Resolución en la que se recuerda que “conforme al artículo 304 del texto refundido de la Ley del mercado de valores, aprobado por el Real Decreto Legislativo 4/2015, de 23 de octubre, las sanciones por infracciones graves serán publicadas en el ‘Boletín Oficial del Estado’ una vez sean firmes en vía administrativa”.

      El procedimiento sancionador que dio lugar a esta resolución se enmarca en la investigación realizada por la unidad de vigilancia de mercados de la CNMV con ocasión del anuncio por DAMM, S.A., de una propuesta de aprobación de exclusión de negociación de la totalidad de sus acciones mediante una oferta pública de adquisición (en adelante, OPA). Conforme a la relación de hechos probados, el 3 de junio de 2014 DAMM, S.A., inicia la elaboración de un registro documental con las personas que poseen información privilegiada respecto al proceso iniciado de formulación de una OPA de exclusión (lista de iniciados). Con fecha 27 de octubre de 2014, al cierre de la sesión, se registró en la CNMV una comunicación de hecho relevante por la que DAMM, S.A., anunciaba que su consejo de administración había aprobado la convocatoria de una junta general extraordinaria de accionistas, y entre las propuestas del consejo a la junta figuraba la aprobación de la exclusión de negociación de la totalidad de las acciones de DAMM, S.A., en la Bolsa de Valores de Barcelona, mediante la correspondiente formulación de una OPA de acciones para su exclusión de cotización.

      El 4 de junio de 2014 don Ramón Agenjo Bosch, consejero y secretario del consejo de administración de DAMM, S.A., compró 2300 acciones por un importe de 10 189 €, y el 7 de agosto de 2014 compró otras 2300 acciones por un importe de 10 252 € con el mismo intermediario a nombre de su hija. De acuerdo con la información y documentación remitida por DAMM, S.A., en contestación al requerimiento de información enviado por la unidad de vigilancia de mercados, se había advertido expresamente a las personas incluidas en el registro documental de quienes poseían información privilegiada respecto al proceso de OPA —lista de iniciados entre los que se encontraba don Ramón Agenjo Bosch—, del carácter de esa información y de las obligaciones que conllevaba su posesión. Fue también advertido personalmente y de modo verbal el día 29 de julio de 2014, una vez concluida la sesión del consejo de administración, informándole del carácter conf‌idencial de la oferta, de la prohibición de revelar datos sobre la misma y de realizar operación alguna sobre acciones de la sociedad, y su inclusión en un registro nominativo de iniciados. El posible beneficio por la compra correspondiente a la hija del recurrente ascendía a 5950 €, de los cuales 3029 € se corresponden con la operación de 7 de agosto de 2014. Estas acciones no fueron vendidas en mercado tras el hecho relevante ni acudieron a la OPA.

      Contra la resolución sancionadora de la CNMV de 18 de mayo de 2016 don Ramón Agenjo Bosch interpuso recurso de alzada que fue desestimado mediante resolución de 19 de abril de 2017 del subsecretario de Economía, Industria y Competitividad, dictada por delegación del ministro. Una vez firme en vía administrativa la resolución sancionadora, la CNMV acordó la publicación de su fallo el boletín oficial de aquella mediante resolución de fecha 27 de junio de 2017, conforme dispone el art. 304 TRLMV (art. 102.2 LMV en el momento de cometer la infracción), haciendo constar que la sanción únicamente era “firme en vía administrativa, sin perjuicio de las potestades de revisión jurisdiccional”.

    2. La representación procesal del demandante promovió recurso contencioso-administrativo frente a la resolución sancionadora de 18 de mayo de 2016 del consejo de la CNMV, y de 19 de abril de 2017 del subsecretario de Economía, Industria y Competitividad, dictada por delegación del ministro, desestimando el recurso de alzada interpuesto contra la misma. Solicitó, asimismo, la suspensión cautelar de la ejecución del acto impugnado y, en particular, de la publicación en el “BOE” de la imposición de la sanción, que tuvo lugar finalmente en el “BOE” de 12 de julio de 2017.

      En la demanda alegaba la nulidad de estas resoluciones por los siguientes motivos: (i) ausencia de la conducta típica; (ii) infracción del principio de culpabilidad por no concurrir en su conducta dolo o la negligencia; (iii) infracción del principio de retroactividad de las normas sancionadoras más favorables, así como que el importe de la sanción se fijó en aplicación de una norma que ya no estaba vigente en el momento en que se dictó la resolución; (iv) vulneración de los derechos de defensa al haberse acordado la publicación de la sanción “de plano”, sin procedimiento; (v) vulneración del Derecho comunitario (Directiva 2003/6/CE) al preverse la publicación de la sanción en el “BOE” de forma automática y obligatoria, mientras que el art. 14.4 de la Directiva autoriza la publicación pero nunca de forma automática, sino sometida a un control de proporcionalidad en el caso concreto; (vi) y, dada la naturaleza jurídica sancionadora que atribuía a la medida consistente en la publicación en el “BOE” de la sanción impuesta por la CNMV, incumplimiento de las garantías elementales del procedimiento sancionador, al aplicarse la sanción de forma automática y sin atención alguna al principio de proporcionalidad; (vii) vulneración de la legislación sobre protección de datos como consecuencia de que la sanción se publique precisamente en el “BOE” y no solo en el registro de la CNMV; (viii) infracción del derecho fundamental a la protección de datos, por la publicación de las sanciones en aplicación del art. 304 TRLMV, tal y como está reconocido en el art. 8.1 de la Carta de los derechos fundamentales de la Unión Europea y en el art. 16.1 del Tratado de funcionamiento de la Unión Europea (TFUE), y desarrollado en la Directiva 95/46 [derogada por el Reglamento (UE) 2016/679, que entraba en vigor el 25 de mayo de 2018], así como el Reglamento 596/2014, que ya estaba en vigor en el momento de la publicación de la sanción en el “BOE”, y que concreta las exigencias de la protección de datos en este ámbito.

    3. El recurso fue desestimado por sentencia núm. 403/2019, de 12 de febrero, de la Sección Tercera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, de la que es pertinente destacar los siguientes razonamientos:

      1. Declara, en relación con la alegación de ausencia de tipicidad de la conducta sancionada, que esta no exige sino la concurrencia de los elementos definidos en el tipo tal y como ha sido configurado, y en este caso consta que el demandante era poseedor de información privilegiada, que fue incorporado a un fichero específico en el que se relacionan las personas que cuentan con tal información por razón de su cargo o trabajo, y que realizó una compra de acciones concernidas por esa información en los días posteriores a la recepción de la información (FJ 4). En lo que se refiere a la ausencia de culpabilidad, la Sala considera que el sancionado era conocedor de todas estas circunstancias y que no es convincente que invoque “olvido o descuido”, porque una persona normal de una diligencia media, en las mismas circunstancias, hubiera debido obrar de otro modo sin hacer caso omiso a la prohibición establecida por la norma, por el código de conducta de la entidad y por las indicaciones que se habían dado en la última reunión del consejo de administración (FJ 5). En cuanto a la infracción del principio de aplicación retroactiva de las normas sancionadoras, concluye la Sala que existe un error patente, pues el texto refundido de la Ley mercado de valores se ha apartado de la Ley y de los términos de la delegación, “por lo que haciendo una interpretación sistemática y finalista de las normas habrá de prevalecer el texto de la norma de la Ley del mercado de valores”, manteniendo que la cuantía de la sanción no puede ser inferior a 30 000 € (FJ 6).

      2. Por lo que se refiere a la alegación de nulidad de la publicación de la sanción en el “BOE” por incumplimiento del art. 14.4 de la Directiva 2003/6/CE —al regular la Ley del mercado de valores la publicación de las sanciones de forma automática—, la Sala aplica la doctrina fijada por la sentencia de 21 de julio de 2009 de la Sección Tercera de la Sala de lo Contencioso-Administrativo del Tribunal Supremo (recurso 507-2008), con ocasión de un recurso de casación para la unificación de doctrina, en la que se descarta que estas medidas de publicidad de las sanciones, que fueron introducidas en la Ley del mercado de valores a través de Ley 44/2002, de 22 de noviembre, de medidas de reforma del sistema financiero, tengan la naturaleza de una sanción pese a su carácter aflictivo y disuasorio, por lo que no puede aplicarse a esta medida de difusión e información el principio de irretroactividad de las disposiciones sancionadoras o restrictivas de derechos individuales, ni tampoco cabe achacar al acto que ordena la publicación un defecto de procedimiento. Declara, por el contrario, que la publicación en el “BOE” es una consecuencia de la sanción, y que como tal no requiere otra cosa que aparecer expresamente prevista en la norma, por exigencias de la seguridad jurídica (art. 9.3 CE). Considera, en definitiva que la publicación, tal y como está contemplada en el art. 304 TRLMV, no comporta una sanción, ya que no es sino un medio de difusión, destinado a ofrecer información relevante acerca del mercado y, en particular, en relación al abuso de mercado y uso de información privilegiada. La Audiencia Nacional excluye también que se haya producido una vulneración del derecho europeo por el automatismo de la publicación, pues “la demandante bien pudo con ocasión de su recurso en vía administrativa solicitar la medida de suspensión, como posteriormente lo hizo en vía judicial, donde se desestimó la pretensión, al considerar que los daños que pudiera provocar la publicación no eran irreparables, y desde luego no podían anteponerse a los intereses públicos que pretende garantizar la publicación” (FJ 7).

      3. Desestima asimismo que se haya producido una vulneración de la legislación europea y estatal sobre protección de datos, que la Sala considera encaminadas a reclamar el llamado “derecho al olvido”, consagrado ahora en el art. 93 de la Ley Orgánica 3/2018, de 4 de diciembre, de protección de datos personales y garantía de los derechos digitales. Constata que la nueva regulación introducida por el apartado noventa del artículo único del Real Decreto-ley 14/2018, de 28 de septiembre, por el que se modifica el texto refundido de la Ley del mercado de valores, contempla la publicidad de la sanción en el “BOE” (art. 313 quater ), previo juicio de ponderación y proporcionalidad junto a otras medidas que aseguran el anonimato, y junto a ella la publicidad de la sanción en la web de la CNMV, sujetando esta última a medidas de temporalidad (art. 313 ter TRLMV). Y afirma que esta regulación nueva se basa precisamente en que “la web permite un tratamiento de datos que se sujeta a determinadas limitaciones, pero por el contrario, la publicación en periódicos oficiales no se identifica con un tratamiento de datos sino con una difusión de información relevante en los mercados financieros, en aras a procurar la integridad del mercado y la información de conductas que legalmente constituyen abuso de mercado. Se trata, en suma, de medidas distintas que tienen soluciones diversas en orden a procurar y permitir el ‘olvido’ de la información publicada, pero no cabe considerar que estas medidas, atendidos los motivos planteados, comporten una vulneración de normas legales” (FJ 8).

    4. Finalmente, la representación procesal de la recurrente planteó recurso de casación que fue inadmitido a trámite por auto de 4 de octubre abril de 2019, de la Sección Primera de la Sala de lo Contencioso-Administrativo del Tribunal Supremo, por apreciar la Sala, conforme al art. 88.3 de la Ley de la jurisdicción contencioso-administrativa, que el asunto carecía de interés casacional objetivo para la formación de jurisprudencia. El auto pone de relieve que, en relación con la naturaleza de la publicación de la sanción, sentó ya doctrina en la sentencia de 21 de julio de 2009 de la Sección Tercera de la Sala de lo Contencioso-Administrativo del Tribunal Supremo, según la cual “la publicación, tal y como está contemplada en el artículo 304 LMV, no comporta una sanción, ya que no es sino un medio de difusión, destinado a ofrecer información relevante acerca del mercado y, en particular, en relación al abuso de mercado y uso de información privilegiada”. Destaca, por otra, que el Real Decreto-ley 14/2018, de 28 de septiembre, ha dado una nueva regulación a la cuestión de la publicación de las sanciones en el “BOE” que elimina el automatismo con que se regulaba en el art. 304 TRLMV e introduce criterios de proporcionalidad para poder prescindir de dicha publicación, “lo que supone que la cuestión suscitada por la parte recurrente carezca de virtualidad expansiva, por suscitarse en relación con una norma que, en relación con la cuestión planteada, ha sido modificada”.

  3. El recurso de amparo se dirige contra la resolución dictada por la CNMV el 18 de mayo de 2016, por la que se impone a don Ramón Agenjo Bosch una multa de 30 000 € y la publicación de la sanción en el “BOE”, a la que se atribuyen dos quejas constitucionales: la vulneración del “derecho fundamental al procedimiento administrativo sancionador” y del principio de proporcionalidad de las sanciones, y la vulneración del derecho fundamental a la protección de datos personales (art. 18.4 CE).

    1. Por lo que se refiera a la vulneración del “derecho fundamental al procedimiento administrativo sancionador” (art. 24.2 CE) y del principio de proporcionalidad, la demanda argumenta que derivaría del hecho de que la CNMV —al igual que el Ministerio de Economía y la Sala de lo Contencioso-Administrativo— niega que la publicación en el “BOE” constituya una sanción, por lo que no estima necesario aplicar ninguna de las garantías requeridas en la imposición de sanciones y la publicación se decide de plano. La demanda sostiene que, por el contrario, la publicación de la sanción constituye en sí misma una sanción administrativa y recuerda que, conforme a la doctrina del Tribunal Europeo de Derechos Humanos, del Tribunal de Justicia de la Unión Europea y del Tribunal Constitucional, el concepto de sanción es de tipo material, de modo que se consideran sanciones —con independencia de su nomen iuris — las medidas que cumplan una función punitiva. Señala la demanda que al no ser calificada como una sanción puede aplicarse también a hechos producidos antes de la entrada en vigor de la norma que la prevé, al no resultar afectada por la regla de la irretroactividad in peius que rige para las normas sancionadoras conforme al art. 9.3 CE. Y subraya que el texto refundido de la Ley del mercado de valores regula la publicación de la sanción al margen de la actividad informativa de la CNMV, sin relación alguna, por tanto, con la función o competencia de facilitar información al mercado que ostenta la CNMV. Afirma que el texto del art. 102.2 LMV, ahora derogada y sustituida por el texto refundido de la Ley del mercado de valores, no respalda la interpretación establecida en la sentencia de 21 de julio de 2009 de la Sección Tercera de la Sala de lo Contencioso-Administrativo del Tribunal Supremo (recurso 507-2008), que niega la naturaleza sancionadora de la publicación de las sanciones en “BOE”. Sostiene que resulta difícil negar que se trate de una auténtica sanción, en primer lugar, porque el tantas veces citado texto refundido regula la publicación de las sanciones completamente al margen de la actividad informativa de la CNMV y “si la publicación fuera una medida no sancionadora, no sería necesario esperar a la resolución del recurso administrativo, y prevalecería en buena lógica el interés de los sujetos destinatarios de esa información sobre el interés del presunto infractor”. Concluye por ello que lo que se busca no es advertir a los inversores con rapidez, sino hacer que sea de público conocimiento la comisión de la infracción, no solo para los inversores sino para el público en general (que es el público lector del “BOE”), y “con el fin de perjudicar al infractor en su reputación y disuadirle de la comisión de infracciones”. La consideración de la publicación de la multa como una auténtica sanción acarrea, en consecuencia, su sometimiento a las garantías constitucionalmente exigidas a las sanciones administrativas, conforme a los arts. 25 y 24 CE, y la doctrina constitucional sobre dichos preceptos. Afirma, en definitiva, que la medida administrativa en cuestión constituye una sanción que se aplica de plano (sin ofrecer un trámite de audiencia a su destinatario) y de forma automática, y sin posibilidad de adaptación a las circunstancias del caso concreto para respetar el principio de proporcionalidad, por lo que no es conforme con la Constitución y, en particular, no garantiza el derecho a que la sanción se imponga solo tras la tramitación de un procedimiento en el que, con el debido respeto al derecho de defensa, no solo se verifique la comisión de la infracción, sino que se valore adecuadamente cuál ha de ser la sanción adecuada, respetando el principio de proporcionalidad, conforme exige el art. 24.2 CE.

      Argumenta, por otra parte, que no puede defenderse que por el hecho de que la publicación fuera posterior a la imposición de la multa de 30 000 €, que era resultado de un procedimiento sancionador, ya se habrían respetado las garantías inherentes al ejercicio del ius puniendi , siendo poco relevante que la publicación en sí se calificase como sanción (accesoria) o como medida no sancionadora. Considera que este razonamiento no es aceptable porque el procedimiento sancionador tramitado se refería exclusivamente a la multa, no a la publicación en el “BOE”, que la CNMV ordenó o acordó en un pronunciamiento ubicado fuera de la parte dispositiva, como una consecuencia obligada y automática de la sanción. Recuerda, además, que la normativa europea de la que trae causa el precepto legal que se aplicó al recurrente (art. 304 TRLMV) establece que la publicación no será automática (además de prever que dicha publicación se realizará en un registro de la CNMV, de carácter temporal, y no en un periódico en el que permanece para siempre): así, la Directiva 2003/6/CE, de 28 de enero de 2003, sobre las operaciones con información privilegiada y la manipulación del mercado (abuso del mercado), regula la publicación de las sanciones —autorizándola— en su art. 14.4, pero nunca de forma automática, sino sometida a un control de proporcionalidad en el caso concreto “salvo que la revelación comprometiera seriamente a los mercados financieros o causara un daño desproporcionado a las partes implicadas”; consideraciones que se mantienen, regulándose de manera más detallada y matizada, en el art. 34.1 del Reglamento 596/2014, de 16 de abril, que deroga a esta directiva, que no era aplicable todavía cuando se cometieron los hechos, pero sí cuando se publicó en el “BOE”. Concluye que en este caso nos encontramos con una conducta de mínima relevancia en relación con los intereses en juego, y que habría producido un beneficio ridículo (3000 €), precisamente por lo nimio de la propia conducta. Y, sin embargo, no solo se le impone una sanción de 30 000 €, ajena a toda proporcionalidad, en aplicación de un “suelo”, sino que además se ordena “automáticamente” la publicación en el “BOE”, sin posibilidad tampoco de gradación alguna. Es patente la vulneración del principio de proporcionalidad.

    2. Por lo que respecta a la alegación de vulneración del derecho fundamental a la protección de datos personales (art. 18.4 CE), la demanda afirma que la CNMV ha decidido, de forma automática, sin tener en cuenta en modo alguno las circunstancias del caso concreto, publicar en el “BOE” el nombre completo del recurrente, en lo que constituye un tratamiento de los datos personales que es desproporcionado para la finalidad perseguida, que va más allá de lo que permite la norma europea para cuya ejecución se modificó la Ley del mercado de valores, y que rompe el principio básico de temporalidad en el tratamiento, en la medida en que la publicación en el “BOE”, a diferencia de la publicación, por ejemplo, en un registro en línea de la CNMV, es una publicación permanente.

      Sostiene, por una parte, que existe una base jurídica legal para la publicación ordenada por la CNMV, que es el art. 304 TRLMV, y que es esta norma la que vulnera el contenido esencial del art. 18.4 CE, lo que, como consecuencia de su aplicación, ha desembocado en una lesión concreta del derecho fundamental del ahora recurrente. Considera que la publicación en el “BOE” constituye también un tratamiento de datos, porque si la cesión de datos a terceros es un ejemplo típico de tratamiento de datos, y como tal es regulado en las normas de protección de datos, con mucho mayor motivo lo será la publicación en el “BOE”, que supone una cesión de dichos datos a todos y sin limitación temporal. Además, la publicación en el “BOE” del acuerdo de imposición de la sanción incumple el principio de proporcionalidad, incluido en el contenido esencial del derecho fundamental protegido en el art. 18.4 CE porque: (i) la norma aplicada por la CNMV va más allá de lo previsto por la norma europea que le sirve de cobertura (y que efectuaba ya, ella misma, un balance o equilibrio de los intereses y derechos afectados); (ii) la norma no establece un mecanismo de adaptación a las circunstancias del caso; (iii) la publicación en el “BOE” no contiene mención alguna a las circunstancias del caso, induciendo así a que los destinatarios se hagan una idea exagerada de dichas circunstancias; y (iv) la publicación pone en marcha una sanción difusa, no controlada ni controlable por la administración, a partir del acceso público al texto publicado en el “BOE”.

      Subraya, por último, que se incumplen las exigencias generales de temporalidad en el tratamiento de datos: es decir, que la publicación se limite al tiempo preciso para el cumplimiento de los fines que justifican la injerencia en el derecho fundamental del art. 18.4 CE, tal y como exige la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (en adelante, Ley Orgánica 3/2018) [así como, en la fecha en que se cometió la infracción y se dictó el acto impugnado, en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, LOPD)] y el Reglamento (UE) 2016/679, de 27 de abril de 2016, a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Argumenta que, a diferencia de la publicación en un sitio web oficial, el “BOE” no es un sitio web en el que las informaciones puedan colocarse y retirarse a voluntad, sino que es un periódico cuyo contenido diario constituye un hecho histórico e irreversible. Lo que se publica en un número concreto del “BOE” permanecerá en él de manera permanente, siendo posible acceder al mismo de forma indiscriminada, tanto antes, cuando se publicaba en papel, como ahora, siendo además mucho más fácil ese acceso gracias a los buscadores del propio “BOE” (además de a los privados, comenzando por Google). La decisión del legislador español de que la publicación se efectúe a través del “BOE”, sin fijar, además, plazo alguno para su permanencia, infringe, por tanto, el art. 34 del Reglamento.

  4. Mediante providencia de 25 de enero de 2021, la Sala Segunda, Sección Tercera, de este tribunal, acordó la admisión a trámite del recurso de amparo, apreciando que concurre en el mismo una especial trascendencia constitucional (art. 50.1 LOTC) porque “plantea un problema o afecta a una faceta de un derecho fundamental sobre el que no hay doctrina de este tribunal [STC 155/2009 , FJ 2, a)]”. Además, en aplicación de lo previsto en el art. 51 LOTC, acordó dirigir atenta comunicación a la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, a fin de que en el plazo de diez días remitiese certificación o fotocopia adverada de las actuaciones correspondientes al recurso contencioso-administrativo núm. 482/2017; debiendo previamente emplazarse, para que en el plazo de diez días pudieran comparecer, si así lo deseaban, en el recurso de amparo a quienes hubieran sido parte en el procedimiento, excepto la parte recurrente en amparo.

  5. Por diligencia de ordenación de 1 de marzo de 2021 de la secretaria de justicia de la Sala Segunda, Sección Tercera, de este tribunal, se acordó tener por personado y parte al abogado del Estado en nombre y representación de la CNMV, y con arreglo al art. 52 LOTC, conceder al Ministerio Fiscal y a las partes personadas plazo común de veinte días para que, con vista de las actuaciones, formulasen alegaciones.

  6. Con fecha de 7 de abril de 2021 tuvo entrada en el Tribunal el escrito de alegaciones del abogado del Estado, en el que el representante procesal de la administración interesa la desestimación del recurso. En primer lugar, alega que en ningún momento el recurrente aduce razón alguna de por qué, a su juicio, resulta en su caso particular desproporcionada la publicación de la sanción; considera que el recurrente se limita a alegar formalmente que no existe la previsión legal de realizar tal ponderación. Añade que el Real Decreto-ley 14/2018, de 28 de septiembre, por el que se modifica el texto refundido de la Ley del mercado de valores, ha dado una nueva regulación a la publicidad de las sanciones de la CNMV, con cita de los arts. 313 ter (“Publicación de sanciones en la web de la CNMV”) que regula la publicación como regla general, y las excepciones a dicha regla cuando la publicación pueda ser “desproporcionada”; y el 313 quarter (publicación de sanciones en el “BOE”), que se remite al art. 313 ter en cuanto a las excepciones aplicables a la publicación, entre otras razones, en aplicación del principio de proporcionalidad. Concluye por ello que ya se recoge en nuestra Ley del mercado de valores de forma expresa la ponderación que, según el recurrente, faltó en la norma que le fue aplicada. Y afirma que, en todo caso, existe numerosa jurisprudencia que considera que la publicación de las sanciones ni tiene naturaleza sancionatoria ni es contraria en modo alguno al art. 18 CE, con extensa cita de la STS de 21 de julio de 2009 (recurso 507-2008), y cuya doctrina es aplicada por la instancia, así como de las más recientes SSTS de 28 de marzo de 2019 (recurso 6360-2017), y de 9 de abril de 2019 (recurso 4118-2017), que sientan doctrina en el marco de la nueva casación, en relación con la publicación de sanciones de la Comisión Nacional de los Mercados y de la Competencia.

    En relación con su naturaleza, argumenta que hay que partir de la finalidad pretendida con la publicación, que responde a un interés público de difusión para proteger el adecuado funcionamiento del mercado de valores en los términos señalados por el Tribunal Supremo en la sentencia de 21 de julio de 2009 y reiterados en el auto de 4 de octubre de 2019, que declara la inadmisión del recurso de casación interpuesto por el hoy recurrente en amparo porque “la publicación, tal y como está contemplada en el artículo 304 LMV, no comporta una sanción, ya que no es sino un medio de difusión, destinado a ofrecer información relevante acerca del mercado y, en particular, en relación al abuso de mercado y uso de información privilegiada”.

    Por lo que se refiere a la vulneración del derecho a la protección de datos y el derecho al olvido que alega la demanda, el abogado del Estado estima que el recurrente crea una queja netamente ficticia pues, como declara la sentencia de la Audiencia Nacional, la propia publicación en el “BOE” no implica incorporación a un fichero organizado, y el acceso a la publicación del “BOE” en web mediante buscadores —que, según el recurrente, vulnera la temporalidad— tiene la solución de general propia de todos los datos que se pueden consultar en la web, otorgada por el art. 93 de la Ley Orgánica 3/2018, como recoge también el fundamento de Derecho 8 de la sentencia de la Audiencia Nacional.

    Subraya que bajo la LOPD de 1999, aplicable en el momento de la imposición de la sanción, la base jurídica para su publicación sería la habilitación legal, conforme al art. 11.2 a) LOPD “2. El consentimiento exigido en el apartado anterior no será preciso: a) Cuando la cesión está autorizada en una ley”; en el Reglamento (UE) 2016/679, general de protección de datos, la base jurídica es el cumplimiento de una obligación legal del artículo 6.1 c) “el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento” (en adelante, RGPD). Y, en el vigente art. 27 de la Ley Orgánica 3/2018, al tratarse de la publicación de infracciones administrativas, requiere también de habilitación por ley.

    En cuanto al cumplimiento del principio de proporcionalidad argumenta que, de acuerdo con la propia doctrina del Tribunal Constitucional (SSTC 292/2000 y 76/2019 ), debe ser valorado por el legislador, estableciendo en la ley las garantías oportunas, y que en este caso la norma impone la obligación de publicar con tres cautelas: la primera, es que no se publican todas las resoluciones, como ocurre en otros supuestos, sino solo las que corresponden con infracciones muy graves y graves; la segunda, que se requiere que sean firmes en la vía administrativa; y la tercera, que se limita el medio de publicación al “BOE”. Distinto sería, a su juicio, que los datos que se hubieran publicado fueran excesivos en relación con la finalidad pretendida, incumpliendo el principio de minimización. Pero estima que esta cuestión, que no se plantea en el amparo, tampoco concurre, ya que la publicación se limita a indicar nombre y apellidos, infracción cometida y sanción impuesta, indicando claramente que únicamente es firme en vía administrativa, y que es obvia su necesidad para asegurar los principios de transparencia e integridad del mercado secundario de valores. Concluye, en consecuencia, que la CNMV dio estricto cumplimiento a lo dispuesto en el art. 304 TRLMV en relación con la publicación, estando amparado el tratamiento de datos personales en el cumplimiento de una obligación legal, y ejecutado en los términos de la misma.

  7. Mediante escrito registrado en este tribunal el 8 de abril de 2021, la procuradora de los tribunales doña Isabel Juliá Corujo, actuando en nombre y representación de don Ramón Agenjo Bosch, presentó sus alegaciones en las que, en esencia, se ratifica en las realizadas en la demanda de amparo. El escrito también precisa, en relación con la vulneración del derecho fundamental a la protección de datos (art. 18.4 CE), que el derecho al olvido —regulado actualmente en el art. 17 RGPD y en el art. 93 de la Ley Orgánica 3/2018— en el que se centra la sentencia de la Audiencia Nacional, no sana la vulneración del derecho fundamental a la protección de datos. Dicho derecho permite al interesado solicitar al responsable del tratamiento (en este caso, el boletín en el que se publica la sanción), no el “borrado” de la publicación, pero sí que se impida llegar a la misma a través de buscadores cuando se busca por el nombre y apellidos del interesado. La publicación seguiría en el boletín, y se podría llegar a ella si se conoce la fecha o si se busca, por ejemplo, “sanción”. De modo que el derecho al olvido, si bien se encuentra justificado en sí mismo, no sirve para legitimar tratamientos que incumplen claramente los principios de proporcionalidad y temporalidad [art. 5.1 e) RGPD].

  8. Con fecha de 20 de abril de 2021 tuvo entrada en el Tribunal el escrito de alegaciones del Ministerio Fiscal, en el que interesa que el Tribunal otorgue parcialmente el amparo solicitado por don Ramón Agenjo Bosch y en su virtud: 1) Declare vulnerado su derecho a la protección de datos (art. 18.4 CE). 2) Acuerde restablecerle en su derecho y a tal fin, declare la nulidad de la resolución de 18 de mayo de 2016 dictada por el comité ejecutivo de la CNMV, y de la resolución de 27 de julio de 2017, que acuerdan la publicación en el “BOE”, así como la resolución de 19 de abril de 2017 del Ministerio de Economía, Industria y Competitividad, a los mismos efectos, confirmadas ambas resoluciones por la Sentencia núm. 403/2019, de 12 de febrero, de la Sección Tercera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional (PO 482/2017), y todo ello exclusivamente en cuanto a la publicación de la sanción en el “BOE”, manteniéndose en su integridad el resto de todos los demás pronunciamientos. 3) Desestimar el amparo respecto a la vulneración de las garantías del procedimiento sancionador y principio de proporcionalidad en relación con el art. 24.2 CE.

    Tras exponer los antecedentes del caso y analizar el objeto de la demanda, el fiscal aborda las dos cuestiones que suscita el recurso de amparo: a) Si la publicación en el “BOE” de la imposición de la sanción al recurrente constituye por sí misma una sanción y, por tanto, dicha publicación acordada de plano vulnera las garantías del procedimiento sancionador aplicables de acuerdo con el art. 24.2 CE; b) Si la publicación en el “BOE” de la imposición de la sanción, en la forma realizada por la CNMV, vulnera el derecho a la protección de datos del art. 18.4 CE:

    1. En relación con la eventual naturaleza sancionadora de la publicación de la sanción en el “BOE” y afectación del art. 24.2 CE, el fiscal examina la legislación aplicable a la luz de la doctrina constitucional, según la cual el concepto de sanción es de tipo material y hay que atender a la naturaleza de la medida, que será sancionadora cuando, al margen de la voluntad disuasoria y reparadora, se infringe un perjuicio añadido con el que se afecta al infractor en el círculo de los bienes y derechos de los que disfrutaba lícitamente (con cita, entre otras, SSTC 276/2000 , de 16 de noviembre; 48/2003 de 12 marzo, FJ 9, y 212/2010 de 29 de noviembre, FJ 7). Y llega a la conclusión de que la publicación de la sanción en el “BOE” prevista primero en el art. 102.2 LMV y después en el art. 304 TRLMV, y que se mantiene hasta la actualidad, tiene su fundamento en dar conocimiento de la actividad de la CNMV —función establecida, esencialmente, en los ya citados fundamento 73 del Reglamento (UE) 596/2014 y el art. 13 LMV—. De forma que no constituye un castigo preordenado dirigido al infractor, y no responde, por tanto, a esa finalidad represiva, retributiva o de castigo propia de las sanciones administrativas.

      En sus razonamientos destaca que el texto refundido de la Ley del mercado de valores regula también, como sanciones propiamente dichas para las infracciones muy graves y graves, la amonestación pública en el “Boletín Oficial del Estado” de la identidad del infractor y la naturaleza de la infracción o amonestación privada (arts. 306 y 307). Sanción que, a diferencia de la medida de publicidad en el “BOE”, no queda sujeta a la modulación del art. 313 ter aplicable según el art. 313 quater a la publicación en el “BOE”, puesto que podría dejar prácticamente sin contenido a la sanción de amonestación (así ocurriría con la posibilidad de no publicación o publicación anónima). Toma en consideración, asimismo, la sentencia de 21 de julio de 2009 de la Sección Tercera de la Sala de lo Contencioso-Administrativo del Tribunal Supremo, en que se declara el carácter no sancionador de la publicación de la sanción en el “BOE”. Y reconoce que, si bien es cierto que no se puede descartar un carácter aflictivo en la medida de publicación de la sanción en el “BOE”, este no constituye su finalidad prioritaria, sino que atiende a la protección de los mercados y de los inversores, así como la compulsión a la observancia de conductas ajustadas a la regulación. Por otra parte, subraya que la circunstancia de la publicación —además de estar prevista por la ley— se puso expresamente en conocimiento del recurrente a través de la resolución de 18 de mayo de 2016, pudiendo formular las alegaciones pertinentes como efectivamente hizo y que se vieron reflejadas en la resolución de 19 de abril de 2017 desestimatoria del recurso de alzada por el Ministerio de Economía.

      En definitiva, al no constituir una manifestación del ius puniendi del Estado, no es una sanción en sentido propio, y no le son aplicables, conforme a la jurisprudencia constitucional, las garantías que para el ejercicio dela potestad sancionatoria establecen los arts. 25.1 y 24.2 CE (por todas, STC 239/1988 ), por lo que debe excluirse la pretendida vulneración de tales preceptos constitucionales denunciada en el recurso de amparo.

    2. En relación con la vulneración del derecho a la protección de datos personales, del art. 18.4 CE, el fiscal parte de la doctrina constitucional sobre el régimen jurídico y contenido de este derecho, tal y como aparece recogida en la STC 76/2019 , de 22 mayo, FFJJ 4 y 5. Cita a continuación la normativa sobre protección de datos, nacional y de la Unión Europea, atendiendo en primer lugar a la Ley Orgánica de protección de datos de carácter personal, y a las definiciones contenidas en su art. 3 a), b), c) y j) de los conceptos “datos de carácter personal”, “fichero”, “tratamiento de dato”, y “fuentes accesibles al público”, y los principios que rigen su tratamiento conforme al art. 4 y 11; seguidos de los conceptos y previsiones posteriormente contenidos en los arts. 4, 5 y 6 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos; y, en la actualidad, en los arts. 4 y 8 de la actual ley orgánica de protección de datos. Completa el exposición del derecho aplicable examinando las disposiciones sobre la publicación de sanciones impuestas como consecuencia de infracciones de las normas que rigen el funcionamiento del mercado de valores: en primer lugar, el art. 14 de la Directiva 2006/3/UE sobre las operaciones con información privilegiada y la manipulación del mercado (abuso del mercado), que autorizaba la publicación de las sanciones impuestas por el incumplimiento de las medidas adoptadas de conformidad con la misma, “salvo que la revelación comprometiera seriamente a los mercados financieros o causara un daño desproporcionado a las partes implicadas”; el art. 34 del Reglamento (UE) núm. 596/2014 del Parlamento y del Consejo, de 16 de abril de 2014, sobre el abuso de mercado, que derogó a la Directiva 2006/3/UE; y, a continuación la normativa española, comenzando por el texto refundido de la Ley del mercado de valores (en vigor desde el 13 de noviembre de 2015 y, por tanto, a la fecha de la resolución sancionadora de 18 de mayo de 2016 y a la fecha de su publicación en el “BOE” de 12 de julio de 2017), cuyo art. 275 regula la “[e]jecutividad, registro y publicidad de la sanciones”, precepto que se complementa con el art. 238 sobre los “[r]egistros públicos en relación con los mercados de valores”; y la regulación introducida por el art. 90 del Real Decreto-ley 14/2018, de 28 de septiembre, por el que se modifica el texto refundido de la Ley del mercado de valores, y que incorpora el contenido esencial del art. 34.1 RGPD al art.313 ter sobre “[p]ublicación de sanciones en la web de la CNMV”.

      El fiscal, que examina asimismo diversas resoluciones de la Agencia Nacional de Protección de Datos, argumenta que a tenor de la Ley Orgánica de protección de datos de carácter personal la publicación de la sanción en el “BOE” constituye un supuesto de tratamiento de datos [art. 3 a) y c)] en una fuente accesible al público [art. 3 j)], sujeta a la normativa de protección de datos. Constata que se trata de una publicación dispuesta por una norma con rango de ley (el art. 102.2 LMV y, posteriormente, en el art. 304 TRLMV), sin que por lo tanto sea necesario el consentimiento del interesado (arts. 11 LOPD y 6 RGPD).

      Concluye que la resolución administrativa impugnada y la sentencia de la Audiencia Nacional que la valida:

      1. Aplican una norma que afecta al tratamiento de datos como es la publicación en el “BOE”, y, por tanto, está sujeta a la normativa sobre protección de datos.

      2. La publicación se ampara en la habilitación legal y responde a un interés público.

      3. La norma aplicada —arts. 102 LMV y 304 TRLMV— no contiene garantías directas de ponderación en relación con la protección de datos. Y en cualquier caso, no se aplican tampoco las garantías establecidas para publicación en la página web de la CNMV, a partir del art. 34 RGPD, ni las derivadas del art. 275 TRLMV, finalmente introducidas por el Real Decreto-ley 14/2018 en el art. 313 ter y 313 quater , y en la que se incorporan criterios de proporcionalidad para poder prescindir de dicha publicación.

      4. Ni la resolución sancionadora de 18 de mayo de 2016 ni la resolución de 27 de junio de 2017 por la que se ordena la publicación en el “BOE” contienen juicio de ponderación alguno sobre el alcance y los términos de la publicación establecida por la ley en reacción con la restricción del derecho a la protección de datos del art 18.4 CE como consecuencia de la publicación de la sanción en el “BOE”.

      5. En estas circunstancias, por tanto, no se justifica el alcance del tratamiento de datos, ni se valora la conducta y naturaleza de aquella publicación en relación con la conducta sancionada a los efectos de modular, en su caso, la intensidad de la medida.

      6. Igualmente, tampoco se efectúa ninguna evaluación en cuanto a la intensidad de la publicación, en relación con la publicación en la página web y con la duración ilimitada en el “BOE”, dada su inalterabilidad de este último diario oficial.

      En suma, el fiscal estima que las resoluciones de la CNMV que acuerdan y ejecutan la publicación de la sanción impuesta el recurrente en el “BOE”, sin efectuar ningún tipo de ponderación sobre su alcance, intensidad y eventual modulación, no se acomoda al principio de proporcionalidad en la restricción de los derechos y por ello vulneran el derecho a la protección de datos del art. 18.4. CE. Propone, en consecuencia, una estimación parcial de la demanda de amparo.

  9. La Secretaría de Justicia de la Sala Segunda del Tribunal dictó diligencia el 22 de abril de 2021 haciendo constar la recepción de los escritos de alegaciones del abogado del Estado, de la procuradora doña Isabel Juliá Corujo y del Ministerio Fiscal, “quedando el presente recurso de amparo pendiente para deliberación cuando por turno corresponda”, de lo que pasó a dar cuenta.

  10. Por providencia de 17 de febrero de 2022 se señaló para deliberación y votación de la presente sentencia el día 21 del mismo mes y año.

Fundamentos jurídicos

  1. Objeto del recurso de amparo y posición de las partes

    El presente recurso de amparo se dirige contra la resolución dictada por la Comisión Nacional del Mercado de Valores el 18 de mayo de 2016, por la que se impone a don Ramón Agenjo Bosch una multa de 30 000 € y la publicación de la sanción en el “BOE” por la comisión de una infracción muy grave del art. 99, letra o), en relación con el art. 81.2, ambos de la Ley 24/1988, de 28 de julio, del mercado de valores, por haber adquirido por cuenta de un tercero acciones de DAMM, S.A., el 7 de agosto de 2014 disponiendo de información privilegiada sobre la misma. Disposiciones que se corresponden respectivamente con los arts. 282.6 y 227.1 TRLMV, que fue aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre. En la resolución sancionadora se recuerda que conforme al art. 304 TRLMV (antes art. 102.2 LMV), “las sanciones por infracciones graves serán publicadas en el ‘Boletín Oficial del Estado’ una vez sean firmes en vía administrativa”. Por resolución de la CNMV, de 27 de junio de 2017, se publicó en el “BOE” el fallo de la sanción, haciendo constar su firmeza en vía administrativa, “sin perjuicio de las potestades de revisión jurisdiccional”.

    La demanda denuncia, con la argumentación que ha quedado expuesta en los antecedentes, que la administración ha vulnerado los siguientes derechos fundamentales del recurrente: el “derecho fundamental al procedimiento administrativo sancionador” (art. 24.2 CE) y el “principio de proporcionalidad” de la sanción, así como el derecho fundamental a la protección de datos personales (art. 18.4 CE). La vulneración de los arts. 24.2 y 25 CE se fundamenta en que el demandante considera que la publicación en el “BOE” de la resolución sancionadora tiene per se naturaleza sancionadora, por lo que su “publicación de plano” vulnera las garantías que han de aplicarse en todo procedimiento administrativo sancionador conforme al art. 24.2 CE, así como el principio de proporcionalidad. Por el contrario, la CNMV niega que la publicación en el “BOE” constituya en sí misma una sanción, por lo que no estima necesario aplicar las garantías requeridas en la imposición de sanciones. Por lo que respecta a la alegación de vulneración del derecho fundamental a la protección de datos personales (artículo 18.4 CE), la demanda afirma que la CNMV ha decidido, de forma automática y sin tener en cuenta en modo alguno las circunstancias del caso concreto, publicar en el “BOE” el nombre completo del recurrente, lo que constituye un tratamiento de los datos personales que es desproporcionado para la finalidad perseguida, que va más allá de lo que permite la normativa europea para cuya ejecución se modificó la Ley del mercado de valores, y que rompe el principio básico de temporalidad en el tratamiento de datos, en la medida en que la publicación en el “BOE”, a diferencia de la publicación, por ejemplo, en un registro en línea de la CNMV, es una publicación permanente.

    El abogado del Estado interesa la desestimación del recurso. Considera que el recurrente no aduce razón alguna de por qué resulta en su caso desproporcionada la publicación de la sanción, limitándose a alegar formalmente que no existe la previsión legal de realizar tal ponderación. En relación con la vulneración del derecho a la protección de datos y “al olvido” —este último como como facultad inherente al derecho a la protección de datos personales—, estima que el recurrente crea una queja netamente ficticia, pues la propia publicación en el “BOE” no implica incorporación a un fichero organizado de datos personales, y el acceso a la publicación del “BOE” en web mediante buscadores —que, según el recurrente, vulnera la temporalidad— tiene la solución general propia de todos los datos que se pueden consultar en la web, otorgada por el art. 93 de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.

    El Ministerio Fiscal propone, por el contrario, que se dicte sentencia en la que se otorgue parcialmente el amparo por vulneración del derecho a la protección de datos del recurrente (art. 18.4 CE), causada por la publicación de la sanción en el “BOE”, y que se desestime el amparo respecto a la vulneración de las garantías del procedimiento sancionador y del principio de proporcionalidad en relación con los arts. 24.2 y 25 CE.

    Debemos determinar, pues, si a tenor de los preceptos invocados (arts. 18.4, 24.2 y 25 CE) la decisión de publicar la sanción impuesta por la CNMV en el “BOE” resulta constitucionalmente legítima o por el contrario vulnera el contenido de esos derechos fundamentales. En el presente caso el enjuiciamiento puede iniciarse desde la perspectiva de cualquiera de los dos derechos alegados, en el bien entendido de que si el recurso prospera por uno de ellos no es necesario entrar en el análisis del segundo.

  2. Sobre la vulneración de las garantías que rigen el ejercicio de la potestad sancionadora de la administración (arts. 24.2 y 25 CE )

    El demandante alega, en primer lugar, que la publicación en el “BOE” de la sanción por infracción muy grave que le impuso la CNMV, conforme a lo dispuesto en el art. 304 TRLMV (antes art. 102.2 LMV), vulnera las garantías que rigen en el procedimiento sancionador (art. 24.2 CE) y el principio de proporcionalidad que rige en la aplicación de las sanciones (art. 25 CE). Tal alegación parte de la premisa de que la publicación de la sanción en el “BOE” tiene en sí misma carácter materialmente sancionador y que la CNMV, al ordenarla “de plano” una vez la sanción fue firme en vía administrativa, no ha respetado las garantías que impone el art. 24.2 CE en el procedimiento administrativo sancionador, al no ofrecer al interesado la posibilidad de hacer alegaciones sobre la publicación, y por no permitir graduación alguna en función de las circunstancias del caso conforme al principio de proporcionalidad que rige en la imposición de sanciones. Para resolver estas primeras quejas es preciso examinar, con carácter previo, si la publicación en el “BOE” de la sanción muy grave impuesta al recurrente constituye, como alega la demanda, un acto de naturaleza sancionadora per se o si responde a otras finalidades distintas a las punitivas y no puede ser considerada como sancionadora en sí misma, tal y como argumentan el abogado del Estado y el Ministerio Fiscal, y apreció en su momento la CNMV y confirmó la sentencia núm. 403/2019, de 12 de febrero, de la Sección Tercera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.

    1. Doctrina constitucional relevante sobre el ejercicio de la potestad sancionadora de la administración

      Desde la temprana STC 18/1981 , de 8 de junio, FJ 2, este tribunal ha declarado que tanto los principios sustantivos del art. 25.1 CE como las garantías procedimentales del art. 24.2 CE son aplicables, con ciertos matices, al ejercicio de la potestad sancionadora de la administración. Tal y como precisa la STC 89/1995 , de 6 de junio, FJ 4, es “doctrina reiterada de este tribunal y del Tribunal Europeo de Derechos Humanos (así, por ejemplo, SSTEDH. de 8 de junio de 1976, asunto Engel y otros c. Holanda ; de 21 de febrero de 1984, asunto Öztürk c. Alemania ; de 28 de junio de 1984, asunto Cambell y Fell c. Reino Unido ; de 22 de mayo de 1990, asunto Weber c. Suiza ; de 27 de agosto de 1991, asunto Demicoli c. Malta ; de 24 de febrero de 1994, asunto Bendenoun c. Francia ), la de que los principales principios y garantías constitucionales del orden penal y del proceso penal han de observarse, con ciertos matices, en el procedimiento administrativo sancionador y, así, entre aquellas garantías procesales hemos declarado aplicables el derecho de defensa (STC 4/1982 ) y sus derechos instrumentales a ser informado de la acusación (SSTC 31/1986 , 190/1987 , 29/1989 ) y a utilizar los medios de prueba pertinentes para la defensa (SSTC 2/1987 , 190/1987 y 212/1990 ), así como el derecho a la presunción de inocencia (SSTC 13/1982 , 36 y 37/1985 , 42/1989 , 76/1990 y 138/1990 ), derechos fundamentales todos ellos que han sido incorporados por el legislador a la normativa reguladora del procedimiento administrativo común”.

      Por otra parte, el Tribunal ha advertido —en los términos sistematizados en la STC 276/2000 , de 16 de noviembre, FJ 3—, de la improcedencia de extender indebidamente la idea de sanción con la finalidad de obtener la aplicación de las garantías constitucionalmente propias de este campo a medidas que no responden al ejercicio del ius puniendi del Estado o no tienen una verdadera naturaleza de castigos (entre otras, SSTC 239/1988 , de 14 de diciembre, FJ 2; 164/1995 , de 8 de noviembre, FJ 4; ATC 323/1996 , de 11 de noviembre, FJ 3)”. De manera que “ni el nomen iuris empleado por la administración o asignado por la ley, ni la clara voluntad del legislador de excluir una medida del ámbito sancionador, constituyen un dato decisivo a la hora de precisar si los arts. 24.2 y 25.1 CE resultan aplicables (SSTC 164/1995 , FJ 4; y 239/1988 , FJ 3). Y tampoco basta por sí sola a estos efectos, por más que resulte significativa, la circunstancia de que la medida de que se trata “se imponga como consecuencia de un incumplimiento previo de las obligaciones derivadas de la relación jurídica existente entre el ciudadano y la administración, o que la reacción del Estado ante dicho incumplimiento consista en un acto restrictivo de derechos (STC 239/1988 , FJ 2; ATC 323/1996 , FJ 3).

      Como ha sostenido invariablemente el Tribunal en los casos en los que ha tenido que pronunciarse sobre si una consecuencia jurídica tiene o no carácter punitivo “habrá que atender, ante todo, a la función que tiene encomendada en el sistema jurídico. De modo que si tiene una función represiva y con ella se restringen derechos como consecuencia de un ilícito, habremos de entender que se trata de una pena o sanción en sentido material, pero si en lugar de la represión concurren otras finalidades justificativas deberá descartarse la existencia de una pena, por más que se trate de una consecuencia gravosa. Así, hemos negado la existencia de una función retributiva porque las medidas impugnadas tenían la finalidad de constreñir a la realización de una prestación o al cumplimiento de una obligación concreta (STC 239/1988 , de 14 de diciembre, FJ 2), perseguían la simple aplicación del ordenamiento por la administración competente (STC 181/1990 , de 14 de noviembre, FJ 4) o, en fin, tenían como único objetivo restablecer la legalidad conculcada (STC 119/1991 , de 3 de junio, FJ 3) (STC 185/2016 , de 3 de noviembre, FJ 13). Además, hemos precisado igualmente que una cosa “es que las sanciones tengan, entre otras, una finalidad disuasoria, y otra bien distinta que toda medida con una finalidad disuasoria de determinados comportamientos sea una sanción […] pues resulta claro que la función disuasoria de una figura jurídica no determina sin más su naturaleza sancionadora (STC 164/1995 , FJ 4; y en el mismo sentido STC 276/2000 , FJ 4) (STC 215/2016 , de 15 de diciembre, FJ 8, y las allí citadas). De ahí que este tribunal haya negado carácter sancionador a determinadas medidas que, aunque tenían una función disuasoria, no cumplían al mismo tiempo una función de castigo.

    2. Aplicación de la jurisprudencia constitucional a la medida de publicación en el “BOE” de las sanciones impuestas por la CNMV

      Aplicando esta doctrina al caso que ahora examinamos, es evidente que la publicación en el “BOE” de las sanciones por infracciones muy graves tipificadas en el art. 302 TRLMV refuerza el carácter disuasorio de dichas sanciones, y puede tener también un componente aflictivo adicional para quien pueda ver afectada su reputación por la publicación de la sanción firme que le ha sido impuesta. Pero para concluir que la publicación de la sanción en cuestión tiene en sí misma sentido sancionador y, por ende, le son aplicables las garantías de los arts. 24.2 y 25 CE, hay que determinar si responde per se , de forma autónoma y preeminente, a la “finalidad represiva, retributiva o de castigo” que hemos venido destacando como específica de las sanciones (SSTC 239/1988 , FJ 2; 164/1995 , FJ 4; 276/2000 , FJ 3).

      1. Según la demanda, el hecho de que la imposición de la multa solo se publique cuando es firme es muestra de que la publicación tiene carácter sancionador, ya que si su finalidad primordial fuera informativa no se retrasaría la publicación hasta que la sanción adquiriera eficacia en vía administrativa (como prevé el texto refundido de la Ley del mercado de valores), sino que se publicaría desde su imposición. Tal argumento ha de ser rechazado. La previsión según la cual la publicidad de las sanciones por la comisión de infracciones muy graves y graves solo se lleva a efecto una vez que la resolución sancionadora es firme responde a la garantía que establece la legislación administrativa en el ámbito sancionador de que las sanciones no sean ejecutivas hasta que no sean firmes en vía administrativa (art. 90.3 Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las Administraciones públicas). Y uno de los efectos de este principio es que tanto la publicación en el registro público de sanciones de la CNMV, accesible a través de su página web, como en el “BOE”, se dispone tan solo una vez la sanción en cuestión deviene firme en vía administrativa.

      2. Por otro lado, hay que descartar también el argumento de la demanda según el cual la publicación de la sanción en el “BOE” no responde a la función informativa de la CNMV, puesto que esta ha de desarrollarse únicamente por vías caracterizadas por la rapidez y la inmediatez (como la publicación de información en su página web), y dirigidas específicamente a los inversores, mientras que la publicación de una sanción en el “BOE” —que no es un medio dirigido a los inversores, sino al público general— indica claramente que la función de la medida es punitiva y, por tanto, disuasoria de la comisión de infracciones, y no, en absoluto, informativa. Este argumento no puede prosperar puesto que, tal y como sostiene en este caso el Ministerio Fiscal, la previsión legislativa del art. 304 no puede entenderse desconectada de las funciones que tiene encomendada la CNMV como órgano público competente de la supervisión, inspección y sanción en los mercados de valores, y a la que compete velar “por la transparencia de los mercados de valores, la correcta formación de los precios en los mismos y la protección de los inversores, promoviendo la difusión de cuanta información sea necesaria para asegurar la consecución de esos fines” (art. 17 TRLMV).

        En conexión con dichas funciones, el legislador ha dispuesto que la comisión de sanciones muy graves y graves sean objeto de difusión también a través del “BOE”, esto es, “el diario oficial del Estado español y medio de publicación de las leyes, disposiciones y actos de inserción obligatoria” (art. 1 del Real Decreto 181/2008, de 8 de febrero, de ordenación del diario oficial “Boletín Oficial del Estado”). Se recurre así a este medio con el fin de divulgar para general conocimiento de los inversores y operadores económicos, información relevante en relación con prácticas o conductas que distorsionan el buen funcionamiento del mercado, como el abuso de mercado y uso de información privilegiada. Sin que en este punto resulte tampoco determinante el argumento de la “celeridad” en la publicación, puesto que esta se dispone tanto en la web como en el “BOE” al mismo tiempo —una vez son firmes— y la diferencia que puede haber de hecho entre uno y otro medio —de apenas algunos días— no permite excluir que la previsión del art. 304 se sitúe fuera del cometido que tiene atribuido la CNMV de promover la difusión de cuanta información sea necesaria para asegurar la consecución de sus fines. En definitiva, la publicación en el “BOE” de la sanción impuesta por infracción muy grave tiene en este caso como finalidad primordial proteger los intereses públicos de trasparencia y buen funcionamiento de los mercados de valores, y la transparencia en la labor de supervisión encomendada a la CNMV.

      3. Por lo que respecta a las disposiciones de la Unión Europea sobre la publicación de sanciones por abuso de mercado que alega la demanda, su examen no hacen sino avalar esta misma conclusión tal y como destacan tanto el abogado del Estado como el Ministerio Fiscal: el art. 14.4 de la Directiva 2003/6/CE del Parlamento y del Consejo, de 28 de enero de 2003, sobre las operaciones con información privilegiada y la manipulación del mercado (abuso del mercado), no lo incluía en su momento entre las sanciones que exigía tipificar e imponer a los Estados miembros, sino que lo establecía como una posibilidad otorgada a la autoridad nacional competente, salvo en unos supuestos muy determinados (entre los que se encontraba que causara “un daño desproporcionado a las partes implicadas”). En la actualidad el Reglamento (UE) núm. 596/2014 del Parlamento Europeo y del Consejo, de 16 de abril de 2014, sobre el abuso de mercado (Reglamento EU sobre abuso de mercado) que ha derogado y sustituye, entre otras, a la Directiva 2003/6/CE, precisa que la obligación que tienen las autoridades nacionales —con carácter general y salvo algunas excepciones como la ya mencionada— de publicar las sanciones impuestas por infracciones del mismo responde a los siguientes fines: “asegurar que las decisiones adoptadas por las autoridades competentes tienen un efecto disuasorio en el público”, “que las autoridades competentes informen a los participantes en el mercado sobre las conductas que se considera que constituyen una infracción”, y “promover conductas más adecuadas entre los participantes en el mercado” (Considerando 73). Por otra parte, una vez descartada la naturaleza sancionadora de la publicación en el “BOE” de las infracciones muy graves que dispone el art. 304 TRLMV y, por ende, la aplicación a dicha medida de las garantías constitucionales de los arts. 24.2 y 25 CE, no corresponde a este tribunal entrar a juzgar si tal disposición (o en su momento el art. 102.2 LMV) era o no una correcta transposición del art. 14.4 de la Directiva 2003/6/CE sobre abuso del mercado por no incorporar una previsión que recogiera de forma expresa y en los mismos términos las posibles excepciones a la publicación.

      4. Cabe advertir, por último, que en el momento de imponerse la sanción por infracción muy grave del art. 99, letra o), en relación con el art. 81.2 LMV, el art. 304 TRLMV establecía de forma clara que la publicación en el “BOE” de las sanciones muy graves y graves era una consecuencia derivada de la imposición de dicha sanción una vez fuera firme. Resulta evidente, por tanto, que el recurrente la conocía de antemano y que durante el procedimiento administrativo tramitado con motivo de la misma tuvo ocasión de hacer valer sus derechos y las garantías exigibles conforme al art. 24.2 CE, como se pone de manifiesto en las extensas alegaciones en relación con la publicación de la sanción que constan en el recurso de alzada, de fecha 18 de junio de 2016, interpuesto ante el Ministerio de Economía y Competitividad por el demandante de amparo.

      5. En definitiva, la publicación en el “BOE” de la resolución de 18 de mayo de 2016 por la que se impuso al recurrente una multa por importe de 30 000 € por la comisión de una infracción muy grave de la Ley del mercado de valores no constituye una sanción, sino que se trata de una consecuencia anudada a la imposición de las sanciones graves prevista por la propia ley ahora en su art. 304 TRLMV, y que no tiene per se una función punitiva o de castigo. La finalidad primordial de la publicación en el diario oficial del Estado es advertir a los inversores de una actuación que puede afectar al buen funcionamiento del mercado financiero —en particular el abuso del mercado y el uso de información privilegiada—, y garantizar la transparencia y eficacia en la labor de supervisión que lleva a cabo la CNMV; no la de “infligir al infractor un perjuicio”. Por consiguiente, a la resolución por la que se dispone simplemente la publicación dispuesta por el art. 304 TRLMV no le son directa y autónomamente aplicables las garantías de los artículos 24.2 y 25 CE que debe respetar la administración cuando ejerce la potestad sancionadora.

        En cualquier caso, aun cuando se pretendiera sostener que el carácter aflictivo y disuasorio de esta publicación la asimilara a una medida sancionadora, lo cierto es que no cabe apreciar en absoluto la vulneración denunciada de las garantías establecidas en los artículos 24.2 y 25 CE que debe respetar la administración cuando ejerce la potestad sancionadora, dado que la condición de consecuencia anudada de manera imperativa y necesaria a la sanción impuesta por la comisión de una infracción muy grave de la Ley del mercado de valores determina que las garantías respetadas en el procedimiento de imposición de esta sanción son aplicables a la consecuencia necesaria de publicación que lleva anudada, sin que pueda exigirse una reiteración autónoma del procedimiento de imposición de la sanción a los meros efectos de la ejecución de la consecuencia necesaria que dicha infracción conlleva.

        Procede, en atención a lo expuesto, la desestimación íntegra de este motivo.

  3. Sobre la vulneración del derecho fundamental a la protección de datos personales (art. 18.4 CE )

    La resolución de 27 de junio de 2017 por la que se publica en el “BOE” la sanción por infracción muy grave impuesta al ahora demandante en aplicación del art. 304 TRLMV, incluyó, conforme disponía entonces el art. 275.3 TRLMV, información sobre “el tipo y la naturaleza de la infracción y la identidad del sancionado”.

    La demanda alega, por las razones ya expuestas, que dicha resolución vulnera su derecho fundamental a la protección de datos personales, consagrado en el art. 18.4 CE, según el cual: “La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. Sostiene, en concreto, que la publicación en el “BOE” vulnera el principio de proporcionalidad y de temporalidad que deben regir en el tratamiento de datos personales.

    Para dar respuesta a este alegación es necesario examinarla a la luz tanto de la jurisprudencia constitucional sobre el contenido, alcance y limitaciones de este derecho, como del desarrollo del mismo al que ha procedido el legislador, conforme al mandato del art. 18.4 CE, junto al Derecho de la Unión Europea, y, en su caso de los instrumentos jurídico-internacionales en este ámbito —en particular el Convenio núm. 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal— que constituyen a tenor del art. 10.2 CE, valiosos criterios hermenéuticos del sentido y alcance mínimo de los derechos y libertades que la Constitución reconoce (STC 76/2019 , FJ 3).

    1. Régimen jurídico de la protección de datos personales y de la publicación de la sanción impuesta

      Con carácter previo, es preciso exponer brevemente, por una parte, el régimen jurídico aplicable a la protección de datos, y, por otra, el relativo a la supervisión y sanción por abuso del mercado y por uso de información privilegiada. Se expondrá fundamentalmente las disposiciones nacionales y de la Unión Europea aplicables en el momento de adoptar la CNMV las resoluciones objeto de este recurso, sin perjuicio de que se hará también referencia a las modificaciones que han experimentado estas normas con carácter ulterior, en tanto en cuanto han sido invocadas por el recurrente y en las alegaciones del abogado del Estado y del Ministerio Fiscal, y a los efectos de determinar si pueden ser aplicables y, en su caso, en qué grado, en la resolución de ese recurso de amparo. Por último, se examina sucintamente, en lo que aquí interesa, la normativa que regula el “Boletín Oficial del Estado”.

      1. Comenzando por el régimen jurídico de la protección de datos personales, la norma rectora vigente en el momento de la publicación de la sanción era la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Su ámbito objetivo de aplicación, conforme a su art. 2, comprende “los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”. El concepto “datos de carácter personal” se define en su art. 3 como “cualquier información concerniente a personas físicas identificadas o identificables” [letra a)]; el término “fichero” lo define como “conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso” [art. 3 b)]; y el de “tratamiento de datos” abarca todas las “operaciones y procedimientos técnicos, de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias” [letra c)]. En este caso resulta también especialmente relevante el término “cesión o comunicación de datos” como “toda revelación de datos realizada a persona distinta del interesado” [art. 3 i)]. En cuanto al término “fuentes accesibles al público” comprende, junto a “aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación”, también los “diarios y boletines oficiales” [art. 3 j)].

        En relación con los principios que rigen el tratamiento de los datos personales, el legislador español de 1999 estableció como regla general el “consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa” (art. 6.1 LOPD). En el caso concreto que aquí nos concierne, de “comunicación de datos personales a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario”, el art. 11.2 a) precisaba, en particular, que el consentimiento no era necesario “[c]uando la cesión está autorizada en una ley”. La Ley Orgánica de protección de datos de carácter personal también regula los principios relativos a la “calidad de los datos” en su art. 4, según el cual “solo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido” (apartado primero). Además, los datos de carácter personal “serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados” (apartado quinto). Se formulan así, en estos términos, los principios de proporcionalidad y temporalidad que deben regir la recogida y tratamiento de datos personales, quedando regulado el derecho y procedimiento de cancelación en los arts. 16 y 17 LOPD. Finalmente, el art. 7.5 LOPD dispone que “[l]os datos de carácter personal relativos a la comisión de infracciones penales o administrativas solo podrán ser incluidos en ficheros de las administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras”.

        Por lo que respecta al papel del Derecho de la Unión Europea, la Carta de Derechos Fundamentales consagra en el apartado primero de su art. 8 el derecho de toda persona “a la protección de los datos de carácter personal que le conciernan”. En su apartado segundo exige que “[e]stos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que le conciernan y a obtener su rectificación”. Conforme al art. 52.1 de la Carta, cualquier limitación a este derecho “deberá ser establecida por la ley y respetar el contenido esencial de dichos derechos y libertades”; además, conforme al principio de proporcionalidad, “solo podrán introducirse limitaciones cuando sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás”.

        Por su parte, la Directiva 95/46/CE del Parlamento y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos —en vigor en el momento en que la CNMV adoptó las resoluciones objeto de este recurso de amparo—, sus disposiciones se aplicaban “al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero” (art. 3.1). En su considerando 27 explicaba que “la protección de las personas debe aplicarse tanto al tratamiento automático de datos como a su tratamiento manual; que el alcance de esta protección no debe depender, en efecto, de las técnicas utilizadas, pues la contrario daría lugar a riesgos graves de elusión; que, no obstante, por lo que respecta al tratamiento manual, la presente directiva solo abarca los ficheros, y no se aplica a las carpetas que no están estructuradas; que, en particular, el contenido de un fichero debe estructurarse conforme a criterios específicos relativos a las personas, que permitan acceder fácilmente a los datos personales”. El concepto “dato personal” se definía como “toda información sobre una persona física identificada o identificable (el ‘interesado’)”. Por lo que al concepto de “tratamiento de datos personales” se refiere, en la letra b) del art. 2, a “cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción”. Hay que recordar que, tal y como ha declarado este tribunal en diversas ocasiones, las disposiciones de la directiva son parámetro de interpretación del Derecho interno (SSTC 94/1998 , de 4 de mayo, FJ 4; 144/1999 , de 22 de julio, FJ 8; 202/1999 , de 8 de noviembre, FJ 5; 70/2009 , de 23 de marzo, FJ 2; 29/2013 , de 11 de febrero, FJ 5, y 76/2019 , FJ 3).

        En definitiva, de una interpretación sistemática de las disposiciones de la Ley Orgánica de protección de datos de carácter personal, a la luz de la Directiva 95/46/CE, se deriva que para que estemos ante un tratamiento de datos personales objeto de protección conforme frente a la informática (art. 18.4 CE), dichos datos han de estar contenidos o estar destinados a ser incluidos en un conjunto estructurado u organizado de datos personales con arreglo a criterios determinados, es decir, en un fichero que permita acceder de forma sistemática a datos personales.

        Tal y como pone de relieve la demanda, así como el abogado del Estado y el Ministerio Fiscal, la Unión Europea ha reformado posteriormente el marco global en la materia, derogando la Directiva 95/46/CE, y sustituyéndola por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos de la Unión Europea). Su ámbito material de aplicación se circunscribe también al “tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero” (art. 2.1 RGPD). Sin embargo, sus disposiciones —que tienen alcance general y son directamente aplicables en los ordenamientos nacionales conforme dispone el art. 288 TFUE—, no comenzaron a ser de aplicación en los Estados miembros hasta el 25 de mayo de 2018 (art. 99.2 RGPD). Pocos meses después, y con el objeto adecuar el ordenamiento jurídico español al general de protección de datos de la Unión Europea se aprobó, asimismo, una nueva Ley Orgánica 3/2018, que derogó la Ley Orgánica de protección de datos personales, y precisa, en línea con el Reglamento general de protección de datos, que se “se aplica a cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero” (art. 2.1). Por lo que ahora interesa en relación con dichas normas —que no eran aplicables o no estaban en vigor en el momento de la adopción de las resoluciones objeto del recurso— regulan ahora de forma expresa y precisa, junto al derecho a la supresión de datos, el “derecho al olvido” (arts. 17 RGPD y 93 y 94 de la Ley Orgánica 3/2018).

      2. Por lo que se refiere a la normativa dirigida a supervisar y prevenir la manipulación de los mercados de servicios financieros y, en particular, las operaciones con información privilegiada, ya hemos mencionado que la Directiva 2003/6/CE de abuso de mercado preveía la posibilidad de que la autoridad competente nacional pudiera revelar al público las medidas o sanciones impuestas por el incumplimiento de las medidas adoptadas de conformidad con la misma, con la salvedad de que “causaran un daño desproporcionado a las partes implicadas”.

        Los cambios normativos acaecidos en este ámbito con posterioridad, mediante el Reglamento de la Unión Europea de abuso de mercado que deroga la Directiva 2003/6/CE, son aplicables desde el 3 de julio de 2016 (art. 39.1); esto es, pocos días después de la imposición de la sanción de la CNMV al recurrente por resolución de 18 de mayo de 2016, pero antes de su publicación en el “BOE”. El art. 34 de dicho Reglamento EU —cuyas disposiciones tienen alcance general y son aplicables directamente conforme al art. 288 TFUE— regula la publicación de las sanciones en el sitio web de las autoridades competentes, precisando que incluirá, “como mínimo”, información sobre el tipo y la naturaleza de la infracción y la identidad de la persona destinataria de la decisión. Prevé, asimismo, que cuando, “en una evaluación caso por caso de la proporcionalidad de la publicación de la identidad de la persona jurídica destinataria de la decisión o de los datos personales de una persona física, la autoridad competente considere que la publicación de tales datos es desproporcionada” adoptará alguna de las medidas enunciadas en dicha disposición. No contiene, sin embargo, regulación alguna sobre la posible publicación en otros medios, como lo es un boletín oficial, y que queda en el ámbito del ordenamiento puramente interno.

        En cuanto al legislador nacional, este optó ya en la Ley del mercado de valores por una doble vía de publicación de las sanciones en este ámbito: en el “BOE” (recogida en el art. 304 TRLMV); y en un registro de la CNMV accesible a través de su sitio web, en la que se actualiza información sobre el estado en que se encuentra cualquier recurso interpuesto y el resultado del mismo (art. 275.2 TRLMV). Por su parte, el Real Decreto-ley 14/2018, de 28 de septiembre, por el que se modifica el texto refundido de la Ley del mercado de valores (en vigor desde el 30 de septiembre de 2019), ha introducido un nuevo art. 313 quater que permite excepcionar la regla general de publicidad de la sanciones muy graves y graves en el “BOE” prevista en el art. 304 TRLMV para posibilitar a la CNMV, en determinados supuestos, ponderar la proporcionalidad de la medida. Disposiciones estas que tampoco eran aplicables en el momento de adoptar la CNMV las resoluciones aquí en cuestión.

      3. Finalmente, y por lo que se refiere al régimen de publicación en el “BOE”, la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, dispuso en su art. 11.2 que la publicación electrónica del mismo “tendrá carácter oficial y auténtico en las condiciones y con las garantías que se determinen reglamentariamente”. Por Real Decreto 181/2008, de 8 de febrero, de ordenación del diario oficial “Boletín Oficial del Estado” se dio cumplimiento a este mandato legal y, según la exposición de motivos, pone de relieve que “a través de las nuevas redes electrónicas (y muy especialmente por la red ‘Internet’) sitúa la publicación normativa en un plano de accesibilidad y propagación muy superior a todo lo hasta ahora conocido”. Conforme a su art. 1: “El ‘Boletín Oficial del Estado’, diario oficial del Estado español, es el medio de publicación de las leyes, disposiciones y actos de inserción obligatoria”. Por su parte, el art. 17 establece que “la Agencia Estatal ‘Boletín Oficial del Estado’ ofrecerá en su sede electrónica, con carácter diferenciado a la edición electrónica del ‘Boletín Oficial del Estado’, una base de datos gratuita que permita la búsqueda, recuperación e impresión de las disposiciones, actos y anuncios publicados en el ‘Boletín Oficial del Estado’, con sujeción a lo establecido en la normativa de protección de datos personales”.

    2. Jurisprudencia constitucional sobre el alcance y contenido del derecho fundamental a la protección de datos de carácter personal. En particular, el control de las limitaciones impuestas por el legislador al mismo en virtud del principio de proporcionalidad

      1. La definición, contenido y alcance del derecho a la protección de datos se aborda en profundidad por el Tribunal en la STC 292/2000 , de 30 de noviembre, FFJJ 5 a 9, en la que se examinó la constitucionalidad de varios preceptos de la Ley Orgánica de protección de datos de carácter personal, y que ha sido sintetizada más recientemente en la STC 76/2019 , de 22 de mayo, FJ 5, a la que se refieren en particular la demanda, así como el Ministerio Fiscal y la Abogacía del Estado. En relación con esta última, conviene recordar también el contexto en la que se adopta: esta Sentencia enjuicia la inconstitucionalidad de la disposición final tercera , apartado dos, de la Ley Orgánica 3/2018, por posibilitar la recopilación por los partidos políticos de datos personales relativos a las opiniones políticas de los ciudadanos; aborda, en definitiva, la recogida y tratamiento de “datos sensibles” especialmente protegidos que exigen un nivel superior y específico de garantías, sin que el legislador nacional hubiera establecido en este caso reglas claras y precisas que delimiten la injerencia al derecho fundamental de protección de estos datos personales y garanticen la protección del núcleo esencial de este derecho.

        En relación con la naturaleza y alcance del derecho a la protección de datos personales, y tal y como recuerda la STC 292/2000 , FJ 5, la doctrina constitucional ha definido el derecho a la protección de datos como un instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los restantes derechos de los ciudadanos que, además, es en sí mismo “un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos, lo que la Constitución llama ‘la informática’, lo que se ha dado en llamar ‘libertad informática’ (STC 254/1992, FJ 6, reiterado luego en las SSTC 143/1994 , FJ 7; 11/1998 , FJ 4; 94/1998 , FJ 6; 202/1999 , FJ 2). Y precisa que la llamada “libertad informática” “es así el derecho a controlar el uso de los mismos datos insertos en un programa informático ( habeas data ) y comprende, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención”. O, en los términos formulados previamente en la STC 290/2000 , de 30 de noviembre, FJ 7, está configurado por “un conjunto de derechos que el ciudadano puede ejercer frente a quienes sean titulares, públicos o privados, de ficheros de datos personales”.

        El contenido de este derecho, sintetizado más recientemente en la STC 76/2019 , FJ 5, “consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso”; estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos, “se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular”. A su vez, “ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos”, “exigiendo del titular del fichero que le informe de qué datos posee sobre su persona, accediendo a sus oportunos registros y asientos, y qué destino han tenido, lo que alcanza también a posibles cesionarios; y, en su caso, requerirle para que los rectifique o los cancele” (STC 292/2000 , FJ 7).

      2. Por lo que respecta a sus límites, el Tribunal precisó ya en la STC 292/2000 , FJ 11, que “el derecho a la protección de datos no es ilimitado, y aunque la Constitución no le imponga expresamente límites específicos, ni remita a los poderes públicos para su determinación como ha hecho con otros derechos fundamentales, no cabe duda de que han de encontrarlos en los restantes derechos fundamentales y bienes jurídicos constitucionalmente protegidos, pues así lo exige el principio de unidad de la Constitución (SSTC 11/1981 , de 8 de abril, FJ 7; 196/1987 , de 11 de diciembre, FJ 6; y respecto del art. 18, la STC 110/1984 , FJ 5). Tras recordar que “la ley es la única habilitada por la Constitución para fijar los límites a los derechos fundamentales y, en el caso presente, al derecho fundamental a la protección de datos”, declara que “esos límites no pueden ser distintos a los constitucionalmente previstos, que para el caso no son otros que los derivados de la coexistencia de este derecho fundamental con otros derechos y bienes jurídicos de rango constitucional, el apoderamiento legal que permita a un poder público recoger, almacenar, tratar, usar y, en su caso, ceder datos personales, solo está justificado si responde a la protección de otros derechos fundamentales o bienes constitucionalmente protegidos. Por tanto, si aquellas operaciones con los datos personales de una persona no se realizan con estricta observancia de las normas que lo regulan, se vulnera el derecho a la protección de datos, pues se le imponen límites constitucionalmente ilegítimos, ya sea a su contenido o al ejercicio del haz de facultades que lo componen. Como lo conculcará también esa ley limitativa si regula los límites de forma tal que hagan impracticable el derecho fundamental afectado o ineficaz la garantía que la Constitución le otorga”.

      3. En cuanto a los requisitos que, de acuerdo con la doctrina constitucional, debe cumplir toda habilitación legal que limite o condicione el ejercicio de un derecho fundamental conforme al art. 53.1 CE, la STC 76/2019 , FJ 5, recuerda que ha de responder a una doble exigencia: por un lado, la necesaria intervención de la ley; y, por otro lado, esa norma legal reúna “todas aquellas características indispensables como garantía de la seguridad jurídica”, esto es, “ha de expresar todos y cada uno de los presupuestos y condiciones de la intervención” (por todas STC 49/1999 , FJ 4). De modo que, como señalamos en la STC 292/2000 , FJ 15, aun teniendo un fundamento constitucional, las limitaciones del derecho fundamental establecidas por una ley “pueden vulnerar la Constitución si adolecen de falta de certeza y previsibilidad en los propios límites que imponen y su modo de aplicación”; lo cual “no solo lesionaría el principio de seguridad jurídica (art. 9.3 CE), concebida como certeza sobre el ordenamiento aplicable y expectativa razonablemente fundada de la persona sobre cuál ha de ser la actuación del poder aplicando el Derecho (STC 104/2000 , FJ 7, por todas), sino que al mismo tiempo dicha ley estaría lesionando el contenido esencial del derecho fundamental así restringido, dado que la forma en que se han fijado sus límites lo hacen irreconocible e imposibilitan, en la práctica, su ejercicio (SSTC 11/1981 , de 8 de abril, FJ 15; 142/1993 , de 22 de abril, FJ 4, y 341/1993 , de 18 de noviembre, FJ 7).

        En relación con la cesión de datos entre administraciones públicas sin consentimiento del afectado, en particular, el Tribunal ha declarado que “únicamente será posible, fuera de los supuestos expresamente previstos por la propia Ley Orgánica de protección de datos, si existe previsión legal expresa para ello [art. 11.2 a) en relación con el 6.1 LOPD] ya que, a tenor de lo dispuesto en el art. 53.1 CE, los límites al derecho a consentir la cesión de los datos a fines distintos para los que fueron recabados están sometidos a reserva de ley. Reserva legal que, como es obvio, habrá de cumplir con los restantes requisitos derivados de nuestra doctrina —esencialmente, basarse en bienes de dimensión constitucional y respetar las exigencias del principio de proporcionalidad— para poder considerar conforme con la Constitución la circunstancia de que la norma legal en cuestión no contemple, por tanto, la necesidad de contar con el consentimiento del afectado para autorizar la cesión de datos” (STC 17/2013 , de 31 de enero, FJ 4).

        Hemos de recordar, en fin, que el control de una medida legislativa a la luz de las “exigencias del principio de proporcionalidad” se articula en dos fases: a) la primera parte de ese canon de control consiste en examinar que la norma persigue una finalidad constitucionalmente legítima, y b) la segunda parte implica revisar si la medida legal se ampara en ese objetivo constitucional de un modo proporcionado (por todas, STC 60/2010 , de 7 de octubre, FJ 9). Esta segunda fase de análisis exige, a su vez, verificar, sucesivamente el cumplimiento de “la triple condición de (i) adecuación de la medida al objetivo propuesto (juicio de idoneidad); (ii) necesidad de la medida para alcanzar su objetivo, sin que sea posible su logro a través de otra más moderada con igual eficacia (juicio de necesidad) y (iii) ponderación de la medida por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto)” (por todas, STC 64/2019 , de 9 de mayo, FJ 5). Además, tal y como hemos precisado en la STC 99/2019 , de 18 de julio, FJ 6, es necesario tener en consideración las siguientes dos observaciones antes de emprender el análisis de la conformidad de una ley con el principio de proporcionalidad:

        (i) La primera observación atiende a la delimitación de las funciones respectivas del legislador y de este tribunal, puesta de relieve en la STC 55/1996 , FJ 6, en la que después de establecer que cabía el control de proporcionalidad de la ley, el Tribunal matizó su afirmación para tomar en cuenta “‘[l]a posición constitucional del legislador’, que ‘obliga a que la aplicación del principio de proporcionalidad para controlar constitucionalmente sus decisiones deba tener lugar de forma y con intensidad cualitativamente distinta a las aplicadas a los órganos encargados de interpretar y aplicar las leyes’”. El Tribunal ha reconocido así que la función que el art. 53.1 CE encomienda al legislador de definir el ámbito de tutela de los derechos fundamentales “entraña un margen de configuración muy extenso, amplio margen que el Tribunal ha proyectado también en relación a los principios constitucionales (STC 60/2010 , FJ 7). Será, por tanto, el legislador quien en principio concretará las condiciones en que puede ejercerse el derecho a la protección de datos personales. No obstante, también ha precisado que hay decisiones del legislador en las que «“cuando entran en colisión derechos fundamentales o determinadas limitaciones a los mismos en interés de otros bienes y derechos constitucionalmente protegidos, la función del interprete constitucional alcanza la máxima importancia ‘y se ve obligado —como dice la STC 53/1985 — a ponderar los bienes y derechos en función del supuesto planteado, tratando de armonizarlos si ello es posible o, en caso contrario, precisando las condiciones y requisitos en que podría admitirse la prevalencia de uno de ellos’” (SSTC 64/2019 , de 9 de mayo, FJ 5, y 215/1994 , de 14 de julio, FJ 2.

        (ii) La segunda observación es de carácter sustantivo, y pone de relieve “que el alcance del enjuiciamiento constitucional del legislador resulta dependiente ‘del objeto sobre el que este se proyecte o del tipo de decisiones que incorpore’, de tal modo que ‘cuanto más intensa sea la restricción de los principios constitucionales y, en particular, de los derechos y libertades reconocidos en el texto constitucional, tanto más exigentes son los presupuestos sustantivos de la constitucionalidad de la medida que los genera’ (STC 60/2010 , FJ 7).

    3. Aplicación de la jurisprudencia al supuesto enjuiciado

      Estamos ya en situación de dar respuesta a las alegaciones de la demanda.

      En primer lugar, de una interpretación sistemática de la normativa examinada, y a la luz de la doctrina constitucional expuesta, hay que concluir que la comunicación a la Agencia Estatal “Boletín Oficial del Estado” de la resolución emitida por la CNMV para su publicación en el “BOE” constituye un supuesto de tratamiento de datos personales protegido por el art. 18.4 CE. A su vez, la publicación de esa resolución en el “BOE” constituye igualmente un tratamiento de datos personales objeto de dicha protección constitucional.

      En el caso que ahora nos concierne, la remisión por la CNMV a la Agencia Estatal “Boletín Oficial del Estado” de la resolución por la que se acuerda publicar la sanción por infracción muy grave impuesta al recurrente, para su publicación en el “BOE”, se realiza en orden al cumplimiento de fines directamente relacionados con las funciones legítimas de las entidades cedente y cesionaria y cuenta con expresa habilitación legal (art. 304 TRLMV), por lo que no requiere del consentimiento del interesado [art. 11.2 a) LOPD]. En efecto, esa comunicación constituye un tratamiento de datos necesario para el cumplimiento de una obligación legal aplicable a la CNMV (publicar las sanciones por determinadas faltas); de igual modo, la publicación de la sanción en el “BOE” resulta exigible para el organismo editor de este diario oficial conforme a la misma habilitación legal. Ahora bien, la existencia de una base jurídica que legitima el tratamiento, tanto de la comunicación de la resolución como de su ulterior publicación oficial, no exime del cumplimiento del resto de los principios que rigen la protección de datos de carácter personal. Debemos examinar, por consiguiente, si como denuncia la demanda y estima también Ministerio Fiscal, la publicación en el “BOE” de la sanción vulnera el contenido esencial del derecho a la protección de datos personales (art. 18.4 CE), por no respetar los principios de proporcionalidad y temporalidad previstos en la normativa que regula esta materia.

      1. En primer lugar, procede examinar si la publicidad de las sanciones muy graves y graves, conforme dispone el art. 304 TRLMV responde a una finalidad constitucional legítima, y si es idónea, necesaria y proporcionada para alcanzarla.

        Tal y como hemos anticipado en el fundamento jurídico segundo de esta sentencia, esta medida tiene como finalidad primordial garantizar la transparencia de los mercados de valores, la correcta formación de los precios en los mismos y la protección de los inversores, promoviendo la CNMV la difusión de cuanta información sea necesaria para asegurar la consecución de esos fines, así como reforzar el carácter disuasorio de las sanciones frente a infracciones graves y muy graves (art. 17.2 en conexión con los arts. 282.6 y 304 TRLMV). Estamos, por consiguiente, ante finalidades legítimas que están vinculadas con la protección de bienes dignos de protección constitucional, como lo es la libertad de empresa en el marco de la económica de mercado y el deber de los poderes públicos de garantizar y proteger su ejercicio (art. 38 CE). Responde, además, a un interés general de toda la Unión Europea, tal y como pone de relieve el Reglamento EU sobre abuso de mercado, cuyos Considerandos primero y segundo destacan que “[l]a existencia de un auténtico mercado interior de servicios financieros es crucial para el crecimiento económico y la creación de empleo en la Unión”, y que “[e]l buen funcionamiento de los mercados de valores y la confianza del público en los mercados son requisitos imprescindibles para el crecimiento económico y la riqueza. El abuso de mercado daña la integridad de los mercados financieros y la confianza del público en los valores y los instrumentos derivados”. Y la publicación en el “BOE” de los comportamientos más lesivos para la integridad y buen funcionamiento del mercado, conforme prevé el art. 304 TRLMV, es una medida adecuada e idónea para la consecución de tal finalidad.

        Además, no puede afirmarse que la medida responda a esta finalidad de forma desproporcionada a la luz de las siguientes consideraciones:

        (i) El legislador español ha optado, desde la Ley del mercado de valores, por un sistema reforzado de transparencia mediante la articulación de registros administrativos y de publicidad activa de las sanciones más graves a través del “BOE”. El texto refundido de la Ley del mercado de valores prevé, junto a la inclusión de las sanciones en el registro administrativo accesible a través del sitio web de la CNMV (que es el que expresamente exige el Derecho de la Unión Europea), también la difusión en el diario oficial del Estado de las sanciones por infracciones muy graves y graves. No en vano el “BOE” se configura en nuestro ordenamiento como el medio de publicación por excelencia de los actos administrativos (art. 45 Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas y art. 1 Real Decreto 181/2008, de 8 de febrero, de ordenación del diario oficial “Boletín Oficial del Estado”). Se garantiza así la publicidad activa de los comportamientos más perjudiciales para el buen funcionamiento del mercado financiero. De modo que la publicación en el “BOE” de las infracciones muy graves y graves no puede considerarse como innecesaria, tal y como alega el recurrente, por el mero hecho de que exista un registro de sanciones en el sitio web de la CNMV, puesto que estos mecanismos de publicidad tienen diferente alcance y operatividad, y la publicación en el “BOE” garantiza una difusión activa y más amplia de los comportamientos más lesivos para el mercado. De hecho, el legislador español ha mantenido las dos vías de transparencia tras la modificación introducida por el Real Decreto-ley 14/2018 en el texto refundido de la Ley del mercado de valores, si bien incorporando ahora en ambos medios (tanto en la publicación en el sitio web como en el “BOE”), medidas que habilitan a la CNMV a ponderar excepcionalmente, la oportunidad de retrasar la publicación de la sanción u omitir el nombre en aras de la protección de los datos personales en determinados casos concretos. Se mantiene, en definitiva, la publicación de las sanciones en el “BOE” como una herramienta imprescindible en manos de la CNMV para que el organismo regulador lleve a término las funciones que la ley le encomienda.

        (ii) La demanda argumenta también que la publicidad de la sanción en el “BOE” va más allá de lo previsto por la normativa europea sobre “abuso de mercado” que le sirve de cobertura y que, a diferencia de la norma española, permite a las autoridades competentes de los Estados miembros una evaluación caso por caso de la proporcionalidad de la publicación de la identidad de la persona jurídica destinataria de la decisión o de los datos personales de una persona física. El Ministerio Fiscal considera, asimismo, que la publicación en el “BOE” de la sanción ha vulnerado el art. 18.4 CE porque el art. 304 TRLMV no contiene garantías directas de ponderación en relación con la protección de datos, y no aplica tampoco las garantías establecidas para publicación en la página web de la CNMV por el art. 34 del Reglamento EU de abuso de mercado (posteriormente recogidas en el Real Decreto-ley 14/2018 con el fin de incorporar criterios de proporcionalidad para poder anonimizar o prescindir de dicha publicación). Estos argumentos no pueden prosperar por las razones que expondremos a continuación.

        En relación con estas alegaciones hay que recordar, una vez más, que cuando se alega la vulneración de un derecho fundamental cuyo alcance pueda estar parcialmente determinado por el Derecho de la Unión Europea, como ocurre en este proceso, “[l]as exigencias derivadas del Derecho de la Unión no pueden ser irrelevantes a la hora de establecer los márgenes constitucionalmente admisibles de libertad de apreciación política” (STC 1/2012 , de 13 de enero, FJ 9). En este caso, nos encontramos con la disposición de un reglamento, el art. 34 del Reglamento EU de abuso de mercado, en vigor en el momento de publicarse la sanción, y directamente aplicable conforme dispone el art. 288 TFUE. Sin embargo, dicha disposición regula exclusivamente la publicación de las sanciones en el sitio web de las autoridades competentes. La publicación de resoluciones administrativa en boletines oficiales, como es el caso del “BOE”, se rigen por el Derecho interno: en este caso por lo dispuesto entonces en el art. 304 TRLMV, que establece como regla general la publicación en dicho boletín de las infracciones muy graves y graves, en relación con el art. 275 TRLMV, que limita los datos que pueden ser objeto de publicación, y por el Real Decreto 181/2008, de 8 de febrero, de ordenación del diario oficial “Boletín Oficial del Estado”.

        (iii) Procede recordar, además, que conforme a la doctrina constitucional examinada, corresponde al legislador establecer las medidas necesarias para asegurar que las limitaciones al derecho de la protección de datos que establezca en aras de una finalidad legítima de interés general preserven su contenido esencial y sean conformes con el principio de proporcionalidad. Y, tal y como pone de relieve el abogado del Estado, en este caso el legislador adoptó una serie de cautelas dirigidas a garantizar la proporcionalidad de la medida.

        Por una parte, el art. 304 TRLMV no requiere la publicación en el “BOE” de todas las sanciones impuestas por la CNMV, sino tan solo de aquellas impuestas por infracciones muy graves y graves, como es el caso de las infracciones por incumplimiento de las obligaciones de transparencia e integridad del mercado del art. 282 TRLMV, quedando al margen de esta medida aquellas infracciones que revisten un carácter meramente leve. A este argumento hay que añadir que la redacción original del art. 275 TRLMV establecía ya ciertos supuestos en los que la CNMV podía acordar, caso a caso, publicar de manera anónima la sanción impuesta para garantizar “una protección efectiva de los datos de carácter personal en cuestión” (apartado cuarto); en particular, cuando la publicación pudiera causar un “daño desproporcionado” a las entidades o personas físicas implicadas (apartado quinto). Sin embargo, el legislador no extendió tales cautelas a la infracción muy grave tipificada en el apartado sexto del art. 282 TRLMV, por uso de información privilegiada, lo que pone de relieve que el propio legislador ponderó, a la luz de los intereses y derechos en juego, y el importante impacto en el buen funcionamiento de los mercados financieros de este tipo de conductas, procedía en todo caso la difusión de dichas sanciones en el “BOE”. De modo que el legislador estableció de forma precisa los supuestos en los que la imposición por la CNMV de sanciones por la comisión de infracciones muy graves o graves tipificadas lleva aparejada necesariamente su publicación en el “BOE”, a la luz de los intereses generales en juego.

        Por otra parte, el legislador ha limitado el alcance de la información objeto de publicación a lo estrictamente necesario para la consecución de su finalidad. Conforme a lo dispuesto entonces en el art. 275.3 TRLMV, la información publicada se limitó a la parte dispositiva, lo que incluye el tipo y la naturaleza de la infracción y la identidad de la persona física o jurídica sobre la que recae la sanción. Evitando así la difusión de otros datos personales que pudieran figurar en la resolución sancionadora que no eran necesarios para la consecución de los fines que el art. 304 TRLMV persigue. Además, solo se publican una vez hubo ganado firmeza en vía administrativa.

        En definitiva, la aplicación por la CNMV del art. 304 TRLMV responde a una finalidad legítima. Dicha disposición define de forma precisa —en conjunción con el entonces art. 275 TRLMV— los supuestos en los que la imposición de sanciones lleva aparejada una difusión reforzada de la conducta infractora mediante la publicación en el “BOE”, conforme a la ponderación efectuada por el legislador de la proporcionalidad de dicha medida a la luz de su finalidad y de los derechos e intereses en juego, sin que se aprecie en este caso que el legislador haya sobrepasado los límites que impone dicho principio.

      2. Procede examinar, por último, la vulneración del “principio de temporalidad” que alega la demanda.

        Tal y como se ha examinado ya, el art. 4.5 LOPD disponía la cancelación de los datos objeto de tratamiento “cuando hubieran dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados”. El ejercicio del derecho a la cancelación que puede ejercer el interesado conforme al art. 16 LOPD, “dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las administraciones públicas, jueces y tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de estas. Cumplido este plazo dará lugar a la supresión”.

        Desde el 25 de mayo del 2018 este derecho se regula por el Reglamento general de protección de datos de la Unión Europea, cuyo art. 17 regula el derecho de supresión y el “derecho al olvido”. Conforme a su apartado primero: “El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes: a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo”. En cuanto a su apartado segundo, dispone que “el derecho al olvido” se aplica: “Cuando haya hecho públicos los datos personales y esté obligado, en virtud de lo dispuesto en el apartado primero, a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos”.

        Este “derecho al olvido” implica la adaptación al entorno de internet del derecho de supresión o cancelación, y está vinculado, por consiguiente, al principio de temporalidad.

        En la STC 58/2018 , de 4 de junio, FJ 5, pusimos ya de relieve cómo en el Reglamento general de protección de datos de la Unión Europea se ha legislado de forma más clara el derecho a la supresión de los datos personales de una determinada base en donde se hayan introducido, y declaramos que “[e]so, y no otra cosa, es el derecho al olvido. Un derecho a la supresión de los datos personales, existente ya por obra de la Directiva 95/46/CE, estrechamente vinculado con la salvaguardia del derecho fundamental a la protección de datos personales frente al uso de la informática (art. 18.4 CE), y con la protección del artículo 8 de la Carta de los derechos fundamentales de la Unión Europea y del Convenio núm. 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal. Así considerado, el derecho al olvido es una vertiente del derecho a la protección de datos personales frente al uso de la informática (art. 18.4 CE), y es también un mecanismo de garantía para la preservación de los derechos a la intimidad y al honor, con los que está íntimamente relacionado, aunque se trate de un derecho autónomo”.

        También hemos declarado que el reconocimiento expreso del derecho al olvido, como facultad inherente al derecho a la protección de datos personales, y por tanto como derecho fundamental, supone la automática aplicación al mismo de la jurisprudencia relativa a los límites de los derechos fundamentales. Y por tanto, a los límites que pueden encontrarse en los restantes derechos fundamentales y bienes jurídicos constitucionalmente protegidos, conforme a la doctrina examinada (por todas STC 292/2000 , FJ 11). En este caso el bien digno de protección constitucional que actúa como límite del derecho de autodeterminación sobre los propios datos personales es, tal y como hemos puesto ya de manifiesto, la salvaguarda y buen funcionamiento del mercado.

        La Ley Orgánica de protección de datos personales y garantía de los derechos digitales aborda esta cuestión en su art 15, mediante una remisión al Reglamento general de protección de datos de la Unión Europea; incluye, además, en su título X —denominado “Garantía de los derechos digitales”— dos preceptos dedicados al derecho al olvido, los arts. 93 y 94. El primero regula el ejercicio del derecho al olvido en búsquedas de Internet, disponiendo que: “Toda persona tiene derecho a que los motores de búsqueda en Internet eliminen de las listas de resultados que se obtuvieran tras una búsqueda efectuada a partir de su nombre los enlaces publicados que contuvieran información relativa a esa persona cuando fuesen inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e interés público de la información. […] Este derecho subsistirá aun cuando fuera lícita la conservación de la información publicada en el sitio web al que se dirigiera el enlace y no se procediese por la misma a su borrado previo o simultáneo”.

        En el caso que aquí examinamos, la exigencia de que los datos publicados no estén ya disponibles o sean accesibles más allá del tiempo necesario para cumplir con el cometido de la publicación puede satisfacerse, como apreció en su sentencia núm. 403/2019, de 12 de febrero, la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, mediante el ejercicio del derecho al olvido. La obligación de bloqueo de dichos datos personales cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido publicados, puede realizarse sin perjuicio de la conservación de la información publicada en el boletín oficial en cumplimiento del servicio público que presta, manteniéndolos a disposición de los interesados y de las administraciones públicas y los jueces y tribunales, de acuerdo con lo dispuesto en el art. 16.3 LOPD.

        El principio de temporalidad se preserva así, en este caso, mediante el ejercicio del derecho al olvido, regulado en la actualidad en el Reglamento general de protección de datos y en la vigente Ley Orgánica de protección de datos personales y garantía de los derechos digitales, impidiendo el acceso a los datos personales frente a los motores de búsqueda específicos proporcionados por el propio sitio web de la Agencia Estatal del “Boletín Oficial del Estado” en lo que se refiere a la base de datos de este organismo que permite la búsqueda de las normas y actos y anuncios publicados en el “BOE”, o de los buscadores generales de internet basados en la indexación de los contenidos que aparecen en los distintos medios telemáticos, como es el caso de la publicación electrónica del “BOE”, y evitando que a través de una u otra forma de indexación se lleve a cabo la búsqueda y localización de datos personales de personas físicas que aparezcan publicados en dichos medios.

        Partiendo siempre de la premisa de que los documentos publicados en el “BOE”, tanto en su edición electrónica como en papel, tienen la condición de inalterables y, por tanto, no se pueden modificar ni eliminar los datos personales que contengan, y de que el “BOE” tiene la consideración de fuente accesible al público, debe recordarse que la normativa vigente permite al recurrente ejercer el derecho a que los motores de búsqueda en internet eliminen de las listas de resultados que se obtuvieran, tras una búsqueda efectuada a partir de su nombre, los enlaces publicados que contuvieran información relativa a su persona una vez que ya no sean necesarios o pertinentes, teniendo en cuenta la finalidad para la cual fueron tratados los datos personales, el tiempo transcurrido desde la publicación y la naturaleza e interés público de la información. También habrá de tenerse en cuenta, a efectos del ejercicio del derecho al olvido, si una vez digitalizada la resolución sancionadora de la CNMV y vinculada a la base de datos del “BOE”, pudo ser enlazada a motores de búsqueda generales de internet, en el caso de que la Agencia Estatal del “Boletín Oficial del Estado” no haya utilizado protocolos informáticos de exclusión aptos para evitar la indexación de ese documento por parte de los buscadores generales de Internet.

        En consecuencia, no se aprecia en este caso que se haya vulnerado el derecho a la protección de datos personales consagrado en el art. 18.4 CE.

  4. Conclusión

    Por todo cuanto antecede, debemos desestimar este recurso de amparo.

    Es obligado concluir, en primer lugar, que la publicación en el “BOE” de la resolución de 18 de mayo de 2016 por la que se impuso al recurrente una multa por importe de 30 000 € por la comisión de una infracción muy grave de la entonces Ley del mercado de valores, y que disponía su publicación una vez fuera firme en vía administrativa, no vulnera las garantías de los arts. 24.2 y 25 CE que debe respetar la administración cuando ejerce la potestad sancionadora. La publicación de la sanción en el “BOE”, conforme dispone el art. 304 TRLMV, no constituye una sanción per se , sino que se trata de una consecuencia accesoria a la imposición de las sanciones graves prevista por la propia ley cuya finalidad primordial es advertir a los inversores de una actuación que puede afectar al buen funcionamiento del mercado financiero —en particular el abuso del mercado y el uso de información privilegiada—, y garantizar la transparencia y eficacia en la labor de supervisión que lleva a cabo la CNMV; no la de “infligir al infractor un perjuicio”. Por consiguiente, a la resolución por la que se dispone simplemente la publicación dispuesta por el art. 304 TRLMV no le son directa y autónomamente aplicables las garantías de los arts. 24.2 y 25 CE que debe respetar la administración cuando ejerce la potestad sancionadora.

    En segundo lugar, tal publicación no ha vulnerado el derecho fundamental a la protección de datos personales, cuya tutela garantiza el art. 18.4 CE conforme con la doctrina y las disposiciones jurídicas examinadas. La comunicación a la Agencia Estatal “Boletín Oficial del Estado” de la resolución sancionadora emitida por la CNMV para su publicación en el “BOE” y la publicación misma de esa resolución en el diario oficial, constituyen supuestos de tratamiento de datos personales necesarios para el cumplimiento de una obligación legal aplicable tanto a la CNMV como a la Agencia Estatal “Boletín Oficial” del Estado (art. 304 TRLMV), por lo que no requieren el consentimiento del interesado [art. 11.2 a) LOPD]. Existe, pues, una base jurídica que legitima el tratamiento de datos, tanto de la comunicación de la resolución sancionadora al organismo editor del “BOE” como de su ulterior publicación en este diario oficial. Una publicación que, por lo demás, como ya se ha razonado, no infringe los principios de proporcionalidad y temporalidad que rigen en materia de protección de datos de carácter personal. La CNMV actuó en ejercicio de las funciones, conforme a lo dispuesto en los arts. 304 y 275 TRLMV (en las versiones entonces vigentes), los cuales responden a la finalidad legítima de garantizar la transparencia de los mercados de valores, la correcta formación de los precios en los mismos y la protección de los inversores, que está vinculada a la libertad de empresa en el marco de la economía de mercado y con el deber de los poderes públicos de garantizar y proteger su ejercicio (art. 38 CE). Sin que pueda apreciarse que la medida dispuesta por el legislador en el art. 304 TRLMV y su aplicación por la CNMV sea desproporcionada para la consecución de dicha finalidad. Tampoco se aprecia que se haya vulnerado el principio de temporalidad en el tratamiento de los datos personales que figuran en la resolución sancionadora finalmente publicada en el “BOE”, en tanto en cuanto su titular podrá ejercer en su momento el derecho de supresión y olvido.

Fallo

En atención a todo lo expuesto, el Tribunal Constitucional, por la autoridad que le confiere la Constitución de la Nación española, ha decidido desestimar el recurso de amparo interpuesto por don Ramón Agenjo Bosch.

Publíquese esta sentencia en el “Boletín Oficial del Estado”.

Dada en Madrid, a veintiuno de febrero de dos mil veintidós.

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR