Protección de datos: consentimiento del afectado en venta de inmueble litigioso por la Administración


TS - 08/07/2019

Se interpone recurso de casación contra la Sentencia de la AN que desestima el recurso contencioso-administrativo promovido frente a la resolución de la Agencia Española de Protección de Datos dictada en el procedimiento de Declaración de Infracción de Administraciones Públicas, que se confirma por ser ajustada al ordenamiento jurídico.

La cuestión estriba en determinar si el art. 140 LPAP y el art. 49.3 de la Ley 3/2001, de Patrimonio de la Comunidad de Madrid, en el ámbito de un procedimiento de enajenación por la Administración de bienes inmuebles litigiosos pueden constituir una excepción al consentimiento del afectado para el tratamiento de los datos de carácter personal, exigido como regla general por el art. 6.1 y 2 de la LO 15/1999, de Protección de Datos de Carácter Personal (vigente en dicho momento), en el caso de las personas que son parte en el litigio que afecta al bien que se pretende enajenar, y si la difusión en los pliegos de contratación en una página web de la Administración de los nombres y apellidos de dichas personas resulta adecuado y pertinente para la finalidad del procedimiento de enajenación, en los términos del art. 4.1 de la misma Ley Orgánica.

El TS, dando respuesta a la cuestión planteada, que presenta interés casacional objetivo para la formación de jurisprudencia, declara que el art. 6 LOPD, debe interpretarse en el sentido de que en los supuestos de venta de bienes inmuebles litigiosos, por concurso o subasta, regulados en la LPAP es preciso que la Administración actuante recabe el consentimiento de las personas afectadas (titulares de derechos arrendaticios incursos en procedimientos judiciales), con carácter previo a proceder a publicar las bases de la convocatoria del concurso o el pliego de condiciones en abierto en la página web de la Administración correspondiente, cuando se incluyan además de la descripción física y jurídica del bien o derecho objeto de la venta, datos de carácter personal identificadores o susceptibles de identificar a las personas físicas afectadas, que no son necesarios o imprescindibles para el ejercicio de funciones públicas, evitando así incurrir en la infracción tipificada en el art. 44.3 LOPD, que considera infracción grave tratar los datos de carácter personal con conculcación de los principios y garantías establecidos en dicha ley.

Entiende el TS que la conducta de la actora fue desproporcionada, en la medida en que la revelación de datos personales a través de la publicación de los pliegos de condiciones en el BOE y en abierto en la página web de la Comunidad Autónoma, excedió de lo necesario para cumplir las previsiones de publicidad y transparencia establecidas en el art. 140 LPAP, puesto que podía haberse efectuado la divulgación de dicha información mediante el acceso telemático restringido a los licitadores en la segunda fase del procedimiento de contratación o en el momento de la adjudicación, cumpliendo de esa forma lo previsto en el art. 49.3 de la Ley 3/2001.

En consecuencia, el TS rechaza la pretensión revocatoria deducida y declara no haber lugar al recurso de casación interpuesto por la actora contra la Sentencia de la Audiencia Nacional.

Tribunal Supremo 3, 8-07-2019
, nº 1007/2019, rec.1966/2018,  

Procedimiento:

Pte: Bandrés Sánchez-Cruzat, José Manuel

ECLI: ES:TS:2019:2336

ANTECEDENTES DE HECHO 

En el proceso contencioso-administrativo número 1558/2015, la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional dictó sentencia el 1 de diciembre de 2017 , cuyo fallo dice literalmente:

"DESESTIMAR el recurso contencioso-administrativo promovido por el Letrado de la COMUNIDAD DE MADRID, frente a la resolución de la Agencia Española de Protección de Datos, de 16 de abril de 2015, dictada en el procedimiento de Declaración de Infracción de Administraciones Públicas AP/00030/2014, que se confirma por ser ajustada al ordenamiento jurídico.".

El pronunciamiento desestimatorio del recurso contencioso-administrativo se basó en la exposición de las siguientes consideraciones jurídicas:

"[...] Por lo que respecta a la cuestión de fondo, hemos de comenzar precisando que el procedimiento instruido por la Agencia Española de Protección de Datos, es el previsto en el articulo 46 de la LOPD , que dispone lo siguiente:

" 1. Cuando las infracciones a que se refiere el articulo 44 fuesen cometidas en ficheros de titularidad pública o en relación con tratamientos cuyos responsables lo serían de ficheros de dicha naturaleza, el órgano sancionador dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción...

2. El órgano sancionador podrá proponer también la iniciación de actuaciones disciplinarias si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones Públicas".

3. Se deberán comunicar al órgano sancionador las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.

4.- El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efectúe y las resoluciones que dicte al amparo de los apartados anteriores"

Atendiendo al contenido del expresado precepto, procede en primer término rechazar la petición de la codemandada, respecto a la imposición de una sanción económica de 100.000 euros por cada uno de los denunciantes, ya que no está previsto en la ley ese tipo de sanciones.

En el supuesto que se enjuicia, la AEPD fundamenta su resolución en el art. 4.1 de la ley, en cuanto a que los datos de carácter personal solo se pueden recoger para su tratamiento cuando sean adecuados, pertinentes y no excesivos, en relación con la finalidad concreta, explicita y legitima para la que se hayan obtenido, así como en el principio de pertinencia en el tratamiento de los datos, que impide el tratamiento de aquellos que no sean necesarios o proporcionados a la finalidad que justifica el tratamiento, debiendo restringirse el tratamiento de los datos excesivos o bien procederse a la supresión de los mismos.

En virtud de este criterio, considera la AEPD que la exposición en abierto con la precisión de los nombres y apellidos, se considera no necesaria ni pertinente al fin pretendido, pues se podría haber disociado el dato sin contenerse los nombres y apellidos ni el piso y la puerta de la dirección de la vivienda en el listado del Anexo VIII, habiendo sido lo correcto consignar las viviendas con una referencia identificativa genérica y su eventual situación procesal, sin necesidad de identificarlas con nombres y apellidos.

Por ello, entiende la Agencia que resultaba innecesario que se realizara en el momento de la divulgación del pliego de condiciones en abierto a través de Internet, pudiendo hacerse efectivo de forma restringida en DATA ROOM accesible para los licitadores o en el momento de la adjudicación, cumpliendo de esta forma lo previsto en el art. 49.3 de la Ley de Patrimonio de la Comunidad de Madrid .

[...] La Sala comparte el criterio expuesto, pues lo cierto es que las obligaciones de publicidad y trasparencia de la actuación pública y muy especialmente en los procedimientos de ventas patrimoniales como se da en el presente supuesto, deben siempre ser aplicados de una forma armónica con el resto del ordenamiento jurídico, y por más que los preceptos que la recurrente invoca le exijan hacer mención expresa y detallada del objeto, partes y litigio concreto, dicha publicidad no era preciso que se realizara en abierto y por lo tanto accesible a cualquiera, sino que se trata de una información que solo es precisa para el conocimiento de los licitadores o en el momento de la adjudicación.

En resumen, los hechos consisten en que en un procedimiento de enajenación de 32 promociones (viviendas en arrendamiento y en arrendamiento con opción de compra, garajes, trasteros y locales) pertenecientes al Instituto de la Vivienda de Madrid, publicada en el Boletín Oficial de la Comunidad de Madrid (BOCAM), el 7 de junio de 2013, el Pliego de contratación con todos los Anexos fue publicado en el perfil del contratante, en abierto, y en la página web de la Comunidad de Madrid, en fecha 7 de junio de 2013, y estuvo disponible durante 19 días. La documentación que se podía descargar contenía datos relativos a viviendas y locales ( Anexo I), así como relación de procedimientos litigiosos en donde figuraban 41 vivienda de arrendatarios encartados en diversos procedimientos judiciales ( Anexo VIII). En la información relativa a la dirección de la vivienda aparecía el nombre y apellidos de los inquilinos, aunque no su DNI.

Considera la Sala, que era innecesario en ese primer momento de divulgación del Pliego de condiciones, que los datos personales de los arrendatarios implicados con sus datos personales identificativos se pusieran en conocimiento de forma libre y en abierto, pues no es esa la exigencia de la Ley que la recurrente invoca, sino que podía perfectamente cumplir con el mandato legal, publicando tales datos de forma restringida y solo accesible a los licitadores o en el momento de la licitación. Estima la Sala que los datos personales de los inquilinos no eran relevantes para que fueran accesibles de forma tan amplia como se hizo por parte de la Comunidad de Madrid, constituyendo, por tanto una divulgación excesiva y no pertinente.

En consecuencia, debemos desestimar la presente demanda y confirmar la resolución impugnada, en la que, reiteramos, lo que se sanciona no es el hecho simplemente de haber incluido datos personales de los arrendatarios, sino el momento en que se hace, cuando se publica el Pliego de condiciones en el BOCAM, y la forma, en abierto y sin restricciones vía internet, cuando la recurrente podía perfectamente haber cumplido el mandato legal, publicando dichos datos, de forma más restringida y solamente a los interesados.".

Contra la referida sentencia preparó el letrado de la COMUNIDAD DE MADRID recurso de casación, que la Sección Primera de la Sala de lo Contencioso- Administrativo de la Audiencia Nacional tuvo por preparado mediante Auto de 8 de marzo de 2018 que, al tiempo, ordenó remitir las actuaciones al Tribunal Supremo, previo emplazamiento de los litigantes.

Recibidas las actuaciones y personadas las partes, la Sección Primera de la Sala de lo Contencioso-Administrativo del Tribunal Supremo, dictó Auto el 15 de octubre de 2018 , cuya parte dispositiva dice literalmente:

"1º) Admitir a trámite el recurso de casación preparado por el Letrado de la Comunidad de Madrid contra la sentencia de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de fecha 1 de diciembre de 2017, dictada en el recurso contencioso-administrativo número 1558/2015 .

2.º) Declarar que las cuestiones planteadas en el recurso que presentan interés casacional objetivo para la formación de la jurisprudencia consisten, en determinar si los artículos 140 de la Ley 33/2003, de 3 de noviembre, de Patrimonio de las Administraciones Públicas ; y artículo 49.3 de la Ley 3/2001, de 26 de junio, de Patrimonio de la Comunidad de Madrid , en el ámbito de un procedimiento de enajenación por la Administración de bienes inmuebles litigiosos pueden constituir una excepción al consentimiento del afectado para el tratamiento de los datos de carácter personal, exigido como regla general por el artículo 6.1 y 2 de la Ley Orgánica 18/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , en el caso de las personas que son parte en el litigio que afecta al bien que se pretende enajenar; y si la difusión en los pliegos de contratación en una página web de la Administración de los nombres y apellidos de dichas personas resulta adecuado y pertinente para la finalidad del procedimiento de enajenación, en los términos del artículo 4.1 de la misma Ley Orgánica.

3.º) Identificar como normas jurídicas que, en principio, serán objeto de interpretación: los artículos 4.1 y 6, apartados 1 y 2 de Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal ; el artículo 140 de la Ley 33/2003, de 3 de noviembre, de Patrimonio de las Administraciones Públicas ; y el artículo 49.3 de la Ley 3/2001, de 26 de junio, de Patrimonio de la Comunidad de Madrid .

4º) Se ordena publicar este Auto en la página web del Tribunal Supremo, haciendo referencia al mismo.

5.º) Comunicar inmediatamente a la Sala de instancia la decisión adoptada en este auto.

6.º) Para la sustanciación del recurso, remítanse las actuaciones a la Sección tercera de esta Sala Tercera, a la que corresponde con arreglo a las normas sobre reparto de asuntos.".

Por diligencia de ordenación de 29 de octubre de 2018, se acuerda que, recibidas las presentes actuaciones procedentes de la Sección Primera de esta Sala de lo Contencioso-Administrativo del Tribunal Supremo, y una vez transcurra el plazo de treinta días que el artículo 92.1 de la Ley de esta Jurisdicción establece para la presentación del escrito de interposición del recurso de casación, se acordará. El letrado de la COMUNIDAD DE MADRID presentó escrito de interposición del recurso de casación el 11 de diciembre de 2018, en el que tras exponer los motivos de impugnación que consideró oportunos, lo concluyó con el siguiente SUPLICO:

"Que teniendo por presentado este escrito, se sirva admitirlo tenga por interpuesto en plazo recurso de casación frente a la Sentencia de 1 de diciembre de 2016 (sic), dictada por la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional , dictada en el Procedimiento Ordinario nº 1588/2015 (sic) y a la vista de lo expuesto, dicte en su día Sentencia por la que estimando el presente recurso anule y deje sin efecto la Sentencia recurrida, confirmando la anulación de la resolución de la Agencia Española de Protección de datos de fecha 16 de abril de 2015.".

Por Providencia de 12 de diciembre de 2018, se tiene por interpuesto recurso de casación, y se acuerda dar traslado del escrito de interposición a las partes recurridas y personadas, la ADMINISTRACIÓN DEL ESTADO y don José Y OTROS, para que puedan oponerse al recurso en el plazo de treinta días, lo que efectuaron con el siguiente resultado:

1º.- La procuradora doña Silvia de la Fuente Bravo, en escrito presentado el 30 de enero de 2019, efectuó las manifestaciones que consideró oportunas lo concluyó con el siguiente SUPLICO:

"Que teniendo por presentado este escrito, se sirva admitirlo, se tenga por formulada OPOSICIÓN CONTRA EL RECURSO DE CASACIÓN, solicitando la confirmación de la Sentencia de 1 de diciembre de 2016, dictada por la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional , dictada en el Procedimiento Ordinario nº 1588/2015 (sic), así como confirmar la Resolución de la Agencia Española de Protección de Datos.".

2º.- El Abogado del Estado, en escrito presentado el 31 de enero de 2019, efectuó, asimismo, las manifestaciones que consideró oportunas lo concluyó con el siguiente SUPLICO:

"que teniendo por presentado este escrito en soporte y forma electrónicas, lo admita, y, con la tramitación legal correspondiente, resuelva este recurso por medio de sentencia que LO DESESTIME con la consecuencia de confirmar la sentencia recurrida, ello conforme a la interpretación que ha sido defendida en este escrito deoposición.

Por Otrosí Primero manifiesta que no es imprescindible la vista recogida en el artículo 92.6 LJCA .".

Por providencia de 4 de junio de 2019, se designa Magistrado Ponente al Excmo. Sr. D. Jose Manuel Bandres Sanchez-Cruzat, y se señala para la vista pública de este recurso, el día 2 de julio de 2019, fecha en que tuvo lugar el acto, prosiguiendo a continuación la deliberación.

FUNDAMENTOS DE DERECHO 

Sobre el objeto y el planteamiento del recurso de casación: El asunto litigioso y la sentencia impugnada dictada por la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 1 de diciembre de 2017 .

El recurso de casación que enjuiciamos, interpuesto por el letrado de la COMUNIDAD DE MADRID, al amparo del artículo 86 y siguientes de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa , en la redacción introducida por la disposición final de la Ley Orgánica 772015, de 21 de julio, por la que se modifica la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, tiene por objeto la pretensión de que se revoque la sentencia de la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 1 de diciembre de 2017 , que desestimó el recurso contencioso-administrativo formulado contra la resolución del Director de la Agencia de Protección de Datos de 16 de abril de 2015, que declara que el Instituto de la Vivienda de Madrid (Consejería de Transportes, Infraestructuras y Vivienda de la Comunidad de Madrid), ha infringido lo dispuesto en el artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , tipificada como grave en el artículo 44.3 d) de la citada Ley Orgánica.

La sentencia impugnada, cuya fundamentación jurídica hemos transcrito en los antecedentes de hecho de esta sentencia, comparte el criterio de la Agencia Española de Protección de Datos, respecto de que, en este supuesto, en que la divulgación de los datos personales de los arrendatarios de viviendas y locales propiedad del Instituto de la Vivienda de Madrid (Consejería de Transportes, Infraestructuras y Vivienda de la Comunidad de Madrid), así como la dirección de los mismos en el Boletín Oficial del Estado y en la página web de la Comunidad de Madrid, en el marco de un procedimiento de enajenación de 32 promociones, era innecesaria en un primer momento, pues cabía una divulgación mas restringida a través de DATA Room, accesible solo a los licitadores, o bien, en el momento de la adjudicación, cumpliendo de esta forma lo previsto en el artículo 49.3 de la Ley de Patrimonio de la Comunidad de Madrid .

El recurso de casación se fundamenta en la infracción del artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , pues - según se expone- no es sencillo imaginar un supuesto tan claro de excepción al consentimiento del interesado, en la medida que el artículo 140 de la Ley 33/2003, de 26 de junio, de Patrimonio de las Administraciones Públicas , dispone que "en el caso de venta por concurso o por subasta, en el pliego de bases se hará mención expresa detallada del objeto, partes y referencia del litigio concreto que afecta al bien".

Se aduce, al respecto, que es por tanto la legislación patrimonial aplicable al contrato de enajenación de 32 promociones la que exige de forma indubitada y expresa que en el Pliego de Condiciones se haga mención detallada del objeto, partes y referencia del litigio concreto que afecta al bien.

Se alega que la conducta realizada por el Instituto de la Vivienda de Madrid tenía encaje legal en el primer inciso del artículo 6.2 de la Ley Orgánica de Protección de Datos , que dispone que "no será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley , o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado".

Sobre el marco normativo aplicable y la doctrina jurisprudencial que resulta relevante para resolver el recurso de casación.

Antes de abordar las cuestiones jurídicas planteadas por la parte recurrente, respecto de si, en los supuestos de enajenación por la Administración de bienes inmuebles litigiosos de su patrimonio, constituye una excepción al consentimiento del afectado para el tratamiento de los datos de carácter personal, según se infiere de lo dispuesto en el artículo 140 de la Ley 33/2003, de 3 de noviembre, de Patrimonio de las Administraciones Públicas ; y el artículo 49.3 de la Ley 3/2001, de 26 de junio, de Patrimonio de la Comunidad de Madrid , procede recordar el marco jurídico aplicable, así como la doctrina jurisprudencial formulada respecto del alcance y límites del derecho a la protección de datos de carácter personal.

A) El Derecho estatal .

En el artículo 18.4 de la Constitución española de 27 de diciembre de 1978 se establece que "la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos".

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal traspone a nuestro Derecho la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

El artículo 4 de la citada Ley Orgánica 15/1999, de 13 de diciembre , bajo la rúbrica "Calidad de datos", establece:

"1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.

3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.

4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16.

5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.

Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.

6. Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.

7. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.".

El artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre , bajo la rúbrica "Consentimiento del afectado", dispone:

"1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.

4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.".

Por su parte, el artículo 46 de la citada Ley Orgánica 15/1999 , dispone:

"1. Cuando las infracciones a que se refiere el artículo 44 fuesen cometidas en ficheros de los que sean responsables las Administraciones públicas, el Director de la Agencia de Protección de Datos dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera.

2. El Director de la Agencia podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones públicas.

3. Se deberán comunicar a la Agencia las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.

4. El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efectúe y las resoluciones que dicte al amparo de los apartados anteriores.".

El artículo 42 de la Ley 30/2007, de 30 de octubre, de Contratos del Sector Público , regula el perfil del contratante en los siguientes términos:

"1. Con el fin de asegurar la transparencia y el acceso público a la información relativa a su actividad contractual, y sin perjuicio de la utilización de otros medios de publicidad en los casos exigidos por esta Ley o por las normas autonómicas de desarrollo o en los que así se decida voluntariamente, los órganos de contratación difundirán, a través de Internet, su perfil de contratante. La forma de acceso al perfil de contratante deberá especificarse en las páginas Web institucionales que mantengan los entes del sector público, en la Plataforma de Contratación del Estado y en los pliegos y anuncios de licitación.

2. El perfil de contratante podrá incluir cualesquiera datos e informaciones referentes a la actividad contractual del órgano de contratación, tales como los anuncios de información previa contemplados en el artículo 125, las licitaciones abiertas o en curso y la documentación relativa a las mismas, las contrataciones programadas, los contratos adjudicados, los procedimientos anulados, y cualquier otra información útil de tipo general, como puntos de contacto y medios de comunicación que pueden utilizarse para relacionarse con el órgano de contratación. En todo caso deberá publicarse en el perfil de con-tratante la adjudicación provisional de los contratos.

3. El sistema informático que soporte el perfil de con-tratante deberá contar con un dispositivo que permita acreditar fehacientemente el momento de inicio de la difusión pública de la información que se incluya en el mismo.

4. La difusión a través del perfil de contratante de la información relativa a los procedimientos de adjudicación de contratos surtirá los efectos previstos en el Título I del Libro III.".

El artículo 140 de la Ley 33/2003, de 3 de noviembre, del Patrimonio de las Administraciones Públicas , bajo la rúbrica "Enajenación de inmuebles litigiosos", dispone:

"1. Podrán enajenarse bienes litigiosos del Patrimonio del Estado siempre que en la venta se observen las siguientes condiciones:

a) En el caso de venta por concurso o por subasta, en el pliego de bases se hará mención expresa y detallada del objeto, partes y referencia del litigio concreto que afecta al bien y deberá preverse la plena asunción, por quien resulta adjudicatario, de los riesgos y consecuencias que se deriven del litigio.

b) En los supuestos legalmente previstos de venta directa deberá constar en el expediente documentación acreditativa de que el adquirente conoce el objeto y el alcance del litigio y que conoce y asume las consecuencias y riesgos derivados de tal litigio.

En ambos casos, la asunción por el adquirente de las consecuencias y riesgos derivados del litigio figurará necesariamente en la escritura pública en que se formalice la enajenación.

2. Si el litigio se plantease una vez iniciado el procedimiento de enajenación y éste se encontrase en una fase en la que no fuera posible el cumplimiento de lo establecido en el apartado anterior, se retrotraerán las actuaciones hasta la fase que permita el cumplimiento de lo indicado en los citados números.

3. El bien se considerará litigioso desde que el órgano competente para la enajenación tenga constancia formal del ejercicio, ante la jurisdicción que proceda, de la acción correspondiente y de su contenido.".

El artículo 49.1 de la Ley 3/2001, de 21 de junio, de Patrimonio de la Comunidad Autónoma de Madrid , bajo la rúbica "Enajenación de bienes y derechos a título oneroso", establece:

"1. Los bienes y derechos que constituyen el dominio privado de la Comunidad de Madrid, cuando no sean necesarios para el ejercicio de sus funciones, podrán ser enajenados.

2. La enajenación de esos bienes y derechos se efectuará mediante subasta, salvo que en la presente Ley se establezca otra cosa.

La subasta versará sobre un tipo expresado en dinero con adjudicación al licitador que oferte el precio más alto.

3. No podrá promoverse la enajenación de los bienes que se hallaren en litigio. Si se suscitase después de iniciado el procedimiento de enajenación, éste que-dará provisionalmente suspendido.".

B) El Derecho de la Unión Europea.

El artículo 16.1 del Tratado de Funcionamiento de la Unión Europea prescribe:

"Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.".

El artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea , bajo la rúbrica "Protección de datos de carácter personal", dispone:

"1. Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan. 2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación. 3 .El respeto de estas normas quedar· sujeto al control de una autoridad independiente.".

La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos, en la Sección dedicada a enunciar los principios relativos a la legitimación del tratamiento de datos, establece:

"Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si:

a) el interesado ha dado su consentimiento de forma inequívoca, o

b) es necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado, o

c) es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o

d) es necesario para proteger el interés vital del interesado, o

e) es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos, o

f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.".

Previamente, en el artículo 6 de la Directiva, referido a los principios relativos a la validez de los datos, se dispone:

"1. Los Estados miembros dispondrán que los datos personales sean:

a) tratados de manera leal y lícita;

b) recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dicho fines; no se considerará incompatible el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuanto los Estados miembros establezcan las garantías oportunas;

c) adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente;

d) exactos y, cuando sea necesario, actualizados; deberán tomarse todas las medidas razonables para que los datos inexactos o incompletos, con respecto a los fines para los que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o rectificados;

e) conservados en una forma que permita la identificación de los interesados durante un periodo no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente. Los Estados miembros establecerán las garantías apropiadas para los datos personales archivados por un periodo más largo del mencionado, con fines históricos, estadísticos o científicos.

2. Corresponderá a los responsables del tratamiento garantizar el cumplimiento de lo dispuesto en el apartado 1.".

C) El Convenio del Consejo de Europa para la protección de datos de carácter personal.

El Convenio del Consejo de Europa de 28 de enero de 1981, para la protección de datos de carácter personal, en el Capítulo II establece los principios básicos para la protección de datos, en los siguientes términos:

"Artículo 4. Compromisos de las Partes

1. Cada Parte tomará, en su derecho interno, las medidas necesarias para que sean efectivos los principios básicos para la protección de datos enunciados en el presente capítulo.

2. Dichas medidas deberán adoptarse a más tardar en el momento de la entrada en vigor del presente Convenio con respecto a dicha Parte.

Artículo 5. Calidad de los datos

Los datos de carácter personal que sean objeto de un tratamiento automatizado:

a) Se obtendrán y tratarán leal y legítimamente;

b) se registrarán para finalidades determinadas y legítimas, y no se utilizarán de una forma incompatible con dichas finalidades;

c) serán adecuados, pertinentes y no excesivos en relación con las finalidades para las cuales se hayan registrado;

d) serán exactos y si fuera necesario puestos al día;

e) se conservarán bajo una forma que permita la identificación de las personas concernidas durante un período de tiempo que no exceda del necesario para las finalidades para las cuales se hayan registrado.

Artículo 6. Categorías particulares de datos

Los datos de carácter personal que revelen el origen racial, las opiniones políticas, las convicciones religiosas u otras convicciones, así como los datos de carácter personal relativos a la salud o a la vida sexual, no podrán tratarse automáticamente a menos que el derecho interno prevea garantías apropiadas. La misma norma regirá en el caso de datos de carácter personal referentes a condenas penales.

Artículo 7. Seguridad de los datos

Se tomarán medidas de seguridad apropiadas para la protección de datos de carácter personal registrados en ficheros automatizados contra la destrucción accidental o no autorizada, o la pérdida accidental, así como contra el acceso, la modificación o la difusión no autorizados.

Artículo 8. Garantías complementarias para la persona concernida

Cualquier persona deberá poder:

a) Conocer la existencia de un fichero automatizado de datos de carácter personal, sus finalidades principales, así como la identidad y la residencia habitual o el establecimiento principal de la autoridad controladora del fichero;

b) obtener a intervalos razonables y sin demora o gastos excesivos la confirmación de la existencia o no en el fichero automatizado de datos de carácter personal que conciernan a dicha persona, así como la comunicación de dichos datos en forma inteligible;

c) obtener, llegado el caso, la rectificación de dichos datos o el borrado de los mismos, cuando se hayan tratado con infracción de las disposiciones del derecho interno que hagan efectivos los principios básicos enunciados en los artículos 5 y 6 del presente Convenio;

d) disponer de un recurso si no se ha atendido a una petición de confirmación o, si así fuere el caso, de comunicación, de ratificación o de borrado, a que se refieren los párrafos b) y c) del presente artículo.

Artículo 9. Excepción y restricciones.

1. No se admitirá excepción alguna en las disposiciones de los artículo 5, 6 y 8 del presente Convenio, salvo que sea dentro de los límites que se definen en el presente artículo.

2. Será posible una excepción en las disposiciones de los artículos 5 , 6 y 8 del presente Convenio cuando tal excepción, prevista por la ley de la Parte , constituya una medida necesaria en una sociedad democrática:

a) Para la protección de la seguridad del Estado, de la seguridad pública, para los intereses monetarios del Estado o para la represión de infracciones penales;

b) para la protección de la persona concernida y de los derechos y libertades de otras personas.

3. Podrán preverse por la ley restricciones en el ejercicio de los derechos a que se refieren los párrafos b), c) y d) del artículo 8 para los ficheros automatizados de datos de carácter personal que se utilicen con fines estadísticos o de investigación científica, cuando no existan manifiestamente riesgos de atentado a la vida privada de las personasconcernidas.

Artículo 10. Sanciones y recursos

Cada Parte se compromete a establecer sanciones y recursos convenientes contra las infracciones de las disposiciones de derecho interno que hagan efectivos los principios básicos para la protección de datos enunciados en el presente capítulo.

Artículo 11. Protección más amplia.

Ninguna de las disposiciones del presente capítulo se interpretará en el sentido de que limite la facultad, o afecte de alguna otra forma a la facultad de cada Parte, de conceder a las personas concernidas una protección más amplia que la prevista en el presente Convenio.".

D) La doctrina del Tribunal Constitucional.

El Tribunal Constitucional, en la sentencia 254/1993, de 20 de julio , ha interpretado que el derecho a la protección de los datos personales es un derecho independiente que protege el derecho a la libertad frente a las potenciales vulneraciones del derecho a la dignidad humana o el derecho al honor y a la intimidad provenientes de un uso ilegítimo del tratamiento de datos mecanizados, y que tiene un contenido punitivo en forma de derecho de control sobre los datos relativos a la propia persona:

"[...] Dispone el art. 18.4 C.E . que "la Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos". De este modo, nuestra Constitución ha incorporado una nueva garantía constitucional, como forma de respuesta a una nueva forma de amenaza concreta a la dignidad y a los derechos de la persona, de forma en último término no muy diferente a como fueron originándose e incorporándose históricamente los distintos derechos fundamentales. En el presente caso estamos ante un instituto de garantía de otros derechos, fundamentalmente el honor y la intimidad, pero también de un instituto que es, en sí mismo, un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos, lo que la Constitución llama "la informática".

[...]

Un primer elemento, el más "elemental", de ese contenido, es, sin duda, negativo, respondiendo al enunciado literal del derecho: El uso de la informática encuentra un límite en el respeto al honor y la intimidad de las personas y en el pleno ejercicio de sus derechos. Ahora bien, la efectividad de ese derecho puede requerir inexcusablemente de alguna garantía complementaria, y es aquí donde pueden venir en auxilio interpretativo los tratados y convenios internacionales sobre esta materia suscritos por España. Pues, como señala el Ministerio Fiscal, la garantía de la intimidad adopta hoy un contenido positivo en forma de derecho de control sobre los datos relativos a la propia persona. La llamada "libertad informática" es, así, también, derecho a controlar el uso de los mismos datos insertos en un programa informático ( habeas data ).

En este sentido, las pautas interpretativas que nacen del Convenio de protección de datos personales de 1981 conducen a una respuesta inequívocamente favorable a las tesis del demandante de amparo. La realidad de los problemas a los que se enfrentó la elaboración y la ratificación de dicho tratado internacional, así como la experiencia de los países del Consejo de Europa que ha sido condensada en su articulado, llevan a la conclusión de que la protección de la intimidad de los ciudadanos requiere que éstos puedan conocer la existencia y los rasgos de aquellos ficheros automatizados donde las Administraciones Públicas conservan datos de carácter personal que les conciernen, así como cuáles son esos datos personales en poder de las autoridades.

[...]

Toda la información que las Administraciones Públicas recogen y archivan, ha de ser necesaria para el ejercicio de las potestades que les atribuye la Ley, y ha de ser adecuada para las legítimas finalidades previstas por ella, como indicamos en la STC 110/1984 , especialmente fundamentos jurídicos 3.º y 8.º, pues las instituciones públicas, a diferencia de los ciudadanos, no gozan del derecho fundamental a la libertad de expresión que proclama el art. 20 C.E . ( STC 185/1989 , fundamento jurídico 4.º 4, y ATC 19/1993 ). Los datos que conservan las Administraciones son utilizados luego por sus distintas autoridades y organismos en el desempeño de sus funciones, desde el reconocimiento del derecho a prestaciones sanitarias o económicas de la Seguridad Social hasta la represión de las conductas ilícitas, incluyendo cualquiera de la variopinta multitud de decisiones con que los poderes públicos afectan la vida de los particulares.

Esta constatación elemental de que los datos personales que almacena la Administración son utilizados por sus autoridades y sus servicios impide aceptar la tesis de que el derecho fundamental a la intimidad agota su contenido en facultades puramente negativas, de exclusión. Las facultades precisas para conocer la existencia, los fines y los responsables de los ficheros automatizados dependientes de una Administración pública donde obran datos personales de un ciudadano son absolutamente necesarias para que los intereses protegidos por el art. 18 C.E ., y que dan vida al derecho fundamental a la intimidad, resulten real y efectivamente protegidos. Por ende, dichas facultades de información forman parte del contenido del derecho a la intimidad, que vincula directamente a todos los poderes públicos, y ha de ser salvaguardado por este Tribunal, haya sido o no desarrollado legislativamente (STC 11/1981 , fundamento jurídico 8.º, y 101/1991 , fundamento jurídico 2.º).".

En la precedente sentencia constitucional 94/1998, de 4 de mayo, se afirmaba, en este mismo sentido, que el derecho fundamental a la protección de los datos personales garantiza a la persona el control sobre sus datos, cualesquiera datos personales, y sobre su uso y destino, para evitar el tráfico ilícito de los mismos o lesivo para la dignidad y los derechos de los afectados; de esta forma, el derecho a la protección de datos se configura como una facultad del ciudadano para oponerse a que determinados datos personales sean usados para fines distintos a aquél que justificó su obtención.

Asimismo, en la sentencia constitucional 292/2000, de 30 de noviembre, se afirma:

"[...] el art. 18.4 CE contiene, en los términos de la STC 254/1993 , un instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los restantes derechos de los ciudadanos que, además, es en sí mismo "un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos, lo que la Constitución llama la informática", lo que se ha dado en llamar "libertad informática" (...) Este derecho fundamental a la protección de datos, a diferencia del derecho a la intimidad del art. 18.1 CE , con quien comparte el objetivo de ofrecer una eficaz protección constitucional de la vida privada personal y familiar, atribuye a su titular un haz de facultades que consiste en su mayor parte en el poder jurídico de imponer a terceros la realización u omisión de determinados comportamientos cuya concreta regulación debe establecer la Ley, aquella que conforme al art. 18.4 CE debe limitar el uso de la informática, bien desarrollando el derecho fundamental a la protección de datos ( art. 81.1 CE ), bien regulando su ejercicio ( art. 53.1 CE ). La peculiaridad de este derecho fundamental a la protección de datos respecto de aquel derecho fundamental tan afín como es el de la intimidad radica, pues, en su distinta función, lo que apareja, por consiguiente, que también su objeto y contenido difieran (...)

[...] De este modo, el objeto de protección del derecho fundamental a la protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está la protección que el art. 18.1 CE otorga, sino los datos de carácter personal. Por consiguiente, también alcanza a aquellos datos personales públicos, que por el hecho de serlo, de ser accesibles al conocimiento de cualquiera, no escapan al poder de disposición del afectado porque así lo garantiza su derecho a la protección de datos. También por ello, el que los datos sean de carácter personal no significa que sólo tengan protección los relativos a la vida privada o íntima de la persona, sino que los datos amparados son todos aquellos que identifiquen o permitan la identificación de la persona, pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para el individuo.".

Y, en el fundamento jurídico séptimo de esta sentencia constitucional se señala que:

"[...] De todo lo dicho resulta que el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos..."

E) La doctrina jurisprudencial del Tribunal Supremo.

En la sentencia de la Sala de lo Contencioso-Administrativo del Tribunal Supremo 12/2019 (RC 5579/2017 ), en relación al interés legítimo de los internautas a tener acceso a una información en cuestión, se dice:

"[...] En el artículo 11 de la Carta Derechos Fundamentales de la Unión Europea se proclaman la libertad de expresión y de información en los siguientes términos: "1. Toda persona tiene derecho a la libertad de expresión. Este derecho comprende la libertad de opinión y la libertad de recibir o de comunicar informaciones o ideas sin que pueda haber injerencia de autoridades públicas y sin consideración de fronteras. 2. Se respetan la libertad de los medios de comunicación y su pluralismo."

El Tribunal de Justicia de la Unión Europea, interpretando la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en la sentencia de 13 de mayo de 2014, (asunto C-131/12 ) ha señalado que el tratamiento de datos personales efectuado por el gestor de un motor de búsqueda de internet puede afectar significativamente a los derechos fundamentales de respeto a la vida privada y la protección de los datos personales cuando la búsqueda se lleva a cabo a partir del nombre de una persona física, toda vez que dicho tratamiento permite a cualquier interesado conocer mediante la lista de resultados la visión estructurada de la información relativa a esa persona en internet, que afecta potencialmente a una multitud de aspectos de su vida privada. El Tribunal de Justicia mantiene que, la supresión de vínculos de la lista de resultados a partir del nombre de la persona física afectada por la difusión de la noticia podría tener repercusión en el interés legítimo de los internautas interesados potencialmente en tener acceso a la información en cuestión, por lo que es necesario buscar un justo equilibrio entre este interés y el derecho fundamental de la persona afectada con arreglo a los artículos 7 y 8 de la Carta de Derechos Fundamentales de la Unión Europea .

Aunque con carácter general,- matiza el Tribunal de Justicia- prevalece estos derechos personalísimos sobre el mencionado interés de los internautas, lograr ese equilibrio puede depender de la naturaleza de la información de que se trate, y el carácter sensible de la información para la vida privada de la persona afectada y del interés del público en disponer de esa información, que puede variar, en particular, en función del papel que dicha persona desempeñe en la vida pública.".

En la sentencia de la Sala Civil del Tribunal Supremo 796/2016, de 1 de marzo de 2016 (R 908/2015 ), se sostiene:

"[...] Los datos que se incluyan en estos registros de morosos han de ser ciertos y exactos. Pero no basta con el cumplimiento de esos requisitos para satisfacer las exigencias del principio de calidad de los datos en este tipo de registros. Hay datos que pueden ser ciertos y exactos sin ser por ello pertinentes, pues no son determinantes para enjuiciar la solvencia económica de los interesados. Las sentencias de esta Sala 13/2013, de 29 de enero , 672/2014, de 19 de noviembre , y 740/2015, de 22 de diciembre , realizan algunas consideraciones generales sobre esta cuestión, al declarar que la LOPD descansa en principios de prudencia, ponderación y sobre todo, de veracidad, de modo que los datos objeto de tratamiento deben ser auténticos, exactos, veraces y deben estar siempre actualizados, y por ello el interesado tiene derecho a ser informado de los mismos y a obtener la oportuna rectificación o cancelación en caso de error o inexactitud, y en cuanto a obligaciones dinerarias se refiere, la deuda debe ser además de vencida y exigible, cierta, es decir, inequívoca, indudable, siendo necesario además el previo requerimiento de pago; por tanto no cabe inclusión de deudas inciertas, dudosas, no pacíficas o sometidas a litigio, bastando para ello que aparezca un principio de prueba documental que contradiga su existencia o certeza". Si la deuda es objeto de controversia, porque el titular de los datos considera legítimamente que no debe lo que se le reclama y la cuestión está sometida a decisión judicial o arbitral, la falta de pago no es indicativa de la insolvencia del afectado. Puede que la deuda resulte finalmente reconocida, en todo o en parte, por la sentencia o el laudo arbitral y por tanto pueda considerarse como un dato veraz. Pero no era un dato pertinente y proporcionado a la finalidad del fichero automatizado, porque este no tiene por finalidad la simple constatación de las deudas, sino la solvencia patrimonial de los afectados. Por ello solo es pertinente la inclusión en estos ficheros de aquellos deudores que no pueden o no quieren, de modo no justificado, pagar sus deudas, pero no aquellos que legítimamente están discutiendo con el acreedor la existencia y cuantía de la deuda.".

F) La doctrina del Tribunal de Justicia de la Unión Europea.

En la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014 (Asunto C-131/12 ), se expone de forma clara cuáles son los compromisos y las obligaciones que adquieren los Estados miembros de la Unión Europea para proteger de forma eficaz el derecho a la intimidad de los ciudadanos frente al tratamiento mecanizado de sus datos personales, a la luz de la Carta de Derechos Fundamentales y de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos, en los siguientes términos:

"66 Con carácter previo, procede recordar que, como se desprende de su artículo 1 y de su considerando 10, la Directiva 95/46 tiene por objeto garantizar un nivel elevado de protección de las libertades y los derechos fundamentales de las personas físicas, sobre todo de su vida privada, en relación con el tratamiento de datos personales (véase, en este sentido, la sentencia IPI, EU:C:2013:715 , apartado 28).

67 Según el considerando 25 de la Directiva 95/46, los principios de la protección que ésta establece tienen su expresión, por una parte, en las distintas obligaciones que incumben a las personas que efectúen tratamientos -obligaciones relativas, en particular, a la calidad de los datos, la seguridad técnica, la notificación a las autoridades de control y las circunstancias en las que se puede efectuar el tratamiento-, y, por otra parte, en los derechos otorgados a las personas cuyos datos sean objeto de tratamiento de ser informadas acerca de dicho tratamiento, de poder acceder a los datos, de poder solicitar su rectificación o incluso de oponerse a su tratamiento en determinadas circunstancias.

68 El Tribunal de Justicia ya ha declarado que las disposiciones de la Directiva 95/46, en la medida en que regulan el tratamiento de datos personales que pueden atentar contra las libertades fundamentales y, en particular, contra el derecho a la intimidad, deben ser interpretadas a la luz de los derechos fundamentales que, según reiterada jurisprudencia, forman parte de los principios generales del Derecho cuyo respeto garantiza el Tribunal de Justicia y que están actualmente recogidos en la Carta (véanse, en particular, las sentencias Connolly/Comisión, C-274/99 P, EU:C:2001:127 , apartado 37, y Österreichischer Rundfunk y otros, EU:C:2003:294 , apartado 68).

69 De este modo, el artículo 7 de la Carta garantiza el respecto de la vida privada, mientras que el artículo 8 de la Carta proclama expresamente el derecho a la protección de los datos personales. Los apartados 2 y 3 de este último precisan que estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley, que toda persona tiene derecho a acceder a los datos recogidos que le conciernan y a obtener su rectificación y que el respeto de estas normas estará sujeto al control de una autoridad independiente. Aplican estos requisitos, en particular, los artículos 6 , 7 , 12 , 14 y 28 de la Directiva 95/46 .

70 En relación con el artículo 12, letra b), de la Directiva 95/46 , éste dispone que los Estados miembros garantizarán a todos los interesados el derecho de obtener del responsable del tratamiento, en su caso, la rectificación, la supresión o el bloqueo de los datos cuyo tratamiento no se ajuste a las disposiciones de la presente Directiva, en particular a causa del carácter incompleto o inexacto de los datos. Esta última aclaración, relativa al supuesto del incumplimiento de algunos requisitos recogidos en el artículo 6, apartado 1, letra d), de la Directiva 95/46 , tiene carácter de ejemplo y no es taxativa, de lo que se desprende que la falta de conformidad del tratamiento, que puede ofrecer al interesado el derecho garantizado por el artículo 12, letra b), de dicha Directiva, puede también derivarse del incumplimiento de otros requisitos de legalidad impuestos por ésta al tratamiento de datos personales.

71 Sobre este particular, procede recordar que, no obstante las excepciones admitidas al amparo del artículo 13 de la Directiva 95/46 , todo tratamiento de datos personales debe ser conforme, por una parte, con los principios relativos a la calidad de los datos, enunciados en el artículo 6 de dicha Directiva, y, por otra, con alguno de los principios relativos a la legitimación del tratamiento de datos, enumerados en el artículo 7 de la Directiva (véanse las sentencias Österreichischer Rundfunk y otros, EU:C:2003:294 , apartado 65; ASNEF y FECEMD, C-468/10 y C-469/10 , EU:C:2011:777 , apartado 26, y Worten, C-342/12 , EU:C:2013:355 , apartado 33).

72 A tenor de este artículo 6 y sin perjuicio de las disposiciones específicas que los Estados miembros puedan establecer para el tratamiento con fines históricos, estadísticos o científicos, incumbe al responsable del tratamiento garantizar que los datos personales sean "tratados de manera leal y lícita", que sean "recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dichos fines", que sean "adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente", que sean "exactos y, cuando sea necesario, actualizados", y, por último, que sean "conservados en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente". En este marco, el mencionado responsable debe adoptar todas las medidas razonables para que los datos que no responden a los requisitos de esta disposición sean suprimidos o rectificados.".

Sobre la cuestión que presenta interés casacional objetivo relativa a la interpretación del artículo 6.2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , en relación con lo dispuesto en el artículo 140 de las Ley 33/2003, de 3 de noviembre, del Patrimonio de las Administraciones Públicas , y acerca del examen de las pretensiones deducidas al respecto.

La cuestión sobre la que esta Sala de lo Contencioso-Administrativo del Tribunal Supremo debe pronunciarse, con el objeto de la formación de jurisprudencia, se centra en dilucidar si, en el marco de un procedimiento de enajenación por la Administración de bienes inmuebles litigiosos, cabe prescindir del consentimiento del afectado, al dar publicidad al pliego de condiciones del concurso, que contiene determinados datos personales, por concurrir el presupuesto de aplicación de la excepción prevista en el artículo 6.2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal .

En términos más precisos, debemos resolver si resulta legítimo prescindir del consentimiento del afectado en este caso, al tratarse de un supuesto en que la divulgación de datos de carácter personal identificativos de los nombres y apellidos de personas físicas está amparada formalmente por una ley ( artículo 140 de la Ley 33/2003, de 3 de noviembre, de Patrimonio de las Administraciones Públicas ), y la Administración considera que la difusión de esos datos es necesaria para el ejercicio de sus funciones propias en el ámbito de sus competencias, o si, por lo contrario cabe requerir el consentimiento inequívoco del mismo.

En el Auto de la Sección Primera de lo Contencioso-Administrativo del Tribunal Supremo de 15 de octubre de 2018 , se expone que la controversia jurídica que se suscita en este recurso de casación consiste en determinar si las cuestiones planteadas en el recurso que presentan interés casacional objetivo para la formación de la jurisprudencia consisten, en determinar si los artículos 140 de la Ley 33/2003, de 3 de noviembre, de Patrimonio de las Administraciones Públicas ; y artículo 49.3 de la Ley 3/2001, de 26 de junio, de Patrimonio de la Comunidad de Madrid , en el ámbito de un procedimiento de enajenación por la Administración de bienes inmuebles litigiosos pueden constituir una excepción al consentimiento del afectado para el tratamiento de los datos de carácter personal, exigido como regla general por el artículo 6.1 y 2 de la Ley Orgánica 18/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , en el caso de las personas que son parte en el litigio que afecta al bien que se pretende enajenar.

En dicha resolución judicial también se suscita el pronunciamiento de esta Sala jurisdiccional del Tribunal Supremo, respecto de si la difusión en los pliegos de contratación en una página web de la Administración de los nombres y apellidos de dichas personas resulta adecuado y pertinente para la finalidad del procedimiento de enajenación, en los términos del artículo 4.1 de la misma Ley Orgánica.

A tal efecto, resulta pertinente poner de manifiesto que la respuesta jurisdiccional que demos a estas cuestiones comporta resolver si, tal como propugna el letrado de la Comunidad de Madrid, la sentencia de la Sección Primera de la Sala de lo contencioso-Administrativo de la Audiencia Nacional impugnada ha infringido el apartado 2 del artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , en relación con lo dispuesto en el artículo 140 de la Ley 33/2003, de 3 de noviembre, de Patrimonio de las Administraciones Públicas , y en el artículo 49.3 de la Ley 3/2001, de 21 de junio, de Patrimonio de la Comunidad de Madrid , al sostener que es conforme a Derecho la resolución de la Agencia Española de Protección de Datos de 16 de abril de 2015, en virtud de la cual se declara que el Instituto de la Vivienda de Madrid (Consejería de Transportes, Infraestructuras y Vivienda de la Comunidad de Madrid) ha infringido lo dispuesto en el artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , por cuanto no era necesario que se divulgaran los datos personales identificadores de los arrendatarios de bienes inmuebles litigiosos a través de la publicación del pliego de condiciones en el Boletín Oficial del Estado y en la página web de la Comunidad de Madrid.

Partiendo como premisa del marco normativo y de la doctrina jurisprudencial que hemos reseñado en el precedente fundamento jurídico, esta Sala, teniendo en cuenta las específicas circunstancias concurrentes en este supuesto, considera que el Tribunal de instancia ha realizado una interpretación razonable y lógica de los artículos 4 y 6 de la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , que se revela acorde con los principios que informan dicha normativa que regula el tratamiento de datos personales con el objeto de que las autoridades públicas o las empresas o particulares responsables de ficheros automatizados respeten el derecho a la vida privada así como el derecho al honor y la intimidad, al dar prevalencia al derecho fundamental reconocido en el artículo 18.4 de la Constitución respecto de las reglas de publicidad establecidas en el procedimiento de contratación de las Administraciones Públicas.

En efecto, procede recordar que, según una doctrina consolidada del Tribunal Constitucional y de este Tribunal Supremo, toda la información de carácter personal de los ciudadanos que las Administraciones Públicas recoge y almacena, ha de ser estrictamente necesaria e imprescindible para el ejercicio de las potestades que le atribuya la ley y ha de ser, asimismo, adecuada para procurar alcanzar las legítimas finalidades previstas en las normas, de modo que las autoridades públicas son responsables de garantizar que no se divulguen datos personales que no sean absolutamente necesarios para el ejercicio de funciones públicas, con el objeto de preservar de forma real y efectiva los derechos fundamentales protegidos en el artículo 18 de la Constitución .

Cabe referir al respecto, que, según lo dispuesto en el artículo 46 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , cuando el tratamiento de datos se realice a través de ficheros de titularidad pública, está sujeto a límites con la finalidad de garantizar el derecho fundamental consagrado en el artículo 18 de la Constitución , lo que determina que sólo puedan recogerse aquellos datos que sean pertinentes, adecuados y no excesivos.

En este sentido, estimamos que, tal como sostuvo el Tribunal sentenciador, en este supuesto la actuación del Instituto de la Vivienda de Madrid (Consejería de Transportes, Infraestructuras y Vivienda de la Comunidad de Madrid) fue contraria a lo dispuesto en el artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , ya que los datos personales que fueron difundidos a través de internet o bien eran inexactos, o innecesarios, en relación con el objeto y fines de la fase del procedimiento de contratación seguido.

Consideramos, al respecto, que la conducta del Instituto de la Vivienda de Madrid fue desproporcionada, en la medida que la revelación de datos personales a través de la publicación de los pliegos de condiciones en el Boletín Oficial del Estado y en abierto en la página web de la Comunidad de Madrid, excedió de lo necesario para cumplir las previsiones de publicidad y transparencia establecidas en el artículo 140 de la Ley 33/2003, de 3 de noviembre, de Patrimonio de las Administraciones Públicas , puesto que podía haberse efectuado la divulgación de dicha información mediante el acceso telemático restringido a los licitadores en la segunda fase del procedimiento de contratación o en el momento de la adjudicación, cumpliendo de esa forma lo previsto en el artículo 49.3 de la Ley de Patrimonio de la Comunidad de Madrid .

Por ello, no compartimos la tesis argumental que desarrolla el letrado de la Comunidad de Madrid, respecto de que la conducta realizada por el Instituto de la Vivienda de Madrid tenía encaje legal en el artículo 6.2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , y en el artículo 140 de la Ley 33/2003, de 3 de noviembre, de Patrimonio de las Administraciones Públicas .

En la concreta fase preparatoria del procedimiento de adjudicación de inmuebles litigiosos en que se incardina concretamente la publicación con el pliego de condiciones del Anexo VIII "Relación de procedimientos litigiosos" del concurso restringido convocado para el contrato denominado "Enajenación de 32 promociones (viviendas en arrendamiento, y en arrendamiento con opción de compra, garajes, trasteros y locales) pertenecientes al Instituto de la Vivienda de Madrid", era preciso que el referido Instituto madrileño recabara de forma expresa e inequívoca el consentimiento de los arrendatarios, en cuanto se procedía a la divulgación de datos identificativos de su condición o situación personal.

La difusión de datos personales en abierto, es decir, con acceso ilimitado, en una página web de la Administración Pública con ocasión de la tramitación de un procedimiento de contratación administrativa está sometida al cumplimiento de las obligaciones establecidas en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y, específicamente, al deber jurídico de tener que recabar el consentimiento de los afectados sobre la recogida y tratamiento de datos cuanto no se revelen imprescindibles, necesarios o pertinentes para el adecuado y regular ejercicio de las funciones públicas, al no poder interpretar de forma expansiva el supuesto de excepción previsto en el artículo 6.2 de la citada Ley Orgánica.

Conforme a los razonamientos jurídicos expuestos, esta Sala, dando respuesta a la cuestión planteada en este recurso de casación, que presenta interés casacional objetivo para la formación de jurisprudencia, declara que:

1.- El artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , debe interpretarse en el sentido de que en los supuestos de venta de bienes inmuebles litigiosos, por concurso o subasta, regulados en la Ley 33/2003, de 3 de noviembre, de Patrimonio de las Administraciones Públicas, es preciso que la Administración actuante recabe el consentimiento de las personas afectadas (titulares de derechos arrendaticios incursos en procedimiento judiciales), con carácter previo a proceder a publicar las bases de la convocatoria del concurso o el pliego de condiciones en abierto en la página web de la Administración correspondiente, cuando se incluyan además de la descripción física y jurídica del bien o derecho objeto de la venta, datos de carácter personal identificadores o susceptibles de identificar a las personas físicas afectadas, que no son necesarios o imprescindibles para el ejercicio de funciones públicas.

2.- La Administración Pública responsable del tratamiento de datos deberá cumplir con este deber jurídico, consistente en recabar el consentimiento del afectado en estos supuestos conforme a lo dispuesto en el artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , para no incurrir en la infracción tipificada en el artículo 44.3 de la citada Ley Orgánica que considera infracción grave tratar los datos de carácter personal con conculcación de los principios y garantías establecidos en dicha ley.

En consecuencia con lo razonado, debemos rechazar la pretensión revocatoria deducida y declarar no haber lugar al recurso de casación interpuesto por el letrado de la COMUNIDAD DE MADRID contra la sentencia de la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 1 de diciembre de 2017, dictada en el recurso contencioso-administrativo número 1558/2015 .

Sobre las costas procesales.

De conformidad con lo dispuesto en los artículos 93.4 y 139.1 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa , no procede la imposición de las costas de casación a ninguna de las partes, manteniéndose el pronunciamiento de condena en costas a la Comunidad de Madrid efectuada en la sentencia de instancia.

FALLO 

Por todo lo expuesto, en nombre del Rey y por la autoridad que le confiere la Constitución, esta Sala ha decidido , tras fijar la doctrina jurisprudencial que hemos expuesto en el precedente fundamento jurídico tercero de esta sentencia, respecto de la interpretación aplicativa del artículo 6 de la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal :

Primero.- Declarar no haber lugar al recurso de casación interpuesto por el letrado de la COMUNIDAD DE MADRID contra la sentencia de la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 1 de diciembre de 2017, dictada en el recurso contencioso-administrativo número 1558/2015 .

Segundo.- No efectuar expresa imposición de las costas procesales causadas en el presente recurso de casación, manteniéndose, en referencia a las costas de instancia, el pronunciamiento de la sentencia impugnada.

Notifíquese esta resolución a las partes e insértese en la colección legislativa.

Así se acuerda y firma.

Eduardo Espin Templado Jose Manuel Bandres Sanchez-Cruzat

Eduardo Calvo Rojas D. Jose Maria del Riego Valledor

D. Diego Cordoba Castroverde Angel Ramon Arozamena Laso

PUBLICACIÓN.- Leída y publicada fue la anterior sentencia, estando constituida la Sala en Audiencia Pública, lo que, como Letrado de la Administración de Justicia, certifico.