Problemas legales de la publicación de los deudores con Hacienda

billetes-500El 23 de diciembre de 2015 se publicó la primera lista de deudores a Hacienda. Un total de 4855 deudores, la mayoría empresas pero también varios cientos de personas físicas. Su publicación obedece al mandato de la ley pero cabe analizar algunos de los problemas que puede generar la publicación del listado desde el punto de vista de la protección de datos personales.

Antes de comenzar debemos ponernos en contexto.

En primer lugar este análisis se hace desde la perspectiva de la normativa actual en materia de protección de datos de carácter personal, así pues, lo aquí expuesto se refiere exclusivamente a la información de carácter personal relativa a personas físicas y no a las jurídicas.
El listado publicado en diciembre contiene datos de 4510 personas jurídicas y de 345 personas físicas, por tanto, lo aquí expuesto va destinado principalmente a estos últimos.

La publicación de este listado se prevé en el artículo 95.bis de la Ley General Tributaria, introducido en una modificación de esta Ley General realizada en el año 2015. Esto es, el listado no se publica porque la Agencia Tributaria (como Administración) lo haya decidido un día, sino que se hace por imperativo de una ley, en cumplimiento de una ley.

Fijémonos en lo que dice el 95.bis de la Ley General Tributaria en el apartado quinto: «[…]La publicación se efectuará en todo caso por medios electrónicos, debiendo adoptarse las medidas necesarias para impedir la indexación de su contenido a través de motores de búsqueda en Internet y los listados dejarán de ser accesibles una vez transcurridos tres meses desde la fecha de publicación.«.

Por su parte, la Orden HAP/2216/2015, de 23 de octubre, por la que se determina la fecha de publicación y los correspondientes ficheros y registros del listado comprensivo de los deudores a la Hacienda Pública por deudas o sanciones tributarias que cumplan las condiciones establecidas en el artículo 95 bis de la Ley General Tributaria, indica en su artículo segundo esto: «La publicación se efectuará por medios electrónicos, en formato PDF (Portable Document Format), adoptando las medidas necesarias, conforme al estado de la técnica, para impedir la indexación de su contenido a través de motores de búsqueda en Internet y asegurando que los listados dejarán de ser accesibles una vez transcurridos tres meses desde la fecha de publicación, de acuerdo con el artículo 95 bis de la Ley General Tributaria

En decir, el legislador modifica una Ley y prevé un procedimiento para darle publicidad a los deudores con Hacienda pero luego quiere limitar esa misma publicidad evitando que los datos puedan ser indexados por los buscadores, ok.

Para evitar esta indexación, la Agencia Tributaria ha decidido utilizar, de entre todas las opciones posibles, la fórmula del fichero robots.txt.

En efecto, el listado de morosos original se encuentra publicado aquí:

https://www.agenciatributaria.gob.es/static_files/AEAT_Sede/NoIx/Listado_deudores_Art95bisLGT.pdf

y el fichero robots.txt de www.agenciatributaria.gob.es contiene esto:

User-agent: *
Disallow: /robots.txt
Disallow: /static_files/AEAT/NoIx/
Disallow: /static_files/AEAT_Sede/NoIx/
Disallow: /static_files/common/NoIx/
Disallow: /*_NoIx.pdf$

Así es, este fichero robots.txt le está diciendo a los buscadores que no indexen nada que se encuentre en varias rutas, entre ellas la que contiene el PDF con el listado (incluso no quieren que indexen el propio fichero robots.txt).
Pero como el fichero robots.txt no sirve para evitar la indexación por buscadores sino el rastreo (no voy a entrar en esto ahora), haciendo una búsqueda simple en Google podemos encontrar otros ficheros indexados en esa misma ruta, como por ejemplo este fichero de prueba: https://www.agenciatributaria.gob.es/static_files/AEAT_Sede/NoIx/PRUEBA_i_firmado.pdf (aquí una copia por si lo borran).

Hechas estas consideraciones previas, vamos a los problemas.

El primero con el que nos encontramos es con la republicación de ese listado; la Agencia Tributaria ha publicado el listado en un documento PDF en formato imagen, lo cual evita que podamos hacer búsquedas por palabras concretas dentro del documento.
Sin embargo, a los pocos segundos de ser publicada la lista ya había versiones en Internet convertidas a texto, aquí un ejemplo.

Pero los que más se han trabajado este tema de la accesibilidad a la información han sido los medios de comunicación; muchos de ellos han creado unos portales concretos desde los que hacer búsquedas avanzadas en el documento, por citar algunos ejemplo: el de El Mundo, el de El Confidencial, el de El Español, o el de El País.

Pero nos podemos preguntar ¿es legal que un tercero coja la información del PDF de la Agencia Tributaria, la trate y genere un buscador con esos datos? La lógica nos podría indicar que no hay ningún problema, pero en esto de la protección de datos nunca hay que fiarse de la lógica.

Desde el punto de vista de la protección de datos, el hecho de crear un buscador propio utilizando como base el PDF de la Agencia Tributaria, es un tratamiento de datos personales, concepto definido en el artículo 3.c de la LOPD: «operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias

Este tratamiento de datos personales queda sometido al régimen de la normativa de protección de datos; entre otras garantías, este régimen va a requerir el consentimiento del afectado para el tratamiento de sus datos personales, así lo indica el artículo 6.1: «El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.»

Si leemos hasta aquí deberíamos concluir que como ese tercero está tratando los datos personales contenidos en el PDF debería solicitar el consentimiento previo de cada uno de los que aparezcan en él. Pero el artículo 6 arroja algunas excepciones al consentimiento a las que quizá podría acogerse ese tercero para realizar un tratamiento sin consentimiento, además claro de cuando «la ley disponga otra cosa» (excepción al consentimiento que permite que la Agencia Tributaria publique esa información) pero que no es aplicable para esos terceros.
El artículo 6.2 prevé esas otras excepciones, que reduzco para centrarme en la única que podría encaja: «No será preciso el consentimiento cuando los datos de carácter personal […] figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.«

Se trata de la excepción, en los casos en los que los datos figuran en una «fuente accesible al público» ¿Y que es una fuente accesible al público?, pues según nuestra lógica debería blablabla, pero no, una fuente accesible al público es y son exclusivamente las que la LOPD identifica como tales en el artículo 3.j:»Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.«

Por tanto la excepción al consentimiento relativa al tratamiento de datos que figuren en una fuente accesible al público operará cuando tales datos se encuentren en alguna de esas 5 fuentes que menciona el 3.j.
Nos podríamos preguntar si la página web de la Agencia Tributaria donde han colgado el PDF originalmente es una fuente accesible al público, ya que si así lo fuera, podríamos aplicar esta excepción al consentimiento; sin embargo, no hace falta darle muchas vueltas para darse uno cuenta que ese PDF no se encuentra en ninguno de esos supuestos, ni tan siquiera podemos considerar esa parte de la web de la Agencia Tributaria un «diario o boletín oficial» ya que tal consideración la tienen únicamente los boletines oficiales considerados como tal en la actualidad. Diferente habría sido que los datos se hubiera publicado, por ejemplo, en el Boletín Oficial del Estado.

Por tanto, cualquier tercero (medio de comunicación o no) que hubiera tratado los datos personales contenidos en el PDF de deudores para hacer un buscador propio (o transformar el documento a uno de texto normal), estaría incurriendo en una infracción grave, tipificada en el artículo 44.3.b de la LOPD: «Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo.«, sancionada con multa de 40.001 a 300.000 euros.
Pero claro, una vez que los datos se han publicado en el medio de comunicación, esa fuente de datos, ahora sí, es una fuente accesible al público según el 3.j antes reproducido, por lo que sí sería posible coger los datos publicados en el medio y generar otro buscador, indicando como fuente los datos publicados en el medio de comunicación y no los del PDF de la Agencia Tributaria… esta es una de esas cosas que tiene la LOPD.
Lo que no sería salvable en ningún caso es el principio de información contenido en el artículo 5 de la LOPD; ya se obtenga el dato de una fuente accesible al público o no, hay que informar al afectado de:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

El segundo problema viene derivado del primero. Si la Agencia Tributaria pretendía que la información sobre los morosos no llegara a los buscadores de Internet, es algo que no ha conseguido. Basta poner en Google el nombre de cualquier empresa o persona física que esté en el PDF para encontrar resultados indexados provenientes, eso sí, de los medios de comunicación o de los terceros que han creado ficheros de texto indexables. Desde luego, estoy convencido que en la Agencia Tributaria eran conscientes que los datos terminarían en los buscadores por mucho que normativamente se pretendiese evitar.
Sea como fuere los datos han terminado en los buscadores de Internet algo que como digo, pretendía evitar el legislador, y eso tiene sus propias consecuencias en las que no voy a entrar ahora.

Un tercer problema viene derivado de la propia publicación del listado por parte de la Agencia Tributaria, me explico.
El artículo 9.3 de la Constitución Española establece, entre otras cosas, la denominada irretroactividad de las leyes sancionadoras no favorables, así lo expresa: «La Constitución garantiza el principio de legalidad, la jerarquía normativa, la publicidad de las normas, la irretroactividad de las disposiciones sancionadoras no favorables o restrictivas de derechos individuales, la seguridad jurídica, la responsabilidad y la interdicción de la arbitrariedad de los poderes públicos.»

Esto es algo que a todos nos suena: si hacemos algo hoy que no está prohibido por la ley, pero que mañana sí lo está, no nos pueden sancionar por ese algo que hicimos ayer cuando la ley no lo prohibía.

La duda estaría en entender que el nuevo artículo 95.bis de la Ley General Tributaria es una «disposición sancionadora no favorable»; sería discutible, pero yo al menos defiendo que la publicación de los deudores con Hacienda es una sanción más de las previstas en la Ley General Tributaria; así, la consecuencia jurídica de tener una deuda con Hacienda de más de un millón de euros no es solo la propia deuda, que implica pagar la cantidad correspondiente más los recargos, intereses, etc, sino también una sanción social, una suerte de sambenito tributario.
Entendido así el asunto, solo sería posible incluir en ese listado a los deudores que hubieran contraído esa deuda de más de un millón de euros con posterioridad a la entrada en vigor de la norma que establece su publicación, cosa que no sucede en este caso y que podría tener importantes efectos, desde la nulidad como tal de la disposición normativa como del propio listado e incluso la solicitud de indemnizaciones por los incluidos de forma indebida en ese listado de grandes deudores con Hacienda de España.

Para concluir, veremos cómo se va desarrollando este tema en los juzgados y en la Agencia Española de Protección de Datos (quién por cierto se pronunció a este respecto como bien recogen los compañeros de Privacidad Lógica aquí), y si este artículo 95.bis es algo pasajero, como yo creo, o ha llegado para quedarse.

Comments
  • Mª Eugenia
    Posted 5 febrero 2016 12:58 0Likes

    Buen análisis!

  • Unai
    Posted 8 febrero 2016 14:31 0Likes

    Buen comentario, Samuel.

    Lo cierto es que este tema da para mucho. Una duda, pues los que no tenemos ni idea de la informática y nos acercamos a estos temas desde la perspectiva exclusivamente jurídica nos perdemos con estas cosas: si meto en el buscador de google uno de los nombres de las personas físicas que aparecen en la lista y le añado el concepto «lista deudores», como tercer-cuarto resultado, depende del nombre, me salta una página del propio buscador google, no de un medio de comunicación (que como ha dicho Samuel ya de por sí plantea muchas interrogantes) o de un blog o qué se yo. ¿Qué carago es esa página? ¿Supone que Google ha copiado, escaneado, o lo que fuere, el pdf de Hacienda y lo hace público e indexable a través de su buscador partiendo del nombre como criterio de búsqueda?
    Un abrazo
    Unai

    • Samuel Parra
      Posted 9 febrero 2016 10:54 0Likes

      Google está indexando el contenido del listado pero el que tú ves como resultados de búsqueda son el ubicado en otras páginas que han reproducido el listado en formato texto; por ejemplo, en Pastebin hay multitud de copias del listado en texto puro.
      También se ha indexado el publicado por los medios de comunicación, etc.
      El listado ya está en 1000 sitios.

  • Unai
    Posted 9 febrero 2016 10:30 0Likes

    Muy buen comentario, Samuel.
    La verdad que este tema da mucho de sí. A mí me surgen varias preguntas:
    -¿El listado que se publica es un fichero en sí mismo? Y es que en resolución de noviembre del año pasado se modificaron las normas por las que se creaban los ficheros que servían de base para crear el listado, pero, que yo sepa por lo menos, no ha habido norma alguna dirigida a «crear» el listado (La Orden a la que se refiere la LGT no entiendo que se dirige a este fin);
    -¿La apelación a la trasparencia que hace la Exposición de Motivos de la reforma de la LGT es correcta? Lo digo porque la transparencia, en general, guía la actividad de la Administración y de algunos sectores privados como el Mercado Financiero, pero no la actuación de la Administración Tributaria…
    -Por útlimo, a bote pronto, y lo pregunto desde la mayor ignorancia sobre cuestiones técnicas que tienen que ver con las nuevas tecnologías en general e Internet en particular: cuando introduzco en Google el nombre de alquien que aparece en la lista publicada por la Agencia Tributaria y añado el concepto «lista deudores» como tercer o cuarto resultado salta una página de «Google» (no de un medio de comunicación ni nada de eso). ¿Qué es eso? que Google ha escaneado la lista, la ha copiado y la hace indexable a través de su buscador utilizando como criterio de búsqueda los nombres de los afectados? Y es que un medio de comunicación puede alegar la libertad de información en el sentido estricto del concepto, pero Google, que no es un medio de comunicación social (en términos jurídicos digo)…
    Ya siento la chapa…
    Un abrazo
    Unai

    • Samuel Parra
      Posted 9 febrero 2016 10:57 0Likes

      A la última pregunta te he dado mi opinión en el comentario anterior :), respecto a la primera, sí que es un fichero, pero entiendo que no debería ser necesario crear un fichero específico para ese listado, habría bastado con modificar el fichero actual que haga referencia a los administrados con deudas o similar para prever este tema de su publicación, pero vamos, el tema de la protección de datos es algo que no es que no le preocupase a la Agencia Tributaria es que directamente ni lo han tenido en cuenta.

      Sobre la segunda, lo de apelar a la transparencia en este caso es simplemente postureo, la transparencia no es publicar la gente que me debe dinero.

  • MONTSE
    Posted 11 marzo 2016 13:10 0Likes

    QUIERE DECIR, QUE SI HACIENDA TE CUELGA EN LA RED CON LO QUE DEBES, ESTÁ INFRINGIENDO LA LEY DE PROTECCIÓN DE DATOS?. GRACIAS.

  • MONTSE
    Posted 11 marzo 2016 13:32 0Likes

    Y LOS DIRECTORES DE BANCOS? QUÉ LES CAE A ELLOS? TENGO UN PRÉSTAMO QUE ME AVALAN MIS PADRES,Y, UNO QUÉ ES MÍO SOLAMENTE MÍO, Y EL DIRECTOR LLAMA A MI MADRE, (YO VIVO CON MI MUJER E HIJOS EN OTRO SITIO), PARA DECIRLE PERSONALMENTE QUE DEBO TANTOS EUROS DE LOS QUE ELLOS ME AVALAN Y VA Y LE DICE QUE DEBO TANTOS EUROS DE OTRO QUE ES MÍO, Y , MI MADRE AH, PERO TIENE OTRO? Y DEBE ?Y BLABLABLA, QUÉ TE PARECE?

  • ReLey ABOGADOS
    Posted 5 abril 2016 18:41 0Likes

    Por una parte no me parece mal, todos somos hacienda, y yo pago hacienda.
    El problema es que se empieza por esto y se termina publicando tu marca de ropa interior.
    Interesante post.
    Un saludo

Leave A Comment

Your email address will not be published. Required fields are marked *