La cuestión objeto de análisis se enfoca en determinar si las personas jurídicas gozan de protección de datos personales en relación con la comisión de infracciones administrativas que no conllevan amonestación pública al infractor, especialmente en el contexto de solicitudes de acceso a la información pública.

La Sentencia del Tribunal Supremo (Sala III) de fecha 4 de mayo de 2023 (rec. 1200/2022) ofrece fundamentos jurídicos relevantes al respecto. El Tribunal Supremo sostiene que la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y el Reglamento General de Protección de Datos tienen como finalidad la protección de datos relativos a personas físicas, según se desprende de su articulado, que se refiere de manera explícita a dichas personas. Por ende, se excluye a las personas jurídicas de su ámbito de aplicación.

En consecuencia, la interpretación conjunta de los artículos 27.2 de la Ley Orgánica de Protección de Datos y el artículo 15 de la Ley 19/2013, de Transparencia y Acceso a la Información, conduce a concluir que el régimen específico aplicable a los datos vinculados con la comisión de infracciones administrativas se dirige exclusivamente a las personas físicas. Esta interpretación está en consonancia con la naturaleza del derecho fundamental a la protección de datos, que se considera un mecanismo de control sobre el flujo de información que afecta a cada individuo.

El Tribunal Supremo destaca la importancia de garantizar el derecho de cada ciudadano al control de sus datos personales, lo cual implica el poder de disposición y control sobre dichos datos. Además, el individuo tiene el derecho de conocer quién posee sus datos personales y con qué finalidad, pudiendo oponerse a la posesión o uso de los mismos.

En este contexto, se considera que la interpretación efectuada por el Tribunal Superior de Justicia de Cataluña, la cual amplía la aplicación de la normativa de protección de datos a las personas jurídicas sin un fundamento legal que lo respalde, es errónea. Esta interpretación incide en la regulación legal vigente en materia de infracciones administrativas, la cual exige una adecuada ponderación de la relevancia y el interés público en la información solicitada.

Por tanto, a la luz de la jurisprudencia establecida por la Sentencia del Tribunal Supremo, se concluye que la protección de datos personales en relación con la comisión de infracciones administrativas, sin amonestación pública al infractor, se aplica únicamente a las personas físicas y no a las personas jurídicas. Esto se fundamenta en la naturaleza del derecho fundamental a la protección de datos como un mecanismo de control que corresponde a cada individuo. En consecuencia, la exclusión del acceso a la información relacionada con infracciones administrativas cometidas por personas jurídicas alteraría la regulación legal vigente y restringiría el derecho de acceso a la información pública sin un respaldo legal adecuado.

Afirmado lo anterior, no debe haber confusión alguna sobre la titularidad, para las personas jurídicas, del derecho a la intimidad. La Sentencia del Tribunal Constitucional 292/2000 resalta la importancia de diferenciar entre el derecho fundamental a la intimidad, establecido en el artículo 18.1 de la Constitución, y el instituto de garantía contemplado en el apartado 4 del mismo artículo. El Tribunal sostiene que el derecho a la intimidad por sí solo no brinda una protección suficiente ante las nuevas realidades derivadas del avance tecnológico. En consecuencia, se encomienda al legislador desarrollar un instituto de garantía que responda a estas nuevas amenazas y salvaguarde la dignidad y los derechos de las personas.

El artículo 18.4 de la Constitución garantiza un ámbito de protección más adecuado que los derechos fundamentales mencionados en el apartado primero del mismo artículo. Se reconoce que la preservación de la vida privada y la reputación de una persona posee una dimensión positiva más amplia, que abarca el derecho al control sobre los datos personales. Se destaca el derecho a controlar el uso de dichos datos y oponerse a su utilización con fines diferentes a aquellos para los cuales se obtuvieron legítimamente.

A partir de esta configuración jurisprudencial, se establece que si las libertades informáticas son consideradas derechos fundamentales, el derecho al olvido también lo es, ya que se encuentra dentro de estas libertades. El Tribunal Constitucional define el artículo 18.4 de la Constitución como un conjunto de derechos que los ciudadanos pueden ejercer frente a los responsables de los ficheros de datos personales, tanto entidades públicas como privadas. Estos derechos abarcan el consentimiento para la recopilación y uso de los datos personales, el conocimiento de quién posee esos datos y con qué finalidad, y el derecho a oponerse a esa posesión y uso, exigiendo la eliminación de los datos y, si bien no se atribuyen tales facultades a las personas jurídicas, las mismas siempre tendrán el derecho fundamental a la titularidad con las singularidades que les corresponden.