| Informe | 2023-0081 |
| Enlace | 📋 |
Informe Jurídico de la AEPD sobre el acceso a expedientes sancionadores (Caso 2023-0081)
Resumen
El Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) analiza en este informe la interpretación del artículo 15.1, segundo párrafo, de la Ley 19/2013 de Transparencia, Acceso a la Información Pública y Buen Gobierno, en relación con el acceso a datos personales contenidos en expedientes sancionadores.
La consulta, elevada por el Consejo de Transparencia y Buen Gobierno, surge ante la denegación de la CNMV (Comisión Nacional del Mercado de Valores) a facilitar el acceso al contenido de un expediente sancionador por una infracción muy grave, argumentando que la publicación de la sanción en el BOE no equivale a la «amonestación pública» prevista en la Ley 19/2013, por lo que se requeriría consentimiento del sancionado o amparo legal.
Antecedentes y Marco Legal
Solicitud de acceso: Una persona solicitó acceder al contenido de un expediente sancionador resuelto por la CNMV, denegado por esta alegando que:
La normativa sectorial (Ley del Mercado de Valores) prevalece sobre la Ley de Transparencia.
La publicación en el BOE no implica «amonestación pública» según el art. 15.1 de la Ley 19/2013, por lo que se requiere consentimiento del afectado o base legal.
Resolución del Consejo de Transparencia (2019): Anuló la decisión de la CNMV por defectos formales, obligando a la CNMV a realizar un trámite de audiencia al sancionado (art. 19.3 Ley 19/2013).
La CNMV recurrió, y el Tribunal Supremo (STS 10/03/2022) confirmó que la Ley 19/2013 es de aplicación transversal, salvo que existan normas sectoriales específicas con regulación preferente. En este caso, la CNMV debía decidir si la información era confidencial (según el art. 14 Ley 19/2013) o si contenía datos personales sensibles (art. 15.1).
Arts. 15.1 Ley 19/2013 y su relación con el RGPD:
El art. 15.1 regula el acceso a datos personales en expedientes sancionadores:
Si la infracción no conlleva amonestación pública, se requiere consentimiento expreso del afectado o amparo legal.
Si incluye datos especialmente protegidos (ideología, salud, origen racial, etc.), también se exige consentimiento.
El RGPD (Reglamento UE 2016/679) y la LOPDGDD establecen un marco estricto para el tratamiento de datos personales, incluyendo categorías especiales (art. 9 RGPD). La amonestación pública no es automáticamente una excepción válida para el acceso a datos.
Puntos Clave del Informe de la AEPD
Sobre la «amonestación pública» vs. publicación en el BOE:
La AEPD concluye que no son equivalentes:
La «amonestación pública» implica un efecto sancionador directo (ej.: publicación de nombre en medios).
La publicación en el BOE es un requisito legal automático (sin fin sancionador, sino preventivo).
Por tanto, la publicación en el BOE no exime del consentimiento del sancionado para acceder al contenido del expediente.
Consentimiento y base legal:
El art. 15.1 Ley 19/2013 exige consentimiento expreso y por escrito del afectado para acceder a datos de infracciones administrativas sin amonestación pública.
Además, el RGPD (art. 9 y 10) y la LOPDGDD requieren:
En el caso de datos especialmente protegidos (ej.: salud, origen racial), el consentimiento debe ser explícito (no implícito).
No basta con la «utilidad pública» o el «interés legítimo» para levantar la prohibición (como sí ocurre en otros tratamientos de datos).
Límites al acceso:
La AEPD enfatiza que el acceso no puede exceder lo publicado en el BOE. Si la normativa sectorial (ej.: mercado de valores) permite acceder solo a cierta información (ej.: resolución sancionadora, pero no a datos personales detallados), no puede el solicitante exigir más datos.
El trámite de audiencia al interesado (art. 19.3 Ley 19/2013) sirve para que el sancionado manifieste si da su consentimiento o alegue confidencialidad, pero no es un consentimiento en sí mismo.
Cumplimiento del RGPD y la Carta de Derechos Fundamentales de la UE:
La AEPD recuerda que cualquier limitación a los derechos fundamentales (como la protección de datos) debe estar regulada por una ley que defina claramente su alcance (STJUE y STC 76/2019).
La hipotética «equivalencia» entre publicación en BOE y amonestación pública no cumpliría estos requisitos, ya que la ley sectorial (ej.: mercado de valores) no establece garantías específicas para el tratamiento de datos sensibles.
Conclusión principal:
El acceso al expediente sancionador requiere consentimiento expreso del sancionado (salvo que una ley sectorial específica lo permita expresamente y ofrezca garantías adecuadas).
La publicación en el BOE no autoriza acceder al contenido completo del expediente, ya que la normativa sobre protección de datos prioriza el equilibrio entre transparencia e intimidad.
Recomendaciones de la AEPD
La CNMV debe:
Evaluar si los datos solicitados están amparados por la legislación de transparencia (Ley 19/2013) o si entran en conflicto con la protección de datos (RGPD/LOPDGDD).
Solicitar consentimiento expreso de la persona sancionada si no existe base legal que lo permita.
Limitar el acceso a los datos ya públicos (ej.: resolución sancionadora genérica), sin facilitar información adicional no cubierta por la ley sectorial.
Contexto Internacional y Jurisprudencia
El Convenio de Tromsø sobre acceso a documentos públicos (BOE 23/10/2023) permite limitaciones para proteger la vida privada y los intereses privados legítimos (incluidos datos personales).
La STJUE Schrems II (C-311/2020) y otras sentencias refuerzan la necesidad de garantías específicas en tratamientos de datos personales, especialmente en categorías especiales.
Finalidad del Informe
La AEPD busca armonizar el derecho de acceso a la información pública con el derecho fundamental a la protección de datos, evitando interpretaciones que puedan desproteger a los afectados. Subraya que la transparencia no puede operar como excusa para vulnerar el RGPD.
Nota: El informe reafirma que, aunque la Ley 19/2013 y la Ley del Mercado de Valores persigan objetivos distintos (transparencia vs. supervisión financiera), ninguna puede ignorar el marco de protección de datos, cuya primacía está garantizada por la normativa europea y la Constitución española.