I. Antecedentes
1. Mediante escrito recibido en el registro general de este tribunal el 29 de abril de 2020, el procurador de los tribunales don Luis Fernando Granados Bravo, en nombre y representación de la asociación Òmnium Cultural, interpuso recurso de amparo que, según su encabezamiento, se dirigía contra la resolución de 18 de noviembre de 2015 de la Agencia Española de Protección de Datos (en adelante, AEPD) que le impuso multa de 200 000 €, contra la sentencia de 20 de diciembre del 2018 de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional que la declaró conforme a Derecho, contra el auto de 7 de noviembre del 2019 de la Sala Tercera del Tribunal Supremo inadmitiendo la casación frente a aquella y contra la providencia de 6 de febrero del 2020 de la misma sala que inadmitió el incidente de nulidad de actuaciones deducido frente a esta inadmisión.
2. Asamblea Nacional Catalana (ANC) y Òmnium Cultural (en adelante, ÒC) idearon y gestionaron, en función del proceso soberanista catalán, la campaña “Ara és l’hora”. Una de sus acciones fue la gigaencuesta, realizada en octubre y noviembre de 2014. El formulario presentaba: a) cuestionario de preguntas sobre las prioridades de Cataluña “cuando fuera un Estado”, y b) espacio para datos personales del encuestado y su consentimiento para tratarlos. Un modo de aplicar la gigaencuesta fue la “visita puerta a puerta” operada por 30 000 voluntarios. El territorio de Cataluña se dividió en 100 000 zonas (cada zona abarcaba pocos portales). A los voluntarios se les entregó un “kit de encuestador” con (a) tantos mapas de visita como zonas atribuidas y (b) un mapa de mapas.
Cada mapa de visita contenía (a) identificación de la caja de almacenamiento, del mapa en sí y del voluntario; (b) espacio para detallar el número de puertas; (c) resumen de visitas (distingue entre “no abren”, “no quieren hacer la encuesta” y “encuesta hecha”), y (d) espacio para realizar anotaciones por cada puerta; constan anotaciones como “no irá a votar, no es legal. NO”, “SI” o “No quiere atender. NO”. El código de mapa de visita y el de caja son códigos alfanuméricos, generados de forma automática y secuencial por un programa de ordenador. Señalan (a) el municipio, (b) un código dentro del municipio y (c) el equipo.
El kit de encuestador contiene una guía. Indica que la encuesta se llenaría por el encuestador, que anotaría las respuestas de forma que el interlocutor las viera. Consta también que se pedirían los datos personales, para poder procesar las respuestas de los encuestados y enviarles información de interés. Y que aquellos debían firmar la encuesta y dar su consentimiento para cumplir la Ley Orgánica de protección de datos de carácter personal (LOPD), señalando que “están en su derecho de hacerlo [no dar el consentimiento] y si no lo hacen, no recogemos ningún dato” (cabe insistir que en el material del curso, en un recuadro, en rojo con grandes tipos, se indica: “Es muy importante que si no se firma y acepta el formulario de la encuesta no se llene ningún dato”). Una vez finalizada, se anotará en el encabezamiento de la encuesta el código identificador y el código de voluntario.
ANC y ÒC crearon conjuntamente una base de datos para recoger las respuestas y los datos personales de los encuestados que consintieran. Además, firmaron un contrato con una entidad certificada al fin de destruir, luego de mecanizar las respuestas, los formularios en papel y el resto de material en papel (por ejemplo, los mapas de visita).
3. A la vista del resultado de la inspección de las sedes de ANC y de ÒC por el servicio de información de la Agencia Española de Protección de Datos (AEPD) a raíz de varias denuncias, la Agencia (a) acordó iniciar procedimiento sancionador a ANC y a ÒC, por presunta infracción del art 7.2 LOPD (tratar datos personales de ideología sin consentimiento expreso) y (b) les requirió el cese en el uso ilícito de los datos personales, a lo que accedieron ANC y ÒC. Terminado el procedimiento, la AEPD entendió probado lo siguiente: a) Se programó que solo se hicieren encuestas con consentimiento, pero la aplicación informática recoge ambas categorías, pues el número total de encuestas era superior al número de encuestas con consentimiento; b) La introducción en la aplicación informática de los contenidos del formulario [(i) de las respuestas a la encuesta y (ii) de los datos personales de los encuestados] se hacía en una misma pantalla. Aunque se incorporaban a bases de datos distintas, tenían campos comunes que permitían conectar las respuestas a la encuesta con los datos personales del encuestador; c) Junto a los formularios (respuestas más datos personales), constan unos mapas de visita que contenían (i) un “resumen de visita” y (ii) anotaciones a mano de los encuestadores. Uno y otras incluían información de quienes —por no estar, no abrir u otro motivo— no hacían la encuesta, datos que la AEPD considera que reflejan una posición respecto del proceso soberanista; d) Los formularios en papel y los mapas de visita en papel, una vez mecanizados, se archivaban (los formularios sin separación entre respuestas y datos personales) en cajas identificadas con códigos que remitían a ámbitos espaciales reducidos, con lo que era fácil localizar las personas de referencia.
La resolución de 18 de noviembre de 2015 de la AEPD concluyó, a partir de los hechos probados referidos, que ANC y ÒC, al diseñar y desarrollar el tratamiento de datos, obviaron el art. 7.2 LOPD y que ello constituye infracción muy grave ex art. 44.4 b) LOPD. Apreciando una disminución de culpabilidad y antijuridicidad del hecho (art. 45.5 LOPD), la AEPD impuso a ÒC una sanción de 200 000 € (dentro del escalón inmediatamente inferior, que va de 40 000 € a 300 000 €), aparte de que impuso otra sanción igual y por los mismos hechos a ANC.
4. ANC y a ÒC recurrieron por separado sus sanciones, alegando su ilegalidad por varios motivos: a) no existen datos de carácter personal (los datos tratados no identifican a nivel del domicilio, por lo que no caber relacionarlos con personas); b) a pesar de existir datos personales no estaban incorporados a un fichero; c) se infringió el principio de responsabilidad (ni se declaró una responsabilidad solidaria, ni se procedió a individualizar la responsabilidad de cada entidad) y el de culpabilidad (la conducta sancionada no fue intencionada, ni tampoco negligente); d) se ha infringido el derecho a la defensa recogido en el art 24.2 CE (por no haber podido disponer como prueba de ciertas fotografías de las actividades inspectoras); e) se infringió el principio de legalidad al haber valorado ilógicamente las pruebas que obran en el expediente (lo que determina que se ha sancionado una conducta que no era típica); f) se ha infringido el principio de proporcionalidad (critica que la AEPD usara ciertos factores como agravantes y omitiera considerar algunos otros como atenuantes).
Subsidiariamente, adujo que los datos personales tratados no eran de ideología (al menos no son especialmente protegidos, solo las opiniones políticas tienen ese carácter según la Directiva 95/46/CE). Al no caber esa calificación, los hechos serían constitutivos de infracción grave [art. 44.3 b) LOPD], debiendo sancionarse ex art. 45.5 LOPD en el arco de las sanciones leves.
Subsidiariamente, aun manteniendo la declaración de una infracción muy grave y de una sanción en el escalón inmediatamente inferior, insta que, en virtud de una serie de atenuantes, la sanción se ajuste al mínimo previsto para las sanciones graves (40 000 €).
5. El recurso de ÒC se desestimó en sentencia de 20 de diciembre de 2018 de la Audiencia Nacional, frente a la que preparó casación por motivos próximos a los aducidos en instancia, inadmitida por auto del Tribunal Supremo de 7 de noviembre de 2019, que se apoyó en que lo suscitado tenía “marcado carácter casuístico” o versaba sobre “valoración de elementos fácticos”. ÒC dedujo incidente de nulidad de actuaciones contra el citado auto de inadmisión, fundado en que la sanción repercute en el derecho de asociación [arts. 22 CE y 11 del Convenio europeo de derechos humanos (CEDH)], en el principio de legalidad sancionadora (arts. 25 CE y 7 CEDH), y en el derecho de propiedad previsto ex art 1, Protocolo 1 CEDH. El Tribunal Supremo lo inadmitió mediante providencia de 6 de febrero de 2020 (notificada al día siguiente), en la que destacó que “las vulneraciones de derechos fundamentales —derecho de asociación, derecho a la legalidad sancionadora y derecho a la protección de la propiedad— se imputan a la administración autora de la resolución recurrida en la instancia y a la sentencia que confirma dicha resolución, en algunos casos reiterando argumentos efectuados en la instancia y, otras veces, con argumentos nuevos que pudo aducir antes de dictarse sentencia”.
6. ÒC presentó el 29 de abril de 2020 recurso de amparo, fundado en tres motivos: a) lesión del derecho de asociación (arts. 22 CE y 11 CEDH) y a la legalidad sancionadora (arts. 25 CE y 7 CEDH); b) vulneración de la garantía de prohibición de desviación de poder del art. 18 CEDH en relación al derecho de asociación (art. 22 CE y art. 11 CEDH); c) vulneración del derecho a la protección de la propiedad (art. 1 del Protocolo 1 CEDH).
Expone, respecto al primer motivo, que “la actuación de la administración pública recurrida en el presente procedimiento, la AEPD, al imponer la sanción de 200 000 € a ÒC por los hechos que constan descritos en la resolución administrativa impugnada, vulneró el derecho fundamental de asociación de titularidad de la referida entidad de utilidad pública […] Los tribunales encargados de la revisión de dicha resolución a instancia de ÒC […] han mantenido la vulneración invocada al desestimar en sus resoluciones judiciales las peticiones de revocación instadas por la recurrente”. Alega respecto al fondo, con cita de la STEDH de 26 de abril de 2016, asunto Cumhuriyet Halk Partisi contra Turquía, que una multa de cuantía alta supone una injerencia en el derecho de asociación, por su aptitud para comprometer su existencia y actividades. Y que esta sanción sería una injerencia excesiva por varios motivos: a) la ley sancionadora [arts. 44.4 b) y 7.2 LOPD] no alcanza la previsibilidad exigible a una interferencia en un derecho fundamental, citando para avalar su criterio la STC 76/2019; b) que los hechos declarados probados se sancionasen con una multa, y más aún que su cuantía ascienda a 200 000 €, es fruto de una interpretación imprevisible de los arts. 44.4 b) y 7.2 LOPD, si se atiende “a la singularidad de la encuesta desarrollada y la inexistencia de precedentes sancionadores similares o análogos en relación a organizaciones no gubernamentales”; c) la multa de 200 000 €, aun cuando fuera previsible, no resulta necesaria en una sociedad democrática, pues la importancia del derecho de asociación para una sociedad civil activa obliga a la autoridad a optar por la medida restrictiva menos severa de las posibles y en ningún caso por una multa o una multa cuantiosa. Razona en este sentido que “en el caso presente, la conducta alegada contra ÒC es una infracción, discutible, de forma no intencionada de una simple norma administrativa. La ONG en ningún momento fue advertida del carácter presuntamente ilegal de sus acciones ni se ofreció la oportunidad de rectificar y/o borrar los datos objeto de controversia. Por el contrario, la autoridad administrativa impuso una pena extremadamente severa, por importe de 200 000 €, sin tener en cuenta que la persona sancionada era una organización no gubernamental, y vulnerando por tanto de manera flagrante el principio de proporcionalidad Y es que debemos poner necesariamente en valor cuando analizamos el principio de proporcionalidad y el principio de necesidad en una sociedad democrática, la vertiente subjetiva del presente caso. Es decir, no es baladí que el sujeto sancionado sea una asociación y que esta, además, sea una defensora de los derechos humanos”.
Y afirma, en cuanto al segundo motivo, que “tenemos fundadas razones para concluir que la AEPD actuó motivada por unos fines distintos a la protección de datos de terceros, y que, por tanto, esta actuación administrativa ilegítima que comprende una desviación de poder restringió de manera ilegítima la libertad de asociación”, lo que supone lesionar el art. 18 CEDH. Añade que, dada lo complejo de la prueba directa de esta desviación, cabe acreditarla mediante indicios, como que la multa se impone en un contexto social y político de conflicto entre la voluntad de autodeterminación que defiende ÒC y la voluntad de los poderes públicos del Estado de preservar la integridad territorial. Otro indicio sería la falta de precedente sancionador, la falta de oportunidad que da la AEPD para corregir el supuesto incumplimiento y el excesivo montante impuesto.
En fin, la demanda afirma que la imposición de una multa, si se dan ciertas condiciones, constituye injerencia en el derecho de propiedad (STEDH de 15 de noviembre de 2018, asunto Togrul contra Bulgaria), que solo sería admisible si a) está prevista en la ley y b) es necesaria en una sociedad democrática, remitiéndose en cuanto a estos dos extremos a lo indicado en la primera vulneración.
7. ANC, a quien se impuso por su participación en la “gigaencuesta” una sanción idéntica, que recurrió en vía contencioso-administrativa en parecidos términos, ha presentado un recurso de amparo el 8 de enero de 2020, pero fundado en motivos parcialmente distintos.