Web viewReal Madrid CF no ha acreditado que informara a D. Carlos María del funcionamiento del sistema de "cesión de abono", ni del modo o medio para realizar el operativo

JORNADA LA DESTRUCCIÓ DE SUPORTS I DOCUMENTS A LES ADMINISTRACIONS PÚBLIQUES (9 DE MARÇ 2012).

JURISPRUDENCIA DE LA PONENCIA DE RAMON ARNÓ.

Audiencia Nacional (Sala de lo Contencioso-Administrativo). Sentencia de 25 marzo 2011. Ponente: Excma. Sra. Elisa Veiga Nicole.

SENTENCIA

Madrid, a veinticinco de marzo de dos mil once.

Visto por la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional el recurso contencioso

administrativo número 63/2010 interpuesto por el MINISTERIO FISCAL, contra la resolución del Director de la Agencia Española

de Protección de Datos de fecha 25 de noviembre de 2009 en, dictada en el procedimiento AP/00042/2009, habiendo sido parte

la Administración demandada, representada y defendida por el Abogado del Estado.

ANTECEDENTES DE HECHO

PRIMERO .- Por el recurrente expresado se formuló recurso contencioso administrativo contra la resolución anteriormente mencionada, mediante escrito presentado el 28 de enero de 2010, habiéndose admitido a trámite por providencia de fecha 9 de febrero del mismo año, con reclamación del expediente administrativo.

SEGUNDO.- La parte actora formuló demanda mediante escrito presentado el 19 de abril de 2010 en el que, tras alegar los hechos y fundamentos jurídicos que consideró oportunos, terminó suplicando que se dictase sentencia estimando el recurso, declarando la nulidad de la resolución recurrida.

TERCERO.- El Abogado del Estado en su escrito de contestación a la demanda de fecha 4 de junio de 2010, tras alegar los hechos y fundamentos de derecho que consideró aplicables, postuló una sentencia por la que se desestime el recurso interpuesto en todos sus extremos, confirmando la resolución impugnada por ser conforme a derecho.

CUARTO.- Las partes no solicitaron el recibimiento del pleito a prueba ni el trámite de vista o de conclusiones, señalándose para votación y fallo el día 23 de marzo de 2011, en el que se deliberó y fallo.

Ha sido PONENTE la Magistrada ELISA VEIGA NICOLE, quien expresa el parecer de la Sala.

FUNDAMENTOS DE DERECHO

PRIMERO

.- Constituye el objeto del presente recurso contencioso-administrativo la resolución del Director de la Agencia Española de la Protección de Datos de fecha 25 de noviembre de 2009 que declara que la Fiscalía Provincial de Sevilla ha infringido lo dispuesto en el artículo 10 de la Ley Orgánica 15/1999 ( RCL 1999, 3058) , tipificada como leve en el artículo 44.2 .e), y acuerda, asimismo, requerir a la citada Fiscalía para que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo 10 de la LOPD .

En la resolución impugnada se indica que en contenedores de basura , sitos en la vía pública, se encontraron un Auto y una Providencia correspondientes a los procedimientos 346/2006 y 39/2007 respectivamente, procedentes del Juzgado de lo Penal nº 8 de Sevilla, y de la información que figura manuscrita en cada uno de los documentos podría desprenderse que ambos fueron notificados en fecha 6 de junio de 2007 al Ministerio Fiscal, documentos que no se encuentran en los correspondientes expedientes de los procedimientos de que dispone la Fiscalía.

SEGUNDO

La Fiscalía invoca en su demanda como fundamentos de la pretensión anulatoria de la resolución impugnada los siguientes motivos:

- La resolución de la Agencia es nula de pleno derecho por haberse dictado por órgano manifiestamente incompetente. El Ministerio Fiscal no es Administración Pública, a los efectos de la aplicación del artículo 46 de la Ley Orgánica 15/99 ( RCL 1999, 3058) . La actuación de inspección por parte la Agencia, respecto a la documentación del Fiscal, podría violentar el secreto de las diligencias del sumario de ahí que la inspección y sanción al Ministerio Fiscal deberá realizarse por el órgano específico creado al efecto, que según el artículo 13 de su Estatuto sería la inspección de la Fiscalía General del Estado.

- En el ámbito de los hechos, no existe acta de comparecencia ni identificación de los periodistas que presentaron la documentación ni de cuáles fueron las circunstancias en que supuestamente hallaron la misma, incumbiendo la prueba de los hechos incriminadores a la Administración. Es más, no hay base probatoria alguna para afirmar acreditada la culpabilidad de la Fiscalía Provincial de Sevilla, no existiendo elemento del que deducir que las fotocopias objeto del expediente pertenecían a la Fiscalía Provincial de Sevilla. Tales fotocopias podían ser igualmente de

personal del Juzgado que se disponía a hacer una notificación que no se sabe si se hizo o no.

- El hecho de que las fotocopias no se encontrasen en las carpetillas de Fiscalía constituye un indicio tan débil, genérico y abierto que admite múltiples posibilidades, como el haber incluido erróneamente las mismas en la carpetilla correspondiente a otro asunto, extremo que pudo aclarar la Agencia oyendo a los Fiscales que tenían atribuido tales asuntos. En definitiva, no hay constancia documental de que se hubiesen practicado las notificaciones al Fiscal pese a la nota manuscrita que figura en las dos fotocopias.

- Las resoluciones judiciales obrantes en las fotocopias objeto del expediente tienen una clara vocación de publicidad como se deduce de su contenido. Por último, la Fiscalía Provincial de Sevilla carece de personalidad jurídica individualizada y no responsable del fichero o del tratamiento.

El Abogado del Estado se opone en a la demanda por las siguientes razones:

- Sin discutir la naturaleza de la Fiscalía en nuestro sistema constitucional, la aplicación de la LOPD a los ficheros del poder judicial es una posición pacífica a la luz de la jurisprudencia del Tribunal Supremo. La propia Fiscalía General del Estado ha reconocido tal extremo en su Instrucción 6/2001 , sobre ficheros automatizados de datos personales gestionados por el Ministerio Fiscal. La Agencia es una autoridad independiente, específicamente apoderado para tutelar el derecho fundamental a la libertad informática

- No se ha producido una irregularidad procedimental en la tramitación del expediente administrativo pues los expedientes sancionadores se inician siempre de oficio.

- En cuanto a la prueba indiciaria, contrariamente a lo manifestado en la demanda, ha sido admitida tanto por el Tribunal Constitucional como por el Tribunal Supremo en reiterada jurisprudencia. En el presente caso existen una serie de hechos base que se encuentran debidamente probados y que permiten llegar a la conclusión de la Agencia.

- Fuera de los concretos destinatarios de las resoluciones judiciales y de los medios expresamente previstos para la citación no es lícito que los datos personales de los afectados puedan verse divulgados sin limitación alguna pues ello supondría una vulneración del artículo 10 de la LOPD .

- Por último, el Ministerio Fiscal es el responsable del fichero y la Fiscalía Provincial de Sevilla ostenta la condición de responsable del tratamiento al ser una de las unidades que gestionan dichos ficheros.

TERCERO

.- La parte recurrente invoca la falta de competencia de la AEPD para supervisar los ficheros de la Fiscalía y dictar la resolución impugnada, al considerar que el Ministerio Fiscal no es Administración pública sino Órgano de relevancia constitucional con personalidad jurídica propia integrado con autonomía funcional en el poder judicial, y la Agencia carece de competencia para aplicar la LOPD ( RCL 1999, 3058) y supervisar dichos ficheros.

Pues bien, esta Sala ya se ha pronunciado sobre tal cuestión en nuestras sentencias de 20 de febrero de 2008 ( RJCA 2008, 178) y 18 de marzo de 2009 ( JUR 2009, 178223) y, como indicábamos en las mismas, en cuanto a la aplicación de la LOPD a los ficheros de la Fiscalía, aunque la LOPD no hace ninguna alusión al Ministerio Fiscal (tampoco a los Juzgados y Tribunales) salvo alguna referencia puntual, por ejemplo en el artículo 11.2 .d), su aplicación a los citados ficheros se desprende de lo dispuesto, a sensu contrario, en los artículos 2.2 y 2.3 LOPD , al no figurar entre los excluidos en todo o parte de su ámbito de aplicación, como tampoco figuran los del Poder Judicial.

Además, el derecho a la protección de datos, constituye a partir del artículo 18.4 de la Constitución ( RCL 1978, 2836) , un derecho fundamental autónomo y específico, como ha señalado el Tribunal Constitucional en su sentencia 292/2000 ( RTC 2000, 292) , por lo que vincula a todos los poderes públicos (artículo 53 de la Constitución) como el Poder Judicial y lógicamente tampoco queda excluido el Ministerio Fiscal.

En referencia a la aplicación de la LOPD a los ficheros judiciales, el Tribunal Supremo en su sentencia de 18 de septiembre de 2006 (Rec. 274/2002 ) ( RJ 2006, 9967) , señala " la aplicabilidad de la Ley Orgánica 15/1999 a los ficheros de datos de carácter personal de los órganos jurisdiccionales y a los tratamientos que de los mismos se lleven a cabo...Y es así no solo porque el artículo 230 de la Ley Orgánica del Poder Judicial ( RCL 1985, 1578, 2635) lo dispone expresamente, sino, sobre todo, porque el derecho fundamental a la protección de datos de carácter personal vincula también a todos los poderes públicos y, por tanto, a los órganos judiciales, sea en el ejercicio de la potestad jurisdiccional, sea en sus aspectos gubernativos al margen de la forma en que se cumplan las normas que la hacen efectiva".

Aplicación de la LOPD que podrá tener lugar en todo aquello que sea compatible con las funciones propias (jurisdiccionales y no jurisdiccionales) de dichos órganos judiciales, pues la singularidad de la actividad jurisdiccional y los intereses que en ella subyacen, como señala el Acuerdo del Pleno del CGPJ de 20 de septiembre de 2006 (que crea los ficheros de carácter personal dependientes de los órganos judiciales) exigen en ocasiones una

limitación o modulación de los derechos y garantías de los ciudadanos.

Además, el sometimiento de los ficheros judiciales a la LOPD ha de entenderse, como pone de relieve el Abogado del Estado en su escrito de contestación a la demanda, sin menoscabo de la función jurisdiccional y, por tanto, atinente a lo que debe considerarse como "aspecto accesorio" o administrativo de la función jurisdiccional - en terminología del Acuerdo del Pleno del Consejo General Judicial de 15 de septiembre de 2005, por el que se aprueba el Reglamento 1/2005 ( RCL 2005, 932) , de los Aspectos Accesorios de las Actuaciones Judiciales (RAA ), que deroga el anterior Reglamento 5/1995 ( RCL 1995, 2073) .

Por lo que respecta a los ficheros de la Fiscalía, la Instrucción 6/2001 señala que la ausencia de una normativa propia que regule el empleo de las tecnologías de la información en el ámbito de la actuación del Ministerio Fiscal, obliga a acudir a la legislación de protección de datos para hallar el estatuto regulador del empleo de la información personal en el ejercicio de las competencias de la Fiscalía. Se dice literalmente " Serán por tanto la legislación de protección de datos personales, manifestada por la Ley Orgánica antes citada y sus normas de desarrollo, así como el artículo 37 de la Ley 30/1992, de 26 de noviembre ( RCL 1992, 2512, 2775 y RCL 1993, 246) , de Régimen Jurídico de la Administración del Estado y del Procedimiento Administrativo Común, las que ofrezcan el apoyo normativo al mantenimiento de los ficheros de datos personales y al ejercicio frente a los mismos de los derechos de acceso, rectificación y cancelación por los interesados". En definitiva, resulta aplicable la LOPD a los ficheros de la Fiscalía.

En cuanto a la competencia de la Agencia para controlar la actuación de la Fiscalía y de los órganos judiciales en el cumplimiento de la LOPD, el artículo 35 de la citada norma se refiere a la naturaleza de la Agencia de Protección de Datos, diciendo que es " un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones públicas en el ejercicio de sus funciones".

Se trata, efectivamente, de una Autoridad de Control independiente, prevista en el protocolo adicional al Convenio 108, de 28 de enero de 1981 ( LCEur 1985, 2704) , del Consejo de Europa y en el artículo 28 de la Directiva 95/46 /CE ( LCEur 1995, 3195) que traspone la LOPD y reconocida como tal en la STC 290/2000 ( RTC 2000, 290) .

En cuanto a la posibilidad de control de la actuación de la Fiscalía por parte de la Agencia, este tiene sus límites pues nunca podrá hacer valoraciones sobre apreciaciones de competencias jurisdiccionales o quasi jurisdiccionales. Pero en el caso de autos la Agencia no ha sobrepasado este límite, pues la

posibilidad de control se extiende lógicamente a los datos de carácter personal obrantes en poder de la Fiscalía.

CUARTO

En cuanto al fondo, la parte recurrente aduce la inexistencia de base probatoria alguna para afirmar acreditada la culpabilidad de la Fiscalía, no respetándose la presunción de inocencia. Por su parte, la Abogacía del Estado considera la existencia de prueba indiciaria suficiente para imputar los hechos a la actora.

Pues bien, el principio de presunción de inocencia es de obligada observancia también en el procedimiento administrativo sancionador, de forma que un pronunciamiento de esta naturaleza debe descansar necesariamente en la existencia de una mínima actividad probatoria de cargo, en el sentido de que de ella quepa deducir tanto la realidad del hecho infractor como la culpabilidad de la persona a quien le es imputado. Tal prueba puede consistir ciertamente en la llamada indirecta o indiciaria, entendida como aquella que muestra la certeza de unos hechos que no son en sí mismos los integrantes de la infracción o los determinantes de la culpabilidad, pero de los que cabe inferir lógicamente una y otra.

Ahora bien, como se recoge en reiterada jurisprudencia, dicha prueba indiciaria sólo será apta para destruir aquella presunción constitucional: a) cuando los indicios -los hechos indiciarios- estén efectivamente probados; y b) cuando el órgano sancionador haga explícito el razonamiento en virtud del cual, partiendo de tales indicios, obtiene la conclusión de la realidad del hecho infractor y de la culpabilidad.

La citada presunción no ha sido respetada la resolución impugnada. En efecto, el único dato incriminador -indirecto - que encontramos en el procedimiento administrativo sancionador consiste en el hecho de que la copia de la resoluciones judiciales no se encontraba en las carpetillas de la Fiscalía correspondientes a los asuntos 346/2006 y 39/2007, y de tal hecho la Agencia deduce que la Fiscalía es responsable de que las copias de las resoluciones judiciales apareciesen en los contenedores de basuras sitos en la vía pública.

Pero el hecho de que tales copias no estén en las carpetillas correspondientes de la Fiscalía es un indicio insuficiente para deducir de él la culpabilidad de la citada Fiscalía respecto al hecho infractor. Que las copias no se encuentren en las carpetillas correspondientes puede tener otras explicaciones, como apunta la parte recurrente, simplemente que se encuentren en la correspondiente a otro asunto o todavía no hayan sido incluidas en las carpetillas etc. La Agencia no ha realizado diligencia de prueba tendente a cerrar estas distintas posibilidades y conseguir acreditar la falta de diligencia de la Fiscalía.

De otra parte, no se puede pasar por alto que copia de tales

documentos fueron manejados por personal del Juzgado de lo Penal, por el Procurador de los Tribunales y por la Fiscalía.

A la vista de lo anterior, jurídicamente no cabe tener por cierto la culpabilidad de la Fiscalía a quien se imputa el hecho infractor pues faltan aquellas dos exigencias sobre las que ha de descansar la aptitud o idoneidad de la prueba indiciaria, es decir, la acreditación del indicio y la exteriorización del proceso lógico que conduce desde él, con un enlace preciso y directo según las reglas del criterio humano, a la conclusión de que la imputada realizó la conducta infractora.

Así las cosas, resulta insuficiente la prueba aportada por la Administración y cualquier insuficiencia en el resultado de las pruebas practicadas debe traducirse en un pronunciamiento absolutorio, procediendo, por ello, la estimación del recurso ya que, negados los hechos por la recurrente que no viene obligado a acreditar su inocencia, la carga de la prueba correspondía a quien acusa, es decir a la Administración que no ha aportado prueba suficiente de los hechos imputados.

QUINTO

.- De conformidad con lo dispuesto en el artículo 139.1 de la Ley Jurisdiccional ( RCL 1998, 1741) , no se aprecian motivos para una imposición de costas.

FALLAMOS

ESTIMAR el recurso contencioso-administrativo interpuesto por el MINISTERIO FISCAL, contra la resolución del Director de la Agencia Española de Protección de Datos de fecha 25 de noviembre de 2009 en, dictada en el procedimiento AP/00042/2009, resolución que anulamos por no ser conforme a derecho; sin imposición de costas.

Contra esa sentencia no cabe recurso de casación ante el Tribunal Supremo.

Así por esta nuestra sentencia lo pronunciamos mandamos y fallamos.

PUBLICACIÓN.- Dada, leída y publicada fue la anterior sentencia en audiencia pública. Doy fe. Madrid a

EL SECRETARIO JUDICIAL

Audiencia Nacional (Sala de lo Contencioso-Administrativo, Sentencia de 3 febrero 2011 JUR 2011\58366. Ponente: Excmo Sr. José Guerrero Zaplana.

SENTENCIA

Madrid, a tres de febrero de dos mil once.

Vistos por la Sala citada al margen el Recurso numero 01/45/2010 interpuesto por Juan Enrique , representado por el procurador Sr. MYRIAM ALVAREZ DEL VALLE LAVESQUE, contra la resolución de fecha 9 de Diciembre de 2009

dictada por el Director de la Agencia Española de Protección de Datos por la que se impone al ahora recurrente una multa por infracción de lo previsto en el articulo 44.4 .g) en relación con lo previsto en el articulo 10 de la LOPD , habiendo sido parte el Sr. Abogado del Estado. La cuantía del recurso ha sido fijada en 60.101,21 euros.


PRIMERO: Por el indicado recurrente se interpuso recurso contencioso administrativo mediante escrito presentado ante esta sala contra el acto mencionado en el encabezamiento de esta resolución, acordándose su admisión y una vez formaliza-dos los trámites legales preceptivos fue emplazado para que dedujera demanda, lo que llevó a efecto mediante escrito en el que, tras alegar los fundamentos de hecho y de derecho que consideró pertinentes, terminó solicitando la estimación del recurso y la consiguiente anulación del acto recurrido ó, subsidiariamente, se considere falta grave y se aplique el articulo 45.5 de la LOPD imponiendo una multa por importe de 600 euros.

De lo que consta en el expediente y de las alegaciones de las partes en sus respectivos escritos resulta el siguiente relato de hechos:

- Con fecha de 12/09/08 se tuvo conocimiento en la Agencia Española de Protección de Datos de que un periódico publicaba el hallazgo en la vía pública de envases con biopsias médicas. Se ha incorporado al expediente impresión de pantalla del diario digital "lne.es" de fecha 10/08/08, en el que se relata que el Cuerpo Nacional de Policía localizó el día 9/08/08, en el número de 8 de la calle Libertad, (de Gijón), "25 envases con restos orgánicos de pruebas médicas. Los botes, que se encontraron tirados en la mitad de la calle, incluían datos personales de pacientes, con direcciones personales y otros datos sanitarios individualizados. (Folios 1-23).

- En el Atestado numero NUM000 levantado por la Policía Nacional

de la Comisaría de Gijón consta que "Los Agentes significan que todos los botes tiene etiquetas con números de historiales clínicos, constando datos de pacientes y facultativos, así como nombres que identifican el contenido de los mismos". Y, "Los Agentes comparecientes hacen entrega de una relación detallada de todos los botes y de la información que figura en su etiqueta". (Folios 11-12)

- El vertido encontrado en la vía pública constaba de tres bolsas en las que se encontraban un total de 41 botes de plástico, con sus respectivas etiquetas en las que aparecía información relativa al número de Historia Clínica; Nombre y apellidos del paciente; Sociedad Médica o facultativo; Tipo de tejido e incluso en algunas de ellas se hacía mención al diagnostico.

- Que Juan Enrique reconoció que los restos encontrados procedían de su consulta y que se trataban de una serie de frascos de biopsias antiguas en los que figuraba el médico solicitante de la biopsia, el nombre del paciente y, en ocasiones, el número de historial clínica y la zona anatómica afectada. (Folio 23). Manifiesta también que los restos se encontraron en la basura por un error padecido por la persona que desempeñaba tareas de limpieza en la basura. (Folio 23)

- Juan Enrique disponía de un servicio de eliminación de residuos de tejidos orgánicos que tiene contratado con la empresa Saniastur. (Folios 68-74)

- La Agencia Española de Protección de Datos, inició expediente sancionador que dio lugar a la resolución que ahora es objeto del presente recurso contencioso administrativo.

SEGUNDO: La representación procesal de la parte demandada contestó a la demanda mediante escrito en el que, tras alegar los hechos y fundamentos de derecho que consideró aplicables, terminó pidiendo la desestimación del presente recurso.

TERCERO: Al no haberse recibido el pleito a prueba, se dio traslado a las partes, por su orden, para conclusiones; en este trámite se evacuó en sendos escritos en los que realizaron las manifestaciones que le convinieron a sus respectivos intereses.

CUARTO: Con fecha 2 de Febrero se celebró el acto de votación y fallo de este recurso, quedando el mismo visto para sentencia.

Ha sido ponente del presente recurso el Magistrado Iltmo. Sr. JOSE GUERRERO ZAPLANA.

FUNDAMENTOS JURÍDICOS

PRIMERO

Se interpone el presente recurso contencioso administrativo frente

a la resolución de fecha 9 de Diciembre de 2009 dictada por el Director de la Agencia Española de Protección de Datos por la que se impone al ahora recurrente una multa por infracción de lo previsto en el articulo 44.4 .g) en relación con lo previsto en el articulo 10 de la LOPD .

Según la resolución recurrida los hechos denunciados entran en el campo de aplicación de la LOPD, teniendo en cuenta la remisión que el art. 17.6 de la ley 41/2002 realiza a la LOPD en lo relativo a las medidas técnicas de seguridad que han de cumplirse, y la obligación de custodia de la documentación clínica contemplada en el artículo 17.5 de la misma Ley .

En cuanto a la infracción de medidas de seguridad, menciona la resolución que Juan Enrique debió, por ello, adoptar las medidas necesarias para evitar cualquier recuperación posterior de las biopsias, que contenían datos personales relacionados con la salud, deduciéndose de los hechos relatados, que dichas medidas no se adoptaron. Por consiguiente, el denunciado, no observó la diligencia necesaria para la observancia de las medidas de seguridad, (...) Debe tenerse en cuenta que el objeto del presente procedimiento se refiere al hallazgo en la vía pública de datos de carácter personal relacionados con salud de personas concretas, y que dicha localización ha venido motivada por el incumplimiento del deber de seguridad por parte del denunciado.

Respecto a la infracción del deber de secreto, dice la resolución recurrida que "En el caso que nos ocupa, Juan Enrique , es responsable de la custodia de la documentación relativa a diversos pacientes y que apareció abandonada en la vía pública. Existiendo pues un incumplimiento del deber de secreto, produciéndose una ausencia de confidencialidad, por lo que se considera que se ha cometido una infracción del trascrito artículo 10 de la LOPD2 .

Sobre la base de lo que señala el artículo 44.4g) de la LOPD , que considera infracción muy grave "La vulneración del deber de guardar secreto sobre los datos de carácter personal, a que hacen referencia los apartados 2 y 3 del artículo 7 " entiende la Agencia en la resolución impugnada que ha existido una vulneración en el deber de secreto por parte de Juan Enrique en relación a datos de salud especialmente protegidos, y se considera que ha incurrido en la infracción descrita.

En relación a que se ha infringido, también, la exigencia de cumplimiento de medidas de seguridad, entiende la resolución impugnada que nos encontramos ante un supuesto en el que un mismo hecho derivan en dos infracciones, dándose la circunstancia que la comisión de una implica necesariamente la comisión de la otra. Esto es, si un documento interno que contiene información sobre datos personales sale del ámbito de la entidad responsable de su confidencialidad, se está produciendo un incumplimiento de las medidas de seguridad exigidas a dicho responsable que, a su vez, deriva en una vulneración del deber de secreto.

Por lo tanto, aplicando el artículo 4.4 del Real Decreto 1398/1993, de 4 de agosto , por el que se aprueba el Reglamento del procedimiento para el ejercicio de la potestad sancionadora que señala que "en defecto de regulación específica establecida en la norma correspondiente, cuando de la comisión de una infracción derive necesariamente la comisión de otra u otras, se deberá imponer únicamente la sanción correspondiente a la infracción más grave cometida", procede subsumir ambas infracciones en una. Dado que, en este caso, se ha producido una vulneración de las medidas de seguridad, calificada como grave por el artículo 44.3.h) de la LOPD y también un incumplimiento del deber de guardar secreto referido a datos especialmente protegidos, calificado como muy grave en el artículo 44.4 .g) de la misma norma, procede imputar únicamente la infracción del artículo 10 de la LOPD .

En cuanto a la fijación del importe de la sanción, la resolución razona del siguiente modo la aplicación del articulo 45.5 de la LOPD : "Valorando las circunstancias del presente caso, donde se ha establecido en los hechos probados que se trató de un hecho puntual; que "en el mismo momento en que el tuvo conocimiento de los hechos por mediación de la Prensa, acude presuroso a la Comisaría de Policía para identificarse y para paliar en todo lo posible las consecuencias que pudieren derivarse de dicho error ", que "es práctica habitual y constante del compareciente deshacerse de estos restos en forma reglada y mediante contrato suscrito desde hace muchos años con entidad es especializadas a tal fin", debe entenderse que operan dichas circunstancias atenuantes de la responsabilidad; aplicadas ya por esta Agencia, en otros procedimientos similares relativos a la localización en la vía pública de documentación con datos de carácter personal.

SEGUNDO

La adecuada resolución del presente supuesto exige partir de lo que señala el artículo 17.5 y 6 de la ley 41/2002 sobre derechos del paciente que establecen que "5. Los profesionales sanitarios que desarrollen su actividad de manera individual son responsables de la gestión y de la custodia de la documentación asistencial que generen 6. Son de aplicación a la documentación clínica las medidas técnicas de seguridad establecidas por la legislación reguladora de la conservación de los ficheros que contienen datos de carácter personal y en general, por la Ley Orgánica 15/99, de Protección de Datos de Carácter Personal ."

Por lo tanto, en materia de documentación clínica (y unos botes con muestras orgánicas relativas a pacientes, claramente es documentación clínica) resulta de aplicación lo que establece en la Ley Orgánica de Protección de Datos y su normativa de desarrollo.

El concepto de dato de salud aparece recogido en el Reglamento de la Ley Orgánica, aprobado por RD 1720/07 que define, en el Art 5.1

.g datos de carácter personal relacionados con la salud como "las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se considerarán datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética".

También resulta de aplicación al caso presente, y en relación a la infracción imputada al recurrente el articulo 10 de la LOPD cuando señala que "El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo."

TERCERO

La parte recurrente insiste en su escrito de demanda en que los botes en cuestión no contienen datos que permitan la identificación ni de la historia clínica, ni del paciente sino solo una pieza y una nomenclatura identificada por el servicio medico. Insiste en que los botes no permitían conducir al individuo concreto

Esto, que es lo manifestado por el recurrente en su escrito de demanda, no se compadece con lo que obra a partir del folio 13 y hasta el folio 21 del expediente: en cada bote aparece la identificación del nombre del paciente, del DNI, el numero de habitación, la identificación de la pieza, el medico prescriptor de la prueba e, incluso, en algunos de ellos, el diagnostico.

La parte recurrente también considera que procede aplicar el régimen sancionador previsto en la ley 41/2002 sobre derechos del paciente e historia clínica. Nada de esto es exacto: en el expediente administrativo remitido se ha sancionado al recurrente por infringir la exigencia de secreto en relación a los datos personales de los pacientes respecto de los que realizó las biopsias cuyos restos fueron encontrados en un contenedor de basuras. No se sanciona nada relativo a la Ley General de Sanidad; lo que se sanciona es el uso dado a los datos de los paciente (y que figuraban en los frascos localizados en un contenedor) que no fueron debidamente custodiados infringiendo las exigencias de secreto que tenia el recurrente respecto de dichos datos.

Por lo tanto, no se produce infracción alguna del principio de presunción de inocencia; es claro que la prueba fundamental que permite la imposición de la sanción procede (no de la denuncia periodística ni de la denuncia del escrito de la Asociación "El defensor del paciente"); la prueba de la infracción del deber de secreto radica en el atestado NUM000 de la Comisaría de Gijón (folio 11 del expediente) en el que se detalla que los policías actuantes localizaron unos botes y que todos los botes tienen etiquetas con números de historiales clínicos, constando datos de

pacientes, facultativos, y nombres que identifican el contenido de los botes; el detalle de cada bote obra a partir del folio 13 al que ya nos hemos referido mas arriba.

Esta misma Sala en la sentencia correspondiente al recurso 352/2009 (que trataba de un supuesto en que los datos médicos habían accedido a Internet) consideró que: <<A la hora de valorar si se ha producido infracción del deber de secreto, hay que partir de que este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la STC 292/2000 , y por lo que ahora interesa, comporta que los datos tratados automatizadamente, relativos a la historia clínica de pacientes de varios centros de salud, no pueden ser conocidos por ninguna persona o entidad ajena al propio paciente y a los médicos que le tratan y que, menos aún, puede circular libremente por Internet, pues en eso consiste precisamente el secreto.

Esta Sala tiene establecida la necesidad de que se produzca una efectiva revelación para que se cometa la infracción imputada a la recurrente. Sobre la exigencia de que se produzca revelación efectiva esta Sala parte de la necesidad de que aunque se cometa una determinada conducta que pudiera dar lugar a la revelación de secretos, si está, efectivamente no se produce, no es posible sancionar por la revelación de secretos.>>

Obviamente, en el caso presente la divulgación se ha producido pues los datos médicos estuvieron a disposición de quien localizó y extrajo los frascos con datos médicos del contenedor de basuras en que fueron localizados por la policía por lo que procede aplicar el mismo criterio que en aquella sentencia (también reproducido en otra como la correspondiente al recurso 205/2008).

CUARTO

Finalmente, la parte recurrente alega la infracción del principio de proporcionalidad; no obstante, tampoco este argumento podrá ser acogido en esta sentencia.

La infracción imputada tiene la condición de muy grave y viene recogida en el articulo 44.4 .g) como "La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen referencia los apartados 2 y 3 del art. 7 , así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas".

Obviamente, la infracción del deber de secreto estando afectados datos de salud obliga a la calificación de la infracción como muy grave sin que sea posible la aplicación correspondiente al tipo leve previsto en el apartado 3.g del mismo articulo 44 que sanciona la vulneración del deber de guardar secreto pero solo cuando se refiera a datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios

financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo.

A su vez, la existencia del concurso ideal con relación a la infracción de medidas de seguridad (que articulo 44.3 .h califica como grave) obliga a sancionar al recurrente exclusivamente por la infracción mas grave: la infracción del deber de secreto que se califica como muy grave.

La aplicación de lo previsto en el articulo 45.5 por entender que se aprecia una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho impone que se sancione como infracción grave y dentro del abanico de posibilidades se ha impuesto la sanción en el mínimo posible por lo que no es posible llevar a efecto mayor reducción que la realizada por la Agencia en la resolución recurrida.

QUINTO

Por aplicación de lo establecido en el articulo 139 de la Ley de la Jurisdicción Contencioso Administrativa no resulta procedente hacer expresa condena en costas a ninguna de las partes que han intervenido en este procedimiento.

Vistos los preceptos citados por las partes y los demás de general y pertinente aplicación al caso de autos

F A L L A M O S

Que desestimando el presente recurso contencioso administra-tivo interpuesto por el procurador MYRIAM ALVAREZ DEL VALLE LAVESQUE, en la representación que ostenta de Juan Enrique , contra la resolución descrita en el primer fundamento de esta Sentencia, debemos confirmar la resolución recurrida. Todo ello sin haber lugar a expresa imposición de costas.

Frente a esta Sentencia no cabe imponer recurso de casación.



EL SECRETARIO JUDICIAL

Audiencia Nacional (Sala de lo Contencioso-Administrativo, Sentencia de 30 abril 2010. Ponente: Excma. Sra. Nieves Buisán García

SENTENCIA

Madrid, a treinta de abril de dos mil diez.

La Sala constituida por los Sres. Magistrados relacionados al margen ha visto recurso Contencioso-administrativo nº 29/2009,

interpuesto por ADMINISTRADOR DE INFRAESTRUCTURAS FERROVIARIAS (ADIF), representada por el Procurador Don

Manuel Lanchares Perlado, frente a la Resolución de la Agencia Española de Protección de Datos de 12 de noviembre de 2008

que desestima el recurso de reposición contra la anterior Resolución de 15 de septiembre de 2008 que acuerda imponer a dicha

entidad, por una infracción del artículo 9 de la LOPD , tipificada como grave en el artículo 44.3 h) de dicha norma, una multa de 6.000 €, de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica . Ha sido parte demandada en las

presentes actuaciones la Administración General del Estado, representada por la Abogacía del Estado.


PRIMERO.- Por la entidad recurrente se interpuso recurso contencioso administrativo mediante escrito presentado el 13 de enero de 2009, acordándose por providencia de 16 de marzo siguiente su tramitación de conformidad con las normas establecidas en la Ley 29/1998 , y la reclamación del expediente administrativo.

SEGUNDO.- En el momento procesal oportuno tal parte actora formalizó la demanda en la que, tras alegar los hechos y fundamentos de derecho que estimó procedentes, solicitó se dictara sentencia en la que, estimándose el recurso, se declare la nulidad de la resolución de 12-11-2008 que confirma en reposición la anterior resolución de 15-9-2008 y, subsidiariamente, para el supuesto de que la Sala estime la existencia de infracción, se fije la cuantía de la sanción en su escala inferior, en el mínimo establecido de 601,1 euros, en aplicación del articulo 45.5 de la Ley Orgánica de Protección de Datos , con expresa condena en costas.

TERCERO.- El Sr. Abogado del Estado contestó la demanda mediante escrito presentado el 31 de julio de 2009, en el que, tras alegar los hechos y los fundamentos jurídicos que estimó aplicables,

terminó suplicando se dictara sentencia en la que se desestimara el recurso y se confirmara la resolución impugnada, por ser ajustada a Derecho.

CUARTO.- Habiéndose solicitado el recibimiento del recurso a prueba. se acordó el mismo mediante Auto de 14 de octubre de 2009 , practicándose las pruebas documentales y testifical propuestas y admitidas, con el resultado que figura en las actuaciones. No considerándose necesaria la celebración de vista pública, se dio trámite de conclusiones a las partes, trámite que evacuaron por su orden, primero la defensa de la entidad actora y después el Abogado del Estado, mediante escritos en los que concretaron y reiteraron sus respectivas pretensiones.

QUINTO.- Conclusas las actuaciones, se señaló para votación y fallo de este recurso el día 14 de abril de 2010, fecha en que tuvo lugar la deliberación y votación, habiendo sido ponente la Ilma. Magistrada doña NIEVES BUISAN GARCIA, quien expresa el parecer de la Sala.

FUNDAMENTOS JURIDICOS

PRIMERO

Se impugna en el presente recurso contencioso-administrativo por Administrador de Infraestructuras Ferroviarias (ADIF), la Resolución de la Agencia Española de Protección de Datos de 12 de noviembre de 2008 que desestima el recurso de reposición contra la anterior Resolución de 15 de septiembre de 2008 que acuerda imponer a dicha entidad, por una infracción del artículo 9 de la LOPD , tipificada como grave en el artículo 44.3 h) de dicha norma, una multa de 6.000 €, de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica .

Tales resoluciones declaran como hechos probados los que se exponen a continuación:

PRIMERO.- D. Adolfo participó en un proceso interno de cambio de puesto de trabajo. El documento "Cambio de situación laboral" es el que materializa la situación de movilidad laboral. Este documento consta de tres ejemplares, numerados como 1. "para la empresa", 2. "para el trabajador" y 3. "para la empresa". El documento inicia su formalización en la Dirección Ejecutiva correspondiente al ámbito en el que se encuadra el trabajador, y los ejemplares 1 y 2 van firmados por el "Cargo 1", se dirigen a la dependencia de "origen" del trabajador" para que el Jefe de ésta certifique, y se remite a la dependencia de destino, que certifica el primer día de prestación de servicios en la situación aprobada, haciendo entrega al trabajador del ejemplar 2.

SEGUNDO.- D. Adolfo manifiesta que halló el 20/04/2006 en su buzón del centro de trabajo, así como en los buzones de otros trabajadores, la copia de cambio de situación laboral, ejemplar 1,

emitida el 5/04/2006 por la Dirección Ejecutiva de estaciones de Viajeros. Estos hechos los acredita mediante declaración de testigos. El documento "cambio de situación laboral" aparece firmado únicamente por el "Cargo 1", y todavía sin firmar por la dependencia de origen. El documento contiene: causa cambio "Traslado voluntario", datos del puesto actual y del de destino, y en observaciones "Acoplamiento voluntario a petición del interesado" proceso de conversión de factores a administrativos D.C Recursos Humanos".

TERCERO.- Con fecha 19/04/2006 se remitieron los ejemplares "cambio de situación laboral" ejemplares 1 "para la empresa" ya cumplimentados, junto con el expediente personal del denunciante a la unidad de destino obtenida en el proceso de "Acoplamiento voluntario" para ser cumplimentados por la Oficina de destino de origen del Sr. Adolfo .

CUARTO.- Con fecha 5/04/2006, se remitieron los ejemplares 1 y 2 a la dependencia de origen del denunciante, y a la de destino, en ninguno de los ejemplares consta la firma del trabajador.

QUINTO.- ADIF dispone para la gestión de sus competencias de Recursos Humanos del fichero. "Gestión de personal activo y pasivo", con su Documento de Seguridad que refleja las medidas de seguridad de los mismos, entre ellas, las obligaciones del personal, existiendo una relación actualizada de usuarios que tienen acceso autorizado al sistema de información, teniendo acceso limitado a las precisas. A la información del fichero de ADIF no accede personal externo de la empresa.

SEXTO.- Del cambio de situación laboral del denunciante fue informada la representación de los trabajadores, si bien no consta que se le proporcionase el impreso objeto de la denuncia.

SEGUNDO

Uno de los motivos de impugnación de la demanda, que por razones metodológicas ha de ser examinada con carácter prioritario, es la invocada inexistencia de datos de carácter personal protegidos por la LOPD, inexistencia que se sustenta en lo estipulado en el Art 2 del RD 1720/07, de 21 de diciembre , a cuyo tenor, se argumenta, no es posible considerar que los datos del Sr. Adolfo en el documento "cambio de situación laboral", sean datos de carácter personal.

Efectivamente el Art 2 del RD 1720/2007 , referido al ámbito objetivo de aplicación, dispone que:

"no será aplicable a los tratamientos de datos referidos a personas jurídicas ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquellas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados así como la dirección postal o

electrónica, teléfono y numero de fax profesional.

La exclusión reglamentaria hace referencia a los denominados "ficheros de contactos en las empresas", es decir, a los ficheros de contactos o agendas exclusivamente vinculadas a la actividad profesional afectada.

Tal y como la AEPD considera, y así se recoge en la resolución desestimatoria del recurso de reposición, la exclusión necesariamente se ha de limitar a los ficheros en los que la constancia de los datos identificativos de una determinada personal física es meramente accidental o accesorio en relación con el contenido y finalidad del tratamiento. Se trata de que los datos efectivamente se limiten a los meramente necesarios para identificar al sujeto en la persona jurídica en la que presta sus servicios, por lo que cualquier tratamiento que contenga datos adicionales a los citados, se encontrara plenamente sometido a la LO 15/1999.

El documento o documentos a que se refiere la controversia (véase el folio 3 del expediente) contiene el nombre y apellidos del trabajador, la causa cambio: "Traslado voluntario", datos del puesto actual y del puesto de destino, y en observaciones "Acoplamiento voluntario a petición del interesado" proceso de conversión de factores a administrativos D.C Recursos Humanos".

Nos hallamos por tanto, en el presente caso, ante un documento de cambio de situación laboral que se dirige a don Adolfo , de carácter nominativo (en concreto de un ejemplar para la empresa) en el que, además, se contienen informaciones adicionales, como que la empresa se reserva el derecho a dejar sin efecto el traslado en caso de reclamaciones posteriores, información que en definitiva excede del contenido previsto en el mencionado articulo 2.2 del Real Decreto 1720/2007 , por lo que no opera tal causa de exclusión reglamentariamente prevista.

TERCERO

La infracción imputada a ADIF es la del artículo 9.1 de la Ley Orgánica de Protección de Datos a cuyo tenor el responsable del fichero y, en su caso, el encargado del tratamiento "...deberán adoptar las medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley ."

Infracción que se conceptúa como grave en el Art. 44.3 .h) que tipifica como tal "Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen".

Esta misma Sala, resolviendo supuestos anteriores en los que los hechos se tipificaron también conforme a dicho precepto de la Ley 15/1999 , ha establecido la siguiente doctrina (por todas, SAN 6-05-2009 Rec. 469/2008 ):

No basta, entonces, con la adopción de cualquier medida, pues deben ser las necesarias para garantizar aquellos objetivos que marca el precepto. Y, por supuesto, no basta con la aprobación formal de las medidas de seguridad, pues resulta exigible que aquéllas se instauren y pongan en práctica de manera efectiva. Así, de nada sirve que se aprueben unas instrucciones detalladas sobre el modo de proceder para la recogida y destrucción de documentos que contengan datos personales si luego no se exige a los empleados del banco la observancia de aquellas instrucciones. En el caso que nos ocupa ha quedado acreditado que la entidad ahora demandante no prestó la diligencia necesaria en orden a la efectiva observancia de aquellas medidas de seguridad, pues de otro modo no se explica que los documentos en los que figuran datos de carácter personal apareciesen publicados en una revista de amplia difusión en la que se afirmaba que habían sido encontrados en la basura.

Hemos considerado, en consecuencia, que se impone una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros. En definitiva, la responsable del fichero es, por disposición legal, una deudora de seguridad en materia de datos, por lo que debe dar una explicación adecuada y razonable de cómo los datos personales han ido a parar a un lugar en el que son susceptibles de recuperación por terceros, siendo insuficiente con acreditar que adopta una serie de medidas, pues también es responsable de que las mismas se cumplan y se ejecuten con rigor. En definitiva, toda responsable de un fichero (o encargada de tratamiento) debe asegurarse de que dichas medidas o mecanismos se implementen de manera efectiva en la práctica sin que, bajo ningún concepto, datos bancarios, laborales o cualesquiera otros datos de carácter personal, puedan llegar a manos de terceras personas.

CUARTO

En el presente supuesto considera la resolución sancionadora (Pág. 13/17) que ADIF, como responsable, debió adoptar las medidas de seguridad necesarias para evitar que un documento interno fuese a

parar a los casilleros de los trabajadores, posibilitado por algún usuario del sistema de información de ADIF, ya que los datos filtrados se corresponden con el ámbito y responsabilidad de ADIF, responsable de la confección de la documentación del "cambio de situación laboral", y el propio personal de la entidad es el único que ha tenido acceso a dichos datos, y es el que ha dado lugar a la vulneración de las medidas de seguridad establecidas.

De todo lo cual deduce que ADIF ha vulnerado el principio de seguridad en materia de protección de datos, recogido en el artículo 9 de la LOPD .

La misma resolución sancionadora, no obstante, rebaja la sanción aplicable a la infracción grave que se considera cometida, a la cuantía aplicable a las infracciones leves, a tenor de lo dispuesto en el articulo 45.5 LOPD, en base a lo siguiente (Pág. 15/17 ):

Para aplicar la sanción, se debe tener en cuenta que ADIF disponía de documento de seguridad y ficheros inscritos, y dado que el hecho del cambio de categoría del denunciante había sido divulgado para su conocimiento a los representantes de los trabajadores, por el derecho al conocimiento de la provisión de puestos que consagra la legislación laboral, deben tenerse en cuenta como circunstancias para la aplicación de la sanción que implica una reducción parcial de la antijuridicidad de la infracción, aplicando así el artículo 45.5 de la LOPD .

Frente a dichas consideraciones deviene trascendente poner de manifiesto, para resolver la controversia, los siguientes hechos que han quedado probados en las actuaciones:

De un lado, y tal y como la propia AEPD reconoce en la resolución impugnada, que ADIF disponía de documento de seguridad (y ficheros inscritos) y, además, que el cambio de categoría del denunciante, en el momento de cometerse la infracción, había sido ya puesto en conocimiento a los representantes de los trabajadores.

Por otra parte, que el día en que supuestamente se produjo la filtración del repetido documento de cambio de situación laboral, el 20 de abril de 2006, el Sr. Adolfo ya se encontraba desempeñando su nuevo puesto de trabajo, desde el 4 de abril anterior, por lo que en aquel momento en que se considera incumplido el deber de seguridad por Adif, los datos personales en cuestión no solo eran conocidos por los representantes de los trabajadores, sino de conocimiento público, constituyendo un hecho notorio en la empresa.

Además, y según se desprende del acta de inspección practicada, los inspectores de la Agencia solicitaron a los representantes del ADIF acceso al archivo en el que se custodiaban los expedientes de los trabajadores, comprobando que los mismos se encontraban en el interior de una dependencia con puerta cerrada con llave, a la que

solo tenía acceso el personal autorizado en el desempeño de sus funciones. Figurando en uno de los armarios de dicha dependencia, la carpeta con documentación correspondiente a 2006.

Por otra parte, y tal y como hace notar la entidad actora en la demanda, que mientras el trabajador denunciante afirma, rotundamente, que la divulgación se produjo el 20 de abril de 2006, acompaña declaración escrita de cuatro testigos que manifiestan que fue el 21 de abril de 2006 cuando, al mirar en sus casilleros en la estación Madrid Puerta de Atocha, encontraron una fotocopia del cambio de situación laboral, sin que se haya dado explicación alguna respecto de la contradicción existente entre las mencionadas fechas.

Y todo lo anterior, por último, resulta avalado en el procedimiento a través de la prueba testifical practicada en periodo probatorio al Jefe de la Dirección de Personal de la Dirección de RRHH de la empresa, que confirma varios de los extremos que se han puesto de manifiesto, que también describe el proceso interno de cambio de destino en ADIF, y que además fue quien intervino en el proceso de cambio de puesto del trabajo del denunciante (de factor a gestor administrativo, cambio que fue ofrecido a quienes presentaban dificultades psicotécnicas), y quien firmó los ejemplares que, respecto a dicho cambio de destino, obran en las actuaciones.

Jefe de la Dirección de Personal de ADIF que además explica que cualquier trabajador puede pedir una copia del documento de "cambio de situación laboral" que le afecta, antes de su entrega a la correspondiente dependencia de destino, una vez que se ha comunicado verbalmente al mismo dicho cambio de destino.

Por lo que resulta verosímil la argumentación de la demanda de que el trabajador bien pudo solicitar la entrega de la copia de su cambio de situación laboral para acreditar su incorporación al nuevo destino, hasta que oficialmente se le entregara el ejemplar 2.

Esta Sala considera, en el presente caso, a tenor de las circunstancias concurrentes que se acaban de describir, que la entidad ADIF sí ha acreditado la adopción de las medidas necesarias para evitar que los datos personales se pierdan, extravíen o acaben en manos de terceros, dado su escrupuloso seguimiento, en el caso, del protocolo de proceso interno de cambio de situación laboral del trabajador denunciante, habiendo dado, además, una explicación adecuada y razonable de cómo los datos personales pudieren ir a parar a un lugar en el que eran susceptibles de recuperación por parte de terceros. Si a lo anterior añadimos la falta de acreditación de los hechos imputados a tal actora, que se describe en los párrafos anteriores, necesariamente se ha de concluir que la misma no ha incumplido el deber de seguridad impuesto en el articulo 9 LOPD .

Lo que conlleva la nulidad del procedimiento sancionador y la consiguiente estimación de la pretensión de la demanda, con revocación de la sanción impuesta a ADIF en la resolución impugnada.

QUINTO

No concurren las causas expresadas en el Art. 139 de la LJCA para la imposición de las costas a ninguna de las partes.

F A L L A M O S

Que estimando el recurso contencioso administrativo interpuesto por la representación procesal de Administrador de Infraestructuras Ferroviarias (ADIF), la resolución de la Agencia Española de Protección de Datos de 12 de noviembre de 2008 que desestima el recurso de reposición contra la anterior resolución de 15 de septiembre de 2008 que acuerda imponer a dicha entidad una sanción de 6000 euros, anulamos dicha resolución, dada su disconformidad a Derecho, sin imposición de costas a ninguna de las partes.

Así, por esta nuestra sentencia de la que se llevara testimonio a las actuaciones, lo pronunciamos, mandamos y firmamos.

PUBLICACIÓN.- Dada, leída y publicada fue la anterior sentencia en audiencia pública. Doy fe. Madrid, a

LA SECRETARIA

Dª María Elena Cornejo Pérez

Audiencia Nacional (Sala de lo Contencioso-Administrativo, Sentencia de 11 febrero 2010 JUR 2010\67480 Ponente: Excmo Sr. José Guerrero Zaplana

SENTENCIA

Madrid, a once de febrero de dos mil diez.

Vistos por la Sala citada al margen el Recurso numero 01/352/2009 interpuesto por el GOBIERNO DE CANTABRIA, contra la

resolución de fecha 25 de Febrero de 2009 dictada por el Director de la Agencia Española de Protección de Datos por la que se

declara que la entidad recurrente había cometido una infracción prevista en el articulo 44.4. g) de la LOPD y requiere al Servicio

Cantabro de Salud a fin de que adopte las medidas de orden interno para que en el futuro pueda producirse una nueva infracción

del articulo 10 de la LOPD , habiendo sido parte el Sr. Abogado del Estado. La cuantía del recurso ha sido fijada en cuantía

indeterminada.


PRIMERO: Por el indicado recurrente se interpuso recurso contencioso administrativo mediante escrito presentado ante esta sala contra el acto mencionado en el encabezamiento de esta resolución, acordándose su admisión y una vez formalizados los trámites legales preceptivos fue emplazado para que dedujera demanda, lo que llevó a efecto mediante escrito en el que, tras alegar los fundamentos de hecho y de derecho que consideró pertinentes, terminó solicitando la estimación del recurso y la consiguiente anulación del acto recurrido

De lo que consta en el expediente y de las alegaciones de las partes en sus respectivos escritos resulta el siguiente relato de hechos:

- Con fechas 6 de octubre y 14 de noviembre de 2006 se recibe en el registro de la Agencia Española de Protección de Datos escritos de la Policía Local de Ourense donde se pone de manifiesto la publicación, a través de Internet, de un fichero denominado "MIERA-MIRONES-LACAVADA.mdb", de fecha 4 de octubre de 2006, que contiene datos de 1748 pacientes de dos cupos médicos de localidades ubicadas en Cantabria.

- La Policía Local de Ourense remitió a la Agencia el fichero

descrito el cual contiene datos de apellidos y nombre, fecha de nacimiento, domicilio, teléfono, sexo, y, en algún caso, datos de salud asociados tales como hipertensión, diabetes etc. (folios 1 a 5 y del 51 a 68).

- De acuerdo con la información aportada por el Servicio Cantabro de Salud, los cupos médicos que figuran en el fichero remitido por la Policía Local de Ourense corresponden a dos facultativos que prestan sus servicios en el Centro de Salud de Miera y en los consultorios de Miera, Mirones y Riotuerto, todos ellos ubicados en localidades de Cantabria y dependientes de la Zona Básica de Salud de Miera.

- El Sistema de Información donde se recogen datos de pacientes y facultativos de la Zona Básica de Salud de Miera se encuentra ubicado en el Centro de Salud de Miera.

- El representante del Centro de Salud de Miera ha manifestado que:

1.- Los profesionales del citado Centro de Salud prestan sus servicios en el propio Centro y en tres consultorios ubicados en las localidades de La Cavada, La Cárcoba y Mirones.

2.- El contenido del fichero "MIERA-MIRONES-LACAVADA.mdb" no corresponde con ninguno de los listados estándares que proporcionan los Sistemas de Información instalados en el Centro, no obstante, los datos corresponden con pacientes y profesionales del Centro de Salud.

3.- Que el Sistema de Información donde se recogen los datos administrativos y de salud de los pacientes se encuentra ubicado en el propio Centro de Salud, teniendo acceso desde los Consultorios y desde los Servicios Centrales de la Gerencia de Atención Primaria de Santander-Laredo. También los profesionales que prestan sus servicios en los consultorios tienen acceso a esta información ya sea mediante un ordenador portátil o desde un puesto de trabajo ubicado en el consultorio.

- No se han obtenido evidencias de la existencia del fichero "MIERA-MIRONES-LACAVADA.mdb" en los Sistemas de Información del Centro de Salud, ni en los Sistemas de Información de la Gerencia de Atención Primaria Santander-Laredo, accesible a través de la red de comunicaciones del Servicio Cántabro de Salud.

- Asimismo, no se han obtenido evidencias de la existencia del directorio "eMule" en los ordenadores de los consultorios ubicados en La Cavada, La Cárcoba y Mirones, ni en el servidor utilizado por la Gerencia de Atención Primaria Santander-Laredo. El programa informático "eMule". figura como el software que ha permitido la publicación en Internet del fichero "MIERA- MIRONES-LACAVADA.mdb" en la documentación remitida por la Policía Local de Ourense (folios 25 a 43).

- Se ha constatado que nombres y apellidos que se encuentran en el fichero "MIERA-MIRONES-LACAVADA.mdb" se encuentran registrados como pacientes en el Sistema de Información ubicado en el Centro de Salud de Miera (folios26 y del 44 al 49).

- Con fecha 5 de diciembre de 2008, el Servicio Cantabro de Salud comunica que <<...Los equipos informáticos (PCs) del Centro de Salud de Miera:

1.- Permiten grabar información en diskettes.

2.-No permiten grabar información en CDs.

3.- No permiten grabar información en DVDs.

4.-Permiten grabar información en pen-drives...>> (folio 108)

La parte recurrente fundamenta su pretensión anulatoria de la resolución en que no se han detallado cuales fueron las medidas de seguridad que no se implementaron por el Servicio Cantabro de Salud; también considera que la conducta puede haber sido cometida por el personal que tiene a su disposición las historias clínicas y que habría infringido el deber de secreto que le imponen el articulo 2.7 de la Ley 41/2002. también considera que las dos conductas sancionadas no dan lugar a la existencia de un concurso medial y ello pues se trata de infracciones independientes sin que la comisión de la una suponga necesariamente la comisión de la otra.

SEGUNDO: La representación procesal de la parte demandada contestó a la demanda mediante escrito en el que, tras alegar los hechos y fundamentos de derecho que consideró aplicables, terminó pidiendo la desestimación del presente recurso.

TERCERO: Al no haberse recibido el pleito a prueba, se dio traslado a las partes, por su orden, para conclusiones; en este trámite se evacuó en sendos escritos en los que realizaron las manifestaciones que le convinieron a sus respectivos intereses.

CUARTO: Con fecha 10 de Febrero se celebró el acto de votación y fallo de este recurso, quedando el mismo visto para sentencia.

Ha sido ponente del presente recurso el Magistrado Iltmo. Sr. JOSE GUERRERO ZAPLANA.


PRIMERO

Se interpone el presente recurso contencioso administrativo frente a resolución de fecha 25 de Febrero de 2009 dictada por el Director de la Agencia Española de Protección de Datos por la que

se declara que la entidad recurrente había cometido una infracción prevista en el articulo 44.4g) de la LOPD y requiere al Servicio Cantabro de Salud a fin de que adopte las medidas de orden interno para que en el futuro pueda producirse una nueva infracción del articulo 10 de la LOPD .

La resolución recurrida considera que el Servicio Cantabro de Salud estaba obligado a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso a los datos contenidos en tales ficheros por parte de terceros. Sin embargo, ha quedado acreditado que datos de salud de pacientes del Servicio Cantabro de Salud, salieron indebidamente del mismo por lo que incumplió esta obligación.

El Servicio Cantabro de Salud alega que pone, entre otros, a disposición de sus profesionales, usuarios de su sistema de información, una cuenta de correo electrónico y acceso a Internet para uso profesional. Aunque en la documentación obrante en el expediente no consta como salieron los datos de sus pacientes a Internet. El Servicio Cantabro de Salud a la vista de los hechos producidos y como responsable de dichos datos de salud ha debido averiguar como se produjeron los mismos y las medidas que tiene que tomar para que dichos hechos no vuelvan a producirse, es decir que los datos de salud de sus pacientes no puedan ser incorporados a ordenadores personales de ninguna persona, preste o no servicios en dicho Servicio Cantabro de Salud.

Dado que ha existido vulneración del "principio de seguridad de los datos", se considera que el Servicio Cantabro de Salud ha incurrido en la infracción grave descrita.

En el caso que nos ocupa, ha quedado acreditado que, empleando el programa "eMule", se podía acceder sin restricción a través de Internet al fichero denominado "MIERA-MIRONES-LACAVADA.mdb", que contiene datos de 1748 pacientes de dos cupos médicos de localidades ubicadas en Cantabria, del Servicio Cantabro de Salud.

El citado fichero contiene datos de apellidos y nombre, fecha de nacimiento, domicilio, teléfono, sexo, y, en algún caso, datos de salud asociados tales como hipertensión, diabetes etc.

Por tanto, queda acreditado que por parte del Servicio Cantabro de Salud, responsable de la custodia de los datos en cuestión, se vulneró el deber de secreto garantizado en el artículo 10 de la LOPD , al haber posibilitado el acceso no restringido a datos personales sin consentimiento de sus titulares.

En consecuencia, al responsable del tratamiento de datos de salud debe exigírsele una diligencia específica para asegurar que dicho tratamiento cumple con los principios y garantías exigidos en la LOPD.

En el presente caso, teniendo en cuenta que los datos recogidos en el citado fichero que salió a Internet, se refieren a sus pacientes y a datos de salud de estos, que conforme dispone el artículo 7.3. de la LOPD , son datos especialmente protegidos, ha de calificarse la vulneración del artículo 10 por parte del Servicio Cantabro de Salud como infracción muy grave, por cuanto dicho fichero fue alimentado con los datos obrantes en los ficheros del Servicio Cantabro de Salud y referidos a sus pacientes.

Por lo tanto, aplicando el artículo 4.4 del Real Decreto 1398/1993 , por el que se aprueba el Reglamento del Procedimiento para el ejercicio de la potestad sancionadora que establece "En defecto de regulación específica establecida en la norma correspondiente, cuando de la comisión de una infracción derive necesariamente la comisión de otra u otras, se deberá imponer únicamente la sanción correspondiente a la infracción más grave cometida," procede subsumir ambas infracciones en una. Dado que, en este caso, una está tipificada como infracción grave y otra como muy grave, se considera que procede imputar únicamente la infracción muy grave del artículo 10 de la LOPD .

SEGUNDO

Según el artículo 44.3.h) de la LOPD , considera infracción grave: "Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen".

Este precepto debe relacionarse con lo que establece el articulo 9 de la LOPD establece que: 1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.


3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley "

La infracción aplicada por la Agencia, y en relación a la que se impone la sanción a la recurrente, es la que se recoge en el articulo 44.4 .g) que considera infracción muy grave: La vulneración del deber de guardar secreto sobre los datos de

carácter personal a que hacen referencia los apartados 2 y 3 del Art. 7 , así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas.

TERCERO

A la hora de valorar si se ha producido infracción del deber de secreto, hay que partir de que este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la STC 292/2000 , y por lo que ahora interesa, comporta que los datos tratados automatizadamente, relativos a la historia clínica de pacientes de varios centros de salud, no pueden ser conocidos por ninguna persona o entidad ajena al propio paciente y a los médicos que le tratan y que, menos aún, puede circular libremente por internet, pues en eso consiste precisamente el secreto.

Esta Sala tiene establecida la necesidad de que se produzca una efectiva revelación para que se cometa la infracción imputada a la recurrente. Sobre la exigencia de que se produzca revelación efectiva esta Sala parte de la necesidad de que aunque se cometa una determinada conducta que pudiera dar lugar a la revelación de secretos, si está, efectivamente no se produce, no es posible sancionar por la revelación de secretos.

Tal como resulta de otras sentencias (como la dictada en el recurso 205/2008 ) la infracción del deber de secreto es una infracción de resultado en la que lo relevante es que se llegue a producir la divulgación de un secreto, no siendo relevante (a los efectos de la violación del deber de secreto) con la simple omisión de medidas de seguridad.

En la sentencia correspondiente al recurso 471/2008 se expuso expresamente esta cuestión razonando del siguiente modo: <<La infracción tipificada en el art. 44.3 .g) es una infracción de resultado que exige que los datos personales sobre los que exista un deber de secreto profesional -como aquí ocurre en relación con el número de la cuenta corriente- se hayan puesto de manifiesto a un tercero, sin que pueda presumirse que tal revelación se ha producido. Efectivamente, la Agencia Española de Protección de Datos en su resolución se limita a poner de manifiesto que el sistema de cierre, mediante ventanilla transparente, de los sobres utilizados por el Banco para realizar determinadas comunicaciones a sus clientes pudiera dar lugar a que determinados datos personales contenidos en esas comunicaciones puedan ser conocidas por terceras personas respecto de las que deba mantenerse el secreto. No prueba sin embargo que los datos fueran efectivamente conocidos por dichos terceros. Estaríamos, por tanto, como sostiene el recurrente, ante una posible infracción de medidas de seguridad -que es una infracción de actividad- pero no ante la infracción que se le imputa que exige la puesta en conocimiento de un tercero de los datos personales>>.

En el caso presente resulta que la efectividad de la revelación es innegable y ello puesto que los datos de los pacientes accedieron a internet y quedaron a disposición del publico por lo que resulta que la revelación fue efectiva por lo que claramente debe entenderse cometida la infracción que es imputada por la Agencia a la entidad ahora recurrente. Ni en el escrito de demanda ni en el expediente resulta que se haya negado la existencia de la revelación y el hecho objetivo de la divulgación de datos por su libre circulación por internet.

CUARTO

La parte recurrente utiliza el argumento de que haya sido un trabajador el que haya llevado a cabo los actos generadores de la divulgación pero, en cualquier caso, dicha hipotética actuación no deja sin efecto el hecho de que era la entidad recurrente la titular del fichero y la que debió adoptar las medidas que hubieran evitado la divulgación producida ocasionada por la ineficacia de las medidas de seguridad adoptadas. La posible actuación disciplinaria que se pudiera abrir contra un funcionario que fuera responsable de la divulgación (circunstancia que no se ha acreditado) nunca podría dejar sin efecto el hecho objetivo de que se ha producido una divulgación de datos que debieron permanecer reservados y esta es, precisamente, la conducta descrita por la resolución objeto de recurso.

La aplicación del articulo 4.4 del R.D. 1398/93 (según el cual en defecto de regulación específica establecida en la norma correspondiente, cuando de la comisión de una infracción derive necesariamente la comisión de otra u otras, se deberá imponer únicamente la sanción correspondiente a la infracción más grave cometida) resulta obligada en este caso puesto que la falta de adopción de las medidas de seguridad ha ocasionado una actuación contraria a dos bienes jurídicos diferentes: por una parte, la propia falta de medidas de seguridad y, por otra parte, esta omisión ha generado la divulgación de una información que debió permanecer reservada.

QUINTO

En relación a la infracción imputada de omisión de medidas de seguridad hay que decir que, por aplicación del citado articulo 4.4 del R.D. 1398/93 , la omisión de medidas se seguridad no ha llegado a ser sancionada por lo que la resolución se limita a describir los hechos y razonamientos por los que se entiende cometida dicha infracción a la que no anuda sanción alguna.

Esta Sala en la Sentencia correspondiente al recurso 229/2005 estableció que <<Esta misma Sala , resolviendo supuestos anteriores en los que los hechos se tipificaron también conforme a de dicho precepto de la Ley 15/1999 , ha establecido la siguiente doctrina (sentencia de 28 de marzo de 2006 Rec. 478/2004, y de 9 de noviembre de 2006 Rec. 119/2005 ).

No basta, entonces, con la adopción de cualquier medida, pues deben ser las necesarias para garantizar aquellos objetivos que marca el precepto. Y, por supuesto, no basta con la aprobación formal de las medidas de seguridad , pues resulta exigible que aquéllas se instauren y pongan en práctica de manera efectiva. Así, de nada sirve que se aprueben unas instrucciones detalladas sobre el modo de proceder para la recogida y destrucción de documentos que contengan datos personales si luego no se exige a los empleados del banco la observancia de aquellas instrucciones. En el caso que nos ocupa ha quedado acreditado que la entidad ahora demandante no prestó la diligencia necesaria en orden a la efectiva observancia de aquellas medidas de seguridad , pues de otro modo no se explica que los documentos en los que figuran datos de carácter personal apareciesen publicados en una revista de amplia difusión en la que se afirmaba que habían sido encontrados en la basura.

(...)Hemos considerado, en consecuencia, que se impone una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros. En definitiva, la recurrente es, por disposición legal, una deudora de seguridad en materia de datos, y por tanto debe dar una explicación adecuada y razonable de cómo los datos personales han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas , pues también es responsable de que las mismas se cumplan y se ejecuten con rigor. En definitiva, toda responsable de un fichero (o encargada de tratamiento) debe asegurarse de que dichas medidas o mecanismos se implementen de manera efectiva en la práctica sin que, bajo ningún concepto, datos bancarios, o cualesquiera otros datos de carácter personal, puedan llegar a manos de terceras personas>>.

Esta Sala tiene establecido con reiteración (entre otras en las sentencias del recurso 362/2007 ) como las infracciones de medidas de seguridad son infracciones también de resultado y que lo relevante para evitar la imposición de la sanción no es la simple implantación de las medidas de seguridad sino el hecho efectivo de que estas hayan producido el efecto exigido.

En este caso, resulta claro que se ha producido la omisión de medidas de seguridad y que, además esto ha ocasionado un resultado como ha sido la divulgación en internet de los datos de los paciente, por lo que se produce la conducta típica descrita por la Agencia en su resolución.

En este caso, resulta obvio que las medidas de seguridad no se implementaron y ello aunque sea cierto que la resolución de la Agencia no describe cual es la omisión producida. No puede dejar de señalarse que no se ha considerado cometida la infracción de medidas de seguridad por lo que la simple descripción de la

conducta no exigía mayor precisión y procede confirmar también por esta razón la resolución objeto de recurso.

SEXTO

Por aplicación de lo establecido en el articulo 139 de la Ley de la Jurisdicción Contencioso Administrativa no resulta procedente hacer expresa condena en costas a ninguna de las partes que han intervenido en este procedimiento.

Vistos los preceptos citados por las partes y los demás de general y pertinente aplicación al caso de autos

F A L L A M O S

Que desestimando el presente recurso contencioso administrativo interpuesto por el GOBIERNO DE CANTABRIA, contra la resolución descrita en el primer fundamento de esta Sentencia, debemos confirmar la resolución recurrida. Todo ello sin haber lugar a expresa imposición de costas.



LA SECRETARIA


Audiencia Nacional (Sala de lo Contencioso-Administrativo, Sentencia de 2 febrero 2010 JUR 2010\67546 Ponente: Excmo Sr. Carlos Lesmes Serrano

SENTENCIA

Madrid, a dos de febrero de dos mil diez.

Vistos por esta Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional los autos del recurso

contencioso-administrativo núm. 453/09 interpuesto por la Procuradora DOÑA LUISA ESTRUGO LOZANO, en nombre y

representación de UNMEQUI SANATORIOS, S.L., contra resolución de fecha 28 de mayo de 2009 de la Agencia de Protección

de Datos, representada y defendida por el Sr. Abogado del Estado, desestimatoria del Recurso de Reposición interpuesto contra

la Resolución de 16 de marzo de 2009 dictada en expediente sancionador. La cuantía del recurso es 18.000 Euros.


PRIMERO.- Por la entidad recurrente se interpuso recurso contencioso-administrativo mediante escrito presentado el 9 de junio de 2009, acordándose por providencia de 16 de junio siguiente su tramitación de conformidad con las normas establecidas en la Ley 29/98 , y la reclamación del expediente administrativo.

SEGUNDO.- En el momento procesal oportuno la parte actora formalizó la demanda mediante escrito presentado el 2 de septiembre de 2009, en el cual, tras alegar los hechos y fundamentos de derecho que estimó procedentes, terminó suplicando se dictara sentencia por la que se declare la inexistencia de responsabilidad de la recurrente, ordenando el archivo del expediente. Subsidiariamente suplica la imposición de una sanción de 601 Euros, por comisión de una falta grave, por infracción del artículo 9 LOPD .

TERCERO.- El Abogado del Estado contestó a la demanda mediante escrito presentado el 17 de noviembre de 2009, en el cual, tras alegar los hechos y los fundamentos jurídicos que estimó oportunos, terminó suplicando se dictar sentencia por la que se desestime el presente recurso y confirmando la resolución administrativa impugnada por ser conforme a Derecho, con imposición de costas a la parte recurrente.

CUARTO.- No habiéndose solicitado por las partes el recibimiento a

prueba de las presentes actuaciones, ni tampoco el trámite de conclusiones orales o escritas, se señaló para la votación y fallo de este recurso el día 27 de enero de 2010, fecha en la que tuvo lugar la deliberación y votación, habiendo sido Ponente el Ilmo. Sr. Magistrado Don CARLOS LESMES SERRANO, quien expresa el parecer de la Sala.


PRIMERO

UNMEQUI SANATORIOS, S.L. interpone recurso contencioso-administrativo contra la Resolución de la Agencia Española de Protección de Datos, de fecha 18 de mayo de 2009, por la que se desestima el recurso de reposición interpuesto contra la Resolución de 16 de marzo de 2009 por la que se le impuso una sanción de 18.000 euros por la vulneración de lo dispuesto en el art. 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , infracción tipificada como grave en el art. 44.3 .h), de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica .

En la resolución originariamente impugnada se declaraban como probados los hechos siguientes:

PRIMERO.- Por medio de una denuncia formulada por la Policía Local de Alcalá de Henares se ha tenido constancia que el día 13/1/07 apareció un vertido de residuos biosanitarios desperdigados en la C/ Diego de Torres de Alcalá de Henares, junto a los contenedores de basuras urbanos, los cuales, según prueban varios documentos encontrados, procedían del Sanatorio Vallés, situado en la C/ Santiago 14, muy cerca del lugar del vertido. (Folios num.14-15)

SEGUNDO.- Dichos residuos fueron, al parecer, depositados en una bolsa de basura normal, en la que había mezclados tantos residuos generales (Clase I) de la clínica junto a otros biosanitarios de la clase II (guantes de látex, tubos y pequeños recipientes con muestras, bolsas con cuero, tubuladuras, jeringuillas usadas sin agujas y diferente material clínico). Se desconoce si alguien sacó dicha bolsa del contenedor o fue depositada directamente fuera del mismo. (Folio num. 14)

TERCERO.- Junto a los residuos generales, de los que se ha aportado documentación fotográfica, se encontraron diferentes informes y documentos médicos y resultados de analíticas, en los que aparecía nombre y apellidos de pacientes, (se ha adjuntado fotocopias de algunos de dichos documentos), en los que se encuentran: pruebas diagnósticas a realizar, informe provisional de alta, relación de pacientes para ser atendidos en una consulta, resultado de una analítica, y una autorización de un prueba diagnóstica.(Folios num.16 a 22 y 33 a 42)

CUARTO.- Con fecha 10/02/06 tuvieron lugar hechos idénticos

constatados por agentes de la policía local: aparición de tres bolsas de basura con residuos biosanitarios y documentación clínica procedente del Sanatorio Valles. (Folio num.3)

QUINTO.- En el Acta de Inspección (E/362/2008-I71), del día 14/01/08, levantada en la sede social de UNMEQUI SANATORIOS S.L., se tuvo conocimiento de lo siguiente:

a - Unmequi Sanatorios S.L. es una entidad cuyo objeto social es la gestión y administración de centros de asistencia sanitaria, tanto propios y ajenos, en todo el ámbito nacional. Uno de los centros que gestiona es el denominado "Sanatorio Vallés", con domicilio en C/ Santiago 14 de Alcalá de Henares, en el que se encuentra el laboratorio clínico, quirófanos, habitaciones para hospitalización, consultas externas y administración

b - La entidad mantiene un plan de formación a los empleados sobre Protección de Datos de carácter personal y emite regularmente circulares informando sobre los tratamientos adecuados. Todos los profesionales que entran a formar parte de la plantilla reciben información sobre los tratamientos adecuados mediante documentos que deben firmar y que se mantienen dentro de su ficha en el departamento de personal.

c - Respecto al documento encontrado relativo a un análisis clínico, se ha manifestado que el documento se corresponde con los que emite el laboratorio con los resultados de un análisis de sangre, aunque está incompleto pues falta una segunda hoja en la que debería aparecer la firma del analista encargado, entre otros datos.

d - En relación al documento relativo a las guardias médicas, se ha corroborado que el documento se corresponde con los que se utilizan para controlar los pacientes a tratar en quirófano. El doctor identificado en dicho documento forma parte de la plantilla del centro.

e - Respecto de los documentos y listados relativos a administración, el personal de administración realiza las siguientes manifestaciones: El informe provisional de alta se corresponde con el modelo utilizado por los médicos del centro. El original del referido documento se entrega al paciente y se realiza una fotocopia que es adjuntada a la historia clínica. El listado se corresponde con el que se elaboraba en el año 2006 utilizando la aplicación que en ese momento se utilizaba en el centro. Dicha aplicación ha sido sustituida por una nueva. Ese tipo de documento se remitía al centro situado en Guadalajara mediante correo interno, a los efectos de facturación.

f - Finalmente se comprobó que dentro de una de las historias clínicas existía una copia del informe provisional de alta aportado en la denuncia.

(Folios num. 53 a 71)

SEXTO.- La concurrencia de los siguientes hechos: aparición en la vía pública de bolsa de basura conteniendo restos biosanitarios y documentación clínica, procedentes del Sanatorio Valles, y denunciados por la Policía Local de Alcalá de Henares, los días 13/01/07 y 10/02/07, motivó el inicio de procedimiento sancionador iniciado por la Dirección General de Calidad, Acreditación, Evaluación e Inspección, de la Consejería de Sanidad de la Comunidad de Madrid, por vulneración de las siguientes normas:

Art 3.1.b) del Decreto 83/99, de 3 de junio , en relación con los artículos 17.1 t 3 , y artículo 19.1 y 2 , del mismo cuerpo legal (en lo que se refiere al control sobre residuos biosanitarios)

Art 4.1 y 2 de la Ley 41/2002, de 14 de diciembre , básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, (en lo relativo a la custodia de documentación clínica) (Folios num. 139)

El apartado sexto de estos hechos probados pone de manifiesto la cuestión nuclear de este pleito. UNMEQUI SANATORIOS, S.L. ha sido sancionada por los mismos hechos que fueron denunciados por la Policía Local de Alcalá de Henares por la Dirección General de Calidad, Acreditación, Evaluación e Inspección, de la Consejería de Sanidad de la Comunidad de Madrid, habiendo invocado la actora tanto en sede administrativa como en ésta judicial la aplicación del principio del non bis in idem.

La Administración sancionadora rechazó la aplicación de este principio, consagrado en el art. 133 de la Ley 30/1992 , por entender que las infracciones son diferentes por lo que no concurre la identidad de fundamento exigido en dicho precepto. Es decir, considera que resulta compatible sancionar a la entidad denunciada por falta de control sobre su documentación clínica (en base a lo establecido en la Ley 41/2002 ), y por el incumplimiento del deber de seguridad de los datos y la vulneración del deber de secreto de los mismos (establecidos respectivamente en los arts. 9 y 10 de la L.O. 15/1999 ).

Y así literalmente se dice en la Resolución:

No puede estimarse la alegación de la entidad denunciada sobre que el bien jurídico protegido por la ley 41/2002 y la LOPD es el mismo, pues aunque ambas tutelen el derecho a la intimidad, el desvalor jurídico producido por la violación de ese derecho no se colma con la aplicación de una sola de las leyes, sino que necesita el concurso de las dos. Independientemente del hecho de la existencia de concurrencia de la competencia sancionadora de dos administraciones, hay que tener en cuenta la remisión que el art. 17.6 de la ley 41/2002 realiza a la LOPD en lo relativo a las medidas técnicas de seguridad que han de cumplirse.

SEGUNDO

Para el adecuado análisis de la cuestión litigiosa es preciso traer a colación el fundamento jurídico utilizado por la Dirección General de Calidad, Acreditación, Evaluación e Inspección, de la Consejería de Sanidad de la Comunidad de Madrid para la imposición de su sanción.

En los folios 108 a 283 del expediente tramitado por la Agencia Española de Protección de Datos se recoge copia del seguido por la Consejería de Sanidad de la Comunidad de Madrid por razón de la denuncia formulada contra UNMEQUI SANATORIOS, S.L., por razón de un vertido de residuos biosanitarios junto a informes y documentos médicos y resultados de analíticas, todo ello encontrado junto a unos contenedores de basuras urbanos en la calle Diego de Torres de Alcalá de Henares.

El procedimiento sancionador seguido por la Comunidad de Madrid por estos hechos se ultimó con una resolución de la Directora General de Calidad, Acreditación, Evaluación e Inspección, de fecha 14 de noviembre de 2007, en la que se apreciaba la existencia de dos infracciones graves: la primera, por la falta de control sobre los residuos biosanitarios de conformidad con lo dispuesto en el art. 144.3.e) de la Ley 12/2001, de 21 de diciembre, de Ordenación Sanitaria de la Comunidad de Madrid , y, la segunda, por la falta de control sobre la documentación clínica, de conformidad con lo dispuesto en art. 144.3.e) de la Ley 12/2001, de 21 de diciembre, de Ordenación Sanitaria de la Comunidad de Madrid .

Es la segunda de las infracciones la que nos interesa examinar a los efectos del non bis in idem.

El art. 144.3.e) de la Ley 12/2001, de 21 de diciembre, de Ordenación Sanitaria de la Comunidad de Madrid tipifica como infracción grave la siguiente conducta:

El incumplimiento, por negligencia grave, de los requisitos, obligaciones o prohibiciones establecidas en la normativa sanitaria, así como cualquier otro comportamiento que suponga imprudencia grave, siempre que ocasionen alteración o riesgo sanitario, aunque sean de escasa entidad. Y el mismo incumplimiento y comportamiento cuando, cometidos por negligencia simple, produzcan riesgo o alteración sanitaria grave. A los efectos de esta letra, constituirá un supuesto de negligencia la omisión del deber de control o la falta de los controles y precauciones exigibles en la actividad, servicio o instalación de que se trate.

Incumplimiento que para el caso concreto venía referido no solo respecto del control de residuos biosanitarios sino también de la normativa contenida en la Ley 41/2002, de 14 de diciembre , básica

reguladora de la autonomía del paciente, en cuanto a los derechos y obligaciones de los centros sanitarios en materia de información y documentación clínica. Concretamente la contenida en el art. 7.1 y 2 de esta Ley cuyo tenor es el siguiente:

Artículo 7 . El derecho a la intimidad.

1. Toda persona tiene derecho a que se respete el carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización amparada por la Ley.

2. Los centros sanitarios adoptarán las medidas oportunas para garantizar los derechos a que se refiere el apartado anterior, y elaborarán, cuando proceda, las normas y los procedimientos protocolizados que garanticen el acceso legal a los datos de los pacientes.

La sanción impuesta por la Administración autonómica en este segundo supuesto obedece al incumplimiento por parte del sancionado tanto del deber de confidencialidad respecto de los datos de salud de los pacientes, como también al incumplimiento de las medidas de seguridad establecidas para garantizar ese derecho a la intimidad.

Además, y para finalizar el examen del fundamento de la sanción impuesta al recurrente por la Administración autonómica, tiene interés traer a colación la previsión contenida en el art. 17.6 de la Ley 41/2002 , de autonomía del paciente, cuyo tenor literal es el siguiente: "Son de aplicación a la documentación clínica las medidas técnicas de seguridad establecidas por la legislación reguladora de la conservación de los ficheros que contienen datos de carácter personal y en general, por la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal ".

No ofrece duda al Tribunal que el incumplimiento de las medidas de seguridad respecto de la documentación clínica por las que UNMEQUI SANATORIOS, S.L., ha sido sancionada por la Dirección General de Calidad, Acreditación, Evaluación e Inspección de Consejería de Sanidad de la Comunidad Autónoma de Madrid, son las establecidas por la Ley Orgánica 15/1999 y sus normas de desarrollo.

Por su parte, la Agencia Española de Protección de Datos ha sancionado al recurrente por la infracción del art. 9 de la LOPD cuyo tenor literal es el siguiente:

1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que esten expuestos, ya provengan de la acción humana o del medio físico o natural.


3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley .

Como la propia Resolución de la Agencia establece este art. 9 de la LOPD establece el principio de "seguridad de los datos" imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que garanticen aquélla, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, los "accesos no autorizados", especialmente cuando se trata de datos especialmente protegidos como son los datos de salud por proporcionar información de las esferas íntimas del individuo.

TERCERO

El Tribunal Constitucional, desde sus primeras sentencias, se ha pronunciado sobre el principio del "non bis in idem". Ya en la de 30 enero 1981 reconoce este principio como una manifestación del principio de legalidad de las infracciones que recoge el art. 25 CE encaminado a encauzar en los términos de un Estado de Derecho (art. 1 CE ) el ius puniendi del Estado, ya sea en el ámbito penal o en el ámbito sancionador administrativo.

Este principio tiene una doble vertiente -material y procesal- aunque es la material la más relevante desde la perspectiva constitucional. En efecto, desde el punto de vista material el principio postula que no haya duplicidad de sanciones por los mismos hechos, ya sean sanciones penales y administrativas, ya sean dos sanciones administrativas como aquí ocurre. Desde el punto de vista procesal, y como correlato inevitable del aspecto material del principio, implica que el mismo hecho no puede ser objeto de dos procedimientos distintos.

Aunque este principio no esté consagrado de manera expresa en la Constitución sí lo está en la Ley de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (Ley 30/1992 ) y en el Reglamento del Procedimiento para el ejercicio de la Potestad Sancionadora aprobado por Real Decreto 1398/1993, de 4 de agosto. Así, el art. 133 de la Ley 30/1992 establece que no podrán sancionarse los hechos que hayan sido sancionados penal o administrativamente, en los casos en que se aprecie identidad del sujeto, hecho y fundamento, y el art. 4.6 del Reglamento indicado establece que no se podrán iniciar nuevos procedimientos sancionadores por hechos o conductas tipificados como infracciones en cuya comisión el infractor persista de forma continuada, en tanto no haya recaído una primera resolución

sancionadora de los mismos, con carácter ejecutivo.

Pues bien, es claro en el caso enjuiciado que la Agencia Española de Protección de Datos vulneró este principio en su vertiente material al sancionar una conducta que le constaba que ya había sido sancionada previamente -así se recoge en la propia resolución- existiendo identidad de hechos, sujeto y fundamento.

Sobre la identidad de los hechos y del sujeto ninguna duda existe pues la propia Administración así lo reconoce. El sujeto es UNMEQUI SANATORIOS, S.L., en ambos casos y el hecho es el abandono de determinada información clínica en unos contenedores de basura en Alcalá de Henares.

En cuanto a la identidad del fundamento, negada por la Agencia en su resolución, tampoco cabe ninguna duda. En el fundamento segundo de esta sentencia se ha recogido, extraído además de las propias resoluciones administrativas, el fundamento utilizado para sancionar por ambas Administraciones siendo totalmente coincidente: vulneración de las medidas de seguridad contempladas en la LOPD respecto de los datos relativos a la salud. La Resolución de la Dirección General de Calidad, Acreditación, Evaluación e Inspección, de fecha 14 de noviembre de 2007, se aprecia, junto a otra infracción, la del art. 144.3.e) de la Ley 12/2001, de 21 de diciembre, de Ordenación Sanitaria de la Comunidad de Madrid , por la falta de control sobre la documentación clínica, de conformidad con lo establecido en el art. 7 de la Ley 41/2002, de 14 de diciembre , básica reguladora de la autonomía del paciente, en cuanto a los derechos y obligaciones de los centros sanitarios en materia de información y documentación clínica, Ley que se remite -ex art. 17.6 de la misma- a la normativa contemplada en la LOPD sobre seguridad de los datos, y por tanto, con remisión al art. 9 de dicha Ley Orgánica . Esta infracción determina la imposición de una sanción que es firme. Con conocimiento de este Resolución y de su fundamento -consta en el expediente y se hace referencia a ella en la propia Resolución aquí impugnada- la Agencia Española de Protección de Datos impone una nueva sanción por infracción del art. 9 de la LOPD , relativo a las medidas de seguridad.

La evidente coincidencia del fundamento utilizado por ambas Administraciones para la imposición de las sanciones no merece más glosa, resultando incomprensible para esta Sala el argumento de la Agencia de que no hay identidad de fundamento porque existen dos infracciones.

En virtud de lo expuesto debe acogerse este motivo de impugnación y con fundamento en lo establecido en el art. 133 de la Ley 30/1992 anular la Resolución impugnada con estimación del recurso contencioso-administrativo.

CUARTO

No se aprecia temeridad o mala fe para la imposición de las costas procesales, de conformidad con lo dispuesto en el artículo 139.1 de la LRJCA .

FALLAMOS

PRIMERO

ESTIMAR el recurso contencioso-administrativo interpuesto por la Procuradora DOÑA LUISA ESTRUGO LOZANO, en nombre y representación de UNMEQUI SANATORIOS, S.L., contra resolución de fecha 28 de mayo de 2009 de la Agencia de Protección de Datos, representada y defendida por el Sr. Abogado del Estado, desestimatoria del Recurso de Reposición interpuesto contra la Resolución de 16 de marzo de 2009 por la que se le impuso una sanción de 18.000 euros por la vulneración de lo dispuesto en el art. 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , infracción tipificada como grave en el art. 44.3 .h), de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica, Resoluciones ambas que anulamos por ser contrarias a Derecho.

SEGUNDO

Declarar las costas de oficio por no haber mérito para su imposición.


PUBLICACIÓN.- Leída y publicada ha sido la anterior sentencia en la forma legalmente establecida. Doy fe. En Madrid, a

LA SECRETARIA

Mª ELENA CORNEJO PÉREZ

Audiencia Nacional (Sala de lo Contencioso-Administrativo, Sentencia de 17 diciembre 2009Ponente: Excma. Sra. Nieves Buisán García

SENTENCIA

Madrid, a diecisiete de diciembre de dos mil nueve.

La Sala constituida por los Sres. Magistrados relacionados al margen ha visto el recurso contencioso-administrativo nº 369/2008,

interpuesto por REAL MADRID CLUB DE FÚTBOL, representado por el Procurador Don Argimiro Vázquez Guillén, frente a la

resolución de la Agencia Española de Protección de Datos de 25 de abril de 2008, que acuerda imponer a dicha entidad, por una

infracción del artículo 9 de la LOPD , en relación con los artículos 8 a 26 del Real Decreto 994/1999, de 11 de junio tipificada

como grave en el articulo 44.3 .h) una multa de 3000 euros, de conformidad con lo establecido en los artículos 45.2 y 5 de dicha LOPD . Ha sido parte demandada la Administración General del Estado, representada por la Abogacía del Estado.


PRIMERO.- Por la entidad recurrente se interpuso recurso contencioso administrativo mediante escrito presentado el 30 de junio de 2008, acordándose por providencia de 16 de septiembre siguiente su tramitación de conformidad con las normas establecidas en la Ley 29/1998 , y la reclamación del expediente administrativo.

SEGUNDO.- En el momento procesal oportuno tal parte actora formalizó la demanda mediante escrito presentado el 7 de noviembre de 2008 en el que, tras alegar los hechos y fundamentos de derecho que estimó procedentes, terminó suplicando se dictara sentencia en la que, estimando el recurso contencioso-administrativo se dejara sin efecto la resolución recurrida, por no ser conforme a Derecho.

TERCERO.- El Sr. Abogado del Estado contestó la demanda mediante escrito presentado el 25 de febrero de 2009 en el que, tras alegar los hechos y los fundamentos jurídicos que estimó aplicables, terminó suplicando se dictara sentencia en la que se desestimara el recurso, confirmando íntegramente la resolución administrativa impugnada, por ser conforme a Derecho.

CUARTO.- Habiéndose solicitado el recibimiento a prueba, se acordó el mismo mediante Auto de 27 de febrero de 2009 , practicándose la

documental propuesta y admitida, con el resultado que figura en las actuaciones.

No considerándose necesaria la celebración de vista pública, se dio trámite de conclusiones a las partes, trámite que evacuaron por su orden, primero la defensa de la entidad recurrente y después el Abogado del Estado, mediante escritos en los que concretaron y reiteraron sus respectivos pedimentos.

QUINTO.- Conclusas las actuaciones, se señaló para votación y fallo del recurso el día 16 de diciembre de 2009, fecha en la que tuvo lugar la deliberación y votación, habiendo sido ponente la Ilma. Magistrada doña NIEVES BUISAN GARCIA, quien expresa el parecer de la Sala.


PRIMERO

Se impugna en el presente recurso contencioso-administrativo, por Real Madrid Club de Fútbol, la resolución de la Agencia Española de Protección de Datos de 25 de abril de 2008, que acuerda imponer a dicha entidad, por una infracción del artículo 9 de la LOPD , en relación con los artículos 8 a 26 del Real Decreto 994/1999, de 11 de junio tipificada como grave en el articulo 44.3 .h), una multa de 3000 euros, de conformidad con lo establecido en los artículos 45.2 y 5 de dicha LOPD .

Tal resolución declara como hechos probados los que se exponen a continuación:

SEGUNDO.- El día 19/11/2005 D Carlos María , socio abonado del Real Madrid CF al intentar entrar al estadio, le fue impedido su acceso por haber cedido su abono, según información que obraba en la aplicación "AVET" que gestiona el sistema de acceso al estadio. No consta que D. Carlos María hubiera suscrito contrato de alta en el servicio "cesión de abono" de entradas, siendo voluntario su uso. Real Madrid CF no ha acreditado que informara a D. Carlos María del funcionamiento del sistema de "cesión de abono", ni del modo o medio para realizar el operativo. El denunciante manifiesta que no conocía dicho sistema y no lo utilizó nunca.

SEGUNDO.- La aplicación AVET Gestión de control de acceso-socios contiene datos personales del denunciante y consta una nota adjunta que señala 21-11-05: Pasa por la taquilla de incidencias en el partido contra el Barcelona. El abono, Val A, le da denegado, se comprueba y esta cedido para ese partido. Ante insistencia del socio de que no había cedido el abono, se le da una invitación y se le advierte de que se comprobará y el caso de que se cediese se tendrá que pagar dicha entrada.".

TERCERO.- Real Madrid dispone, entre otros, del fichero "Socios, abonados, peñistas, vips, palco", calificado como de nivel básico,

teniendo como una de sus finalidades, la de gestión de la venta de entradas.

CUARTO.- La cesión de abono es una posibilidad que pone a disposición del Club el abonado, cuando no acude a presenciar el partido, para que deje la libre disposición de la localidad al Club, con el fin de venderla a otra persona, obteniendo el abonado descuentos para la siguiente temporada.

QUINTO.- En los sistema de información del Real Madrid CF constaba que don Carlos María había hecho uso del sistema "cesión de abono" a través de la Pág. web www.realmadrid.com que permite dicha gestión insertando el par: usuario/contraseña, siendo dichas claves impuestas y configuradas por el Real Madrid CF con las claves usuario: nº de socio y contraseña o PIN: 4 últimos dígitos del DNI que lleva a una pagina de Serviticket SA.

SEXTO.- En el tríptico informativo que el Real Madrid CF manifestó haber enviado al comienzo de cada temporada a cada socio abonado.... por vía postal, antes de la temporada, se informa de las condiciones y requisitos del sistema voluntario de "cesión de abono", y añade que para efectuarlo "bastará simplemente con identificarse con su número de socio y su PIN (formado por los 4 últimos dígitos de su DNI), a través del teléfono 902... o de "real.madrid.com."

SÉPTIMO.- Real Madrid CF tiene encomendada la gestión de venta de entradas y del servicio de gestión de abonos con la empresa "Serviticket SA. En el contrato de prestación de servicios suscrito entre Real Madrid CF y Serviticket S.A., se incluye la gestión del servicio "cesión de siento para abonados". La cláusula 4.4 del citado contrato prevé "Serviticket implementará el sistema de identificación de los socios diseñado por Real Madrid que consistirá en un identificador y una contraseña. La correcta introducción de este identificador y contraseña será el único medio por el cual los socios podrán acceder a datos de carácter personal y obtener servicios. Real Madrid comunicará a Serviticket la relación de identificadores y contraseñas de los socios, que consistirá en el número de socio- (identificación y los último cuatro dígitos del carné de identidad (autenticación). Serviticket deberá habilitar un sistema que permita a los socios que lo soliciten modificar su contraseña.

OCTAVO.- Los sistemas de información de Serviticket registraron el 12/11/2005 una cesión de abono a cargo del numero de socio del denunciante cuyo origen procedía del acceso a la Web de la entidad servicaixa.com, correspondiente al partido celebrado el 19/11/2005.

NOVENO.- Serviticket remitió información sobre la cesión de abono, referente a las trazas de autoría, adjuntando los movimientos del día 12/11/2005, y apreciándose que a las 19:29:40 figura "Pone disponible vía web, para el partido 29", constando la dirección

desde la que se produjo la IP 7.2.1.133, que coincide con una de las máquinas de Serviticket (folio 250), sin que Serviticket por otro lado disponga de información sobre el sistema o usuario al que figuraba asignada dicha dirección en el día y hora de realizarse la transacción ni de la dirección IP del cliente que originó la reserva de abono.

DÉCIMO.- El Documento de Seguridad del Real Madrid CF contempla en su apartado 3.1.8 el "registro de incidencias" y las define como "cualquier anomalía que pudiese afectar a la seguridad de los datos de carácter personal" constando en el anexo X como ejemplos las modificaciones no autorizadas de información, acceso a ficheros de datos por personal no autorizado. El Real Madrid CF no anotó en el registro de incidencias de sus ficheros que el denunciante reclamó y tuvo una reunión el 21/11/2005 con el Club en el sentido de que no cedió su abono para el partido de 19/11/2005, que no accedió a la aplicación web para realizar dicha operativa, manifestando el Real Madrid que fue consecuencia de un mal uso del par usuario/contraseña por parte del abonado, y no una incidencia de seguridad del sistema de información.

SEGUNDO

La parte actora sustenta su pretensión impugnatoria de la demanda, en síntesis, en las siguientes consideraciones:

Es el hecho de no anotar lo acontecido en el registro de incidencia del documento de seguridad y anotarlo en el fichero AVET, por considerar que se trataba de un incidente de custodia de claves, y no de vulneración de medidas de seguridad del sistema informático, por lo que la AEPD sanciona.

Las medidas de seguridad adoptadas, asignación de clave usuario/contraseña en un sistema AVET, si bien se critican en el escrito, no constituyen la conducta que determina la infracción, tal y como se desprende del párrafo 3º de la Pág. 14/19 de la Resolución.

En el caso de inexistencia de claves adecuadas, puede hablarse de infracción del deber de secreto del Art. 10 LOPD , o incluso incardinarse la conducta de no inscribir la incidencia en un registro y sí en otro, en el tipo general del ara 44.3.d) LOPD, pero no cabe hablar de ausencia de medidas de seguridad del Art. 44.3 .h).

Lo cierto es que el sistema de cesión de abonos estaba ampliamente difundido entre los socios: tanto en las propias tarjetas de abono: folio 388, docum. 4, reverso, en el que puede leerse "este abono queda sujeto a las normas establecidas por el Real Madrid CF en cuanto a utilización y validez" como declara el propio subinspector (folio 126), y también en el tríptico informativo: folios 25, 28 y 29. La asignación "numero de socio", va variando, y los últimos dígitos del DNI es inicial, pues el sistema permite

al usuario cambiar la contraseña (folio 298).

No estamos ante un sistema abierto al público en general, sino solo a los socios abonados, por lo que exigir que se use un sistema "fehaciente" de notificación de la existencia del procedimiento para la cesión de abonos entre socios, resulta desproporcionado.

Se consideró que el problema había sido de suplantación de identidad, por uso de claves por tercero, y por ello se anotó en el registro AVET. Pues para que hubiera sido una incidencia del sistema de seguridad, no tendría que haber habido ninguna traza de llamada telefónica a Servíticket, de nadie, dando clave de usuario y contraseña.

Respecto del hecho probado séptimo: Serviticket deberá habilitar un sistema que permita a los socios que lo soliciten modificar su contraseña (folios 278, 280, 281, 288 y 291): no pueden imputarse, al Real Madrid, conductas que están contratadas con el encargado de tratamiento.

En cuanto al hecho probado noveno: Si Serviticket no tenia ya la dirección IP del cliente que originó la reserva de abono, ha de entenderse que ello fue por el tiempo transcurrido, pues se trata de una obligación impuesta en la Ley 34/2002 de Servicios de Sociedad de la Información, que no puede ser imputable a la actora (el R.D. 1720/2007 limita los plazos para realizar tales investigaciones ordenando al caducidad de las mismas).

Y el hecho probado décimo, se contradice con el hecho probado segundo, pues sí se anota en el fichero AVET el incidente, y además se podía cambiar la contraseña.

El folio 12/17 de la resolución, además, menciona como hipótesis una eventual pérdida de documentación por el denunciante, pero tal hecho no sucedió, por lo que sancionar por meras hipótesis obliga también a incluir como tal que el mismo denunciante hubiera realizado él la llamada, o alguien de su entorno.

No hay acceso a datos de carácter personal: La petición de cesión que se envía al Real Madrid solo hace constar como datos personales el Número de socio y el PIN de socio, y ambos son suministrados por el peticionario, y la respuesta de cesión que envía el Real Madrid es solo indicar si se autoriza o no la cesión.

Teniendo en cuenta la difusión del sistema de cesión de abono, que lleva implantado varios años (ver documentos 1 a 13 de los adjuntados por la recurrente, y folios 366 y siguientes: noticias de prensa de abril 2003 y noviembre 2005, boletín de socios del club de agosto 2002 y junio 2003, publicidad enviada a los abonados en distintas fechas, informes anuales del club relativos a temporadas 2002 a 2005 y otros), el Club no pudo pensar que un

socio no pudiera estar convenientemente informado. Así por ejemplo, en la temporada 2005/2006, fueron cedidas unas 75.000 entradas.

Puesto que en definitiva la sanción se impone por no inscribir en un registro, y sí en otro (AVET) los hechos, es dudoso que la incidencia afectara a la seguridad y no fuera un incidente de custodia de claves, lo cual, en caso de duda, debe favorecer al sancionado.

Se invoca, por último, la falta de motivación de la resolución, citándose doctrina del Tribunal Constitucional al respecto.

TERCERO

La infracción imputada al Real Madrid CF es la del artículo 9.1 de la Ley Orgánica de Protección de Datos a cuyo tenor el responsable del fichero y, en su caso, el encargado del tratamiento "...deberán adoptar las medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.


3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley ."

Infracción que se conceptúa como grave en el Art. 44.3.h) LOPD , que tipifica como tal "Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen".

Esta misma Sala, resolviendo supuestos anteriores en los que los hechos se tipificaron también conforme a dicho precepto de la Ley 15/1999 , ha establecido lo siguiente (SSAN 9-11-2006 Rec. 119/2005 y 6-5-2009 Rec. 469/2008 ).

No basta, entonces, con la adopción de cualquier medida, pues deben ser las necesarias para garantizar aquellos objetivos que marca el precepto. Y, por supuesto, no basta con la aprobación formal de las medidas de seguridad, pues resulta exigible que aquéllas se instauren y pongan en práctica de manera efectiva. Así, de nada sirve que se aprueben unas instrucciones detalladas sobre el modo de proceder para la recogida y destrucción de

documentos que contengan datos personales si luego no se exige a los empleados (...) la observancia de aquellas instrucciones. En el caso que nos ocupa ha quedado acreditado que la entidad ahora demandante no prestó la diligencia necesaria en orden a la efectiva observancia de aquellas medidas de seguridad, pues de otro modo no se explica que los documentos en los que figuran datos de carácter personal apareciesen publicados en una revista de amplia difusión en la que se afirmaba que habían sido encontrados en la basura.

Hemos considerado, en consecuencia, que se impone una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros. En definitiva, la recurrente es, por disposición legal, una deudora de seguridad en materia de datos, y por tanto debe dar una explicación adecuada y razonable de cómo los datos personales han salido del ámbito de su titular, siendo insuficiente con acreditar que adopta una serie de medidas, pues también es responsable de que las mismas se cumplan y se ejecuten con rigor. En definitiva, toda responsable de un fichero (o encargada de tratamiento) debe asegurarse de que dichas medidas o mecanismos se implementen de manera efectiva en la práctica sin que, bajo ningún concepto, datos bancarios, o cualesquiera otros datos de carácter personal, puedan llegar a manos de terceras personas.

Aplicando dicha doctrina al supuesto de autos, ha de manifestarse como cuestión prioritaria, y a fin de centrar la controversia que, contrariamente a lo argumentado en la demanda, la resolución de la AEPD no sustenta la infracción de las medidas de seguridad (o no solo) en el hecho de anotar lo acontecido en el fichero AVET y no, como correspondía, en el Registro de Incidencias del documento de seguridad, sino que también basa tal infracción del articulo 9 LOPD en el hecho de implantar un sistema de acceso que no cumplimentaba de manera óptima los requisitos de seguridad.

Así se desprende con claridad de la Pág. 13/19 de la Resolución, cuando argumenta que: La fijación de dichas contraseñas, como se acredita en las presentes actuaciones las ha realizado el Real Madrid CF. En tal sentido, no es el procedimiento más adecuado la asignación unilateral de unas claves de acceso para la prestación de servicios que permiten llevar a cabo la totalidad de la operación, sin que conste que el interesado conozca dicho servicio, y sin que conozca dichas claves, (...)En los folios 211, 212, 214 y 215 del expediente, se detalla que desde la página web.realmadrid.com se selecciona "Servicio de cesión de asientos", llevando a la página de Servicaixa en la que se visualiza "Cesión de asientos" y se ofrece para entrar "Identificador de usuario: compuesto por el número de socio, más el "código PIN": que son 4 dígitos, existiendo un apartado en la parte superior titulado "Cómo funciona la venta de entradas", en el que literalmente se explica "Si eres socio introduce tu clave y PIN (4 últimos dígitos del DNI), en caso contrario, hacer clic en el botón de continuar."

Con esta medida, aunque no se esté proporcionando directamente clave de persona alguna, se está circunscribiendo el ámbito identificativo. En tal sentido, puede ser de conocimiento general de todos los socios dicho sistema de acceso, así como de todas las personas que accedan a dicha página. Por ello, la asignación de dichas claves no ofrece la máxima seguridad deseable desde el punto de vista de protección de datos.

E igualmente resulta del fundamento de derecho V de la misma (Pág. 16/19) en el que se razona lo siguiente: Dado que ha existido una vulneración en las medidas de seguridad de la entidad Real Madrid CF, al haber configurado unas claves de acceso que no acreditan óptimamente su confidencialidad y seguridad, dando lugar a un acceso no autorizado, que no se acredita fuera del denunciante. La no anotación de la incidencia que comunicó el denunciante en el registro de incidencias que a tal efecto se dispone, constituyen elementos para considerar que la citada entidad ha incurrido en la infracción grave descrita (del artículo 44.3 .h).

CUARTO

Si bien a esta Sala le parece dudosa la correcta tipificación de la segunda de las conductas sancionadas, pues una cosa es que la asignación de claves, tal y como fue diseñada en un primer momento por la entidad recurrente no ofreciera "la máxima seguridad deseable desde el punto de vista de la protección de datos" y otra distinta que tal mejorable asignación de claves constituya la infracción grave del deber de seguridad de datos previsto en el articulo 9 LOPD .

Sin embargo, y ciñéndonos a la infracción de no inscribir en el registro de incidencias previsto "ad hoc" la anotación de la incidencia de seguridad acontecida, la misma ha de ser confirmada.

Téngase en cuenta que el registro de incidencias debe recoger, según disponen los artículos 10 y 21 del Real Decreto 994/1999, de 11 de junio , información sobre el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se le comunica y los efectos que se hubieran derivado de la misma, y téngase en cuenta que tal vulneración del deber de seguridad, a pesar de constituir, como ya se ha indicado, la infracción grave del articulo 44.3.h) LOPD sin embargo, se sanciona por la AEPD como infracción leve, con la imposición de una multa de 3000 euros, de conformidad con el principio de proporcionalidad que se plasma en el articulo 45.5 LOPD y ello por apreciarse que el Real Madrid CF disponía de los mecanismos adecuados para la puesta en práctica de las medidas, pues el documento de seguridad aparece desarrollado en estos aspectos.

De todo lo cual resulta que tal infracción ha de ser confirmada en esta vía jurisdiccional. Sin que pueda ser tomado en consideración, por último, el Acuerdo de archivo del Expediente sancionador E/820/2004 que se aporta por la recurrente como

termino de comparación, y ello porque, tal y como con acierto razona la resolución recurrida, en ésta el hecho denunciado era la publicación del sistema de acceso en una revista, y en el supuesto enjuiciado, además de que también se imputa como conducta infractora el no inscribir el incidente acontecido en el correspondiente fichero, no hay la más mínima referencia a dicha publicación, sino que la asignación de claves partía del usuario que entraba en la aplicación, tras rellenar una serie de apartados, en virtud de los cuales se producía una contestación que asignaba las claves y en ese mismo momento se podían cambiar.

QUINTO

No concurren las causas expresadas en el Art. 139 de la Ley de la Jurisdicción contencioso-administrativo para la imposición de las costas procesales a ninguna de las partes.

FALLAMOS

Que desestimando el recurso contencioso administrativo interpuesto por la representación procesal de Real Madrid Club de Fútbol contra la resolución del Director de la Agencia de Protección de Datos de 25 de abril de 2008 que impone a dicha recurrente una sanción de 3000 euros, confirmamos la indicada resolución, dada su conformidad a Derecho, sin imposición de costas a ninguna de las partes.

Así por esta nuestra sentencia de la que se llevará testimonio a los autos de su razón, lo pronunciamos, mandamos y firmamos.


LA SECRETARIA


Audiencia Nacional (Sala de lo Contencioso-Administrativo, Sentencia de 29 octubre 2008 RJCA 2009\37 Ponente: Excma. Sra. Nieves Buisán García

La ANestimael recurso contencioso-administrativo interpuesto por la entidad mercantil «Informática y Telefonía 2004, SL» contra una Resolución de la Agencia Española de Protección de Datos de22-08-2007, sobre sanción por infracción en materia de protección de datos de carácter personal.

Madrid, a veintinueve de octubre de dos mil ocho.

La Sala constituida por los Sres. Magistrados relacionados al margen ha visto recurso Contencioso-Administrativo núm. 508/2007, interpuesto por la entidad INFORMATICA Y TELEFONIA 2004, SL, representada por el Procurador D. Francisco Miguel Velasco Muñoz-Cuellar, frente a la resolución de la Agencia Española de Protección de Datos de 22 de agosto de 2007, que desestima el recurso de reposición frente a la anterior Resolución de 15 de junio que impone a dicha entidad una sanción de 60.101,21 euros.

Ha sido parte demandada la Administración General del Estado, representada por la Abogacía del Estado.


PRIMERO

Por la entidad recurrente se interpuso recurso Contencioso-Administrativo mediante escrito presentado el 24 de octubre de 2007, acordándose por providencia de 26 de octubre siguiente su tramitación de conformidad con las normas establecidas en la Ley 29/1998 ( RCL 1998, 1741) , y la reclamación del expediente administrativo.

SEGUNDO

En el momento procesal oportuno tal entidad actora formalizó la demanda mediante escrito presentado el 21 de diciembre de 2007 en el que, tras alegar los hechos y fundamentos de derecho que estimó procedentes, terminó suplicando se dictara sentencia en la que, estimando la demanda, se declare nula, anule o deje sin efecto alguno la sanción recurrida por no ser ajustada a derecho puesto que Informática y Telefonía 2004 SL no ha incurrido en el deber de adoptar medidas de seguridad necesarias tal y como, en relación a sus ficheros exige a su responsable el artículo 9 de la Ley Orgánica 15/1999 ( RCL 1999, 3058) o, en su defecto, aplique el principio de proporcionalidad a tenor del artículo 45.4 y 5 de la citada Ley, imponiendo la multa correspondiente a la mínima de grado inferior.

TERCERO

El Sr. Abogado del Estado contestó la demanda mediante escrito presentado el 22 de enero de 2008, en el que, tras alegar los hechos y los fundamentos jurídicos que estimó aplicables, terminó suplicando se dictara sentencia en la que se desestimara el recurso, confirmando íntegramente la resolución administrativa impugnada, por ser conforme a Derecho.

CUARTO

Habiéndose solicitado el recibimiento del pleito a prueba, se acordó el mismo mediante Auto de 24 de enero de 2008, practicándose la documental propuesta y admitida, con el resultado que figura en las actuaciones.

No considerándose necesaria la celebración de vista pública, se dio trámite de conclusiones, trámite que evacuaron por su orden, primero la defensa de la entidad actora y después el Abogado del Estado, mediante escritos en los que concretaron y reiteraron sus respectivos pedimentos.

QUINTO

Conclusas las actuaciones, se señaló para votación y fallo del recurso el día 28 de octubre de 2008, fecha en la que tuvo lugar la deliberación y votación, habiendo sido ponente la Ilma. Magistrada doña Nieves Buisán García, quien expresa el parecer de la Sala.


PRIMERO

Se impugna en el presente recurso Contencioso-Administrativo, por Informática y Telefonía 2004, SL la resolución de la Agencia Española de Protección de Datos de 22 de agosto de 2007, que desestima el recurso de reposición frente a la anterior Resolución de 15 de junio que impone a dicha entidad una sanción de 60.101,21 euros, por vulneración de lo dispuesto en el artículo 9 de la Ley Orgánica 15/1999 de 13 de diciembre ( RCL 1999, 3058) , de Protección de Datos de Carácter Personal, tipificada como grave en el artículo 44.3.h) de dicha norma, de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.

Tales resoluciones combatidas declaran como hechos probados los que se exponen a continuación:

PRIMERO: Con fecha 09/02/2005, tuvo entrada en la Agencia Española de Protección de Datos un escrito de la Agencia Catalana de Protección de Datos, remitiendo el escrito de fecha 27/01/2005, del "Cargo 1" de Seguridad Ciudadana del Ayuntamiento de Gavà, en

el que se denunciaba que la Policía Municipal de Gavà, el 14/01/2005, encontró en la calle Centre, documentos en soporte papel, que contenían datos de carácter personal, y con el que se remitía la documentación encontrada.

SEGUNDO: Con fecha 14/01/2005, la Policía Municipal de Gavà se personó en la calle Centre de esa localidad y comprobó que, junto al contenedor de reciclaje de papel, en el suelo, se encontraba la siguiente documentación en soporte papel:

a) 24 "currículum vítae", entre los que se encuentra el de Dña. Rocío.

b) Diferentes documentos administrativos que la Policía Municipal relaciona, sin ninguna duda, con la tienda de telefonía móvil de Amena sita en la Plaza mayor 1.

c) Una agenda, y diferente documentación comercial y publicitaria.

TERCERO: En la visita de Inspección realizada en el establecimiento de Informática y Telefonía, S.L el representante de la entidad manifestó lo siguiente: a) Informática y Telefonía, S.L es titular del establecimiento comercial dedicado a la telefonía ubicado en la Plaza mayor 1, de Gavà, desde el 01/11/2004.

b) Por las fechas que constan en los "currículum vítae" señalados, referentes a los períodos de trabajo de las solicitantes, éstos debieron ser presentados después de la fecha del traspaso del establecimiento de telefonía.

c) "A pesar de las instrucciones recibidas, parece ser que la citada empleada procedió a introducir todo el material existente en una bolsa de basuras que depositó en la puerta de la tienda", y que "entre este material se encontraban los "currículum vítae".

CUARTO: Informática y Telefonía, SL es responsable, entre otros, del fichero denominado "Clientes", inscrito en el Registro General de Protección de Datos y descrito como "Datos identificativos para gestiones comerciales", con la finalidad de "gestión administrativa".

QUINTO: Informática y Telefonía, SL dispone del Documento de Seguridad que establece el Real Decreto 994/1999 ( RCL 1999, 1678) , por el que se aprueba el Reglamento de medidas de seguridad de los ficheros que contengan datos de carácter personal, relativo a los ficheros de los que es responsable la entidad, Clientes, Proveedores y Contratos. En este documento figura relacionado el establecimiento de la Plaza mayor, de Gavà, el fichero físico de "Contratos", "copias de contratos tramitados a Amena", y las relaciones de "usuarios de los ficheros" y "personal autorizado para acceder al/los ficheros", figurando en estas relaciones Dña. Rocío, con fecha de alta "03/2005".

SEXTO: Informática y Telefonía, SL dispone del documento "Libro de Registro de Información a los trabajadores", en el que figuran las instrucciones a seguir por parte de los trabajadores de la empresa en materia de seguridad de datos personales de los clientes, figurando el ejemplar suscrito por Dña. Rocío.

SEGUNDO

La infracción imputada a Informática y Telefonía es la del artículo 9.1 de la Ley Orgánica de Protección de Datos ( RCL 1999, 3058) a cuyo tenor " El responsable del fichero y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural".

Esta Sala de la Audiencia Nacional, resolviendo supuestos anteriores en los que los hechos se tipificaron conforme a dicho precepto de la Ley 15/1999, ha establecido la siguiente doctrina ( sentencia de 28 de marzo de 2006 (sic) Rec. 478/2004 [ JUR 2006, 130610] , por todas):

No basta con la adopción de cualquier medida, pues deben ser las necesarias para garantizar aquellos objetivos que marca el precepto. Y, por supuesto, no basta con la aprobación formal de las medidas de seguridad, pues resulta exigible que aquéllas se instauren y pongan en práctica de manera efectiva. Así, de nada sirve que se aprueben unas instrucciones detalladas sobre el modo de proceder para la recogida y destrucción de documentos que contengan datos personales si luego no se exige a los empleados (...) la observancia de aquellas instrucciones.

Hemos considerado, en consecuencia, que se impone una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros. En definitiva toda responsable de un fichero (o encargada de tratamiento) es, por disposición legal, una deudora de seguridad en materia de datos, debiendo asegurarse de que dichas medidas o mecanismos se implementen de manera efectiva en la práctica sin que, bajo ningún concepto, datos bancarios o cualesquiera otros de carácter personal, puedan llegar a manos de terceras personas.

Medidas de seguridad que se clasifican en el art. 3 del RD 994/1999, de 11 de junio ( RCL 1999, 1678) , que aprueba el Reglamento de Medidas de Seguridad de los ficheros que contengan datos de carácter personal, bajo el título "niveles de seguridad", en tres niveles: básico, medio y alto. Debiendo adoptarse las medidas de nivel básico por todos los ficheros que contengan datos

de carácter personal, según el apartado 1 del art. 4 del Reglamento. Configurándose, por tanto, como medidas de carácter mínimo aplicables a todo dato de carácter personal.

TERCERO

Se sustenta la sanción impuesta en la resolución de la AEPD impugnada (fundamento jurídico III), en lo siguiente:

Informática y Telefonía 2004, SL debió adoptar las medidas necesarias para impedir cualquier recuperación posterior de la información que contenían dichos documentos. Tales medidas no fueron adoptadas totalmente en el presente caso. Prueba de ello fue el hecho de que los 24 curriculum vitae, según manifestaciones del representante de la empresa, fueron introducidos en una bolsa de basura que fue depositada en la puerta de la tienda, y, posteriormente, fueron encontrados por la Policía Municipal de Gavà en la vía pública, depositados en el suelo, junto a un contendedor de reciclaje en una calle de tal localidad. No cabe duda de que el responsable de dichos documentos es la entidad Informática y Telefonía 2004, SL, que reconoció en la visita de Inspección que, por las fechas de los mencionados "currículum vítae", éstos debieron ser presentados después de la fecha de traspaso del establecimiento, y, además, ha quedado acreditado que uno de ellos corresponde a una de las empleadas de esta entidad, que figura con fecha de alta a principios del año 2005.

En defensa de su pretensión la parte actora argumenta, en cambio, en la demanda que: el establecimiento de la Plaza mayor 1 de Gavá fue traspasado por la sociedad Fonomanía 2000 SL, también dedicada a servicios de telefonía. Cuando la actora se hizo cargo del mismo, se hallaban en él documentos y enseres del anterior propietario. En enero de 2005, al ver que Fonomanía no acudía a retirar los documentos que le pertenecían, estos fueron depositados por una trabajadora de Informática y Telefonía en un contenedor de reciclaje, por lo que el deber de custodia de dicha documentación correspondía al antiguo inquilino del local.

El único elemento que vincula dichos documentos con la entidad actora es la existencia de un curriculum de una de sus trabajadoras, a pesar de que la misma ha admitido (folios 232 y 233 del expediente), que envió dicho curriculum a la anterior empresa de telefonía que ocupaba el local.

CUARTO

Ha quedado probado en las actuaciones que la ahora recurrente tiene elaborada e implementada la documentación de seguridad exigida por la Ley de Protección de Datos ( RCL 1999, 3058) , pues no solo posee el Documento de Seguridad que establece el Real Decreto 994/1999 ( RCL 1999, 1678) (hecho probado quinto) sino también el denominado "Libro de Registro de Información a los trabajadores" donde figuran las instrucciones a seguir por éstos

en materia de seguridad de datos personales (hecho probado sexto).

Por otra parte, es importante reseñar que de la documentación encontrada junto al contenedor de reciclaje de papel (folios 4 a 71) la AEPD limita sus actuaciones a los datos de los solicitantes de empleo, es decir, a los 24 curriculums vitae encontrados, al ser éstos los únicos documentos que poseían datos de carácter personal y respecto de los que podía haber cierta apariencia de pertenencia a Informática y Telefonía 2004. Junto a dichos curriculums, no obstante, se encontraban otros documentos que claramente pertenecían a Fonomanía 2000, tales como una agenda de una empleada de la tienda de telefonía hasta noviembre de 2004, es decir, de una empleada de dicha Fonomanía 2000 (véase folio 4 en relación con el 3 del expediente), un recibo individual justificativo del pago de salarios de tal anterior titular del local (folio 5), e igualmente una carta dirigida a dicha Fonomanía, en la que efectivamente figura el mismo domicilio de la Plaza mayor 1, de Gavá y que lleva fecha de matasellos de 21 de diciembre de 2004(folios 6 a 7).

Por lo que se refiere, en concreto, a los indicados curriculums, los mismos no van dirigidos a ninguna de las dos empresas que sucesivamente han sido titulares del local, ni tampoco llevan fecha de redacción o presentación. Es cierto que una de las manifestaciones realizadas por el representante de la entidad recurrente en la visita de inspección, fue que por las fechas que constan en los mismos " debieron ser presentados después de la fecha de traspaso del establecimiento de telefonía", más además de que ello es una simple suposición, se contradice, al menos parcialmente, con la anterior manifestación del mismo representante, en el mismo acta de inspección, que también indica que una empleada de la empresa recurrente procedió a introducir toda la documentación de la anterior titular del local: Fonomanía 2000, entre la que se encontraban los curriculums, en una bolsa de basura, que depositó en la puerta de la tienda (véase el contenido íntegro de dichas manifestaciones en el folio 87 del expediente). Y se contradice también con las declaraciones de la titular de uno de dichos curriculums, que trabaja en Informática y Telefonía y que indica (folios 232 y 233) que envió el mismo a la anterior empresa de telefonía que ocupaba el local.

Obsérvese que a tenor del artículo 9.1 de la Ley Orgánica de Protección de Datos, quien debe adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado es "El responsable del fichero y, en su caso, el encargado del tratamiento", responsable del fichero (o del tratamiento) que, conforme al apartado d) del artículo 3 de la LOPD es toda persona física o jurídica que decide sobre la finalidad, contenido y uso del tratamiento, tratamiento que, lógicamente, ha de entenderse referido a los datos personales que obran en los propios ficheros, y no en ficheros de terceros.

Aplicando dichas consideraciones al presente supuesto, hemos de concluir que no existe en él suficiente acreditación de que la documentación con los datos personales encontrada junto al contenedor de reciclaje, por la policía de Gavá, perteneciera a la empresa Informática y Telefonía 2004 SL y no a la que fue titular del local hasta noviembre de 2004, Fonomanía 2000 SL, máxime cuando esta última se dedicaba a la misma actividad que la recurrente. Dicho en otros términos, y según resulta de lo expuesto en los párrafos que anteceden, no ha quedado probado que dicha documentación se hallara bajo el ámbito de responsabilidad de la ahora actora. Y ello porque, en definitiva, no es posible exigir a ninguna empresa o entidad una especial cautela respecto datos de carácter personal que se encuentran fuera de su ámbito de responsabilidad. Y al no haber quedado acreditado en autos que los datos personales respecto de los que deberían haberse adoptado las medidas de seguridad, procedieran de los ficheros, o del ámbito de responsabilidad, de Informática y Telefonía 2004, no es posible exigir a la misma el cumplimiento de tal deber de seguridad respecto de los curriculums vitae encontrados en la calle junto a un contenedor, y tampoco, por ende, imputarle la infracción del deber de seguridad del artículo 9 de la LOPD.

Consideraciones, las anteriores que conllevan la revocación de la infracción impuesta en las resoluciones de la AEPD aquí impugnadas, y la estimación de la pretensión de la demanda.

QUINTO

No concurren las causas expresadas en el art. 139 de la LJCAJ ( RCL 1998, 1741) para la imposición de las costas a ninguna de las partes.

F A L L A M O S

Que estimando el recurso Contencioso-Administrativo interpuesto por la representación procesal de Informática y Telefonía 2004 SL frente a la resolución de la Agencia Española de Protección de Datos de 22 de agosto de 2007 que desestima el recurso de reposición frente a la anterior resolución de 15 de junio que impone a dicha entidad actora una sanción de 60.101,21 euros, anulamos dichas resoluciones, dada su disconformidad a Derecho, sin imposición de costas procesales a ninguna de las partes.

Así por esta nuestra sentencia lo pronunciamos mandamos y fallamos


EL SECRETARIO


Documents

Web viewReal Madrid CF no ha acreditado que informara a D. Carlos María del funcionamiento del sistema de "cesión de abono", ni del modo o medio para realizar el operativo