AUDIENCIA NACIONAL
Sala de lo Contencioso-Administrativo
Sentencia de 23 de abril de 2008
Nº de Recurso: 148/2006
Ponente: MARIA NIEVES BUISAN GARCIA
Madrid, a veintitres de abril de dos mil ocho.
La Sala constituida por los Sres. Magistrados relacionados al margen ha visto recurso contencioso-administrativo n.º 148/2006, interpuesto por el Excmo. Ayuntamiento de Málaga, representado por el Procurador D. Juan Ignacio Avila Del Hierro, contra la resolución de la Agencia Española de Protección de Datos de 23 de marzo de 2006, que declara que el Ayuntamiento de Málaga ha infringido lo dispuesto en el artículo 9 de la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal, requiriendo a dicho Ayuntamiento para que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción de dicho artículo. Ha sido parte demandada la Administración General del Estado, representada por la Abogacía del Estado.
ANTECEDENTES DE HECHO
PRIMERO.- Por la entidad recurrente se interpuso recurso contencioso administrativo mediante escrito presentado el 11 de mayo de 2006, acordándose por providencia de 16 de mayo siguiente su tramitación de conformidad con las normas establecidas en la Ley 29/1998, y la reclamación del expediente administrativo.
SEGUNDO.- En el momento procesal oportuno tal parte actora formalizó la demanda mediante escrito presentado el 5 de julio de 2006, en el que, tras alegar los hechos y fundamentos de derecho que estimó procedentes, terminó suplicando se dictara sentencia estimatoria del recurso, declarando la nulidad de la resolución de 23 de marzo de 2006 o subsidiariamente su anulabilidad, o subsidiariamente su ausencia de tipicidad o la inexistencia de culpabilidad de esta Administración.
TERCERO.- El Sr. Abogado del Estado contestó la demanda mediante escrito presentado el 22 de enero de 2007, en el que, tras alegar los hechos y los fundamentos jurídicos que estimó aplicables, terminó suplicando se dictara sentencia en la que se desestimara el recurso, confirmando la resolución administrativa impugnada, por ser conforme a Derecho.
CUARTO.- Acordado el recibimiento del pleito a prueba mediante Auto de 24 de enero de 2007, se practicó la documental propuesta y admitida, con el resultado que obra en las actuaciones. No considerándose necesaria la celebración de vista pública, se dio trámite de conclusiones a las partes, trámite que evacuaron por su orden, primero la defensa de la entidad local actora y después el Abogado del Estado, mediante escritos en los que concretaron y reiteraron sus respectivos pedimentos.
QUINTO.- Conclusas las actuaciones, se señaló para votación y fallo de este recurso el día 22 de abril de 2008, fecha en la que tuvo lugar la deliberación y votación, habiendo sido ponente la Ilma.
Magistrada doña Nieves Buisán García, quien expresa el parecer de la Sala.
FUNDAMENTOS DE DERECHO
PRIMERO.- Se impugna en el presente recurso contencioso-administrativo, por el Excmo.
Ayuntamiento de Málaga, la resolución de la Agencia Española de Protección de Datos de 23 de marzo de 2006, que declara que el Ayuntamiento de Málaga ha infringido lo dispuesto en el artículo 9 de la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal, cometiendo una falta tipificada como grave en el artículo 44.3.d) de dicha norma, requiriendo a dicho Ayuntamiento para que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción de dicho artículo.
Tal resolución declara como hechos probados los que se exponen a continuación:
PRIMERO.: Con fecha 7 de mayo de 2005 se publicó en el Diario de Sevilla un artículo titulado "El fiscal estudiará la filtración del informe sobre Almudena ", en el que se menciona la difusión de un documento calificado como "reservado" redactado por el escolta de la concejal Doña Almudena. En el mismo artículo se indicaba que"La Fiscalía de Málaga ha dicidido no esperar a que el Ayuntamiento le remita las conclusiones de la investigación interna sobre la elaboración y filtración de datos personales de la concejal Almudena ".
SEGUNDO.: En la información facilitada por el Ayuntamiento, en relación del envio del citado documento a la Inspección de Datos de esta Agencia se informaba que "Las razones que han motivado la difusión obviamente son desconocidas, toda vez que se remitió mediante anónimo a la prensa, sin que el autor del mismo adujese razón alguna para motivar sus actos".
TERCERO: Asimismo, el citado Ayuntamiento ha manifestado que: "El documento, una vez redactado e impreso, fue borrado del ordenador por lo que no existe documento de seguridad alguno".
CUARTO: El Juzgado de Instrucción n.º 7 de Málaga ha comunicado a esta Agencia que "se siguen DILIGENCIAS PREVIAS 3579/05 -7J, por un presunto delito de descubrimiento y revelación de secretos, por denuncia de Doña Almudena, contra los Policias Locales de Málaga con carnet profesional n.º NUM000 y NUM001 ". " SEGUNDO. Se invocan en primer término en la demanda una serie de objeciones formale, que, a juicio de la entidad recurrente, implican la nulidad del procedimiento sancionador, en cuanto se trata de irregularidades invalidantes causantes de indefensión, basadas en dos distintos motivos:
Haber abierto el trámite de prueba antes de que transcurriera el plazo de alegaciones, y sin haber resuelto sobre la suspensión por prejudicialidad penal planteada.
Y que la carencia de documento de seguridad, que es la infracción imputada, se pone de manifiesto por el representante del Ayuntamiento durante las diligencias previas, cuando ni siquiera se había advertido a la actora sobre la posibilidad de resultar imputada o sobre la exigencia de responsabilidad.
Como esta Sala ha reiterado en numerosísimas ocasiones (SAN 8-3-2006, Rec. 319/2004, entre otras muchas) para que cualquier defecto procedimental comporte la nulidad del acto recurrido, es preciso que no se trate de meras irregularidades procedimentales, sino de defectos que causen una situación de indefensión de carácter material, no meramente formal, esto es, que la misma haya originado al recurrente un menoscabo real de su derecho de defensa, causándole un perjuicio real y efectivo (SSTC 155/1988, de 22 de julio, 212/1994, de 13 de julio y 78/1999, de 26 de abril ).
En el presente supuesto, y si bien es cierto que se desprende de las actuaciones que se notificó el acuerdo de inicio del procedimiento el 26 de octubre de 2005 y se abrió el trámite de prueba el siguiente 2 de noviembre, sin dejar transcurrir el plazo de quince días para alegaciones, lo cierto es que dichas alegaciones ya habían sido presentadas por el Ayuntamiento, con fecha de 31 de octubre anterior, por lo que se trata de una objeción que carece de la más mínima incidencia material. Respecto a la prejudicialidad penal, es cierto que es en la propuesta de resolución cuando por primera vez se contesta a la solicitud de suspensión pretendida por tal causa, pero ello no sólo no ha ocasionado indefensión alguna a la entidad recurrente, sino que además se ajusta a la normativa de procedimiento administrativo, constituida por el artículo 79.2 LRJAP y PAC, a falta de regulación especifica en materia de protección de datos (hasta el RD 1720/1997, de 21 de diciembre).
Ha de tenerse en cuenta, sobre todo, que las diligencias previas contempladas en el Art. 12 del Real Decreto 1398/1993, por el que se aprueba Reglamento del Procedimiento para el Ejercicio de la Potestad sancionadora, no es propiamente una fase procedimental, sino una fase anterior a la iniciación de dicho procedimiento, y exclusivamente encaminadas a determinar, con carácter preliminar, si concurren circunstancias que justifiquen tal iniciación, por lo que ninguna respuesta a las pretensiones de las partes corresponde efectuar durante su tramitación.
TERCERO. Se insiste en la demanda en la vulneración del principio de preferencia del orden jurisdiccional penal, por seguirse procedimiento penal respecto de los mismos hechos ante el Juzgado de Instrucción n.º 7 de Málaga, y dado que la prejudicialidad penal ostenta también un efecto positivo, constituido por la vinculación de la Administración a los hechos declarados probados en la sentencia penal firme.
El Art. 7 del RD 1398/1993, de 4 de agosto, únicamente prevé la suspensión del procedimiento administrativo cuando se verifique la existencia efectiva y real de un procedimiento penal, si se estima que existe identidad de sujeto, hecho y fundamento de derecho entre la infracción administrativa y la infracción penal que pudiera corresponder.
En el presente supuesto y a pesar de haberse iniciado, por los hechos ahora controvertidos, también actuaciones penales por descubrimiento y revelación de secretos, lo cierto es que tanto los sujetos como la conducta infractora y también el bien jurídico protegido, son distintos en una y otra vía (contencioso-administrativa y penal). En el ámbito penal la conducta sancionable es dicha revelación de secretos o datos íntimos de la vida privada de la concejala del Ayuntamiento de Málaga, y en el ámbito administrativo sancionador, en cambio, la conducta infractora no es el deber de secreto derivado del artículo 10 LOPD, en cuyo caso tal vez podría plantearse la invocada prejudicialidad penal, sino el deber de seguridad, que implica la necesidad de adoptar las necesarias medidas técnicas y organizativas para garantizar la seguridad de los datos y evitar su alteración, pérdida, tratamiento o acceso no autorizado, tal y como contempla el Art. 9 LOPD, y que no exige que los datos de hayan obtenido mediante una conducta penalmente punible.
Además, en el ámbito penal, el bien jurídico protegido es la intimidad personal y en el ámbito administrativo, en cambio, dicho bien jurídico protegido por el Art. 9 LOPD se refiere a la seguridad de los datos personales, por lo que tal objeción de la demanda ha de ser rechazada.
CUARTO. Se denuncia igualmente por el Ayuntamiento recurrente la falta de tipicidad de los hechos, puesto que si la infracción imputada es, concretamente " no haber elaborado un documento de seguridad", achacando a dicha carencia la difusión del documento en prensa, y por ende la infracción cometida, resulta que, para que exista infracción, constituye requisito sine qua non la existencia de un fichero, es decir, de un conjunto organizado de datos de carácter personal, generalmente en soporte informático.
Más en el presente supuesto, continúa la actora, el documento cuya revelación se publicó en la prensa, no puede ser calificado ni de "fichero", ni tampoco de soporte en un proceso de tratamiento de datos. Se trató de un documento elaborado por un funcionario de policía, sobre la base de informaciones verbales suministradas por diversos escoltas y de sus propios conocimientos como responsable del funcionamiento cotidiano de la Unidad, que fue confeccionado por él personalmente, de una sola vez en un ordenador, que se catalogó de confidencial y que después se borró de dicho ordenador. Además de dicho documento solo se emitieron dos originales y una copia, que fueron pertinentemente guardados.
Para el adecuado enjuiciamiento de los hechos es necesario manifestar que la infracción del artículo 9 LOPD se imputa por la AEPD a la aparición, en el Diario de Sevilla de 7 de mayo de 2003, de una noticia que informaba sobre la difusión de un documento calificado como "confidencial" y referente a la vida privada de una concejal del Ayuntamiento recurrente (folios 2 y 3 del expediente), difusión en virtud de la cual la Fiscalía de Málaga había decidido iniciar una investigación.
Las razones que habían motivado dicha indebida filtración son desconocidas, dado que se remitió mediante anónimo a la prensa (hecho probado segundo), habiendo manifestado el Ayuntamiento ( en fase de diligencias previas o preliminares) que el documento, una vez redactado e impreso, había sido borrado del ordenador, por lo que no existía documento seguridad alguno.
La resolución impugnada considera ( fundamento de derecho VI) que como durante tales actuaciones previas, el representante del Ayuntamiento había manifestado que el documento de seguridad no existía, se podía apreciar la ausencia, por parte del responsable del fichero, de las medidas de seguridad tendentes a la protección de la información difundida, por lo que " ha de estimarse cometida la infracción imputada (del Art. 9 LOPD ) al no haber adoptado las medidas necesarias tendentes a la difusión de los datos contenidos en la información publicada".
QUINTO. El artículo 9.1 de la Ley Orgánica de Protección de Datos, establece que el responsable del fichero y, en su caso, el encargado del tratamiento "...deberán adoptar las medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural".
Precepto que toma en consideración, como factores que deben tenerse en cuenta para garantizar dicha seguridad: a) el estado de la técnica, pues estamos ante una materia muy cambiante y donde se producen continuas innovaciones que hay que tomar en consideración para acomodar las medidas de seguridad a esa realidad cambiante al objeto de poder garantizar una adecuada seguridad de los datos, b) la naturaleza de los datos almacenados que deben protegerse (salud, sindicales, etc.); y c) los riesgos a que estén expuestos o que presente el tratamiento, bien por la acción humana o por el medio físico o natural.
Las medidas de seguridad se clasifican en el Art. 3 del RD 994/1999, de 11 de junio, que aprueba el Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan Datos de Carácter Personal, bajo el título "niveles de seguridad", en tres niveles: básico, medio y alto.
Las medidas de seguridad de nivel básico han de ser adoptada por todos los ficheros que contengan datos de carácter personal, según el apartado 1 del Art. 4 del Reglamento. Configurándose, por tanto, como medidas de carácter mínimo aplicables a los datos de carácter personal.
Y por lo que se refiere en concreto al documento de seguridad, el mismo se regula en el Art. 8 del Reglamento. Es un documento interno, de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información, elaborado por el responsable del fichero y mediante el que se implantará la normativa de seguridad. Debe contener y definir las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los sistemas de información, fijándose su contenido mínimo en el apartado 2 del Art. 5. Si las medidas de seguridad a implantar son de nivel medio o máximo, se requiere la inclusión en el citado documento de una serie de requisitos adicionales.
Aplicando dicha normativa al supuesto enjuiciado esta Sala considera que la entidad local actora no ha cometido la infracción del deber de seguridad imputada, contenida en del artículo 9 de la LOPD en relación con el artículo 8 del Reglamento de Medidas de Seguridad, aprobado RD 994/1999, de 11 de junio.
Ello así se desprende con claridad del tenor literal del Art. 44.3.h) LOPD, que es la infracción grave que se considera cometida por tal recurrente, y que consiste en: "Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen", y que encaja mal en la conducta enjuiciada, tal y como a continuación se razona.
Resulta que el documento cuya revelación o difusión se publicó en la prensa, referente a la vida privada de una concejal del Ayuntamiento de Málaga, es un único documento, compuesto por dos folios, que fue elaborado personalmente por un funcionario de policía, sobre la base, fundamentalmente, de informaciones verbales suministradas, al mismo por el escolta de tal concejal, confeccionado de una sola vez en un ordenador, que se catalogó de confidencial y que después se borró de dicho ordenador. Además, al parecer, se imprimieron solo dos originales y después se efectúo una única fotocopia que fue entregada al Intendente Mayor.
Dadas dichas específicas circunstancias concurrentes en el supuesto no cabe exigir, respecto del documento en cuestión, el documento de seguridad que se contempla en el invocado artículo 8 del Reglamento de Medidas de Seguridad anteriormente aludido y en cuya ausencia se basa la AEPD para considerar vulnerado el deber de seguridad del artículo 9 LOPD, dado que, se reitera, se trató de un único "papel", del que sólo constan tres ejemplares, confeccionado en el ordenador pero borrado inmediatamente del mismo tras su redacción.
Consideraciones, las anteriores, que conllevan la nulidad de la infracción imputada en la resolución de la AEPD aquí impugnada y la estimación de la pretensión de la demanda con revocación de la resolución impugnada.
SEXTO. No concurren las causas expresadas en el Art. 139 de la LJCA para la imposición de las costas a ninguna de las partes.
FALLAMOS
Que estimando el recurso contencioso administrativo interpuesto por la representación procesal del Excmo. Ayuntamiento de Málaga frente a la resolución de la Agencia Española de Protección de Datos de 23 de marzo de 2006 que requiere a dicha entidad local para que adopte las medidas de orden interno que impidan que vuelva a producirse una nueva infracción del articulo 9 LOPD, anulamos dicha resolución, dada su disconformidad a Derecho, sin imposición de costas procesales a ninguna de las partes.
Así por ésta nuestra sentencia, de la que se llevará testimonio a los autos de su razón, lo pronunciamos, mandamos y firmamos.
PUBLICACIÓN.- Dada, leída y publicada fue la anterior sentencia en audiencia pública. Doy fe.
Madrid a EL SECRETARIO D.ª María Elena Cornejo Pérez Centro de Documentación Judicial 5
