SAN, 20 de Abril de 2009
| Ponente | CARLOS LESMES SERRANO |
| Emisor | Audiencia Nacional. Sala Contencioso Administrativo, Sección 1ª |
| ECLI | ES:AN:2009:1665 |
| Número de Recurso | 561/2007 |
SENTENCIA
Madrid, a veinte de abril de dos mil nueve.
Vistos por esta Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional los autos del recurso
contencioso-administrativo núm. 561/07 interpuesto por la Procuradora DOÑA CRISTINA ÁLVAREZ PÉREZ, en nombre y
representación de FEDERACIÓN DE SERVICIOS FINANCIEROS Y ADMINISTRATIVOS DE COMISIONES OBRERAS, contra
resolución de fecha 1 de octubre de 2007 de la Agencia Española de Protección de Datos, representada y defendida por el Sr.
Abogado del Estado, que desestima el recurso de reposición promovido contra la resolución de fecha 26 de julio de 2007 dictada
en la procedimiento sancionador PS/00008/2007.La cuantía del recurso es DE 2.400 Euros.
Por la parte recurrente se interpuso recurso contencioso-administrativo mediante escrito presentado el 3 de diciembre de 2007, acordándose por providencia de 1 de abril de 2008 su tramitación de conformidad con las normas establecidas en la Ley 29/98, y la reclamación del expediente administrativo.
En el momento procesal oportuno la parte actora formalizó la demanda mediante escrito presentado el 26 de junio de 2008, en el cual, tras alegar los hechos y fundamentos de derecho que estimó procedentes, terminó suplicando se dictara sentencia por la que se declare la prescripción de la infracción y se decrete la nulidad de resolución recurrida. Subsidiariamente suplica se declare la disconformidad con el ordenamiento jurídico de la resolución recurrida, declarándola expresamente nula y contraria a Derecho y se condene a la Agencia Española de Protección de Datos a reintegrar a la recurrente la cantidad de 2.400 Euros ya abonada en concepto de sanción. Igualmente suplica la imposición de las costas a la Administración demandada.
El Abogado del Estado contestó a la demanda mediante escrito presentado el 21 de octubre de 2008, en el cual, tras alegar los hechos y los fundamentos jurídicos que estimó oportunos, terminó suplicando se dictara sentencia por la que se desestime el recurso confirmándole acto administrativo, con expresa imposición en costas a la parte actora.
Habiéndose solicitado el recibimiento a prueba de las presentes actuaciones, se acordó el trámite mediante Auto de 3 de noviembre de 2008, admitiéndose la documental propuesta por la recurrente. Declarado concluso el término probatorio, se dio traslado de conclusiones a la parte recurrente y después al Sr. Abogado del Estado, quienes las evacuaron en sendos escritos en los que concretaron y reiteraron sus respectivos pedimentos.
Conclusos los autos, se señaló para la votación y fallo de este recurso el día 15 de abril de 2009, fecha en la que tuvo lugar la deliberación y votación, habiendo sido Ponente el Ilmo. Sr. Magistrado Don Carlos Lesmes Serrano, quien expresa el parecer de la Sala.
La FEDERACIÓN DE SERVICIOS FINANCIEROS Y ADMINISTRATIVOS DE COMISIONES OBRERAS interpone recurso contencioso-administrativo contra la Resolución del Director de la Agencia Española de Protección de Datos de 26 de julio de 2007 por la que se le impone una multa de 2.400 euros por una infracción del art. 10 de la Ley Orgánica 15/1999, de 13 de diciembre, tipificada como leve en el art. 44.2.e) de dicha norma, así como contra la Resolución de 1 de octubre de 2007 por la que se desestimaba el recurso de reposición interpuesto frente a la anterior.
En la Resolución de 26 de julio de 2007 se tuvieron por probados los siguientes hechos:
Los denunciantes interpusieron una reclamación en esta Agencia Española de Protección de Datos, contra la Sección Sindical de CCOO de Seguros de Catalana de Occidente, que dio lugar a las actuaciones de investigación de referencia E/00276/2003. La Agencia resolvió, en fecha 10 de mayo de 2004, archivando las actuaciones practicadas.
La Sección de CCOO de Seguros de Catalana de Occidente publicó en la Intranet de la empresa la Resolución de Archivo de Actuaciones, incluyendo el nombre y apellidos de los denunciantes.
Para la Agencia Española de Protección de Datos resulta acreditado que CCOO ha hecho pública, a través de Intranet de la empresa, la Resolución de la Agencia archivando las actuaciones practicadas como consecuencia de la denuncia realizada por los denunciantes del procedimiento sancionador, sin anonimizar sus datos relativos a nombre y apellidos y sin contar con su consentimiento para ello. Esta actuación infringe el deber de secreto profesional que incumbe a los responsables de los ficheros automatizados, recogido en el art. 10 de la LOPD.
Comienza el escrito de demanda invocando la prescripción de la infracción (art. 47 LOPD ) ya que los hechos imputados se produjeron el 2 de junio de 2004, la denuncia se presentó el 1 de diciembre de 2005 y el expediente sancionador o se incoa hasta el día 7 de febrero de 2007, siendo notificada la resolución de incoación el 13 de febrero de 2007. Ha transcurrido por tanto el plazo del año establecido para la prescripción de las infracciones leves como lo es la imputada de incumplimiento del deber de secreto.
El artículo 47 de la LOPD señala en su apartado primero que las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves al año. Su apartado segundo añade que el plazo de prescripción comenzará a contarse desde el día en que la infracción se hubiera cometido. Este último apartado no es sino reproducción literal de lo previsto en el artículo 132 dos de la ley 30/1992. En materia de protección de datos, en relación con la prescripción, en algunos casos existe la peculiaridad de que el inicio del cómputo de la prescripción se retrasa hasta el momento en que la infracción deja de cometerse, lo que ocurre en las llamadas infracciones permanentes. En el presente caso la infracción hay que considerarla permanente en tanto que los datos personales se están revelando de forma continuada al mantenerse en un determinado fichero -la Intranet de la empresa- de forma constante. En el caso presente consta que la inspección de datos levantó acta el día 22 febrero 2006 y que en tal fecha se comprobó que la Intranet de la empresa seguía constando la noticia a la que se hace referencia en los hechos probados, es decir se mantenía en la misma la información constitutiva de la revelación de secretos por la que ha sido imputada la parte actora, razón por la que no puede apreciarse la prescripción alegada por ella.
Sostiene en segundo lugar el Sindicato recurrente que la LOPD no es de aplicación al presente supuesto por cuanto la publicación o comunicación se produjo en la intranet de la empresa siendo la misma de acceso restringido a los trabajadores.
La Ley Orgánica 15/1999, de 13 diciembre, de Protección de Datos de Carácter Personal (LOPD ), ha venido a dar una nueva regulación al derecho fundamental regulado por el art. 18,4 CE aún más garantista que el recogido en la Directiva Comunitaria 95/46 /CE que pretendía transponer. En este sentido la LOPD amplía su protección más allá de la mera protección del derecho a la intimidad personal y familiar para consagrar el denominado derecho a la "autodeterminación informativa", por lo que es objeto de la Ley la protección de cualesquiera derechos fundamentales y libertades públicas de las personas físicas frente al tratamiento automatizado o no de sus datos de carácter personal. Quiere ello decir, prima facie, que no son aceptables interpretaciones restrictivas como la aquí pretendida, que tratan de limitar el contenido del derecho por razón del mayor o menor número de destinatarios de la información realizada, información que concierne a datos de carácter personal de determinados trabajadores.
En cuanto a la consideración de la Intranet como fichero de datos de carácter personal, este Tribunal ha tenido ocasión de pronunciarse sobre la naturaleza de ficheros de los sitios Web a los efectos del art. 3, apartado b) de la LOPD (SAN de 17 de marzo de 2006, Rec. 621/2004 ), doctrina que reiteramos a continuación.
La Directiva 95/46 / CE define el fichero en su artículo 2 como todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.
Nuestra Ley lo define en su artículo 3 como "b) Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso."
Así, todo fichero de datos exige para tener esta consideración una estructura u organización con arreglo a criterios determinados. El mero cúmulo de datos sin criterio alguno no podrá tener la consideración de fichero a los efectos de la ley.
Íntimamente vinculado al concepto de fichero está el de tratamiento de datos.
La Directiva nos dice sobre esta cuestión que el concepto de "tratamiento" no puede depender de la técnica utilizada para el manejo de los datos, de ahí que incluya tanto el tratamiento automatizado como el manual (considerando 27 de su Preámbulo). Así, lo relevante para que estemos ante un "tratamiento de datos personales" es la realización de determinadas actuaciones en relación con los mismos, actuaciones que en su descripción son muy amplias y variadas.
Desarrollando este principio el artículo 2 de la Directiva describe las actuaciones que aplicadas a los datos personales constituyen "tratamiento": "cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción,...
Para continuar leyendo
Solicita tu prueba