SAN, 9 de Noviembre de 2005
| Ponente | JOSE ARTURO FERNANDEZ GARCIA |
| Emisor | Audiencia Nacional. Sala Contencioso Administrativo, Sección 1ª |
| ECLI | ES:AN:2005:5731 |
| Número de Recurso | 73/2004 |
MARIA NIEVES BUISAN GARCIAJOSE ARTURO FERNANDEZ GARCIAJOSE GUERRERO ZAPLANAMARIA LUZ LOURDES SANZ CALVO
SENTENCIA
Madrid, a nueve de noviembre de dos mil cinco.
La Sala constituida por los Sres. Magistrados relacionados al margen ha visto el recurso
contencioso-administrativo número 73/04 interpuesto por la Procuradora de los Tribunales Doña
Consuelo Rodríguez Chacón, en nombre y representación de la entidad COMPAÑÍA DE SEGUROS ADESLAS SA, contra la resolución del Director de la Agencia de Protección de Datos,
de 1 de diciembre de 2003, que desestima el recurso de reposición formulado contra la resolución
de ese mismo organismo por la que se le impone a dicha entidad una sanción de 300.506,05
euros, por una infracción del artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD) , tipificada como infracción grave
en el artículo 44.4.g) de dicha norma , de conformidad con lo establecido en el 45.3 de la citada Ley
. Ha sido parte demandada la AGENCIA DE PROTECCIÓN DE DATOS representada y asistida por
el Sr. Abogado del Estado.
Admitido el presente recurso y previos los oportunos trámites se confirió traslado a la parte actora para que formalizase la demanda, lo que llevó a efecto mediante escrito presentado el 4 de mayo de 2004 en el que, tras alegar los hechos y fundamentos de derecho que consideró oportunos, termina solicitando, en esencia, que se dicte sentencia estimando el recurso y declarando la nulidad de la resolución recurrida, revocándola y dejándola sin efecto; subsidiariamente, y para el supuesto de que no se acoja la petición anterior, se anule parcialmente la resolución recurrida, reduciendo la sanción impuesta hasta la cantidad de 60.101,21 euros.
El Abogado del Estado contestó la demanda mediante escrito presentado en el que, tras formular las alegaciones que estimó procedentes, solicita el dictado de sentencia desestimando el recurso y confirmando la resolución impugnada por ser ajustada a derecho.
Seguidamente, se fijó la cuantía del procedimiento en 300.506.05 euros. Recibido el pleito a prueba, se practicaron aquellas pruebas cuyo resultado obra en autos. Sustanciado el trámite de conclusiones por escrito por ambas partes, quedaron los autos conclusos y pendientes de señalamiento.
Finalmente, se fijó como día de la deliberación y votación el 15 de noviembre de 2005, fecha en que tuvo lugar.
Ha sido PONENTE el Ilmo. Magistrado D. José Arturo Fernández García
El presente recurso contencioso administrativo tiene como objeto la resolución del Director de la Agencia de Protección de Datos, de 1 de diciembre de 2003, que desestima el recurso de reposición formulado contra la resolución de ese mismo organismo por la que se le impone a la entidad demandante una sanción de 300.506,05 euros, por una infracción del artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD ) , tipificada como infracción grave en el artículo 44.4.g) de dicha norma , de conformidad con lo establecido en el 45.3 de la citada Ley
La resolución administrativa originaria se sustenta en los siguientes hechos:
Determinados documentos provenientes de los ficheros de la entidad ADESLAS han podido ser objeto de acceso y consulta de terceras personas ajenas al citado organismo y a los interesados.
Dichos documentos se corresponden con autorizaciones para la realización de pruebas diagnósticas y de ambulante solicitadas por los correspondientes asegurados.
En la inspección realizada en fecha 30/10/02 en la entidad ADESLAS se verificó que los datos de los asegurados que constan en dichos documentos constan en el fichero automatizado "CLIENTES", y que los datos relativos a tales autorizaciones de pruebas diagnósticas y de ambulatorio constan en el fichero "AUTORIZACIONES Y SINIESTROS" de la entidad.
En la citada inspección fueron recabadas las copias de dichas autorizaciones que fueron remitidas vía fax a los solicitantes, las cuales fueron devueltas por los facultativos a ADESLAS, una vez realizada la correspondiente prueba, como justificante de haber realizado la misma.
Los documentos provenientes de los ficheros solicitados coinciden con los originales aportados por una colaboradora de la revista "La Clave" que obran en el expediente".
La presente resolución impugnada, luego confirmada en vía de recurso de reposición por la propia Agencia de Protección de Datos, razona que, de conformidad con los previsto en los arts. 3, 9 y 44.3, h) de la LOPD , las operaciones y procedimientos técnicos, automatizados o no, que permitan el accesos a datos personales, son un tratamiento sometidos a la citada Ley Orgánica; y los ficheros que contengan un conjunto organizado de datos de carácter personal así como el acceso a los mismos, en la modalidad que sea, están sujetos, igualmente, a las previsiones de dicha Ley. Esta norma, continua la citada resolución, impone a los responsables del fichero la adopción de medidas de seguridad que eviten accesos no autorizados, cuyo detalle remite a normas reglamentarias, y el mantenimiento de ficheros sin medidas de seguridad que permitan el acceso o tratamientos no autorizados de datos personales, cualesquiera que sea la forma de esos accesos o tratamientos no autorizados, constituyen una infracción grave de las previstas en la referida Ley.
Conforme a esas previsiones legales, el acto recurrido considera que el art. 2.10 del Reglamento define al "soporte" como el objeto físico susceptible de ser tratado en su sistema de información sobre el que se puede grabar o recuperar datos, no distinguiendo entre soportes informáticos o no, sino que esa definición se extiende a cualquiera de ellos, en congruencia con esos preceptos de la Ley que tratan de evitar accesos no autorizados a los datos, con independencia del procedimiento que se utilice. Además, resalta la resolución impugnada, que el artículo 4.3 del Reglamento exige, en materia de ficheros que recojan datos sobre la salud, además de las medidas de nivel básico y medio, las calificadas como de nivel alto, que están reguladas en el Capítulo IV del Reglamento.
A la luz de esa interpretación de la mencionada normativa, la resolución originaria recurrida precisa que los documentos facilitados por la revista "La Clave"( el expediente se inicia por una comunicación de una colaboradora de esa revista que dice que encontró tiradas en la calle, cerca de donde tiene su sede social ADESLAS, impresiones en papel oficial de la citada empresa de formularios electrónicos de autorizaciones de ambulante y pruebas diagnósticas) incorporan información sobre pruebas médicas, y si bien se encuentran en soporte papel, proceden del tratamiento automatizado de los datos personales incluidos en los ficheros "Clientes" y "Autorizaciones y Siniestros"; siendo este soporte incluido en la definición del art.2.10 del Reglamento. ADESLAS , continua el razonamiento del acto recurrido, posee un sistema de seguridad que prevé una eliminación controlada de documentación y soportes, de forma que todo registro que pierda su vigencia o utilidad ha de ser eliminado de forma irreversible ( G. OS.Q.03/01). Sin embargo, en el presente caso, resalta la resolución administrativa objeto de este debate litigioso, los documentos afectos no han sido publicados por ninguna revista, pero sí han sido facilitados a la Agencia por una persona no interesada que dice que los encontró tirados en la calle, lo que revela que ADESLAS no adoptó las medidas necesarias para evitar la recuperación de esos datos contenidos en los documentos que fueron desechados.
Por otro lado, se indica, asimismo, en el acto recurrido, el hecho acreditado de que tercera persona no interesada haya tenido acceso a determinados documentos que contienen datos relativos a la salud de clientes de ADESLAS, lo cual confirma que esta entidad ha infringido el deber de confidencialidad exigido por el art.10 de la LOPD , aunque esa infracción se haya producido por mera negligencia.
En consecuencia, concluye la resolución impugnada, se han producido con la comisión de un solo hecho dos infracciones: por un lado, la prevista como grave en el artículo 44.3.h) de la LOPD , al no mantenerse por ADESLAS los datos de carácter personal de los pacientes contenidos en sus ficheros con las medidas de seguridad necesarias, dado que ha habido un acceso de terceras personas a los mismos; por otro, una infracción muy grave de las tipificadas en el artículo 44 g) de la reiterada Ley Orgánica de Protección de Datos de carácter personal, dado que esa entidad ha vulnerado el deber de secreto exigido por el articulo 10 de esa norma al constatarse el acceso indebido de terceras personas a información relativa a sus clientes, que al ser sobre su salud hace que se valore esa infracción como muy grave. Por ello, en aplicación del artículo 4.4 del RD 1398/1993, de 4 de agosto , procede imputar a ADESLAS sólo la infracción del artículo 10 de la LOPD en cuanto infracción muy grave, imponiéndosele, a tenor de los dispuesto en el art.45.3 de esa misma Ley , la sanción mínima prevista para tales infracciones.
La entidad mercantil recurrente, tras efectuar un relato pormenorizado de todas las diligencias y fases del expediente administrativo, concluye, como primer motivo de su recurso, en que los actos recurridos han infringido los artículos 24.2 de la CE y 137.1 de la Ley 30/1992 ( LRJA- PAC), en cuanto se ha conculcado el derecho a la de presunción de inocencia que ostenta esa parte en este procedimiento sancionador....
Para continuar leyendo
Solicita tu prueba
-
STS, 23 de Octubre de 2009
...por la Sala de lo Contencioso Administrativo de la Audiencia Nacional, Sección Primera, en el recurso contencioso administrativo número 73/2004, contra la resolución del Director de la Agencia de Protección de Datos, de 1 de diciembre de 2003, que desestima el recurso de reposición formulad......