SAN, 20 de Abril de 2006
| Ponente | MARIA LUZ LOURDES SANZ CALVO |
| Emisor | Audiencia Nacional. Sala Contencioso Administrativo, Sección 1ª |
| ECLI | ES:AN:2006:1938 |
| Número de Recurso | 534/2004 |
MARIA LUZ LOURDES SANZ CALVOMARIA NIEVES BUISAN GARCIAJOSE ARTURO FERNANDEZ GARCIAJOSE GUERRERO ZAPLANACARLOS LESMES SERRANO
SENTENCIA
Madrid, a veinte de abril de dos mil seis.
Visto por la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional
el recurso contencioso administrativo número 534/2004 interpuesto por el SINDICATO PLATAFORMA AUTONÓMICA LIBRE Y SINDICAL INDEPENDIENTE (P.A.L.S.I) representado por
el Procurador Sr Núñez Armendáriz contra la resolución del Director de la Agencia Española de Protección de Datos de fecha 6 de julio de 2004, que confirma en reposición la resolución de 3 de
mayo de 2004, habiendo sido parte en autos, la Administración demandada, representada y
defendida por el Abogado del Estado y la Diputación Provincial de Badajoz, representada por el
Procurador Sr Palma Villalon.
Interpuesto el recurso Contencioso-administrativo ante esta Sala de lo Contencioso administrativo de la Audiencia Nacional y turnado a esta Sección, fue admitido a trámite, reclamándose el expediente administrativo, para, una vez recibido emplazar a la actora para que formalizara la demanda, lo que así se hizo en escrito en el que tras exponer los hechos y fundamentos de derecho qué consideró oportunos, terminó suplicando que se dicte sentencia por la que se anule la resolución recurrida, dictando otra por la que se declare:
1 La comisión por parte de la Diputación de dos infracciones, una tipificada como muy grave en el artículo 44.4 g) de la LO 15/1999 , consistente en la vulneración del deber de guardar secreto sobre datos de carácter personal a que hacen referencia los apartados 2 y 3 de la citada Ley , y otra infracción tipificada como grave en el artículo 44.3.h) de la misma Ley , consistente en mantener los ficheros sin las debidas condiciones de seguridad determinadas reglamentariamente.
2 Requerir a la Diputación Provincial de Badajoz para que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción de los artículos 9 y 10 de la Ley Orgánica 15/1999 .
3 Instar a la Diputación Provincial de Badajoz a que inicie actuaciones disciplinarias contra los funcionarios verdaderamente responsables de los hechos que han provocado las infracciones antes citadas.
De forma subsidiaria por si el pedimento primero no fuera aceptado por la Sala, se dicte resolución por la que se mantenga la declaración contenida en la resolución impugnada en cuanto a la calificación de las infracciones en ella mencionadas, adicionándole los pronunciamientos que se señalan en los apartados 2 y 3.
El Abogado del Estado, en su escrito de contestación a la demanda, tras alegar los hechos y fundamentos de derecho qué consideró aplicables, postuló una sentencia por la que se desestime el recurso interpuesto en todos sus extremos, con imposición de costas a la parte recurrente.
La Diputación Provincial de Aragón, en su escrito de contestación a la demanda, después de alegar los hechos y fundamentos de derecho que consideró pertinentes, solicitó la desestimación del recurso interpuesto con imposición de costas a la parte demandante por su temeridad y mala fé.
Recibido el recurso a prueba, practicada la admitida y evacuado el trámite de conclusiones, se señaló para votación y fallo el día 19 de abril de 2006.
La cuantía del recurso se ha fijado en indeterminada.
Ha sido Ponente la Magistrada Ilma. Sra. Dª. MARÍA LOURDES SANZ CALVO.
Se impugna en el presente recurso contencioso-administrativo la resolución del Director de la Agencia Española de la Protección de Datos de fecha 6 de julio de 2004, que estima parcialmente el recurso de reposición interpuesto por el Sindicato Plataforma Autonómica Libre y Sindical Independiente (PALSI) contra la resolución de 3 de mayo de 2004 y, declara que la Diputación Provincial de Badajoz ha incumplido lo dispuesto en los artículos 9 y 10 de la LOPD , infringiendo el artículo 44.3 apartados h) y g) de la citada Ley .
Se basa la resolución impugnada para apreciar dichas infracciones, en el siguiente soporte fáctico:
"1º.- La DIPTUTACIÓN PROVINCIAL DE BADAJOZ es responsable de los siguientes ficheros, creados mediante resolución de Presidencia de 19 de febrero de 2003:
-GESTIÓN DE NÓMINAS, inscrito en el Registro General de Protección de Datos y que, según se describe en la orden de creación "será utilizado para la realización de los pagos correspondientes a las nóminas (sueldos y salarios) del personal laboral y funcionarios que prestan sus servicios a la Diputación de Badajoz, así como para la realización de las demás tareas que comprende la gestión contable de dichas nóminas. Además cumplirá una finalidad presupuestaria". Este fichero, según reza su inscripción, contiene datos relativos a afiliación sindical, DNI/NIF, Nº S.S./mutualidad, nombre y apellidos, dirección (postal, electrónica), teléfono, datos de estado civil, datos de familia, fecha de nacimiento, lugar de nacimiento, edad, sexo, licencias, permisos, autorizaciones, cuerpo/escala, categoría/grado, puestos de trabajo, datos no económicos de nómina, datos bancarios y datos económicos de nómina.
-GESTIÓN DE PERSONAL, que según se describe en la orden de creación "será utilizado para la gestión y formación del personal, la gestión de estadísticas internas, la promoción y selección de personal, la prevención de riesgos laborales, así como el control de sus incompatibilidades". Este fichero, según reza su inscripción, contiene datos relativos a afiliación sindical, DNI/NIF, Nº S.S/mutualidad, nombre y apellidos, dirección (postal, electrónica), teléfono, imagen/voz, nº registro personal, datos de estado civil, datos de familia, fecha de nacimiento, lugar de nacimiento, edad, sexo, nacionalidad, situación familiar, licencias, permisos, autorizaciones, cuerpo/escala, categoría/grado, puestos de trabajo, datos no económicos de nómina y datos sobre deducciones impositivas/impuestos.
-
- La DIPUTACIÓN PROVINCIAL DE BADAJOZ tiene Documentos de Seguridad elaborados en cumplimiento del Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal, aprobado mediante Real Decreto 994/1999, de 11 de junio , y donde se detallan las medidas de nivel alto adoptadas en relación con cada uno de los ficheros citados. En el apartado 6 (control de accesos e identificación) se prevé: "El establecimiento de permisos de acceso a los datos contenidos en el fichero obliga a la creación de mecanismos de identificación y autentificación que permitan únicamente a los usuarios autorizados el uso del fichero, como se especifica en el artículo 11 y en el artículo 18 del Reglamento . Se presenta especial atención a la velocidad de los usuarios en el sistema, y a la correcta generación, distribución y almacenamiento de las contraseñas de los mismos, así como la imposición de mecanismos que impidan un acceso reiterativo".
En el anexo I del Documento se incluyen determinadas premisas para el establecimiento de los procedimientos de identificación y autenticación. Entre ellas:
-Cada usuario con acceso al fichero tiene un único identificador, basado en su nombre de usuario.
-Todas las contraseñas se almacenan de forma inentiligible, recurriendo a esquemas de cifrado siempre que sea necesario.
-No se permiten cuentas de usuario sin contraseña o con contraseña vacía.
-No se acepta el uso como contraseñas de palabras que puedan aparecer en un diccionario (nombres, adjetivos, lugares, etc..). Se recomienda el uso de contraseñas que empleen letras mayúsculas, números y símbolos de puntuación en conjunción con letras minúsculas.
-Esta terminantemente prohibida la cesión de la contraseña de usuario a cualquier otro personal de la entidad, a menos que se cuente con el permiso expreso del Responsable del Fichero.
Por otra parte, en el anexo G se detallan las funciones y obligaciones a las que está sujeto "todo el personal que tenga cualquier tipo de relación" con cada uno de los ficheros. Entre las obligaciones que afectan a todo el personal se prevé la de "ser responsable de la fortaleza y confidencialidad de sus contraseñas de acceso. En el caso que se produzca cualquier incidencia que induzca a pensar que se ha producido una pérdida de confidencialidad se deberá proceder a realizar una incidencia de seguridad y al cambio de la misma".
-
- La DIPUTACIÓN PROVINCIAL DE BADAJOZ ha aportado copia impresa de las distintas incidencias incorporadas al Registro de Incidencias a lo largo del año 2003 (hasta el mes de mayo). Entre ellas, se encuentran:
-Nº de incidencia: 8. Posibilidad de acceso de lectura a datos personales. Efectos: El portal se ha puesto en marcha con fecha de hoy 20/3/2003 a las 12:50 horas. Se ha comunicado que el acceso es a través del ishare y el sistema de contraseñas usado. A pesar de que se han dado cursos de ishare a la practica totalidad del personal de la Intranex y que en los cursos se cambiaba la clave de los usuarios, un grupo de ellos aún tenía la clave de creación. Procedimiento de recuperación: notificada la incidencia y comprobada se procede a impedir el acceso al portal a los usuarios cuya clave de ishare coincide con el número de empleado.
-Nº de incidencia: 9. Posibilidad de acceso de lectura a datos personales. Portal empleado. Efectos: Se comprueba a las 15:20 del 20-3-03 que aún es posible entrar en el portal (ver incidencia anterior), si alguien entra en ishare y se cambia la contraseña. Procedimiento de recuperación: notificada la incidencia se procede a impedir el acceso al portal a los usuarios cuya clave de ishare coincide con el número de empleado. Por la noche 23:30 horas se ha...
Para continuar leyendo
Solicita tu prueba