• No se han encontrado resultados

Roj: SAN 4898/ ECLI: ES:AN:2008:4898

N/A
N/A
Info
Descargar
Protected

Academic year: 2022

Share "Roj: SAN 4898/ ECLI: ES:AN:2008:4898"

Copied!
5
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 5 página )

Texto completo

(1)

Roj: SAN 4898/2008 - ECLI: ES:AN:2008:4898

Id Cendoj:28079230012008100675

Órgano:Audiencia Nacional. Sala de lo Contencioso Sede:Madrid

Sección:1

Fecha:11/12/2008 Nº de Recurso:36/2008 Nº de Resolución:

Procedimiento:CONTENCIOSO Ponente:ELISA VEIGA NICOLE Tipo de Resolución:Sentencia

SENTENCIA

Madrid, a once de diciembre de dos mil ocho.

Visto por la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional el recurso contencioso

administrativo número 36/2008 interpuesto por FREMAP, Mutua de Accidentes de Trabajo y

Enfermedades Profesionales de la Seguridad Social nº61, representada por el Procurador don Adolfo Morales Hernández-Sanjuan,

contra la resolución del Director de la Agencia Española de Protección de Datos de fecha 3 de diciembre de 2007, dictada el procedimiento sancionador PS/00181/2007, que impone a dicha entidad una sanción de multa de 60.101,21 Euros, ha sido parte la Administración demandada, representada y defendida por el Abogado del Estado. La cuantía del recurso se ha fijado en 60.101,21 Euros.

ANTECEDENTES DE HECHO

PRIMERO.- Por la recurrente expresada se formuló recurso contencioso administrativo contra resolución anteriormente mencionada, mediante escrito presentado el 28 de enero de 2008, habiéndose admitido a trámite por providencia de fecha 31 de enero del mismo año, con reclamación del expediente administrativo.

SEGUNDO.- La parte actora formuló demanda mediante escrito presentado el 10 de junio de 2008 en el que, tras alegar los hechos y fundamentos jurídicos que consideró oportunos, terminó suplicando que se dictase sentencia estimando el recurso, revocando la resolución recurrida y en consecuencia se deje sin efecto la sanción contenida en la misma.

TERCERO.- El Abogado del Estado en su escrito de contestación a la demanda de fecha 18 de junio de 2008, tras alegar los hechos y fundamentos de derecho que consideró aplicables, postuló una sentencia por la que se desestime el recurso interpuesto en todos sus extremos, confirmando la resolución impugnada por ser conforme a derecho, con imposición de costas a la parte recurrente.

CUARTO.- Las partes no solicitaron el recibimiento del pleito a prueba y habiendo presentado sus respectivos escritos de conclusiones, se señaló para votación y fallo el día 10 de diciembre de 2008, en el que se deliberó y fallo, habiéndose observado en la tramitación las prescripciones legales

Ha sido PONENTE la Magistrada Ilma. Sra. Dª. Elisa Veiga Nicole, quien expresa el parecer de la Sala.

FUNDAMENTOS DE DERECHO

PRIMERO.- Constituye el objeto del presente recurso contencioso-administrativo la resolución del Director de

(2)

60.101, 21 € por una infracción del artículo 10 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, tipificada como muy grave en el artículo 44.4.g), de conformidad con lo establecido en el artículo 45.3, 4 y 5 de la citada Ley Orgánica.

SEGUNDO.- Se basa la resolución impugnada para apreciar dicha infracción, en los siguientes HECHOS PROBADOS

PRIMERO: La Jefatura de Policía Local de Cuenca el 25 de junio de 2005, dio traslado a esta Agencia Española de Protección de Datos del informe de las actuaciones realizadas, en el cual se indica que el día 22 de junio de 2005, a las veintitrés horas, se recibió llamada telefónica advirtiendo de la presencia de documentos en la Calle General Fanjul, junto a la Mutua de accidentes FREMAP de Cuenca. Personado un agente, constató que, efectivamente, tanto en la calzada como en las aceras de dicha calle y en los alrededores de un contenedor de papel, se podían recoger una serie de hojas con el membrete FREMAP, procediendo la fuerza actuante a introducirlos por debajo de la puerta de la mutualidad para evitar que quedaran expuestos en la vía pública, si bien ninguno de los documentos recogidos por la fuerza actuante contenía historial clínico alguno (folios 1 y 2).

SEGUNDO: Por otro lado, la Policía Local de Cuenca ha hecho entrega a esta Agencia de varios documentos, que se relacionan seguidamente, que a su vez fueron entregados en la Jefatura el 23 de junio de 2005 por la denunciante, Dª Araceli . Los documentos que contienen datos personales son:

- 9 partes médicos de confirmación de baja de IT (Incapacidad Temporal) por contingencias comunes (los ejemplares para remitir al INSS, ISM o Mutua), correspondientes en total a 5 afectados diferentes. Algunos incluyen diagnósticos tales como "Cirugía Neo mama" y "Neuropatía. Nervio Acc. ..." Dicho documento contiene múltiples datos personales.

- Un documento de adhesión para la cobertura de subsidio por IT (Ejemplar para devolver firmado). En el consta la leyenda "...los datos de carácter personal incluidos en este documento serán incorporados a un fichero automatizado del que es titular FREMAP, Mutua de ..." Dicho documento contiene múltiples datos personales.

- Una Impresión de pantalla de Sistema denominado SILTGA de la Tesorería General de la Seguridad Social, de fecha 17/06/2005. Dicho documento contiene múltiples datos personales.

Además entre los documentos se encuentra una hoja, sin datos personales, con el siguiente titulo " F R E M A P MUTUA DE A.T. NUM. 61 --- INFORME DE BAJAS PENDIENTES DE PARTE POR TRAMITADOR Gómez 16".

La mayor parte de los documentos aportados se encuentran manchados con lo que parecen pisadas (folios 3 a 16).

TERCERO: Por parte de la Inspección de datos se ha verificado la existencia de expedientes gestionados por FREMAP correspondientes a cada uno de los cinco afectados cuyos partes médicos de confirmación de baja fueron encontrados (folios 258 a 266).

Se ha verificado la existencia en dichos expedientes de otros partes de confirmación de baja, así como partes de alta y pantallas obtenidas del sistema de información SILTGA de la TGSS.

También se ha comprobado la existencia del reflejo de los otros dos documentos:

- FREMAP ha aportado copia del ejemplar denominado "ARCHIVO-TESORERIA del documento de adhesión para la cobertura de subsidio por IT del mismo afectado que figura en el documento aportado con la denuncia, este último siendo el ejemplar a "DEVOLVER FIRMADO" (folios 252 a 256).

- FREMAP ha aportado la Impresión de pantalla, de fecha 17/06/2005, del Sistema denominado SILTGA de la Tesorería General de la Seguridad Social con los datos personales relativos al mismo afectado que consta en el documento aportado con la denuncia (folio 250).

CUARTO: Solicitada información a FREMAP, sus representantes han manifestado (folio 29 a 36):

Con respecto a los tipos de documentos en cuentión:

- Los partes de confirmación de baja no son generados por FREMAP, sino el sistema público de Seguridad Social. Una vez recibidos por FREMAP, el gestor comprueba la procedencia de la prestación y registra en la aplicación informática la fecha y número de parte, destruyéndose de manera inmediata en la máquina destinada al efecto, no archivándose, salvo cuando contiene información médica de interés, en cuyo caso se archivan junto al resto del expediente.

- Los documentos de adhesión son devueltos firmados por el trabajador, y una de recibidos se archivan en el general de pólizas.

(3)

- La consulta del SILTGA de la TGSS son imprescindibles para comprobar la procedencia de las prestaciones, si bien como norma general no se imprime la pantalla, sino que basta su visualización. Cuando por razones derivadas del expediente haya que documentar la filiación, se imprime la pantalla, y se archiva en el expediente.

Con respecto a la destrucción de documentos:

"... se sigue un procedimiento estricto para el archivo y/o destrucción de documentos que pudieran ser considerados como sensibles. La oficina de Cuenca dispone de una máquina destructora de papel situada en lugar céntrico, con acceso para todo el personal..."

- "... el papel de desecho se retira todas las tardes por la empresa contratada para la limpieza del centro y se deposita en el contenedor que el Ayuntamiento ha dispuesto al efecto". (El subrayado es de la Agencia Española de Protección de Datos) (folios 24).>>

La citada resolución señala que el hecho constatado de la difusión de datos personales de sus clientes fuera del ámbito de la FREMAP, constituye la base factica para fundamentar la imputación de las infracciones de los artículos 9 y 10 de la LOPD. No obstante, al estar ante un supuesto en el que existe un concurso medial de infracciones, es decir, que de un mismo hecho derivan dos infracciones, dándose la circunstancia de que la comisión de una implica, necesariamente, la comisión de la otra, aplicando el artículo 4.4 del Real Decreto 1398/93, procede subsumir ambas infracciones en una. Una de ellas está tipificada como grave y la otra como muy grave, considerando que procede imputar únicamente la infracción del artículo 10 de la LOPD, infracción muy grave. Por último, la resolución añade que es de aplicación en el artículo 45.5 de la LOPD, al apreciar la concurrencia de circunstancias que suponen una disminución cualificada de la culpabilidad.

TERCERO.- En la demanda se invoca como fundamento de la pretensión actora los siguientes motivos:

- Los documentos entregados por la denunciante a la Jefatura de policía que contienen datos personales son nueve partes médicos de confirmación de baja por incapacidad temporal por contingencias comunes;

los ejemplares para remitir al INSS, IMS o Mutua, correspondientes en total a cinco afectados diferentes; un documento de adhesión para la cobertura del subsidio por IT, ejemplar para devolver firmado; una impresión de pantalla del sistema denominado SITGLA de la TGSS. En definitiva se trataba de papeles de trabajo que se estaban tramitando, y en algún momento fueron sustraídos.

- Respecto a la primera conducta por la que se propone la sanción, infracción del artículo 9 de la LOPD, no concurre el elemento de voluntariedad ya que la recurrente adoptó las medidas que estaban a su alcance para conservar los datos de carácter personal con las debidas medidas de seguridad, no resultando verosímil que se tiraran conscientemente, ni por descuido, dada la diversidad de los mismos, unos para registrar y otros para archivar, encontrándonos ante un hecho fortuito, imprevisto e imprevisible.

- En relación con la segunda conducta que se propone sancionar, artículo 10 de la LOPD, la vulneración del deber de guardar secreto, conforme a la jurisprudencia de la Sala 2ª del Tribunal Supremo, es un delito doloso que no puede ser cometido por imprudencia, y la conducta de la recurrente se caracteriza por la absoluta ausencia de dolo.

El Abogado del Estado aduce en la contestación a la demanda que las medidas de seguridad adoptadas por la recurrente no impidieron un tratamiento incorrecto de sus ficheros de datos y tales medidas no fueron suficiente ya que se produjo una quiebra de dicha seguridad que permitió que documentación que contenía datos personales apareciera abandonada en la vía pública, produciéndose una quiebra grave en la obligación de asegurar la confidencialidad de los datos y por ello está plenamente acreditada la comisión de la infracción calificada como grave en el artículo 44.3.h), en relación con el artículo 9 de la LOPD pues la conducta de la recurrente pone de manifiesto una evidente negligencia o falta de celo en el cumplimiento de la norma, concurriendo el elemento subjetivo de culpabilidad. Por último, reproduce varias sentencias de esta Sala respecto a hechos similares en cuanto a la adopción de medidas de seguridad.

CUARTO.- El artículo 9 de la LOPD, que traspone el artículo 17 de la Directiva 95/46 / CE, recoge en su apartado 1 la necesidad de la adopción de medidas técnicas y organizativas necesarios para garantizar la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado, obligación que impone al responsable del fichero y, en su caso, al encargado del tratamiento. El Real Decreto 994/99, que aprueba el Reglamento de Medidas de Seguridad de los Ficheros Automatizados, regula en su artículo 3 los "niveles de seguridad" en función de la naturaleza de la información tratada y, en concreto, respecto a los datos de salud, especialmente protegidos, se prevén medidas de seguridad de nivel alto.

En el presente caso, como reconoce la parte recurrente y se recoge en la resolución impugnada, aparecen en el suelo y acera, en los alrededores de un contenedor de papel de la calle General Franjul de Cuenca, una serie

(4)

incluidos datos médicos, de cinco afectados. Frente a tal hecho la recurrente alega la falta de voluntariedad ya que había adoptado las medidas de seguridad exigibles y el hecho debió producirse como consecuencia de una sustracción.

Como ha dicho esta Sala en múltiples sentencias, entre otras la 28 de junio de 2006, el obligación que dimana del artículo 9 de la LOPD, no basta con la adopción de cualquier medida, pues deben ser las necesarias para garantizar aquellos objetivos que marca el precepto "Se impone, en consecuencia, una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros. En definitiva y como manifiesta el Abogado del Estado en la contestación, la recurrente es, por disposición legal, una deudora de seguridad en materia de datos, y por tanto debe dar una explicación adecuada y razonable de como los datos han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas, pues también es responsable de que las mismas se cumplan y se ejecuten con rigor. En definitiva toda responsable de un fichero (o encargada del tratamiento) debe asegurarse de que dichas medidas o mecanismos se implementen de manera efectiva en la práctica sin que, bajo ningún concepto, datos bancarios o cualquier otro datos de carácter personal pueda llegar a manos de terceras personas."

Pues bien, es cierto que la recurrente ha adoptado medidas de seguridad pero no las necesarias y suficientes para evitar que los datos de carácter personal, y en concreto de datos relativos a la salud de los afectados, estuviesen en la vía pública y hayan sido susceptibles de recuperación por terceras personas. La explicación acerca de una posible sustracción de los documentos que contenían datos personales no está avalada en forma alguna y, de otra parte, no puede argumentarse en descargo de su conducta que se trata de un hecho fortuito. La posibilidad de pérdida o extravío de los documentos que contienen datos de carácter personal está expresamente recogido en el artículo 9 de la LOPD, así, la pérdida de documentos es previsible para legislador y también para los responsables del fichero o, en su caso, los encargados del tratamiento.

QUINTO.- La resolución impugnada considera que la infracción del artículo 9 está en concurso medial con la infracción del artículo 10, ambos de la LOPD, ya que la infracción del primero implica la infracción del deber de secreto previsto el artículo 10 citado, imputando exclusivamente a la recurrente por la infracción del deber de secreto de los datos personales y el deber de guardalos.

Frente a la imputación por incumplimiento del deber de secreto, la recurrente aduce la inexistencia de dolo que considera imprescindible para la comisión de esta infracción, a tenor de jurisprudencia que cita de la Sala 2ª del Tribunal Supremo.

El principio de culpabilidad previsto en el artículo 130.1 de la Ley 30/1992 dispone que solo pueden ser sancionadas por hechos constitutivos de infracción administrativa los responsables de los mismos, aún a titulo de simple inobservancia.

Esta simple inobservancia no puede ser entendida como la admisión en el derecho administrativo sancionador de la responsabilidad objetiva, que está proscrita, después de la STC 76/1990, que señaló que los principios del ámbito del derecho penal son aplicables, con ciertos matices, en el ámbito administrativo sancionador, requiriéndose la existencia de dolo o culpa. En esta línea la STC 246/1991, de 19 de diciembre, señaló que la culpabilidad constituye un principio básico del Derecho administrativo sancionador.

Por eso, como señala la reciente STS de 18 marzo 2005, recurso 7707/2000, es evidente, "que no podría estimarse cometida una infracción administrativa, si no concurriera el elemento subjetivo de la culpabilidad o lo que es igual, si la conducta típicamente constitutiva de infracción administrativa, no fuera imputable a dolo o a culpa".

En el caso de autos, la conducta que integra la infracción apreciada por la resolución recurrida - tipificada en el artículo 44.4.g) en relación con el artículo 10 de la LOPD - requiere la existencia de dolo o culpa, es decir, la imputación no sólo es posible cuando exista dolo sino también a título de culpa, sin que pueda trasladarse la interpretación de la jurisprudencia penal al ámbito administrativo sancionador, pues se trata de ilícitos de distinta intensidad. El hecho de que el deber del secreto, por la relevancia del bien jurídico protegido, incluso merezca un reproche penal se deriva de que tal deber se fundamente en derechos reconocidos en la propia Constitución, como el derecho de intimidad o la propia imagen.

El artículo 10 de la LOPD contiene una regla que afecta a la confidencialidad como parte de la seguridad de los datos de carácter personal, tratando de salvaguardar el derecho de las personas a mantener la privacidad de tales datos y, en definitiva, el poder de control o disposición sobre los mismos. En este sentido, esta Sala se ha pronunciado sobre hechos similares a los aquí enjuiciados, entre otros en la sentencia de 18 de enero de 2007, considerando como infracción muy grave del artículo 44.4.g) el hecho de encontrase expedientes médicos de pacientes de una clínica en un contenedor.

(5)

En definitiva, la entidad demandante por la actividad que realiza debe extremar el deber de secreto y la confidencialidad de los datos que trata, entre los que se encuentran datos relativos a la salud de las personas que son objeto de una especial protección ya que está en juego un derecho fundamental autónomo, el derecho a la protección de datos personales, según la STC 292/2000. Así la existencia de culpabilidad resulta clara en el caso de autos por falta de diligencia debida y necesaria de la entidad recurrente.

QUINTO.- De conformidad con lo dispuesto en el artículo 139.1 de la Ley Jurisdiccional, no se aprecian motivos para una imposición de costas.

FALLAMOS

FUNDAMENTOS DE DERECHO DESESTIMAR

el recurso contencioso-administrativo interpuesto por FREMAP, Mutua de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social nº61,representada por el Procurador don Adolfo Morales Hernández-Sanjuan, contra la resolución del Director de la Agencia Española de Protección de Datos de fecha 3 de diciembre de 2007, dictada el procedimiento sancionador PS/00181/2007, que impone a dicha entidad una sanción de multa de 60.101,21 Euros, ser la misma conforme a derecho; sin imposición de costas Así, por esta nuestra sentencia lo pronunciamos, mandamos y fallamos.

PUBLICACIÓN.- Dada, leída y publicada fue la anterior sentencia en audiencia pública. Doy fe. Madrid, a LA SECRETARIA

Dª María Elena Cornejo Pérez

Referencias

Descargar ahora ( PDF - 5 página - 64.94 KB )

Documento similar