Sentencia ADMINISTRATIVO Audiencia Nacional, Sala de lo Contencioso, Sección 1, Rec 269/2016 de 10 de Mayo de 2018

Encabezamiento

A U D I E N C I A N A C I O N A L

Sala de lo Contencioso-Administrativo

SECCIÓN PRIMERA

Núm. de Recurso:0000269/2016

Tipo de Recurso:PROCEDIMIENTO ORDINARIO

Núm. Registro General:01564/2016

Demandante: Jesús María

Procurador:IRENE GUTIERREZ CARRILLO

Demandado:AGENCIA PROTECCIÓN DE DATOS

Abogado Del Estado

Ponente IIma. Sra.:Dª. FELISA ATIENZA RODRIGUEZ

S E N T E N C I A Nº:

IImo. Sr. Presidente:

D. EDUARDO MENÉNDEZ REXACH

Ilmos. Sres. Magistrados:

Dª. FELISA ATIENZA RODRIGUEZ

Dª. LOURDES SANZ CALVO

D. FERNANDO DE MATEO MENÉNDEZ

Dª. NIEVES BUISAN GARCÍA

Madrid, a diez de mayo de dos mil dieciocho.

Vistos los autos del recurso contencioso-administrativo PO 269/2016 que ante esta Sala de lo Contencioso-Administrativo de la Audiencia Nacional, ha promovido la Procuradora Dª. IRENE GUTIERREZ CARRILLO, en nombre y representación de D. Jesús María frente a la Administración General del Estado, representada por el Abogado del Estado, contra la Resolución de 14 de diciembre de 2015 (que después se describirá en el primer Fundamento de Derecho), siendo Ponente la Ilma. Sra. Magistrado Dña FELISA ATIENZA RODRIGUEZ.

Antecedentes

PRIMERO.- El presente recurso se interpuso en fecha 21 de marzo de 2016, y una vez admitido y previos los oportunos trámites procedimentales, se confirió traslado a la parte actora para que, en el término de veinte días formalizara la demanda, lo que llevó a efecto mediante escrito presentado el día 29 de julio de 2016, en el que, tras exponer los hechos y fundamentos de derecho que estimó oportunos, terminó solicitando que se dictara sentencia estimatoria del recurso anulando el acto impugnado en el presente recurso.

SEGUNDO.- Formalizada la demanda se dio traslado de la misma a la parte demandada para que la contestara en el plazo de veinte días, lo que realizó el representante del Estado, mediante escrito de 10 de octubre de 2016, alegando los hechos y fundamentos jurídicos que estimó pertinentes, solicitando la desestimación del recurso, y que se declarara la plena adecuación a derecho del acto administrativo impugnado.

TERCERO.- Mediante Auto de 18 de noviembre de 2016, se acordó el recibimiento del recurso a prueba, admitiéndose la prueba documental y testifical propuesta por la parte actora declarada pertinente, y, una vez concluido el periodo probatorio se concedió diez días a las partes para la formulación de los escritos de conclusiones. Presentados los correspondientes escritos quedaron los autos conclusos para sentencia, señalándose para votación y fallo el día 24 de abril del presente año, fecha en que tuvo lugar. Siendo Ponente la Ilma Sra. Magistrada Dª FELISA ATIENZA RODRIGUEZ, que expresa el parecer de la Sala.

Fundamentos

PRIMERO.- Se impugna en el presente recurso contencioso-administrativo, por la representación procesal de D. Jesús María , la resolución del Director de la Agencia Española de Protección de Datos de fecha 14 de diciembre de 2015, desestimatoria del recurso de reposición formulado contra la resolución de 28 de agosto de 2015, por la que se acordó el archivo de la denuncia E/05158/2015.

La resolución de 28 de agosto, acordó no incoar actuaciones inspectoras ni iniciar procedimiento sancionador o de infracción de las Administraciones Públicas, argumentando que 'Las sospechas y conclusiones llevadas a cabo por el denunciante, en torno al acceso de terceros a sus datos de salud, sin que se vean acompañadas con una acreditación que permita determinar la existencia de una infracción de la LOPD y el acceso ilegítimo a los datos del denunciante, es insuficiente para imputar una quiebra del derecho a la presunción de inocencia de los denunciados'.

Después de citar el criterio de la Sala respecto de medidas de seguridad necesarias por parte de los responsables de un fichero, concluye :

'Así, no consta que la fórmula de comunicación desarrollada por el Hospital Gómez Ulla remitiendo comunicación al denunciante a través de su Unidad de personal, no fuera eficaz para impedir el acceso a terceros distintos del interesado y, en su caso, de aquellos que gestionaran las correspondientes comunicaciones dentro de sus funciones.

Por tanto, dado que no se ha podido acreditar la comisión de una infracción en lo referente a la observación por terceros no autorizados de los datos del denunciante contenido en el informe remitido por el Hospital denunciado, no se darían las circunstancias para iniciar procedimiento administrativo de carácter sancionador en materia de protección de datos personales.'

La resolución del recurso de reposición, confirma la anterior, alegando que el recurrente se ha limitado a reiterar sus alegaciones sin aportar elementos adicionales a los que acompañaba a su escrito de denuncia.

SEGUNDO.-El actor manifiesta su discrepancia con la decisión de archivo y en el Suplico de su demanda, pide la nulidad de la resolución impugnada y que en su lugar se dicte otra por la que se admita la pertinente denuncia contra los responsables por los daños morales causados.

Relata que en mayo de 2015 fue sometido a unas pruebas médicas para determinar su estado general de salud, ya que optaba a la subscripción de compromiso de larga duración en la Armada Española. Afirma que el Hospital Militar Gómez Ulla, en el que se llevaron a cabo las pruebas, emitió un informe en el que se le otorgaba un 'coeficiente tipo 4', que aunque no le incapacitaba en su totalidad, le causaba amplias limitaciones. Se le renovó el compromiso, pero se le ordenó una nueva valoración, que una vez finalizada y emitido nuevo informe por el Hospital con el diagnóstico clínico, se le entregó en la Oficina de personal como carta abierta, por su Jefe de Unidad, que a su vez lo recibió del cabo encargado de su tramitación.

Considera que por esta circunstancia en su Unidad fueron conocedores directa o indirectamente de su situación, así como otras personas también tuvieron conocimiento de estos datos de carácter personal ya que, en su opinión dicha información, de carácter confidencial, no fue tratada con la debida discreción, ya que a su juicio el documento en el que se transmiten los datos no cumplen los requisitos establecidos por la LOPD, ni existe control alguno sobre quien puede acceder a dichos datos, lo que motivó su denuncia ante la AEPD.

Afirma que una pluralidad de personas pudieron tener acceso a datos de carácter personal, corriendo la voz en su lugar de trabajo, lo que le ocasionó perjuicio y motivó su baja por razones psicológicas. Reconoce la dificultad de llegar a conocer el origen de la filtración, y considera que los daños morales que se le han causado deben resarcirse con una indemnización en la cantidad que se determine por la Sala.

No se citan ni en la demanda ni en Conclusiones, los preceptos de la LOPD que se consideran vulnerados, centrando el recurrente su denuncia en el deficiente tratamiento de datos de su informe de salud, la relación causal que entiende existe entre la recepción de la documentación en su Unidad de destino y el conocimiento de su enfermedad o padecimiento por parte de los miembros de su Unidad, con los consiguientes daños morales resultantes, por los que solicita una indemnización.

En inicial denuncia, citaba como presuntos responsables la Ayudantía Mayor del Cuartel General de la Armada y el Hospital Militar Gómez Ulla, y en el escrito del recurso de reposición, hacia mención a una infracción del art. 10 de la LOPD en relación con el art. 7.3. de la misma.

TERCERO.-La denuncia que presentó ante la AEPD fue tramitada por ser, en un principio, encuadrable en la vulneración del art. 10 de la LOPD , que dispone:'El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo'.

Este deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de los derechos fundamentales, como la intimidad o el derecho a la protección de los datos del art. 18.4 de la Constitución . Derecho fundamental que, a tenor de la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre ,'persigue garantizar a la persona un poder de control sobre sus datos personales, sobre su uso y destino', e impide que se produzcan situaciones atentatorias frente a su dignidad.

Deber de secreto profesional que incumbe a los responsables de ficheros, tal y como esta Sala y Sección ha mantenido en Sentencias, entre otras, de 10 de enero de 2005 -recurso nº. 178/2004 -, 12 de septiembre de 2007 -recurso nº. 98/2006 - y 7 de mayo de 2008 -recurso nº. 228/2006 - y que comporta que el responsable de los datos almacenados no puede revelar ni dar a conocer su contenido teniendo el deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. Deber que constituye una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la citada Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre , y por lo que ahora interesa, implica que los datos tratados informáticamente, como nombre, apellidos, domicilio y otros no puedan ser conocidos por ninguna persona o entidad distinta de su titular, pues en eso consiste precisamente el secreto.

El demandante sin embargo, no imputa la violación de este deber de secreto a nadie en concreto, sino que denuncia la falta de confidencialidad de sus datos que se le entregaron en un sobre abierto, por lo que afirma sus 'sospechas'que pudo ser conocido por otras personas, pero sin designar a nadie en concreto.

La prueba celebrada en el presente procedimiento tampoco arrojó más luz sobre los hechos, pues todos los testigos que depusieron en la Sala, en presencia judicial y sometidos al principio de contradicción, respondieron que habían actuado cada uno de ellos en ejercicio de sus respectivas funciones sin que resultara acreditado la revelación de los datos de salud del recurrente a terceros no autorizados.

En este sentido, el Cabo encargado de los reconocimientos, afirmó en primer término, no recordar exactamente haber recibido el expediente en cuestión, pero manifestó que los datos de salud vienen en forma de código, aunque puede expresarse también la enfermedad, y que en este caso concreto no supo lo que ponía el informe. Por su parte se remite de forma confidencial a sus superiores sin que nadie más pueda acceder. Afirmó custodiar los documentos con cuidado y haber cerrado siempre la oficina con llave. En todo caso, dicho documento solo permanece un día en su oficina, pues se escanea para incorporarlo a un archivo y se remite al instructor del expediente. Reconoce hablar hablado con el interesado al que le comunicó que no se preocupara y manifiesta que existían rumores en el cuartel sobre la enfermedad que padecía.

Los demás testigos contestaron en parecidos términos. El Capitán, Jefe de Personal y encargado de la tramitación de altas y bajas, manifestó no recordar con exactitud los hechos que datan del año 2015, pero sí a la persona, porque tuvo muchas bajas de tipo psicológico y que nunca recibió quejas por su parte. Afirmó que los diagnósticos de enfermedades, se describen mediante unos códigos, y que solo los médicos conocen las patologías, así como que no recuerda haber visto un documento en que constara su especifica dolencia. Reconoce que tuvo conocimiento a través de una enfermera de las quejas del recurrente y escuchó rumores sobre la enfermedad que padecía pero nunca de forma oficial.

Tampoco otro Cabo que ejercía su cargo en la Ayudantía Mayor del Cuartel General de la Armada, en cuyo departamento se tramitan las bajas médicas, recordaba los hechos, manifestando que lo habitual es tramitar los informes por fax o correo electrónico, que cuando los recibe los mete en un sobre y los remite a la enfermería y que solo él y el Sub-oficial tienen conocimiento de su recepción y que no tuvo conocimiento de la filtración. Ratificó que normalmente el diagnóstico viene expresado en forma de código.

En el mismo sentido su compañero de habitación, que afirmó mantener una buena relación con el recurrente y que solo recordaba haber oído una conversación sobre la enfermedad que sufría, sin recordar las personas.

CUARTO.-A la vista de lo expuesto, no ha resultado acreditado que los datos personales del actor respecto de los que existía deber de secreto profesional hayan sido revelados a persona alguna. La infracción tipificada en el art. 44.3.d) es una infracción de resultado que exige que los datos personales sobre los que exista un deber de secreto profesional se hayan puesto de manifiesto a un tercero, sin que pueda presumirse que tal revelación se ha producido, como hemos venido declarando en las Sentencias de 7 -recurso nº. 471/2008 - y 28 -recurso nº. 499/2008- de mayo, y 18 de junio - recurso nº. 205/2008 -, todas ellas de 2009.

Efectivamente, no se ha probado que los datos de salud del actor contenidos en los documentos que se le entregaron en sobre abierto, fueran efectivamente conocidos por terceros, siendo tratados exclusivamente por los integrantes del departamento encargado de tramitar las bajas, que procedieron a escanear los datos e introducirlos en la red interior del cuartel al que solo tiene acceso libre el Almirante, y para cuyo acceso se precisa introducir una contraseña, por lo que se sabe perfectamente quien accede.

Por otro lado y como alega la AEPD en su resolución, 'debe incidirse en lo señalado, que el personal tanto del Hospital; como de la Unidad de personal se encuentran sometidos a deber de secreto que no consta quebrado y, por otro lado, que la documentación aludida consta de dos partes, según lo aportado, una primera hoja en la que no se incluyen datos de salud del denunciante y una segunda con el Dictamen Pericial; de ahí que, al hacerle entrega del informe junto al cual se adjuntaba un documento al que no se acredita se haya accedido, no conste una exhibición de datos médicos del denunciante.

A partir de lo anterior, no existe constancia de que el personal que tramitara la comunicación dirigida al denunciante, accediera al contenido del Informe, al encontrarse unido a la citada primera hoja y cubierta por dicha hoja, ni que, por tanto, se accedieran a datos de salud del denunciante.

Hemos de tener en cuenta que para que se produzca una infracción del deber de secreto, es necesario que conste una revelación a terceros, dado que estamos ante una infracción de resultado, como así indica la jurisprudencia de la Audiencia Nacional, por lo que la potencialidad de infracción no implicaría el reconocimiento de un comportamiento infractor y por tanto no debiera de traducirse en la activación del correspondiente procedimiento sancionador'.

Se invoca la sentencia de esta Sala de la Audiencia Nacional de 18 junio 2009 (rec. 205/2008 ), que declaraba al respecto:

'Por lo tanto, resulta que no se ha acreditado que se haya producido ninguna forma de infracción del deber de secreto pues aunque, es cierto que la documentación no estuvo correctamente custodiada y no era razonable que las historias clínicas viajaran en un camión con el resto de escombros de la demolición de un hotel, la realidad es que ninguna violación de secreto se ha producido y nadie ha llegado a tener noticia de la documentación clínica'.

Por todo lo expuesto, considera la Sala que la Agencia Española de Protección de Datos obró conforme a Derecho cuando procedió a no incoar actuaciones inspectoras y no iniciar procedimiento sancionador, pues existía una total ausencia probatoria de que los hechos denunciados fueran constitutivos de infracción administrativa alguna.

Por las mismas razones no procede hacer pronunciamiento alguno respecto al resarcimiento de los daños morales que solicita.

En consecuencia, debe desestimarse íntegramente el recurso contencioso-administrativo.

QUINTO.-A tenor del art. 139.1 de la Ley de la Jurisdicción procede imponer las costas procesales a la parte actora.

En atención a lo expuesto, la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, ha decidido:

Fallo

DESESTIMAR el recurso contencioso-administrativo interpuesto por la Procuradora de los Tribunales Dª Irene Gutiérrez Carrillo, en nombre y representación deDON Jesús María , contra la resolución de 14 de diciembre de 2015, del Director de la Agencia Española de Protección de Datos, desestimatoria del recurso de reposición formulado contra la resolución de 28 de agosto de 2015, por la que se acordó no incoar actuaciones inspectoras y no iniciar procedimiento sancionador, al ser las resoluciones citadas conformes a derecho.

Con expresa imposición de las costas procesales a la parte actora.

La presente sentencia es susceptible de recurso de casación que deberá prepararse ante esta Sala en el plazo de 30 días contados desde el siguiente al de su notificación; en el escrito de preparación del recurso deberá acreditarse el cumplimiento de los requisitos establecidos en el articulo 89.2 de la Ley de la Jurisdicción justificando el interés casacional objetivo que presenta.

Así, por esta nuestra Sentencia, lo pronunciamos, mandamos y firmamos.

PUBLICACIÓN.- Dada, leída y publicada fue la anterior sentencia en audiencia pública. Doy fe. Madrid a

LA LETRADA DE LA ADMINISTRACIÓN DE JUSTICIA