Sentencia Administrativo Audiencia Nacional, Sala de lo Contencioso, Sección 1, Rec 519/2009 de 15 de Junio de 2012

Encabezamiento

Procedimiento: CONTENCIOSO

SENTENCIA

Madrid, a quince de junio de dos mil doce.

La Sala constituida por los Sres. Magistrados relacionados al margen ha visto el recurso coantencioso-administrativo núm. 519/2009 interpuesto por laXUNTA DE GALICIArepresentada por el Procurador D. Argimiro Vázquez Guillén frente a la resolución de la AEPD de 20 de abril de 2009 que acuerda: Declarar que Consejería de Presidencia, Administraciones Públicas e Justicia de la Xunta de Galicia ha infringido lo dispuesto en el artículo 10 de la LOPD , tipificada como muy grave en el artículo 44.4.g) de de la citada Ley Orgánica. Y requerir a la Consejería de Presidencia, Administraciones Públicas e Justicia de la Xunta de Galicia, para que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo 10 de la LOPD . Ha sido parte demandada la Administración General del Estado, representada y defendida por la Abogacía del Estado.

Antecedentes

PRIMERO.-Por la entidad recurrente se interpuso recurso contencioso administrativo mediante escrito presentado el 26 de junio de 2011, acordándose por providencia de 1 de julio siguiente su tramitación de conformidad con las normas establecidas en la Ley 29/1998, y la reclamación del expediente administrativo.

SEGUNDO.-En el momento procesal oportuno la Xunta de Galicia formalizó la demanda mediante escrito presentado el 5 de diciembre de 2011 en el que, tras alegar los hechos y fundamentos de derecho que estimó procedentes, terminó suplicando se dictara sentencia estimatoria en la que se anulara el acto impugnado.

TERCERO.-El Sr. Abogado del Estado contestó la demanda mediante escrito presentado el 5 de enero de 2012 en el que, tras alegar los hechos y los fundamentos jurídicos que estimó aplicables, terminó suplicando se dictara sentencia desestimatoria de la demanda, confirmando íntegramente la resolución impugnada por ser ajustada a Derecho.

CUARTO.-Habiéndose solicitado el recibimiento del pleito a prueba, se acordó el mismo mediante Auto de 15 de enero de 2010, más sin que se propusiera medio probatorio alguno, por lo que se declaró precluido el trámite.

No considerándose necesaria la celebración de vista pública, se dio trámite de conclusiones a las partes, trámite que evacuaron por su orden, primero la defensa de la entidad actora y después el Abogado del Estado, mediante escritos en los que concretaron y reiteraron sus respectivas pretensiones.

QUINTO.-Se señaló para votación y fallo de este recurso el día 13 de junio de 2012, fecha en la que tuvo lugar la deliberación y votación, habiendo sido ponente la Ilma. Magistrada doña NIEVES BUISAN GARCIA, quien expresa el parecer de la Sala.

Fundamentos

PRIMERO.-Se impugna en el presente recurso contencioso-administrativo, por la entidad actora, la resolución de la AEPD de 20 de abril de 2009 que acuerda:

Declarar que Consejería de Presidencia, Administraciones Públicas e Justicia de la Xunta de Galicia ha infringido lo dispuesto en el artículo 10 de la LOPD , tipificada como muy grave en el artículo 44.4.g) de de la citada Ley Orgánica.

Y requerir a la Consejería de Presidencia, Administraciones Públicas e Justicia de la Xunta de Galicia, para que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo 10 de la LOPD .

Resolución que tiene su base en la denuncia presentada por D. Raimundo ante la AEPD, con fecha de 6 de septiembre de 2006, en la que se hace constar que: La Consellería de Presidencia, Administraciones Públicas e Xustiza de la Xunta de Galicia publica en Internet una relación de admitidos para ayudas de discapacitados donde figuran nombre y apellidos, entre ellos los de D. Raimundo . Información que se puede consultar utilizando cualquier buscador de Internet. Se adjunta a la denuncia el resultado de búsqueda a través del buscador 'Google', utilizando como argumento su nombre y apellidos, donde figura como página de publicación www.xunta.es, junto con el acceso a dicha página donde consta una relación de ayudas para discapacitados del Fondo de Acción Social.

Resolución que declara como hechos probados, los que se exponen a continuación:

1º: Con fecha 27 de agosto de 2006 el denunciante accede, por medio de consulta utilizando su nombre y apellidos en el buscador Google, a una página web donde aparece una relación de admitidos a las ayudas a personas discapacitadas del Fondo de Acción Social de la Xunta de Galicia. Consta relación de 658 registros dispuestos en dos columnas, una con apellidos y nombre del solicitante de la ayuda, y otra con los del causante de la misma, el discapacitado objeto de la ayuda.

2º: El 28 de diciembre de 2006, dentro de las actuaciones previas del procedimiento sancionador, el inspector de la Agencia Española de Protección de Datos accede a la misma página por el mismo procedimiento, búsqueda por nombre y apellidos del denunciante en el buscador Google. También se constata que la consulta habilitada por la Xunta en su página web solicita los datos de NIF y AÑO para acceder a las ayudas publicadas (Folios 14 a 26).

SEGUNDO.Ha de ser analizada, con carácter previo al enjuiciamiento del fondo de la controversia, dado su carácter obstativo al mismo, la caducidad de las actuaciones previas y del procedimiento sancionador que se aduce en la demanda. En tal sentido se argumenta que desde que se efectúa la denuncia (el 6-9-2006) y hasta que se adopta el Acuerdo de inicio del expediente sancionador (el 21-11-2008) transcurre un plazo superior a dos años, con infracción de lo previsto en el Artículo 122.4 del RD 1720/2007 .

Efectivamente establece el Art. 122.4 del Reglamento 1720/2007 , de desarrollo de la LOPD, que:'estas actuaciones previas tendrán una duración máxima de doce meses a contar desde la fecha en la que la denuncia hubiera tenido entrada en la Agencia Española de Protección de Datos...el vencimiento del plazo sin que se haya dictado y notificado acuerdo de inicio de procedimiento sancionador producirá la caducidad de las actuaciones previas'.Mas también ha de traerse a colación la Disposición Transitoria quinta del repetido Reglamento según el cual: ' A las actuaciones previas iniciadas con anterioridad a la entrada en vigor del presente Real Decreto, no les será de aplicación el mismo, rigiéndose por la normativa anterior. El presente Real Decreto se aplicará a las actuaciones previas que se inicien después de su entrada en vigor'.

Tomando en consideración que la entrada en vigor de dicho Real Decreto 1720/2007, de 21 de diciembre, tuvo lugar el 21 de abril de 2008, resulta que la denuncia de que traen causa las actuaciones se presentó con anterioridad a dicha entrada en vigor (el 6 de septiembre de 2006), tal y como reconoce la demanda, de donde resulta que la caducidad invocada por la parte actora no puede ser tomada en consideración.

Ello, conforme a lo declarado por esta misma Sala y sección en la sentencia, entre otras, de 7-4-2011 ( Rec. 180/2010 ) que en un supuesto similar considera aplicable la normativa anterior, el Real Decreto 1332/94, que no preveía que con anterioridad al acuerdo de iniciación pudieran llevarse a cabo actuaciones preliminares para la determinación y fijación de los hechos, y en relación con el Art. 12 del Real Decreto 1398/93 , que si bien contempla dicha institución de las diligencias previas o preliminares, no las somete a plazo de duración alguno, por lo que procede desestimar la excepción de caducidad opuesta par la parte actora en la demanda.

TERCERO.La cuestión de fondo planteada en la litis consiste en resolver si la publicación, a través del buscador Google, del enlace a una página web donde aparece una relación de admitidos (solicitantes y discapacitados) de las ayudas a personas discapacitadas del Fondo de Acción Social de la Xunta de Galicia, constituye una infracción del deber de secreto por parte de esta última.

Ello tomando en consideración que como criterio de búsqueda, en dicho buscador, para acceder a la página web que permite visualizar las ayudas se utiliza el nombre y apellidos (de uno de los solicitantes) y, muy especialmente, que la consulta habilitada por la repetida Xunta de Galicia, directamente, a través de su página web (www.xunta.es) exige los datos de NIF y AÑO para poder acceder al contenido de ayudas publicadas.

Determina el artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre , que:

' El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo'.

Deber de sigilo que resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de los derechos fundamentales, como la intimidad o el derecho a la protección de los datos del artículo 18.4 de la CE , en cuanto 'persigue garantizar a la persona un poder de control sobre sus datos personales, sobre su uso y destino', e impide que se produzcan situaciones atentatorias frente a su dignidad.

Deber de secreto profesional que incumbe a los responsables de ficheros, tal y como esta Sala y Sección ha mantenido en sentencias, entre otras, de 12-9-2007 (Rec. 98/2006 ) y 7-5-2008 (Rec. 228/2006 ) y que comporta que el responsable de los datos almacenados no puede revelar ni dar a conocer su contenido teniendo el deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. Deber que constituye una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la STC 292/2000 , y por lo que ahora interesa, implica que los datos tratados informáticamente, como nombre, apellidos, domicilio y otros no puedan ser conocidos por ninguna persona o entidad distinta de su titular, pues en eso consiste precisamente el secreto.

Infracción del deber de secreto que se sustenta por la resolución combatida, esencialmente, en las siguientes consideraciones:

la Xunta de Galicia, como responsable del fichero, vulneró el deber de secreto que le incumbía a tenor del artículo 10 de la LOPD , al permitir que cualquiera ajeno al afectado pudiera ver datos de salud que le conciernen, como es la consideración de discapacitado de su familiar, y la de otros muchos trabajadores de la Xunta de Galicia.

(...) dicha la Xunta de Galicia realizó un tratamiento con los datos personales del denunciante, que registró en soporte físico, al publicarlos en su página Web, sin que contara con el consentimiento del denunciante para ello, infringiendo así el principio del artículo 6.1 de la LOPD .

Se trata de un mismo hecho del que derivan dos infracciones (continua la resolución) dándose la circunstancia que la comisión de una implica necesariamente la comisión de la otra. Pues si un documento interno que contiene información sobre datos personales se publica en Internet, saliendo del ámbito de la entidad responsable de su confidencialidad, se está produciendo un tratamiento de datos personales en una página web, que a su vez deriva en una vulneración del deber de secreto.

Tampoco pueden ser tenidas en cuenta las alegaciones de la Consellería respecto a la autorización legal que exime del consentimiento del interesado para la cesión de sus datos personales y ello porque no hay normativa que habilite la publicación de los datos personales del sujeto de la ayuda y de la persona discapacitada causante de la misma.

(...) la Consellería no menciona las excepciones al artículo 13.4 de la Ley de Transparencia y Buenas Prácticas en la Administración Pública Gallega que se contemplan en el punto 6 del mismo artículo y que dispone (...)

Excepciones que no se tienen en cuenta en la publicación de tanta cita, al no tener en consideración tanto la salvaguarda de la intimidad personal y familiar de las personas físicas, como la existencia de un interés público más digno de protección. A todo ello hay que añadir la obligación del secreto y el deber de guardar los datos de carácter personal a la que el responsable del fichero está sometido

CUARTO. La doctrina legal y jurisprudencial expuesta ha de ponerse en relación, en el presente caso, con los principios de publicidad, transparencia y concurrencia que necesariamente han de regir en la concesión de las subvenciones, que con carácter general se contemplan en el Art 18 de la Ley 38/2003, de Subvenciones , a cuyo tenor:

Los órganos administrativos concedentes publicarán en el Diario Oficial correspondiente y en los términos que se fijen reglamentariamente, las subvenciones concedidas con expresión de la convocatoria, el programa y crédito presupuestario al que se imputen, beneficiario, cantidad concedida y finalidad o finalidades de la subvención

Pronunciándose en parecidos términos el Art 15 de la Ley 9/2007, de Subvenciones de Galicia , según el cual:los órganos administrativos concedentes publicaran en el 'Diario Oficial de Galicia' las subvenciones concedidas con expresión de la convocatoria, el programa y crédito presupuestario al que se imputen, beneficiario, cantidad concedida y finalidad o finalidades de la subvención

Igualmente lo harán en la correspondiente Pág. Web oficial en los términos previstos en elArt. 13.4 de la Ley 4/2006, de 30 de junio de 2012 de Transparencia y Buenas Prácticas de la Administración Pública Gallega.

De acuerdo con ello esta Sala considera, tal y como invoca la demanda, que para poder cumplir tal mandato legal era necesario que la Xunta de Galicia diera publicidad tanto al beneficiario como de la finalidad de la subvención.

Argumenta además dicha entidad local, en la demanda, que la publicación se efectuó en la Pág. Web institucional de la Xunta, por considerar que lesionaba menos el derecho a la protección de datos que su publicación en el Diario Oficial de Galicia. Y que además, y para evitar que los motores de búsqueda pudiesen indexar los datos publicados en Internet, tal Administración incluyó un formulario, en el que se solicitaba el año de la ayuda y, en su caso, el DNI, para acceder a los repetidos datos personales de beneficiarios y solicitantes de las repetidas ayudas.

Alegaciones las anteriores que resultan verosímiles, a juicio de la Sala, y ello puesto que ha resultado probado en las actuaciones, y así se reconoce por la propia AEPD tanto en las actuaciones previas practicadas como en la resolución combatida, que accediendo directamente a la pagina web de la entidad actora:www.xunta.es, no era posible consultar las ayudas publicadas, sino solo después de introducir el año de la ayuda y el DNI del solicitante.

De un lado esta Sala no alcanza a comprender por qué la AEPD se ha dirigido directamente (y únicamente) frente a la Xunta de Galicia y no frente al motor de búsqueda, teniendo en cuenta que los datos personales revelados y/o descubiertos solo eran visibles accediendo a través del buscador, pero no accediendo (directamente) a través de la pagina web de la Xunta y, de otra parte, tampoco ha sido posible averiguar por qué se produjo dicha publicación de datos personales accediendo a la correspondiente página de enlace a través del buscador, pero no accediendo directamente a través del responsable del tratamiento que los 'colgaba' en Internet.

Se desprende de lo anterior que la Xunta de Galicia, al publicar, a través de su pagina web, las ayudas concedidas (y datos personales de identificación de las mismas) ha actuado conforme a las prescripciones legales que plasman los principios de publicidad, transparencia y concurrencia que rigen en la concesión de subvenciones, y también con el necesario cuidado y sigilo, dando cumplimiento al deber de secreto, de modo diligente y riguroso, y sin que su conducta merezca reproche jurídico alguno. Así tal entidad actora, en su modo de proceder, que se detalla en las líneas anteriores, y que esencialmente consistió en permitir acceder a los datos identificativos de las ayudas para discapacitadas del Fondo de Acción Social solo después de introducir, a modo de password, y como medida de seguridad para evitar su indexación por los motores de búsqueda, el año de la ayuda y el DNI del solicitante, no ha vulnerado ni el deber de secreto ni ninguno de los demás principios rectores en materia de protección de datos personales.

Razones, las anteriores que conducen a la íntegra estimación del recurso, con revocación de la resolución combatida.

QUINTO.Sin que concurran las causas expresadas en el Art. 139 de la Ley de la Jurisdicción para la imposición de las costas procesales a ninguna de las partes.

Fallo

ESTIMAR el recurso contencioso administrativo interpuesto por la representación procesal de la Xunta de Galicia frente a la resolución de la AEPD de 20 de abril de 2009, resolución que se revoca, dada su disconformidad a Derecho, sin imposición de costas a ninguna de las partes.

Así por esta nuestra sentencia, lo pronunciamos, mandamos y firmamos.

Notifíquese esta resolución a las partes indicándoles que cabe contra ella recurso de casación ante el Tribunal Supremo, Sala 3ª.

PUBLICACIÓN.- Dada, leída y publicada fue la anterior sentencia en audiencia pública. Doy fe. Madrid a

LA SECRETARIA JUDICIAL