Sentencia Contencioso-Administrativo Audiencia Nacional. Sala de lo Contencioso-Administrativo. Sección Primera, Rec. 409/2021 de 28 de abril del 2023

PRIMERO : La parte recurrente CENTRAL SINDICAL INDEPENDIENTE Y DE FUNCIONARIOS CSI-CSIF, interpone recurso contencioso administrativo contra la resolución desestimatoria del recurso de reposición de fecha 28 enero 2021 dictada en el PS/00274/2019 por la Agencia Española de Protección de Datos. En fecha 2 octubre 2020 la Agencia Española de Protección de Datos en el procedimiento sancionador mencionado imponía a la recurrente una sanción de 3000 € por vulneración de lo dispuesto en el art. 5.1.f RGPD en lo que se refiere al tratamiento de datos personales y a la libre circulación de esos datos, infracción del art. 83.5 a RGPD y calificada de muy grave en el art. 72.1.a LO 3/2018.

La resolución contempla como hechos que: El 4 abril 2019 tiene entrada en la Agencia Española de Protección de Datos un escrito señalando que la delegada sindical del CSIF ha publicado en un grupo abierto de whatsapp en el que se encuentran casi todos los trabajadores de la Unidad Central de Radiodiagnóstico de la Comunidad de Madrid un listado del censo electoral de publicidad exclusiva para los sindicatos, figurando datos como nombre y apellidos y el DNI de todos los votantes que forman el personal estatutario, y que el censo que se publica en los tablones y al cual tienen acceso los trabajadores no figura el DNI. Se acompaña copia del whatsapp en el que figura el listado del censo electoral apareciendo junto a los nombres y apellidos el nº de DNI. El reclamado manifiesta que tiene amparo legal para la publicación de los datos.

La resolución continúa haciendo referencia al art. 5.1.f RGPD que los datos personales serán " tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito o contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (integridad y confidencialidad)...". El art. 5 LO 3/2018 dispone que:

"Deber de confidencialidad.

1. Los responsables y encargados del tratamiento de datos así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de confidencialidad al que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679 .

2. La obligación general señalada en el apartado anterior será complementaria de los deberes de secreto profesional de conformidad con su normativa aplicable.

3. Las obligaciones establecidas en los apartados anteriores se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento.

De la documentación obrante en el expediente se aprecia que el recurrente vulneró el art. 5 RGPD, el deber de confidencialidad en relación con la incidencia producida y ese deber de confidencialidad es una obligación que incumbe no solo al responsable y encargado del tratamiento sino a todo aquél que intervenga en cualquier fase del tratamiento y complementaria del deber de secreto profesional. En este caso, que la delegada sindical del CSIF haya publicado en un grupo abierto de whatsapp dirigido a los trabajadores de la Unidad Central de Radiodiagnóstico de la Comunidad de Madrid un listado del censo electoral nombre y apellidos y datos como el DNI de todos los votantes que forman el personal estatutario, sería lícito si contara con el consentimiento previsto en el art. 6.1 RGPD. En la forma en que se ha realizado no tiene el consentimiento, no tiene amparo legal.

Ese amparo legal no se encuentra en el Estatuto de los Trabajadores, art. 74, pues en la forma en que se ha hecho mediante la publicación de los datos a través de un grupo abierto de whatsapp no es una publicidad que se incardine en ese art. 74 del Estatuto de los Trabajadores. Y refiere la resolución, igualmente, El RD 1844/1994 que aprueba el Reglamento de elecciones a órganos de representación de los trabajadores de la empresa. Al Reglamento de elecciones del personal al servicio de las Administraciones Públicas, RD 1846/1994 de 9 septiembre, y añade que no existe una base legal para la publicación de los datos en la forma en que se ha hecho dando nombres y apellidos y DNI a través del whatsapp. Quien tiene la responsabilidad de publicar el censo es la Mesa Electoral y es una publicación que se realiza mediante el tablón de anuncios para que pueda ser visada por los electores a efectos de poder rectificar errores. El delegado sindical trató ilícitamente estos datos personales revelando un dni de las personas integrantes del grupo de whatsapp, por ello existe una infracción del art. 5.1.f RGPD en relación con el art. 6.1 del mismo Texto legal. La libertad sindical ha sido ponderada en la resolución, y refiere que la Ley de Libertad Sindical en el art. 8.1.c dispone que los trabajadores afiliados a un sindicato podrán, en el ámbito de su empresa o centro de trabajo... c: Recibir la información que le remita su sindicato. Y conforme al mismo precepto apartado 2.a: con la finalidad de facilitar la difusión de aquellos avisos que puedan interesar a los afiliados al sindicato y a los trabajadores en general, la empresa pondrá a su disposición un tablón de anuncios...". Pero la libertad sindical se respeta y materializa dando la información en la forma que se prevé sin necesidad de acudir a ese medio whatsapp que nada aporta a la libertad sindical. La actuación del sindicato recurrente ha sido excederse de sus límites y considera que existe infracción del art. 83.5 RGPD, art. 72 LO 3/2018. Y conforme a los arts. 83.1 y 83.2 RGPD se tienen en cuenta:

" Condiciones generales para la imposición de multas administrativas

1. Cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al presente artículo por las infracciones del presente Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias.

2. Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:

a)la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;

b)la intencionalidad o negligencia en la infracción;

c)cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados

d)el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32;

e)toda infracción anterior cometida por el responsable o el encargado del tratamiento;

f)el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;

g)las categorías de los datos de carácter personal afectados por la infracción;

h)la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;

i)cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas;

j)la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42, y

k)cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

Y se desestima el recurso de reposición reconociendo que si bien las nuevas tecnologías han abierto nuevas posibilidades de relaciones sociales y económicas, no puede utilizarse el mecanismo de whatsapp para transmitir y publicar un censo electoral. La libertad sindical no se materializa mediante whatsapp pues ninguna relación tiene con ello.

Contra esta resolución se interpone el presente recurso contencioso administrativo.

SEGUNDO : La parte actora en su demanda que el 4 abril 2019 un sindicato distinto al recurrente formuló ante la Agencia Española de Protección de Datos una denuncia contra la delegada sindical de CSIF en la que se ponía de manifiesto que en un grupo abierto de whatsapp en el que se encontraban casi todos los trabajadores de la Unidad Central de Radiodiagnóstico de la CAM se publica un listado del censo electoral correspondiente a las elecciones sindicales convocadas con los DNI de sus componentes. Ese grupo de whatsapp se constituyó con la finalidad de transmitir información laboral relativa a esta Unidad indicada. Ese grupo estaba formado exclusivamente por afiliados al CSIF, afiliados a otros sindicatos, y no afiliados a ninguno. La delegada sindical no recibió queja alguna por esa publicación en whatsapp y fue tres horas más tarde a esa publicación cuando se dirigió la denuncia a la Agencia Española de Protección de Datos. La pretensión de la parte denunciante no era la protección de datos sino involucrar en un proceso electoral dañar y desprestigiar al CSIF. Alega la ponderación del derecho a la libertad sindical y la protección de los datos personales. Concurrencia de interés público e interés legítimo, art. 6.1 RGPD. Trato sancionador discriminatorio en perjuicio del CSIF. Actos propios. Y suplica que se tenga por formulada demanda en el presente recurso contencioso administrativo y se dicte sentencia en la que se declare nulo, anule o revoque y deje sin efecto la resolución impugnada y la sanción de multa, ordenando la devolución de la multa y declarando que el CSIF no ha vulnerado la normativa de protección de datos.

El Abogado del Estado en su escrito de contestación a la demanda se opuso a la misma con imposición de costas a la parte demandante. La conducta imputada consiste en haber facilitado a través de whatsapp datos personales de la denunciante y en concreto el DNI y ello so pretexto de estar actuando en defensa de la libertad sindical. La sanción es proporcional al tratamiento realizado. No existe trato discriminatorio alguno que vulnere el principio de igualdad.

TERCERO : La presente sentencia parte de los hechos declarados probados en la resolución que no han sido objeto de rectificación alguna.

En el presente caso, se analizan unos hechos en los cuales la delegada sindical del CSIF en un grupo de Whatsapp abierto publica un listado del censo electoral de los trabajadores de la Unidad Central de radiodiagnóstico de la CAM con el DNI de cada uno de ellos.

Conforme viene reiterando esta Sala en sentencia de 25 febrero 2022 (recurso 1634/20), y que hace mención a otras de esta misma sección como la SAN, 8 de enero 2019, Rec. 617/2017, por todas, la tutela de derecho a la protección de datos personales que debe garantizar la Agencia Española de Protección de Datos difiere de la propia del derecho al honor y a la intimidad personal, objeto de la Ley 1/1982, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, garantizado en el artículo 18.1 CE, por lo que la eventual lesión de estos derechos tiene sus propios cauces de reparación por dicha vía.

"Esta Sala ha señalado, entre otras dictadas en asuntos similares, en la SAN de 3 de marzo 2015 (Rec. 386/2013 ) confirmada por STS de 23 de septiembre 2016 (Rec. 1747/2015 ), lo siguiente:

"Por lo que respecta al derecho a la libertad sindical, tal y como expresa la STC 281/2005, de 7 de noviembre , "Aun cuando del tenor literal del art. 28.1 CE pudiera deducirse la restricción del contenido de la libertad sindical a una vertiente exclusivamente organizativa o asociativa, este Tribunal ha declarado reiteradamente, en virtud de una interpretación sistemática de los arts. 7 y 28 CE , efectuada según el canon hermeneútico del art. 10.2 CE , que llama a los textos internacionales ratificados por España -en este caso, Convenios de la Organización Internacional del Trabajo núms. 87 y 98 , señaladamente-, que la enumeración de derechos efectuada en el primeramente referido precepto constitucional no se realiza con el carácter de numerus clausus , sino que en el contenido de dicho precepto se integra también la vertiente funcional, es decir, el derecho de los sindicatos a ejercer aquellas actividades dirigidas a la defensa, protección y promoción de los intereses de los trabajadores; en suma, a desplegar los medios de acción necesarios para que puedan cumplir las funciones que constitucionalmente les corresponden (por todas, SSTC 94/1995, de 19 de junio , F. 2 ; 308/2000, de 18 de diciembre , F. 6 ; 185/2003, de 27 de octubre , F. 6 , y 198/2004, de 15 de noviembre , F. 5).

Las anteriores expresiones del derecho fundamental (organizativas o asociativas y funcionales o de actividad) constituyen su núcleo mínimo e indisponible, el contenido esencial de la libertad sindical. En particular, en coherencia con la vertiente funcional del derecho, la Ley Orgánica de Libertad Sindical (LOLS) establece que la libertad sindical comprende el derecho a la actividad sindical [art. 2.1 d )] y, de otra parte, que las organizaciones sindicales, en el ejercicio de su libertad sindical, tienen derecho a desarrollar actividades sindicales en la empresa o fuera de ella [art. 2.2 d)]".

Por ello, cabe afirmar que "En el art. 28.1 CE se integra, pues, el derecho a llevar a cabo una libre acción sindical comprensiva de todos los medios lícitos y sin las indebidas interferencias de terceros ( SSTC 145/1999, de 22 de junio , F. 3 ; 213/2002, de 11 de noviembre , F. 4). En este sentido, en la STC 281/2005, de 7 de noviembre , F. 6, recordábamos que «el ejercicio de esa acción sindical confiere al sindicato un amplio marco de libertad de actuación, cuyas vertientes más significativas son el derecho a la negociación colectiva, a la huelga y al planteamiento de conflictos individuales y colectivos [ art. 2.2.d) de la Ley Orgánica 11/1985, de 2 de agosto, de libertad sindical ], cuyo ejercicio dentro de la empresa se regula en los arts. 8 a 11 de esa misma Ley , pero cuyo contenido no se agota ahí, sino que -consagrándose constitucionalmente un ámbito de libertad- comprenderá también cualquier otra forma lícita de actuación que los sindicatos consideran adecuada para el cumplimiento de los fines a los que están constitucionalmente llamados" ( STC 108/2008, de 22 de septiembre ).

Pues bien, una de las manifestaciones de la acción sindical es el derecho a la transmisión de información sindical, una de cuyas expresiones es el derecho a informar a los representados, afiliados o no, que "forma parte del contenido esencial del derecho fundamental, puesto que la transmisión de noticias de interés sindical, el flujo de información entre el sindicato y los trabajadores, es el fundamento de la participación, permite el ejercicio cabal de una acción sindical y propicia el desarrollo de la democracia y del pluralismo sindicales. En definitiva, constituye un «elemento esencial del derecho fundamental a la libertad sindical» ( STC 94/1995, de 19 de junio , F. 3), una expresión central, por tanto, de la acción sindical y, por ello, del contenido esencial del derecho fundamental" ( STC 281/2005, de 7 de noviembre ).

De modo que entre las formas lícitas de actuación que los sindicatos consideran adecuada para el cumplimiento de los fines a los que están constitucionalmente llamados, se encuentra la utilización como instrumento de acción sindical de los derechos a la libertad de expresión y a la libertad de información, tal y como afirma la STC 108/2008, de 22 de septiembre .

Y añade "Nos corresponde, pues, ponderar si en el presente caso se ejerció la libertad de expresión y el derecho de libertad sindical dentro de su ámbito legítimo o si, por el contrario, se rebasaron los límites constitucionalmente admisibles, lesionando del derecho del denunciante a la protección de sus datos personales. Por otra parte, conviene puntualizar que las libertades de expresión e información deben ser ponderadas, no tanto como genéricos derechos de los que son titulares todos los ciudadanos, sino atendiendo a su proyección sobre materias de interés laboral y sindical, como instrumentos del ejercicio de la acción sindical que integra el contenido esencial del derecho fundamental de libertad sindical. Es decir, la invocación del artículo 20.1 a ) y d) de la CE carece de sustantividad propia y no es escindible de la que se efectúa del derecho a la libertad sindical ( art. 28.1 CE ) y será, en consecuencia, desde esta perspectiva desde la que procederemos al análisis de la cuestión controvertida".

CUARTO : En el caso presente, esto es, la publicación por la delegada sindical de CSIF en un grupo abierto de whatsapp los DNI de los trabajadores que lo formaban no se realizaron en el marco del ejercicio de las funciones inherentes a la libertad sindical, pues la publicación por whatsapp de ese dato personal no reviste ningún interés sindical. Es un listado del censo electoral en el que figura un DNI cuando legalmente está previsto en el estatuto de los Trabajadores, art. 74, que la lista de electores se hará pública a través del tablón de anuncios mediante su exposición. El RD 1844/1994 igualmente establece que la lista de electores y elegibles se hará pública en los tablones de anuncios. El RD 1846/1994 de 9 septiembre, art. 14, señala que en ese censo se hará constar nombre, apellidos...dni, y se trata de una lista que se hará pública en los tablones de anuncios.

En definitiva, la normativa sectorial prevé la publicación de estos datos en los tablones de anuncios, pero desde luego no se contempla su publicación mediante whatsapp, una aplicación de mensajería instantánea que puede considerarse que forma parte de las nuevas tecnologías de la comunicación, que puede servir para comunicar información a los trabajadores, pero que por sus características no aporta seguridad a la confidencialidad de los datos personales. Nada impide al sindicato el empleo de estos mecanismos como whatsapp o similares, pero en modo alguno puede aceptarse el empleo de esta mensajería instantánea de manera automática para la publicación de datos personales tan relevantes como el DNI y cuya publicación no guarda relación alguna con el derecho a la libertad sindical, con el derecho de los trabajadores. El contenido del whatsapp afectada a todos o casi todos los trabajadores de la Unidad Central de radiodiagnóstico de la CAM estén o no afiliados al CSIF, a otros sindicatos o a ninguno, y desde luego la publicación del DNI de los afectados en el whatsapp no es una materia directamente relacionada con los derechos sindicales,por lo que debemos rechazar esta cuestión.

La transmisión de esos DNI a través de whatsapp por parte de la delegada sindical de la recurrente no indica que haya actuado en el ejercicio legítimo de su derecho a la libertad sindical, su derecho a informar a los trabajadores de hechos de relevancia sindical no incluye pasar información sobre el DNI de los trabajadores que formaban parte del grupo de mensajería whatsapp.

QUINTO : La infracción que se le imputa a la parte actora, es la recogida en el art. 5.1.f RGPD que dispone que los datos personales serán " tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito o contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (integridad y confidencialidad)...".

Y puesto en relación con el art. 6.1.f) del RGPD, " Licitud del tratamiento", que señala en su apartado 1 los supuestos en los que el tratamiento de datos de terceros es considerado lícito: "1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

(...) f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones".

Por su parte, la LO 3/2018 en cuanto a la confidencialidad en el art. 5 establece: "Deber de confidencialidad.

1. Los responsables y encargados del tratamiento de datos, así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de confidencialidad al que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679 .

2. La obligación general señalada en el apartado anterior será complementaria de los deberes de secreto profesional de conformidad con su normativa aplicable.

3. Las obligaciones establecidas en los apartados anteriores se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento".

El art. 72 LO 3/2018 refiere como infracciones muy graves el tratamiento de datos personales vulnerando los principios y garantías establecidos en el art. 5 del RGPD.

El principio de proporcionalidad encuentra su expresión normativa en el artículo 29.3 de la Ley 40/2015 de 1 de octubre: "En la determinación normativa del régimen sancionador, así como en la imposición de sanciones por las Administraciones públicas se deberá observar la debida idoneidad y necesidad de la sanción a imponer y su adecuación a la gravedad del hecho constitutivo de la infracción", enumerando, a continuación, los criterios a considerar.

En la demanda se discrepa del importe de la sanción alegando la inexistencia de perjuicio, la adopción de medidas para evitar que se repitan hechos similares, y otras cuestiones más propias de una pretendida exoneración de responsabilidad que del principio de proporcionalidad. No obstante, debemos señalar que la resolución impugnada alude a determinados preceptos del RGPD que transcribe sin que aplique ninguno de ellos en particular. La multa impuesta de 3000€ se considera proporcional a los hechos analizados. La conducta analizada está más cerca de la negligencia que de la conducta intencionada, y ello es tenido en cuenta en la resolución puesto que la Agencia Española de Protección de Datos no ha considerado que hayan concurrido específicas circunstancias de agravación. Además, las consecuencias de la infracción son muy relevantes pues se da a conocer un dato de carácter personal a través del sistema whatsapp que permite transmitirlo a otros grupos de la misma mensajería o de otras escapando de cualquier control de confidencialidad. De ahí que la sanción de 3000€ sea consideraba razonable, equitativa y proporcionada.

Se alude a un trato sancionador discriminatorio puesto que esa multa o sanción económica puede sustituiré por las medidas del art. 58 RGPD, medidas menos gravosas como podría ser el apercibimiento. Y hace referencia a otras infracciones cometidas por otras entidades. Por supuesto la actora trata de comparar esta situación con otro procedimiento sancionador que se menciona, pero no estamos ante un trato discriminatorio o que se vulnere el principio de igualdad puesto que es un principio que solo opera en el marco de la legalidad cuando situaciones de hecho iguales tienen un tratamiento diferente sin justificación razonable. Como señala la STS de 20 de enero 2004, "la igualdad ha de predicarse dentro de la legalidad, de modo que si la actuación correcta de la Administración es la ahora enjuiciada, según hemos declarado, la invocada como contraria a ella no lo fue y, por consiguiente, no cabe esgrimirla para pedir que se le aplique al recurrente un trato igual, ya que, como esta Sala del Tribunal Supremo ha declarado en sus sentencias de 16 de junio de 2003 , 14 de julio de 2003 y 20 de octubre de 2003 que «el principio de igualdad carece de trascendencia para amparar una situación contraria al ordenamiento jurídico», y ello, como indica la propia Sala sentenciadora, al margen de no haberse acreditado la actuación administrativa aducida como contradictoria con la presente".

En igual sentido señala la STS de 2 de abril de 2014 (Rec. 1916/2010) que "la legalidad prevalece sobre una posible lesión del principio de igualdad".

En este caso, estamos ante una infracción administrativa que se pretende comparar con otra que ha tenido diferente solución, pero de lo que se observa en la alegación que se formula por la parte actora escasamente se puede efectuar una comparación de una situación y otra. Recordemos que conforme a la doctrina constitucional consolidada para apreciar la concurrencia de una vulneración del principio de igualdad han de concurrir los siguientes presupuestos: 1) aportación de un término idóneo de comparación demostrativa de la identidad sustancial de las situaciones jurídicas que han recibido trato diferente, 2) que el trato desigual no esté fundado en razones objetivas que lo justifiquen, y 3) que el juicio comparativo se desarrolle en el marco de la legalidad, pues no cabe invocar el principio de igualdad en la ilegalidad para perpetuar situaciones contrarias a lo previsto por el ordenamiento jurídico. Así las cosas, la conducta por la que ha sido sancionada la parte actora y que es contraria a derecho no permite que su responsabilidad sea más atenuada por el hecho de que en otros supuestos, que se desconocen, la sanción impuesta no fuera económica y se considerase más beneficiosa.

En lo referente a la vulneración de los actos propios. Desde luego en la medida en que un procedimiento sancionador haya sido objeto de una sanción distinta a la impuesta en otro, máxime cuando se desconocen y se ignoran datos de una de las situaciones o términos de comparación, no constituye la vulneración de la prohibición de ir contra los propios actos.

Por todo lo expuesto, procede desestimar el presente recurso contencioso administrativo y por aplicación del art. 139 LJCA se imponen las costas a la parte actora.

Vistos los preceptos legales citados y demás de general y pertinente aplicación;

Fallo