Última revisión
20/07/2023
Sentencia Contencioso-Administrativo 923/2023 Tribunal Supremo. Sala de lo Contencioso-Administrativo, Rec. 259/2022 de 05 de julio del 2023
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 27 min
Orden: Administrativo
Fecha: 05 de Julio de 2023
Tribunal: Tribunal Supremo
Ponente: PABLO MARIA LUCAS MURILLO DE LA CUEVA
Nº de sentencia: 923/2023
Núm. Cendoj: 28079130062023100035
Núm. Ecli: ES:TS:2023:3054
Núm. Roj: STS 3054:2023
Encabezamiento
Fecha de sentencia: 05/07/2023
Tipo de procedimiento: REC.ORDINARIO(c/a)
Número del procedimiento: 259/2022
Fallo/Acuerdo:
Fecha de Votación y Fallo: 22/06/2023
Ponente: Excmo. Sr. D. Pablo Lucas Murillo de la Cueva
Procedencia: CONSEJO GRAL.PODER JUDICIAL
Letrada de la Administración de Justicia: Ilma. Sra. Dña. Rosario Maldonado Picón--
Transcrito por: MTP
Nota:
REC.ORDINARIO(c/a) núm.: 259/2022
Ponente: Excmo. Sr. D. Pablo Lucas Murillo de la Cueva
Letrada de la Administración de Justicia: Ilma. Sra. Dña. Rosario Maldonado Picón--
Excmos. Sres. y Excma. Sra.
D. Pablo Lucas Murillo de la Cueva, presidente
D. Eduardo Espín Templado
D.ª Celsa Pico Lorenzo
D. José Antonio Montero Fernández
D. Fernando Román García
En Madrid, a 5 de julio de 2023.
Esta Sala ha visto el recurso contencioso-administrativo n.º 259/2022, seguido en esta Sección Sexta de la Sala Tercera del Tribunal Supremo, interpuesto por don Narciso, representado por el procurador don Fernando García de la Cruz Romera y defendido por la letrada doña María Isabel Olmedo Hernando, contra el acuerdo de la Dirección de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial de 25 de enero de 2022, recaído en el expediente n.º NUM000.
Ha sido parte demandada el Consejo General del Poder Judicial, representado y defendido por el Abogado del Estado.
Ha sido ponente el Excmo. Sr. D. Pablo Lucas Murillo de la Cueva.
Antecedentes
"1.- Archivar las actuaciones previas practicadas a raíz de la reclamación formulada por Narciso frente al Juzgado de Primera Instancia núm. 1 de Palma de Mallorca, registrada con el número de expediente NUM000, con la adopción de las medidas señaladas en el fundamento jurídico sexto.
2.- Trasladar la presente resolución a la Agencia Española de Protección de Datos, a los fines previstos en el apartado 4 de la cláusula segunda del convenio de colaboración suscrito entre el Consejo General del Poder Judicial y la Agencia Española de Protección de Datos el 6 de julio de 2017, sobre colaboración en el ejercicio de las funciones propias de las autoridades de control en materia de protección de datos.
3.- Notificar la presente resolución a Narciso y al Juzgado de Primera Instancia núm. 1 de Palma de Mallorca".
"se dicte en su día Sentencia por la que, estimando el presente Recurso, declare no conforme a derecho la resolución recurrida, la revoque y acuerde ESTIMAR la vulneración de los datos personales de mi patrocinado con imposición de las sanciones oportunas, con reserva del derecho de mi patrocinado a exigir la indemnización por mal funcionamiento de la Administración de Justicia que pudiera corresponderle; todo ello, con expresa condena en costas a la parte demandada".
Por primer otrosí señaló la cuantía del recurso en indeterminada. Y, por segundo, interesó el recibimiento a prueba.
En la tramitación de este recurso se han observado las prescripciones legales.
Fundamentos
Don Narciso reclamó ante la Agencia Española de Protección de Datos por haber sido citado por el Juzgado de Primera Instancia n.º 1 de Palma de Mallorca a comparecer como testigo en el procedimiento ordinario n.º 467/2020. La Directora de la Agencia, en cumplimiento del convenio suscrito con el Consejo General de Poder Judicial el 6 de julio de 2017, y conforme al artículo 236 nonies, apartado 1, de la Ley Orgánica del Poder Judicial , remitió al Consejo el expediente correspondiente a la reclamación de don Narciso, el cual tuvo entrada en el Registro de este último órgano el 22 de julio de 2021.
Los hechos que dieron lugar a que el Sr. Narciso reclamara una investigación sobre si se había vulnerado la normativa de protección de datos de carácter personal y, en particular, de la seguridad de los suyos, consistieron en que fue citado a comparecer como testigo en el juicio oral correspondiente al procedimiento ordinario n.º 467/20 señalado para el 3 de junio de 2021, procedimiento con el nada tenía que ver el Sr. Narciso. Advertido el error, su citación se anuló y dejó sin efecto el 27 de mayo de 2021. El Sr. Narciso compareció varias veces en el Juzgado desde que recibió la citación el 23 de marzo de 2021.
El Director de Supervisión y Control de Datos del Consejo General del Poder Judicial incoó el expediente n.º NUM000, solicitó información al Juzgado de Primera Instancia n.º 1 de los de Palma de Mallorca y el 21 de diciembre de 2021 recibió informe de la Letrada de la Administración de Justicia en el que confirmaba que, efectivamente, se produjo la citación errónea del Sr. Narciso, que se corrigió en las fechas antes indicadas al advertirse el error y explicaba que éste pudo deberse a que había sido un funcionario interino de reciente incorporación el que por mero error humano al librar las cédulas de citación incluyó la del ahora recurrente. Añadía que el Juzgado soporta una elevada carga de trabajo y que había de suponerse que "el tramitador utilizó un modelo de otro expediente en el que se citaba al ahora afectado y por error terminó notificando dicha citación": Asimismo, recordaba que la cédula que se remitió al Sr. Narciso incluía la advertencia de que la difusión de su texto a partes no interesadas en el proceso en que se dictaba sólo podría efectuarse previa disociación de los datos de carácter personal que contuvieran y con pleno respeto al derecho a la intimidad y a los de las personas que requieran una especial tutela al igual que a la garantía del anonimato de las víctimas o perjudicados. Igualmente, indicaba que esos datos no podrían ser cedidos ni comunicados con fines contrarios a las leyes.
El Director de Supervisión y Control de Datos, tras recordar los preceptos de la Ley Orgánica del Poder Judicial, de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos y de garantía de los derechos digitales, y el Convenio con la Agencia Española de Protección de Datos que le confieren la competencia para resolver este asunto, acordó el archivo del expediente NUM000.
Explica en su resolución que eran dos las cuestiones suscitadas en este caso: el acceso del reclamante a los datos de las partes del proceso en el que se produjo su citación y, de otro lado, las circunstancias que dieron lugar a que se accediese y a que se utilizaran sus datos en un proceso al que era ajeno el Sr. Narciso.
Sobre lo primero, el Director explica que el reclamante no tiene la condición de interesado que habilita para reclamar ante la autoridad de control. Cita al respecto los artículos 57.1, 12.4, 14.2, y 15.1 del Reglamento 2016/679 (UE) y los artículos 11, 12.2 28.2, 37.1 y 2, 63 y 64.2 de la Ley Orgánica 3/2018. Precisamente, por no ser interesado, no cabe hablar de reclamación sino de denuncia pues no hay acción pública en la materia de protección de datos. Así, pues, concluye, desde esta perspectiva únicamente el denunciante podría haber hecho un uso inadecuado de los datos personales ajenos que por error se le transmitieron. Y le es aplicable el artículo 236 quinquies, apartado 3 de la Ley Orgánica del Poder Judicial .
Sobre la segunda cuestión, recoge la explicación del error ofrecida en el informe de la Letrada de la Administración de Justicia y señala que, de las actuaciones "no resulta que los datos personales del reclamante hayan sido utilizados para ninguna otra finalidad ni hayan tenido otra difusión". Y que "una vez advertido el error, se dejó constancia del mismo en el procedimiento mediante diligencia de ordenación, en la que se incluía la comunicación al reclamante de la anulación de la citación". Se trató, resalta, de un error humano cometido por un funcionario interino de reciente incorporación y sometido como todos los integrantes del Juzgado a una elevada carga de trabajo. Apunta, además, que el Consejo General del Poder Judicial, como autoridad de control en materia de protección de datos, viene insistiendo en la necesidad de prevenir este tipo de errores mediante técnicas organizativas que supongan las comprobaciones previas precisas para que no se vean afectados los derechos y principios de la normativa de protección de datos en los tratamientos que de ellos se realizan en las actuaciones judiciales.
Y concluye que no son precisas ulteriores actuaciones de investigación y que, tomando en consideración las medidas ya adoptadas y las que se deban adoptar, procede decretar el archivo del expediente.
Dice, a propósito de los hechos, que habiendo sido citado para testificar en un juicio con cuyas partes no tenía ninguna relación y no habiendo recibido "constancia documental por la cual no pudiera asistir al juicio", no tuvo otra opción que personarse el 3 de julio de 2021 en la sede judicial y que allí se le informó del error en su citación. Añade que en el Juzgado no se le dio explicación coherente y lógica de por qué se había dispuesto su nombre y domicilio en un proceso civil. Solamente se le dijo que era un error.
Continúa afirmando el menoscabo de su derecho a que sus datos personales sean tratados para fines concretos y necesarios lo cual no ha sido el caso, pues carece de toda relación con el procedimiento en el que fueron expuestos sus datos de manera que no existe obligación legal alguna que justifique el acceso a ellos. En consecuencia, considera que se ha vulnerado el artículo 4.12 del Reglamento (UE) 2016/679, al producirse la comunicación de sus datos y el acceso a ellos sin su autorización.
En los fundamentos jurídico-materiales incluye un epígrafe titulado "Vulneración de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales", bajo el que afirma la vulneración de sus artículos 4, 5 y 6, cuyo texto reproduce. Después, bajo un segundo epígrafe titulado "Jurisprudencia relacionada con el supuesto de hecho" reproduce la sentencia de la Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, de 8 de noviembre de 2012, dictada en el recurso n.º 784/2010 de France Telecom España, S.A. contra la resolución del Director de la Agencia Española de Protección de Datos que sancionó a esa entidad con 60.101, 21€.
La sentencia estima parcialmente el recurso y reduce la multa a 40.001€. Los hechos, calificados como infracción grave por la Agencia Española de Protección de Datos, consistieron en asociar al denunciante con un servicio de ADSL+llamadas nacionales asociadas a una línea telefónica que no era de su titularidad y en facturarle ese servicio desde junio de 2007 a pesar de constar que la contratación se hizo por persona de idéntico nombre y apellidos que el denunciante pero titular de una línea distinta.
Tras la transcripción de esta sentencia la demanda dice que en ella se impone a la entidad una sanción por infracción de la protección de datos a un usuario cuyos datos se utilizaron por equivocación, sin su autorización y se le hizo una facturación incorrecta. Y se pregunta: "¿si a las empresas privadas se les impone las sanciones establecidas en la legislación por usar equivocadamente o por error los datos de carácter personal, cómo no se va a tratar del mismo modo con criterios igualitarios a la Administración Pública?".
En el suplico, además de pedirnos que estimemos su recurso, "con imposición de las sanciones oportunas", el Sr. Narciso se reserva su derecho a exigir la indemnización por mal funcionamiento de la Administración de Justicia que pudiera corresponderle.
Precisa que el error producido en la tramitación del procedimiento judicial en que el recurrente fue citado ha sido reconocido en todo momento, por lo que no es necesario que acuda a la vía contenciosa para que declare lo que ya se ha establecido en la vía administrativa.
Y, sobre los efectos del tratamiento indebido de sus datos personales y la pretensión de que se impongan sanciones por ese motivo, indica que el artículo 57.1 f) del Reglamento (UE) 2016/679 incluye entre las funciones de las autoridades de control la de tratar las reclamaciones de los interesados e investigarlas en la medida oportuna, así como informarles del curso y resultado de la investigación en un plazo razonable. En ese sentido, cita también el artículo 65.5 de la Ley Orgánica 3/2018. Pues bien, prosigue, todo ello se ha producido ya. Por lo demás, continúa, la decisión de incoar un procedimiento sancionador corresponde exclusivamente a la autoridad de protección de datos y los interesados carecen de legitimación para exigir su incoación así como para acudir a la vía jurisdiccional para reclamarla.
Por lo que hace a la pretensión indemnizatoria, recuerda que ha sido el propio recurrente el que la ha dejado fuera del recurso. Así, pues, resalta el Abogado del Estado, lo que en realidad pide la demanda es que se de satisfacción a la denuncia sobre sanciones en materia de protección de datos. De ahí que nos pida una declaración de inadmisibilidad del recurso por falta de legitimación activa del recurrente. En cambio, sí admite el Abogado del Estado la legitimación del Sr. Narciso para pedir la revocación del archivo del expediente NUM000 y que se profundice en la investigación. No obstante, sigue señalando el Abogado del Estado, no es esto lo que pide la demanda, que pretende que directamente se acuerde la imposición de sanciones.
Critica, asimismo, la parquedad argumental de la demanda sobre el régimen aplicable a determinadas categorías de responsables o encargados del tratamiento de los datos, para lo que se remite al artículo 77 de la Ley Orgánica 3/2018. Seguidamente, recuerda que el Consejo General del Poder Judicial ha destacado las medidas adoptadas por el Juzgado y que la imposición de sanciones debe tener carácter excepcional, es decir ha de quedar para cuando no tienen cabida otras alternativas previstas normativamente. Consideraciones estas que ve reforzadas porque la sanción que, en su caso, podría imponerse al órgano judicial sería la de apercibimiento y sucede que esta Sala ha venido a negar que el apercibimiento sea una sanción en sentido propio [ sentencia de 29 de septiembre de 2013, y sentencia n.º 447/2017, de 29 de septiembre], extremo confirmado por la corrección de errores del Reglamento (UE) 2016/679 publicada en el Diario Oficial de la Unión Europea de 4 de marzo de 2021 y referida a los apartados a) y b) de su artículo 58.
La contestación a la demanda completa su argumentación con la transcripción de varios pasajes del informe de la Agencia Española de Protección de Datos al anteproyecto de Ley de Medidas de Eficiencia Digital del Servicio Público de Justicia en el sentido de no tener como sanción al apercibimiento.
Tal como se ha visto, el recurrente discrepa de la resolución de archivo adoptada por el Director de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial pues considera insuficiente la explicación de la razón por la que fue citado como testigo y, sobre todo, aunque no lo mencione por su nombre, entiende que se ha vulnerado su derecho fundamental a la protección de datos. Esta circunstancia, unida al reconocimiento por parte del Abogado del Estado de la legitimación del Sr. Narciso para combatir jurisdiccionalmente el archivo del expediente NUM000 a fin de lograr una ulterior investigación, nos parecen suficientes para que debamos entrar en el examen de la conformidad a Derecho del acuerdo del Director de Supervisión y Protección de Datos del Consejo General del Poder Judicial, y no advirtamos la falta de legitimación alegada.
Por tanto, no procede inadmitir el recurso contencioso-administrativo. En cambio, debe ser desestimado porque el acuerdo recurrido no es contrario al ordenamiento jurídico.
Es significativo que la demanda se limite a reproducir unos preceptos legales y una sentencia que ninguna relación guarda con los hechos que se han acreditado en este proceso, pero que no argumente por qué entiende que existe una infracción al Reglamento (UE) 2016/679 y a la Ley Orgánica 3/2018 que no ha sido corregida. El Abogado del Estado apunta la parquedad argumental del recurrente y es generoso en la apreciación porque más que parca es prácticamente inexistente. No explica cuál es la consecuencia que resultaría de la aplicación de los preceptos que recoge a este caso.
Sorprende, además, al margen de otras observaciones que desde el punto de vista procesal podrían hacerse al respecto, que reproduzca la sentencia mencionada de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, a propósito de la cual formula la pregunta antes reproducida. La sorpresa deriva en que no repara en que, ni desde el punto de vista subjetivo, ni desde el objetivo, ni tampoco desde el ofrecido por los preceptos que fueron aplicados por la Audiencia Nacional, se advierte la más mínima identidad entre lo allí dilucidado y lo que se nos ha planteado.
No hay duda de que la citación para que el Sr. Narciso testificara en el juicio del procedimiento ordinario n.º 467/2020 del Juzgado de Primera Instancia n.º 1 de los de Palma de Mallorca, señalado para el 3 de junio de 2021, fue errónea. Así se ha reconocido desde el primer momento por el propio Juzgado, que, por eso, la anuló y dejó sin efecto, y por el acuerdo del Director de Supervisión y Control de Protección de Datos. También consta la explicación del error, de la que no ha habido ni hay motivo para dudar. Es llamativo que el recurrente tampoco argumente al respecto.
La citación errónea no sólo implica un tratamiento de datos injustificado, sino que es improcedente desde el punto de vista procesal. Ahora bien, una vez constatada y corregida y habiendo requerido el Consejo General del Poder Judicial que se adopten prevenciones organizativas para corregir esta disfunción, no es precisa ninguna actuación o medida ulterior porque no se han constatado ni siquiera indicios de una utilización indebida de los datos personales del Sr. Narciso que fueron tratados al citarle equivocadamente. Por tanto, situándonos en la perspectiva en la que la demanda ha planteado este litigio, exclusivamente, la de la infracción de la normativa sobre protección de datos personales, nada más hay que añadir a lo que ha explicado el Director de Supervisión y Control de Datos del Consejo General del Poder Judicial.
El Sr. Narciso no debió ser citado como testigo en el juicio del proceso de referencia. Se le explicó la razón del error, aunque los motivos dados no lo justifiquen, pero, sobre todo, se corrigió y, por tanto, se restableció la regularidad alterada por la equivocación sin que se haya atisbado ninguna consecuencia ulterior contraria al derecho del recurrente a la protección de sus datos personales.
Conforme a lo establecido por el artículo 139.1 de la Ley de la Jurisdicción, no hacemos imposición de costas al haber rechazado la pretensión del Abogado del Estado de inadmisión de recurso contencioso-administrativo.
Fallo
Por todo lo expuesto, en nombre del Rey y por la autoridad que le confiere la Constitución, esta Sala ha decidido
(1.º) Desestimar el recurso contencioso-administrativo n.º 259/2022, interpuesto por don Narciso contra el acuerdo del Director de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial de 25 de enero de 2022 que archivó las actuaciones practicadas en el expediente n.º NUM000 a raíz de su reclamación frente al Juzgado de Primera Instancia n.º 1 de Palma de Mallorca.
(2.º) No hacer imposición de costas.
Notifíquese esta resolución a las partes e insértese en la colección legislativa.
Así se acuerda y firma.
