Acerca de operadores lógicos
Última revisión
31/03/2006
Sentencia Penal Audiencia Nacional, Rec 534/2001 de 31 de Enero de 2003
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 47 min
Orden: Penal
Fecha: 31 de Enero de 2003
Tribunal: Audiencia Nacional
Fundamentos
SENTENCIA DE LA AUDIENCIA NACIONAL, SALA DE LO CONTENCIOSO-ADMINISTRATIVO
RECURSO Nº: 534/2001
FECHA DE RESOLUCIÓN: 31/01/2003
PONENTE: --
Madrid, a treinta y uno de enero de dos mil tres
Visto por la Sala constituida por los Srs. Magistrados relacionados al margen el Recurso nº. 534/2001, interpuesto por LA ENTIDAD "A", representada por la Procuradora Dña....................................., contra la resolución de fecha 21 de febrero de 2001 dictada por el Director de la Agencia de Protección de Datos, por la que desestima el recurso de reposición interpuesto contra la resolución de fecha 29 de diciembre de 2000 resolutorio del expediente por sanción de la Ley sobre Protección de Datos de Carácter Personal; habiendo sido parte, además, la Administración General del Estado, representada y defendida por su Abogacía. La cuantía del recurso es de 180.000.000 pts.
ANTECEDENTES DE HECHO
1) Admitido el recursos, y previos los oportunos trámites, se confirió traslado a la representación de la parte actora para que formalizaran escrito de demanda, lo que hizo formulando las alegaciones de hecho y de derecho que estimaron oportunas, concluyendo con la súplica de una sentencia estimatoria del recurso, con anulación del acto recurrido.
2) Dándose traslado de la demanda al Abogado del Estado, alegó en derecho lo que estimó conveniente, solicitando la confirmación en todos los extremos del acuerdo recurrido.
3) Habiéndose solicitado el recibimiento a prueba, se acordó dicho recibimiento con el resultado que consta en autos.
4) Una vez conclusas las actuaciones se señaló para la votación y fallo la audiencia del día 29 de enero del año 2003, en que tuvo lugar, quedando el recurso visto para sentencia.
VISTOS los preceptos que se citan por las partes y los de general aplicación.
FUNDAMENTOS DE DERECHO
I. Como consecuencia de un expediente sancionador incoado a LA ENTIDAD "A", el Director de la Agencia de Protección de Datos, le impuso las siguientes sanciones:
- Multa de 5.000.000 de pesetas por la infracción del art. 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos carácter personal, tipificada como leve en el artículo 44.d) de dicha norma.
- Multa de 75.000.000 de pesetas por la infracción del artículo 6, en relación con el 7.3, de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, tipificada como muy grave en el artículo 44.4 c) de dicha norma.
- Multa de 75.000.000 de pesetas por la infracción del artículo 11 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, tipificada como muy grave en el artículo 44.4 b) de dicha norma.
- Multa de 25.000.000 de pesetas por la infracción del artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en relación con el Reglamento de Medidas de Seguridad, aprobado por Real Decreto 994/99, de 11 de junio, tipificada como grave en el artículo 44.3 h) de dicha Ley Orgánica.
II. La resolución impugnada, señalaba como hechos probados:
1º: El día 11 de julio de 2000, desde un ordenador de trabajo ubicado en la Agencia de Protección de Datos, se obtuvo, a través de Internet, un fichero en formato comprimido pero no encriptado, que contenía un tabla con 1.722 registros con datos de carácter personal relativos a Número de Cuestionario, Nombre, Sexo, Edad, Número de Teléfono, Localidad, Provincia, Código de Nacionalidad, Código de Nivel de Estudios, Código de Profesión/Trabajo, Clase Social Subjetiva, Código de Estado Civil, Número de Hijos, Grado de Apoyo de la Familia, Código de Asistencia Previa a un Programa de Tv, Nombre del Programa de Tv (En Su Caso) y Grado de Interés (Escala 0-7) mostrado respecto de cada uno de los siguientes 12 Factores Distintos de Motivación (F1-F12): por su carácter competitivo; porque me gustan las experiencias nuevas y diferentes; en lo que concierne a mi futura proyección social- quiero ser famoso; exclusivamente por el premio en metálico; porque sé que puedo controlar perfectamente estas situaciones; por mi prestigio personal; porque me pagarán durante este tiempo -me parece interesante y no tengo otra cosa que hacer; porque me gustan las experiencias y relaciones con la gente; porque me parece una experiencia que socialmente puede ser positiva; porque creo que puedo ayudar y conocer mejor a los demás y a mí mismo; porque voy a demostrar públicamente que soy el mejor,. porque quiero saber dónde está mi límite (documentos 24 a 73)
2º: LA ENTIDAD "A" ha producido una serie televisiva (programa-concurso) denominada XXX, que es emitida por la cadena ZZZ, contando para ello con la colaboración, entre otras, de las siguientes entidades: LA ENTIDAD "B", como compañía especializada en atención telefónica, LA ENTIDAD "C", en su calidad de gabinete de psicólogos, que ha prestado servicios de asesoramiento profesional para la selección de las personas candidatas a participar en el citado programa televisivo (documento 79-80 y 89 a 93).
3º: La colaboración de LA ENTIDAD "B" quedó plasmada en un documento denominado Proyecto Concurso para LA ENTIDAD "A" (documento 213 a 218).
4º: La colaboración de LA ENTIDAD "C" se reflejó en un contrato de fecha 11 de febrero de 2000 (documento 627 a 629).
5º: Hacia el mes de marzo de 2000, LA ENTIDAD "A", decidió la creación de un fichero automatizado de datos de carácter personal con información relativa a personas que pudieran intervenir en los programas producidos por esta compañía, siendo LA ENTIDAD "A" la compañía que decide acerca de su finalidad y usos previstos. Este fichero fue inscrito en el Registro General de Protección de Datos con código 2000900020 y nombre 'CASTING' (documento 80).
6º: Respecto al proceso de selección de los concursantes en el programa XXX, se siguieron las siguientes fases:
FASE 1: Se promocionó el programa- concurso por televisión, haciendo referencia a un número de teléfono a través del que podían inscribirse los interesados. Este número de teléfono era gestionado por LA ENTIDAD "B", quien se encargaba de grabar los datos personales aportados por los aspirantes, utilizando para ello un cuestionario. En total se recibieron unas 7.000 llamadas, obteniéndose datos relativos a: nombre y apellidos, edad, teléfono, dirección, localidad, provincia, nacionalidad, nivel de estudios, profesión o trabajo, estado civil, número de hijos, carácter según el propio aspirante, hobbies, motivación, así como la respuesta a las preguntas: ¿le apoyaría su familia? ¿ha estado antes en un programa de televisión? ¿ cuáles? .Esta compañía también obtuvo las respuestas a un test de motivación, que indicaban el grado de acuerdo o desacuerdo de los participantes con cada una de doce frases que se les formulaban. Como resultado de esta fase se obtuvo un fichero conteniendo los datos citados, en número de registros inferior a 7.000, el cual fue remitido a la coordinadora del proyecto en LA ENTIDAD "A", Dña............................, a través del correo electrónico sin encriptar, en distintos trozos a medida que se iban grabando los datos.
FASE 2: Haciendo uso del fichero elaborado a partir de la información grabada por LA ENTIDAD "B", el gabinete de psicólogos ENTIDAD "C". se encargó de seleccionar unas 2.681 personas, que fueron tipificadas por D........................ (sociólogo colaborador del gabinete de psicólogos y Administrador de LA ENTIDAD "D".), a partir de los datos proporcionados por LA ENTIDAD "A", de acuerdo a su profesión declarada y nivel de estudios, siéndoles asignado un código denominado CLASE SOCIAL SUBJETIVA (CSS). A continuación, D............................ remitió a Dña..............................el fichero conteniendo la información obtenida por LA ENTIDAD "B" y complementada con el citado código. Este envío se realizó en dos tandas: una primera incompleta con unos 1.800 registros y otra posterior completa conteniendo los 2.681 registros. En ningún caso se envió ni recibió la información encriptada. Teniendo como base este nuevo fichero, LA ENTIDAD "A" llamó telefónicamente a los participantes para convocarles a un casting, que se realizó en diversas poblaciones del territorio español en función de la localización geográfica del participante. En este casting se les sometió a una prueba de cámara/imagen y a los siguientes tests: Cuestionario Biográfico, Cuestionario de Hábitos y Preferencias, Cuestionario de Personalidad Propia y de la Personalidad de la Pareja Ideal, incluyendo éstos dos últimos una hoja de respuestas para su lectura mecánica. Estos tests fueron entregados por LA ENTIDAD "A" a D................................., el cual colaboró también con LA ENTIDAD "C" y se encargó de mecanizarlos para su lectura óptica.
FASE 3: A partir de los resultados obtenidos en la fase anterior, LA ENTIDAD "A" y el gabinete de psicólogos convocaron nuevamente a unos 200 seleccionados con objeto de someterles a una nueva prueba de cámara/imagen y a un nuevo test de inteligencia y psicopatías, que contenía también dos hojas de respuestas para lectura mecánica. La lectura de estos tests fue mecanizada por LA ENTIDAD "F".
FASE 4: Con los resultados de la fase anterior, se seleccionó un grupo de 57 aspirantes, a los que se sometió a una entrevista personal en la que participó LA ENTIDAD "A" y el gabinete psicológico ENTIDAD "C", resultando como seleccionadas finalmente 25 personas.
FASE 5: De estas 25 personas, D............................. convocó nuevamente a 17, que cumplimentaron un test de inteligencia emocional. A su vez, LA ENTIDAD "A" sometió a esas 17 personas a un test de 100 preguntas diversas (documento 80 a 84).
7º: LA ENTIDAD "A" no dispone de ningún documento que plasme algún tipo de relación establecida con cada una de las personas aspirantes a participar en el : concurso, a excepción de las 14 personas que finalmente han participado en el concurso, con las que sí ha establecido relación contractual de tipo laboral y mercantil (documento 83). Ni LA ENTIDAD "A" ni el resto de las empresas que han participado en el proceso de selección de los concursantes han informado ni obtenido el consentimiento para crear un fichero y cederlo.
8: Como resultado de todo el proceso, LA ENTIDAD "A" obtuvo un fichero automatizado en el que figura información relativa a unas 3.000 personas, incluyendo una referencia a la superación o no de cada una de las fases de todo el proceso. Este fichero se organizó a partir de los ficheros remitidos a LA ENTIDAD "A" por las entidades colaboradoras en el proceso (documento 82-83).
9º: LA ENTIDAD "A" no ha firmado ningún contrato específico de confidencialidad con LA ENTIDAD "C" o con LA ENTIDAD "B", en el que pudiesen establecerse las medidas de seguridad a adoptar por estas compañías respecto del tratamiento de los datos personales relacionados con los servicios prestados (documento 84).
10º: En el ordenador de trabajo de Dña.............................., coordinadora de todo el proceso de selección por parte de LA ENTIDAD "A" se verifica por la Inspección el contenido de la bandeja de entrada de su correo electrónico asignado al usuario del ordenador, obteniéndose copia impresa de diversos mensajes remitidos por D............................., con fechas 14/2/2000, 20/2/2000, 23/2/2000, conteniendo diversos cuestionarios, así como algunos ficheros en los que se incluían bases de datos con diversas tablas conteniendo 1.722 registros con datos personales. Asimismo, se encuentra un cuarto mensaje, remitido con fecha 4/3/2000, que contiene un fichero anexo correspondiente a una base de datos que contiene otras dos tablas con datos personales. Igualmente, se encuentran mensajes de correo electrónico remitidos por Dña............................, de LA ENTIDAD "B", con fechas 9/2/2000, 11/2/2000, 14/2/2000 Y 15/2/2000, conteniendo un fichero de inscripciones del día 8 de febrero de 2000 y un fichero XXX del día 14 del mismo mes que incluye datos personales (documentos 86-87 y 106 a 177).
11º: En el momento de primera Inspección, LA ENTIDAD "A" tan sólo tenía en su poder las respuestas de los concursantes correspondientes al Cuestionario Biográfico y al Cuestionario de 100 preguntas. En los Cuestionarios Biográficos se hacen constar los siguientes datos: apellidos y nombre, sexo, provincia, DNI, cuestiones relacionadas con la familia y relaciones de amistad, aspecto físico, procedencia, aficiones y costumbres propias y de la pareja ideal, incluye ndo orientación política y personalidad religiosa (documento 87).
12º: En una segunda Inspección, se encontraron en poder de LA ENTIDAD "A", además de los cuestionarios precitados, otros relativos a cuestionarios de hábitos y preferencias, cuestionario de personalidad propia, cuestionario de personalidad de la pareja ideal y cuestionario para foto y vídeo, todos ellos cumplimentados con datos de carácter personal y con un apartado para observaciones del redactor, rellenado a mano, conteniendo comentarios subjetivos, en su mayoría indecorosos, sobre la apariencia física, psíquica o de comportamiento de quien rellenaba los cuestionarios (documentos 282 a 519).
III. Como primera cuestión, y antes de entrar a examinar las alegaciones en las que la actora fundamenta su pretensión, debemos hacer patente y manifestar nuestra más absoluta discordancia con el contenido del apartado X.10.i.a) de los Fundamentos de Derecho de la demanda, donde crípticamente se ironiza de que el procedimiento sancionador lo fue para preservar la intimidad de unas personas que voluntariamente dieron sus datos para participar en la selección de un programa, en el cual en caso de ser elegidos, 'se deberían despojar de todo derecho a su intimidad al permitir que las cámaras de televisión responsable de la serie emitiese durante las veinticuatro horas los actos más recónditos- tanto fisiológicos como sociológicos de la vida cotidiana de los participantes seleccionados ante una audiencia de once millones de espectadores'. Y ello, porque la participación en un programa, incluso en este, donde va a ser observado a través de las cámaras de televisión por millones de espectadores, no puede 'despojar' a un ciudadano de su derecho a la intimidad, porque su libertad sigue intacta y conserva el pleno derecho a que nadie trate, ceda o revele sus datos personales, aunque voluntariamente el mismo los haya facilitado para concursar.
IV. Se alega por la recurrente vulneración del art. 24 de la Constitución porque las Actas de inspección que es la principal prueba que se incorpora al procedimiento sancionador se obtenga antes de haber dictado el acuerdo de inicio del expediente. El art. 12 del RD 1398/1993, de 4 de agosto, de la potestad sancionadora de la Administración, permite que 'Con anterioridad a la iniciación del procedimiento, se podrán realizar actuaciones previas al objeto de determinar con carácter preliminar si concurren circunstancias que justifiquen tal iniciación. En especial, estas actuaciones se orientarán a determinar, con la mayor precisión posible, los hechos susceptibles de motivar la incoación del procedimiento, la identificación de la persona o personas que pudieran resultar responsables y las circunstancias relevantes que concurran en unos y otros'. Precepto que guarda total congruencia con el art 35 de Ley 30/1992 de RJAPYPAC al establecer como derecho del presunto responsable dentro del procedimiento sancionador a ser notificado de los hechos que se le impute, de las infracciones que tales hechos puedan constituir y de las sanciones, que en su caso, se les pudieran imponer. El cumplimiento de dicha norma en muchos casos solamente puede ser posible a través de una actuación previa, y sobre todo en un supuesto como el presente, de gran complejidad, donde es preciso determinar previamente quienes son las posibles personas imputadas y sobre que concretos hechos se incoa el procedimiento. No obstante, en el caso enjuiciado, no se han obtenido en su totalidad las pruebas de cargo con anterioridad a la iniciación del expediente, sino exclusivamente, algunas de ellas, como las Actas de Inspección, que fueron levantadas los días 14, 17 y 20 julio de 2000, mientras que la incoación del expediente tuvo lugar el día 28 de ese mismo mes y año. Cosa distinta sería, 'que la totalidad de las pruebas de cargo, se obtengan innecesariamente antes de haber iniciado el expediente', como entiende el tratadista citado por la actora, en apoyo de su tesis; porque entonces las actuaciones de comprobación e inspección se habrían practicado sin intervención del imputado
En nuestro caso, se ha cumplido el principio de contradicción tanto en las pruebas practicadas con posterioridad a la incoación del procedimiento, como con respecto a las anteriores, puesto que las actas fueron levantadas con la intervención de la actora a través de sus representantes legales, en las que efectuaron cuantas manifestaciones tuvieron por conveniente y de las que tuvieron perfecto conocimiento de su contenido al obtener copia de las mismas.
A estos efectos, el Tribunal Constitucional ha ido elaborando progresivamente una doctrina que asume la vigencia en el ámbito administrativo sancionador de un conjunto de garantías derivadas del contenido del art. 24 CE, de las que, conforme se expuso en la STC 7/1998, conviene destacar ahora el derecho de defensa, excluyente de la indefensión (SSTC 4/1982, 125/1983, 181/1990, 93/1992, 229/1993, 95/1995, 143/1995). En este sentido, ha afirmado la exigencia de que el implicado disfrute de una posibilidad de defensa previa a la toma de decisión y, por ende, que la Administración siga un procedimiento en el que el expedientado tenga oportunidad de aportar y proponer las pruebas que estime pertinentes y alegar lo que a su derecho convenga (SSTC 18/1981, 2/1987, 229/1993, 56/1998), la vigencia del derecho a la utilización de los medios pertinentes para la defensa (SSTC 12/1995, 212/1995, 120/1996, 127/1996, 83/1997).
Y si vemos como la actora, en todo caso, a lo largo del procedimiento administrativo ha tenido ocasión de alegar y formular prueba sobre los hechos documentados en la actas de inspección ha de convenirse que no se ha producido ni por asomo la vulneración denunciada.
V. Sobre las declaraciones efectuadas por el Director de la Agencia de Protección de Datos a un medio de comunicación, sin perjuicio de que los comentarios vertidos puedan constituir una incorrección administrativa, no inciden en el procedimiento sancionador, ni alteran los hechos enjuiciados, ni tampoco su calificación jurídica que queda plasmada en la resolución impugnada. Además, en dichas declaraciones el Sr. Director de la Agencia ni valora, ni califica, ni enjuicia el procedimiento, sino que se limita simplemente a anunciar a la opinión pública que se están investigando unos hechos que podrían ser sancionables según la legislación de protección de datos.
Por tanto, tampoco puede hablarse de que se haya cercenado su derecho de defensa, que se ha mantenido intacto, al menos por esa causa. Y respecto a la arbitrariedad denunciada, a lo largo de esta resolución tendremos ocasión de examinar si la Administración, tal y como le ordena el art. 103.1 de la Constitución ha cumplido o no con su deber de sometimiento pleno a la Ley y al Derecho, pero debe adelantarse que las declaraciones referidas en si mismas consideradas no implican una vulneración del principio de interdicción de la arbitrariedad, ni constituyen una actuación administrativa de tal grado que haya contaminado los sucesivos trámites del procedimiento sancionador.
VI. Ya centrándonos en los motivos articulados contra las sanciones impuestas, se alega primeramente por la actora, la inimputabildad de LA ENTIDAD "A" del incumplimiento del deber de información contenido en el art. 5º de la Ley Orgánica 15/1999, de 13 de diciembre, puesto que LA ENTIDAD "A" encargó la recogida de datos personales a LA ENTIDAD "B", para lo cual celebró un contrato que figura incorporado en el expediente (folios 97 a 100), siendo pues ésta la única responsable. Imputar a su representada los actos de otro supone quebrar la exigencia de culpabilidad. Según consta acreditado en expediente, el proceso de selección de participantes en el programa televisivo XXX se llevó a cabo mediante una primera toma de datos llevada a cabo por LA ENTIDAD "B" en la que se recogían en un fichero los datos personales identificativos de los interesados en participar.
En los folios 213 a 218 se encuentra unido un proyecto- concurso de LA ENTIDAD "A", por el que LA ENTIDAD "B" presenta a LA ENTIDAD "A" una propuesta para recibir las llamadas de los interesados en concursar en el programa de televisión XXX. Indicándose que se informará al llamante delas bases del concurso y, si está interesado, se le tomará los datos personales y se le realizará un cuestionario de 12 preguntas. Dicho documento no se encuentra firmado por parte de LA ENTIDAD "A". Sin embargo aparecen dos copias del mismo en los folios 97 a 100 y 621 a 624, donde aparece una firma ilegible en el espacio de firma de LA ENTIDAD "A" (en el primero la firma está tan borrosa que a penas se distingue), sin ninguna indicación de quien es la persona que asume la representación de LA ENTIDAD "A".
Pues bien, en dicho documento, calificado como contrato por la actora, LA ENTIDAD "B", como proponente de una oferta de servicio, no asume ninguna obligación derivada de la legislación de protección de datos, ni LA ENTIDAD "A" que se limita a aceptar la propuesta que se le formula, la exige.
De cualquier forma, la toma de datos la realizó LA ENTIDAD "B" por cuenta y encargo de LA ENTIDAD "A", siendo ésta la beneficiaria del fichero, y el que decidió, como responsable del mismo (art. 3.d) de la Ley 15/99), sobre la finalidad, contenido y uso del tratamiento. Así las cosas, la entidad actora no puede eludir la responsabilidad del cumplimiento de una de las garantías establecidas para la protección de los datos de carácter personal, cual es el deber de información contenido en el art. 5º de la Ley 15/1999, haciéndola recaer en la entidad con la que contrató el servicio, desentendiéndose por completo de una obligación que le impone la Ley, puesto que ni exigió su cumplimiento a LA ENTIDAD "B", ni adoptó alguna previsión al respecto, ni efectuó el menor seguimiento con tal fin.
Con semejante proceder, sin duda alguna, LA ENTIDAD "A" habría infringido la obligación que le impone el citado art. 5º e de informar de 'modo expreso, preciso e inequívoco' a los interesado a los que se solicite datos personales de:
"a) De la existencia de un fichero automatizado de datos de carácter personal, de la finalidad de la recogida de estos y de los destinatarios de la información.
b) del carácter obligatorio o facultativo de su respuesta a las preguntas que le sean formuladas.
c) De las consecuencias de la obtención de datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación cancelación.
e) De la identidad y dirección del responsable del fichero'.
Y concurre el elemento subjetivo de la culpabilidad por ser el responsable del fichero y no haber observado ninguna conducta dirigida al cumplimiento de dicha obligación, ni directamente ni a través de la entidad a la que encargó la prestación del servicio.
Pero es que además, en una segunda fase, LA ENTIDAD "A"convocó directamente a unos 200 seleccionados con objeto de someterles a una prueba de cámara/imagen y a un nuevo test de inteligencias y psicopatía, y tampoco informó a los afectados. Posteriormente, LA ENTIDAD "A" sometió a 17 personas a un test de 100 preguntas diversas, sin proporcionar a estas tampoco ningún tipo de información.
En definitiva, la entidad actora era la responsable del tratamiento y además participó de forma activa en la recogida de datos, por lo que a ella le es imputable de no haber informado a los afectados de modo expreso, preciso e inequívoco en los términos establecidos en el art. 5º de la Ley 15/1999.
Debiéndose hacer notar que el contenido de los apartados a) y e) del citado artículo son siempre de obligada información a los interesados, por imperio del aparatado 3º de dicho artículo, sin que quepa su exclusión por el hecho de que los datos sean dados voluntariamente por los interesados y conociendo su finalidad.
El cumplimiento de la normativa contenida en la
VI. Por lo que respecta a la segunda infracción, el Artículo 6 de la Ley 15/99 establece que: '1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.
2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del art. 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos. 4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.'
Por su parte el art 7 de la misma Ley establece que: '1. De acuerdo con lo establecido en el apartado 2 del art. 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo. 2. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.3. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente. 4. Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual. 5. Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras. 6. No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este artículo, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto. También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento'. Está perfectamente acreditado, y así obra en el expediente en el que aparece unido anexo al Acta de Inspección de 12 de julio de 2000, un denominado 'Cuestionario de Hábitos', donde se pregunta si la izquierda es la única opción válida para la igualdad de las personas, si vota a partido de izquierdas, si puede vivir perfectamente sin Dios y sin religión, si es religioso practicante, si los homosexuales le ponen nervioso, si le gusta el sexo con personas del mismo sexo etc. (folio 110) y en el aparatado de 'Preferencias', si se considera una persona religiosa, si es de derechas, etc. (folio 109). En el Biográfico se le pregunta por el tamaño de su trasero (con perdón) (sic), y si es mujer, por el de su pecho. Todos estos datos fueron tratados informáticamente, y aunque es cierto que fueron dados de forma voluntaria por aquellas personas que deseaban participar en el concurso de Gran Hermano, se precisa, de acuerdo el con el art. 7.2 de la Ley 15/1999, el consentimiento 'expreso y por escrito' del afectado para el tratamiento de los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. En ellos existe un apartado, con las observaciones del redactor escritas a mano que contienen comentarios subjetivos, poco respetuosos con las personas. Como muestra, basta el siguiente ejemplo: 'No me gusta, tiene pinta de yonki' (folio 386). También ha quedado acreditado el tratamiento relativo a la salud mental de los participantes en el proceso de selección por el gabinete de psicólogos de LA ENTIDAD "C", a quienes les sometió, según se especifica en las estipulaciones del contrato suscrito con LA ENTIDAD "A" (folio 628) a pruebas de evaluación de la fuerza emocional, vulnerabilidad ante el estrés, informes psicológicos semanales, informe sociológicos quincenales, KBP. En definitiva, no bastaba con el consentimiento tácito de los afectados, sino que estos datos a los que la Ley otorga una protección especial, precisan para su tratamiento el consentimiento expreso de la persona. Además, cuando en relación con estos datos, conforme al apartado 1 del art. 7, se proceda a recabar el consentimiento, se advertirá al interesado de su derecho a no prestarlo. Advertencia que en ningún momento se ha efectuado. Y es evidente que el mero hecho de rellenar los cuestionarios para participar en el concurso no puede ser tomado como la expresión de una voluntad consciente e informada para que el tratamiento automatizado de tales datos se verifique. Es así que no puede afirmarse que el consentimiento de los aspirantes se haya prestado con conocimiento cabal de su exacto alcance y finalidad, ni tan siquiera para que el tratamiento de datos se efectuara. Porque una cosa es dar unos datos personales para participar en un concurso televisivo, y otra muy distinta es prestar el consentimiento para que dichos datos se traten informáticamente.
VII. Sobre la imputación de la infracción del Artículo 11 de la Ley 15/19999, dicho precepto establece:
'1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
2. El consentimiento exigido en el apartado anterior no será preciso:
a) Cuando la cesión está autorizada en una ley.
b) Cuando se trate de datos recogidos de fuentes accesibles al público.
c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
e) Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.
3. Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar.
4. El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.
5. Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley.
6. Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores'. Está perfectamente acreditado que haciendo uso del fichero elaborado a partir de la información grabada por LA ENTIDAD "B", el gabinete de psicólogos de LA ENTIDAD "C" se encargó de seleccionar unas 2.681personas, que fueron tipificadas por D............................... (sociólogo colaborador del gabinete de psicólogos y Administrador de LA ENTIDAD "D"), a partir de los datos proporcionados por LA ENTIDAD "A", de acuerdo a su profesión declarada y nivel de estudios, siéndoles asignado un código denominado CLASE SOCIAL SUBJETIVA (CSS). A continuación, D................................. a Dña........................el fichero conteniendo la información obtenida por LA ENTIDAD "B" y complementada con el citado código. Este envío se realizó en dos tandas: una primera incompleta con unos 1.800 registros y otra posterior completa conteniendo los 2.681 registros. En ningún caso se envió ni recibió la información encriptada. Teniendo como base este nuevo fichero, LA ENTIDAD "A" llamó telefónicamente a los participantes para convocarles a un casting, que se realizó en diversas poblaciones del territorio español en función de la localización geográfica del participante. En este casting se les sometió a una prueba de cámara/imagen y a los siguientes tests: Cuestionario Biográfico, Cuestionario de Hábitos y Preferencias, Cuestionario de Personalidad Propia y de la Personalidad de la Pareja Ideal, incluyendo éstos dos últimos una hoja de respuestas para su lectura mecánica. Estos tests fueron entregados por LA ENTIDAD "A" a D..................................., el cual colaboró también con el gabinete de la ENTIDAD "C" y se encargó de mecanizarlos para su lectura óptica. FASE 3: A partir de los resultados obtenidos en la fase anterior, LA ENTIDAD "A" y el gabinete de psicólogos convocaron nuevamente a unos 200 seleccionados con objeto de someterles a una nueva prueba de cámara/imagen y a un nuevo test de inteligencia y psicopatías, que contenía también dos hojas de respuestas para lectura mecánica. La lectura de estos tests fue mecanizada por LA ENTIDAD"E". FASE 4: Con los resultados de la fase anterior, se seleccionó un grupo de 57 aspirantes, A los que se sometió a una entrevista personal en la que participó LA ENTIDAD "A" y el gabinete de LA ENTIDAD "C", resultando como seleccionadas finalmente 25 personas. FASE 5: De estas 25 personas, D............................. convocó nuevamente a 17, que cumplimentaron un test de inteligencia emocional. A su vez, LA ENTIDAD "A" sometió a esas 17 personas a un test de 100 preguntas diversas (documento 80 a 84). La conducta del recurrente está perfectamente incardinada en el tipo infractor que es, la comunicación o cesión de datos de carácter personal, fuera de los casos en que estén permitidas (art. 43.4.b) de la LOPDCP). Si acudimos al art. 11 de dicha Ley, se dispone que 'Los datos de carácter personal objeto del tratamiento automatizado solo podrán ser cedidos para el cumplimiento de fines directamente relacionados con lasfunciones legítimas del cedente y cesionario con el previo consentimiento del interesado'. A continuación dicho precepto enumera una serie de supuestos en los que no es preciso el consentimiento: cuando esté autorizado en una Ley; cuando se trate de datos accesibles al público; cuando el establecimiento del fichero automatizado responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho fichero con fichero de tercero. En este caso la cesión solo será legítima cuando se limite a la finalidad que lo justifique; cuando la cesión se haga al defensor del Pueblo, Ministerio Fiscal o los Jueces o Tribunales, en el ejercicio de sus funciones; y cuando se trata de datos de carácter personal relativos a la salud, en los caso que se citan.
De acuerdo con el art. 12 de la Ley Orgánica de 15/99, que contempla la prestación de servicios de tratamiento automatizado de datos por cuenta de tercero, estaría amparada la relación entre LA ENTIDAD "A" y el gabinete de LA ENTIDAD "C", en virtud del contrato suscrito entre ellos, en fecha 11 de febrero, de 2000 para la selección de concursantes. Y ello es completamente natural, porque si esta entidad ha de realizar los trabajos de selección estipulados en el contrato, es preciso que LA ENTIDAD "A" previamente le ceda aquellos datos de concursantes obtenidos de las primeras selecciones.
Así pues, la cesión de datos a LA ENTIDAD "C", era totalmente legítima, pero no lo era la realizada a los señores D............................... y D............................, con los que LA ENTIDAD "A" no tenía relación jurídica alguna porque con ellos no había firmado contrato alguno, y en ese caso se precisaba el pertinente consentimiento de los afectados. La parte actora, para negar la existencia de esa cesión inconsentida, alega que la cesión de datos a D....................... y D................................. se hizo teniendo en cuenta que eran miembros del gabinete de psicólogos de LA ENTIDAD "C". En fase de prueba, a través de la prueba testifical, en la que han depuesto Dª....................., Productora ejecutiva de LA ENTIDAD "A", y D..............................., apoderado de aquella sociedad, ha tratado de acreditar la existencia de dicha vinculación.
Pero lejos de la credibilidad que nos merezca una empleada de la propia recurrente y de la versión que nos pueda dar el representante de la empresa cesionaria de los datos de unos hechos por los que también puede ser sancionada, lo cierto y verdad es la existencia de facturas entre el gabinete y estas personas (folios 522 y 523), y que D................................. es Administrador de LA ENTIDAD "D" cuya personalidad jurídica es distintade la de LA ENTIDAD "C", y que la cesión de datos no está regida por ningún contrato escrito. Simplemente, la cesión de datos se ha producido materialmente sin ningún tipo de garantía respeto a su tratamiento, a posibles cesiones posteriores, o a su confidencialidad. Y al faltar el contrato exigido en el art. 12 de la LOPDCP, se precisaba el consentimiento previo de los interesados para la cesión de los datos.
Y desde luego no puede compartirse la tesis actora sobre el concepto de cesión de datos que nos ofrece, utilizando en su apoyo la obra del tratadista anteriormente mencionado que entiende que la cesión supone siempre la pérdida de aquello que se cede, en base a los artículos 1.175, 1198, 1525 del Código Civil sobre la cesión de créditos, derechos o acciones, y al art. 640 sobre cesión de la posesión, puesto que la cesión a la que se refiere la Ley Orgánica de Protección de Datos tiene un contenido muy concreto que no precisa ser extraído fuera de su articulado. En el art. 3.i) de la de dicha Ley, bajo la rúbrica de las Definiciones, se dice que Cesión o comunicación de datos es toda revelación de datos realizada a una persona distinta del interesado.
En lo que respecta a la vulneración de principio 'non bis in idem', íntimamente ligado con los principios de legalidad y tipicidad de las infracciones recogido en el art. 25 de la Constitución, para su existencia se precisa, de acuerdo con la doctrina científica y jurisprudencial la existencia de una triple identidad: de sujetos, de fundamento y de hechos. La identidad de sujetos es indiscutible, porque es al mismo al que se le imponen las sanciones, pero no concurre ni la identidad de hechos ni fundamento.
En efecto, se trata de dos hechos distintos, por un lado, el tratamiento automatizado de datos especialmente protegidos sin consentimiento expreso del afectado, y, por otro, la cesión de esos datos sin contar con el consentimiento de la persona a quien se refieren los mismos, y cada uno de ellos constituye infracción distinta, y así lo ha considerado el legislador al prever para cada uno de ellos un tipo infractor distinto y una consecuencia jurídica (sanción), totalmente distinta.
VIII. Por último, se imputa a LA ENTIDAD "A", la infracción consistente en no adoptar las medidas de seguridad pertinentes y suficientes respecto a los ficheros automatizados creados conteniendo datos de carácter personal El Artículo 9 de la Ley Orgánica 15/1999, dispone que :'1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el art. 7 de esta Ley'.
Por su parte el Reglamento de Medidas de Seguridad, aprobado por Real Decreto 994/99, de 11 de junio, dispone en su artículo 4º:
1. Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico.
2. Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el art. 28 de la
3. Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas de nivel alto.
4. Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio establecidas en los arts. 17, 18, 19 y 20.
5. Cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes. Teniendo en cuenta que los ficheros contienen un conjunto de datos de carácter personal suficientes para haber permitido la evaluación de la personalidad de las personas que optaban a participar en el concurso, deberán garantizar las medidas de nivel medio establecidas en los arts. 17, 18, 19 y 20 del Real Decreto 994/1999, de 11 de junio.
El artículo 17 establece que los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoría interna o externa, que verifique el cumplimiento del presente Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años.
El artículo 18 impone la obligación al responsable del fichero de establecer un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.
El artículo 19, establece que exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los locales donde se encuentren ubicados los sistemas de información con datos de carácter personal.
El artículo 20, sobre Gestión de soportes, exige establecer un sistema de registro de entrada de soportes informáticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el emisor, el número de soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada.
Igualmente, exige disponer de un sistema de registro de salida de soportes informáticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el destinatario, el número de soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la entrega q ue deberá estar debidamente autorizada.
También se contienen prevenciones cuando un soporte vaya a ser desechado o reutilizado y cuando los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros.
Las prevenciones de seguridad calificadas de nivel básico, consisten en la elaboración de un Documento de seguridad, que según el art. 8 del Real Decreto 994/1999, de 11 de junio, deberá contener, como mínimo, los siguientes aspectos:
a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos. b) Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento. c) Funciones y obligaciones del personal. d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. e) Procedimiento de notificación, gestión y respuesta ante las incidencias. f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos.
Además, el documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo y el contenido del documento deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.
Exigiéndose también definir y documentar las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los sistemas de información y adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento (art. 9).
La elaboración de un registro de incidencias en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se le comunica y los efectos que se hubieran derivado de la misma (art. 10).
Relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y autenticación para dicho acceso (art 11).
Control de acceso de usuarios (art. 12).
Gestión de soportes, a fin de que los soportes informáticos que contengan datos de carácter personal deban permitir identificar el tipo de información que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello en el documento de seguridad (art. 13).
Encargarse de verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos. Debiéndose realizar copias de respaldo, al menos semanalmente, salvo que en dicho período no se hubiera producido ninguna actualización de los datos. (art. 14).
Ahora bien, la Disposición Transitoria Única de dicho Real Decreto, establece que 'En el caso de sistemas de información que se encuentren en funcionamiento a la entrada en vigor del presente Reglamento, las medidas de seguridad de nivel básico previstas en el presente Reglamento deberán implantarse en el plazo de seis meses desde su entrada en vigor, las de nivel medio en el plazo de un año y las de nivel alto en el plazo de dos años'.
Según su Disposición final única, entró en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado», que se produjo el 25-06-1999. Quiere decirse que hasta el día 26 de diciembre de 1999 las medidas de seguridad de nivel básico no eran obligatorias.
Sin embargo el Real Decreto 195/2000 de 11 de febrero, en su artículo único estableció que 'Los sistemas de información que se encuentren en funcionamiento a la entrada en vigor del Reglamento, aprobado por el Real Decreto 994/1999, de 11 de junio, deberán implantar las medidas de seguridad de nivel básico previstas por dicho Reglamento en un plazo que finalizará el día 26 de mazo de 2000'.
Quiere decirse que a partir de marzo de 2000, le era exigible a la entidad actora la adopción de medidas de seguridad de nivel básico. Pues bien, ante semejante obligación la parte recurrente alega en su descargo que sí adoptó las medidas de nivel básico, dado que en primer lugar existía el Documento de Seguridad, incorporado como documento (folios 94 a 96 del expediente), confeccionado por LA ENTIDAD "H", que es la entidad con la que su representada contrató el servicio de tratamiento de datos -outsourcing-, cumpliendo con ello lo exigido en el aparatado 2º del art. 12 de la L.O.P.D., la medida se cumplió, pues dicha Ley no exige en ninguno de sus preceptos que el documento de seguridad sea elaborado por el responsable del tratamiento; y además porque D...............................actuando como jefe de seguridad facilitó a los inspectores de la Agencia de Protección de Datos facilitó la contraseña de accesos, como reconoce la propia Inspección.
En lo concerniente al primer punto, ha de decirse que LA ENTIDAD "A" y LA ENTIDAD "H", tienen idéntica sede social y forman parte en la actualidad del mismo grupo empresarial, estando la segunda participada por la primera y por LA ENTIDAD "G". en una proporción 45%-55%, según se hace constar en el Acta de Inspección de 12 de julio de 2000 E/00167/2000-I/ 2000 (folio 79). Y que efectivamente se halla aportado al expediente (folios 94-96) un documento sin firmar de Medidas de Seguridad elaborado por LA ENTIDAD "H" y referida exclusivamente al ámbito de dicha empresa, en el que no se hace la menor referencia a LA ENTIDAD "A". Por lo que hace a que el jefe de seguridad facilitara a los inspectores de la Agencia de Protección de Datos la contraseña de accesos, no implica el cumplimiento de las normas de seguridad exigida en norma reglamentaria. Y tanto es así que los servicios de inspección de la Agencia de Protección de Datos, pudieron comprobar desde un ordenador personal la publicación a través de Internet de un fichero que contenía el una tabla con 1722 registros con datos de carácter personal de aspirantes al concurso XXX.
Por todo lo dicho, ha de llegarse a la conclusión que a la sociedad recurrente se le ha sancionado por no adoptar las medidas de seguridad que exige el art. 9 de la Ley 15/1999, pero que se especifican en vía reglamentaria, y que por las razones que se han dicho, le son exigibles, al menos, la adopción de medidas de seguridad de nivel básico. En efecto, el tipo infractor descrito en el art. 44.3.h), calificado como grave, es el de 'Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen', y como hemos visto por vía reglamentaria se ha determinado suficientemente esas condiciones de seguridad.
A juicio de la actora dicho precepto debe ser reputado nulo porque infringe el art. 25 de la CE. por cuanto no establece unos criterios objetivos que condicionen la tarea del operador jurídico cuando llegue el momento de subsumir la infracción en el catálogo de sanciones. La regla de la tipicidad no impide que el tipo pueda contener, junto a elementos descriptivos, otros elementos normativos que requieren una valoración por parte del interprete o del Juez que ha de aplicar la Ley, valoración que puede realizarse bien con arreglo a los datos y reglas que suministra la experiencia, bien conforme a otras normas jurídicas, bien según criterios éticos sociales. Así lo ha venido reconociendo el Tribunal Constitucional en su sentencia 62/1982, de 15 de octubre, F.J. 7ª que 'el principio de tipicidad no queda infringido en los supuestos en que la definición del tipo incorpora conceptos cuya delimitación permite un margen de apreciación', ni desde luego, 'el principio de tipicidad excluye toda intervención del Reglamento pues cabe que la Ley defina el núcleo básico calificado como ilícito y los límites impuestos a la actividad sancionadora y que el Reglamento desarrolle tales previsiones actuando como complemento indispensable de la Ley' (SSTTSS de 21 de marzo, 28 de junio y 1 de julio de 1991 y 4 y 6 de mayo de 1992). El hecho de que en atención al contenido del tratamiento existan tres niveles de seguridad: básico, medio y alto, y que para los tres se imponga la misma sanción sin contemplar para cada una de ellas una distinta consecuencia, entra de lleno en la potestad del legislador, que ha optado por no hacer distinción casuística, y considerar sancionable conforme al art. 44.3.h) de la Ley todo mantenimiento de datos sin las debidas condiciones de seguridad que por vía reglamentaria se determinen. Con lo cual la trascendencia del incumplimiento afecta no a la tipicidad sino a la culpabilidad.
IX.- En cuanto a la vulneración del principio de proporcionalidad, tampoco puede ser acogido, debiéndose poner de relieve la rechazable conducta observada a lo largo de todo el proceso selectivo para el concurso, llevado a cabo por la entidad actora, al tratar en un fichero automatizado datos especialmente protegidos, sobre su ideología, religión o creencias, sin consentimiento expreso de los interesados, y sin informarles lo más mínimo de la finalidad, objeto y sentido del tratamiento. Datos que fueron cedidos a personas con los que la actora no tenía relación jurídica alguna y sin ninguna base contractual, sin las más mínimas garantías, sin firmar con ninguna de ellas contrato de confidencialidad, haciendo calificaciones sobre aptitudes y capacidades intelectuales y físicas y emitiendo juicios atentatorios a la propia dignidad de la persona. La falta de control, la descoordinación, la no adopción de medidas de seguridad oportunas, dieron como resultado la publicación en Internet de una lista de aspirantes al concurso.
Así las cosas, a juicio de la Sala, la Agencia de Protección de Datos ha graduado correctamente la cuantía de las sanciones impuestas, dentro de los límites establecidas para cada una de ellas en el art. 45.1, atendiendo a la naturaleza de los derechos personales afectados (datos especialmente protegidos), al volumen de los tratamientos efectuados (7.000 personas aproximadamente) y al beneficio obtenido (por la actora se hace alarde de la alta audiencia que alcanzó el programa, con más de 11 millones de espectadores), conforme al art. 45.4 de la repetida LORTAD. Desde luego, no puede decirse que se ha vulnerado el principio de proporcionalidad, cuando la conducta observada por la entidad recurrente en la recogida de datos para la confección de un fichero sobre posibles concursantes del programa que conocemos, se ha basado en el más completo desprecio hacia la exigencia del consentimiento consciente e informado de los afectados. Exigencia de mayor intensidad cuando se refiere a los denominados 'datos sensibles', como pueden ser, de una parte, la ideología o creencias religiosas -cuya privacidad está expresamente garantizada en el art. 16.2 de la Constitución- y , por otra parte la raza, la salud y la vida sexual.
Y no solo no se ha apreciado una cualificada disminución de la culpabilidad del imputado o de la antijuricidad del hecho, para poder disminuir la cuantía de la sanción, como permite el art. 45.5, sino que al contrario concurre en la conducta de LA ENTIDAD "A" un plus de ilicitud que no permite sino confirmar lo actuado por el órgano sancionador. Razones todas ellas que conducen a la desestimación total del recurso.
X. No concurren las causas expresadas en el art. 139 de la LJCA para imponer las costas a ninguna de las partes.
FALLO
Que desestimamos el recurso contencioso administrativo interpuesto por la representación procesal de LA ENTIDAD "A" contra los actos impugnados, que declaramos conformes al ordenamiento jurídico, por lo que se confirman, así como las sanciones impuestas; sin costas.
Así, por esta nuestra sentencia de la que se llevara testimonio a las actuaciones, lo pronunciamos, mandamos y firmamos.