STS, 4 de Noviembre de 2013

• Ponente: JOSE MARIA DEL RIEGO VALLEDOR
• ECLI: ES:TS:2013:5701
• Número de Recurso: 1293/2011
• Procedimiento: RECURSO CASACIÓN
• Fecha de Resolución: 4 de Noviembre de 2013
• Emisor: Tribunal Supremo - Sala Tercera, de lo Contencioso-Administrativo

Sentencia citada en: 5 sentencias

SENTENCIA

En la Villa de Madrid, a cuatro de Noviembre de dos mil trece.

Visto por esta Sección Sexta de la Sala Tercera del Tribunal Supremo el recurso de casación número 1293/2011, interpuesto por el Colegio Oficial de Ingenieros de Telecomunicación, representado por el Procurador D. Ramiro Reynolds Martínez, contra la sentencia de 25 de noviembre de 2010, dictada por la Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, en el recurso número 757/2009 , sobre infracción de la Ley Orgánica de Protección de Datos de Carácter Personal, en el que ha intervenido como parte recurrida la Administración General del Estado, representada por el Abogado del Estado

ANTECEDENTES DE HECHO

PRIMERO

La Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, dictó sentencia el 25 de noviembre de 2010 , con los siguientes pronunciamientos en su parte dispositiva:

"DESESTIMAR el recurso contencioso-administrativo interpuesto por el COLEGIO OFICIAL DE INGENIEROS DE TELECOMUNICACION , representado por la Procuradora Sra. Hijosa Martínez contra la resolución del Director de la Agencia Española de Protección de Datos, de fecha 8 de septiembre de 2009, recaída en el procedimiento AP/00008/2009; sin expresa imposición de costas."

SEGUNDO

Notificada la sentencia, se presentó escrito por la representación procesal del Colegio Oficial de Ingenieros de Telecomunicación, ante la Sala de lo Contencioso Administrativo de la Audiencia Nacional, manifestando su intención de interponer recurso de casación, y el Secretario Judicial, por diligencia de ordenación de 23 de febrero de 2011, tuvo por preparado el recurso, con emplazamiento de las partes ante esta Sala del Tribunal Supremo.

TERCERO

Con fecha 6 de abril de 2011 se presentó por el Colegio Oficial recurrente escrito de interposición del recurso de casación, en el que expuso los motivos en que se fundamentaba, y solicitó a esta Sala que dicte sentencia por la que se declare caducado el derecho a sancionar y, subsidiariamente, nula y contraria a derecho la Resolución del Director de la Agencia Española de Protección de Datos de 8 de septiembre de 2009, recaída en el procedimiento AP/00008/2009, que declara que el Colegio Oficial de Ingenieros de Telecomunicación ha infringido lo dispuesto en el artículo 9 de la LOPD , infracción tipificada como grave en el artículo 44.3 h) de la citada Ley .

CUARTO

Admitido a trámite el recurso, se dio traslado a la parte recurrida, a fin de que manifestara su oposición al recurso, lo que verificó el Abogado del Estado por escrito de 23 de diciembre de 2011, en el que solicitó a esta Sala que dicte sentencia de desestimación del recurso.

QUINTO

Conclusas las actuaciones, se señaló para votación y fallo el día 29 de octubre de 2013, fecha en que tal diligencia ha tenido lugar.

Siendo Ponente el Excmo. Sr. D. Jose Maria del Riego Valledor, Magistrado de la Sala.

FUNDAMENTOS DE DERECHO

PRIMERO

Se interpone recurso de casación contra la sentencia dictada por la Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, de 25 de noviembre de 2010 , que desestimó el recurso interpuesto por el Colegio Oficial de Ingenieros de Telecomunicación (COIT), también aquí recurrente, contra el acuerdo del Director de la Agencia Española de Protección de Datos (AEPD), de 8 de septiembre de 2009, que declaró que el Colegio recurrente había incurrido en una infracción del artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD ), tipificada como grave por el artículo 44.3.h) del mismo texto legal .

SEGUNDO

El recurso de casación se articula en cinco motivos: el primero denuncia vulneración por la sentencia impugnada de las normas que regulan la caducidad del procedimiento, el segundo alega la infracción por la sentencia del principio de tipicidad contenido en los artículos 9 y 25 CE y 129 LRJPAC, el tercero refiere vulneración del principio de culpabilidad de los artículos 9 y 25 CE y 130 LRJPAC, el cuarto denuncia la infracción del principio de tutela judicial efectiva del artículo 24 CE y el quinto alega vulneración del principio de presunción de inocencia, en relación con los principios de equidad y proporcionalidad.

Con carácter previo al examen de las cuestiones que plantean los motivos articulados en el recurso de casación, hemos de pronunciarnos sobre la causa de inadmisión que opone el Abogado, que alega que la parte recurrente articula su primer motivo -y único- al amparo de las letras c ) y d) del artículo 88.1 de la Ley de la Jurisdicción , lo que infringe el artículo 92.1 de dicho texto legal , según reiterada jurisprudencia, que declara que incumplen las previsiones de dicho precepto los recursos de casación basados en motivos simultáneos pero de distinta naturaleza y significación.

Es verdad que, como advierte el Abogado del Estado, el recurso de casación se formula con un primer y único motivo (dividido en 5 submotivos), con la indicación de que el mismo se ampara en el artículo 88.1, apartados c ) y d) de la Ley de la Jurisdicción , si bien consideramos que esa referencia simultánea a los apartados c) y d) es un mero error de transcripción, como se aprecia con claridad si se pone en relación el escrito de interposición con el escrito de preparación del recurso, en el que se indicaba, en el encabezado de los motivos, que el recurso se interpondría fundado en los apartados c ) y d) del artículo 88.1 LJCA, exponiendo seguidamente que los motivos eran dos, el primero, amparado en la letra c) del artículo 88.1 LJCA, por infracción de las normas reguladoras de la sentencia, en cuanto la misma incurre en incongruencia omisiva, y el segundo, amparado en la letra d) del mismo precepto legal , por infracción de las normas del ordenamiento jurídico y de la jurisprudencia que resulten aplicables para resolver las cuestiones objeto de debate, dividido en cinco submotivos, habiendo consistido el error de transcripción o mecanográfico en haber mantenido la parte recurrente en el escrito de interposición del recurso el encabezamiento de los dos motivos a que se aludía en el escrito de preparación, que se amparaban en las letras c) y d) de la Ley de la Jurisdicción, no obstante haber abandonado el motivo de la letra c) en el que se denunciaba la incongruencia de la sentencia impugnada, manteniendo en el escrito de interposición únicamente los cinco submotivos del recurso que en el escrito de preparación aparecen claramente formulados por la letra d) del artículo 88.1 LJCA , que es el que corresponde a la naturaleza de las denuncias que en dichos submotivos se hacen valer.

TERCERO

Como hemos indicado, el primer motivo del recurso de casación denuncia la infracción de las normas reguladoras de la caducidad de los procedimientos administrativos sancionadores, ya que la AEPD no dictó y notificó la resolución en el plazo de los seis meses de que disponía, contados desde la fecha de incoación del procedimiento, sino que lo hizo en el plazo de seis meses y un día, con infracción de los artículos 44.2 LRJPAC y 48.3 LOPD .

Es de advertir que la parte recurrente no efectúo alegación alguna relativa a la caducidad del procedimiento sancionador, ni en su demanda, ni en su escrito de conclusiones, sino que esta es una cuestión que plantea por primera vez como motivo del recurso de casación.

La jurisprudencia de esta Sala, recogida entre otras muchas en las sentencias de 5 de julio de 1996 (recurso 4689/1993 ), 20 de junio de 2010 (recurso 3458/2009 ) y en las que allí se citan, ha negado de forma reiterada la posibilidad de introducir en un recurso de casación cuestiones nuevas, que no hubieran sido planteadas en la instancia y que, por consiguiente, no hayan sido objeto de controversia ni de decisión en la sentencia recurrida, por dos razones: "por una parte, porque el recurso de casación tiene como finalidad propia valorar si se infringieron por el Tribunal «a quo» normas o jurisprudencia aplicable (además de si se quebrantaron las formas esenciales del juicio por haberse vulnerado las normas reguladoras de la sentencia o las que rigen los actos o garantías procesales siempre que en este último caso se haya producido indefensión), y resulta imposible, ni siquiera como hipótesis, que pueda producirse aquella infracción en relación con una cuestión que ni siquiera fue considerada y sobre la que, por tanto, no hubo pronunciamiento en la sentencia -omisión que, en su caso, de entenderse improcedente, tendría su adecuado cauce revisor en el motivo de la incongruencia omisiva-; y, por otra, porque tan singular «mutatio libelli» afectaría al mismo derecho de defensa del recurrido ( artículo 24.1 CE ), en el supuesto de que, sin las posibilidades de la alegación y de la prueba que corresponden a la instancia, se entendiera admisible el examen y decisión de una cuestión sobrevenida a través del recurso de casación con las limitaciones que comporta su régimen respecto a dichos medios de defensa"

Sin perjuicio de lo anterior, cabe añadir que no cabe apreciar en el presente caso la caducidad del procedimiento sancionador que denuncia el Colegio recurrente, porque el artículo 48.3 LOPD establece que los procedimientos sancionadores tramitados por la AEPD tendrán una duración máxima de 6 meses, y dicho plazo no ha sido excedido en esta ocasión, pues se trata de un plazo fijado en meses, que de acuerdo con la regla del artículo 5 del Código Civil , se computará "de fecha a fecha", lo que quiere decir, como ha subrayado esta Sala, en sentencia de 18 de diciembre de 2002 (recurso 36/1998 ), que "el plazo vence el día cuyo ordinal coincida con el que sirvió de punto de partida" , y si en este caso el día inicial del cómputo fue el 9 de marzo de 2009, como señala la parte recurrente, debe reconocerse que el día 9 de septiembre de 2009, fecha en que fue notificada la resolución sancionadora al Colegio recurrente (folio1.243 del expediente), se encontraba dentro del indicado plazo de 6 meses establecido por la LOPD para la tramitación del procedimiento sancionador.

Se desestima el primero de los motivos del recurso de casación.

CUARTO

El segundo motivo del recurso de casación denuncia la infracción del principio de tipicidad, porque el artículo 44.3.h) LOPD considera infracción grave mantener los ficheros de datos de carácter personal sin las debidas condiciones de seguridad, y no puede en ningún caso afirmarse que la parte recurrente haya "mantenido" ficheros de datos en esas condiciones, siendo necesario distinguir entre tener, que hace referencia a un momento puntual, y "mantener" , que implica la voluntad de seguir conservando los ficheros, lo que resulta incompatible con el hecho de la que el Colegio recurrente, en el mismo momento en que tuvo noticia de un fallo en las medidas de seguridad de su sistema informático, ocasionado por una intromisión ilegítima, denunció los hechos, encargó auditorias buscando soluciones y bloqueó las correspondientes aplicaciones.

El artículo 44.3 letra h) LOPD describe como falta grave la conducta de " mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen ."

Es de ver que la LOPD, después de determinar los elementos esenciales de la conducta antijurídica calificada como infracción grave, acude a la colaboración reglamentaria en la tarea de precisar y desarrollar las condiciones de seguridad que se estiman precisas en el mantenimiento de los ficheros de datos, habiendo asumido dicho quehacer el RD 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, vigente en el momento de los hechos a que se refiere la sentencia impugnada.

El citado RD establece tres niveles de medidas de seguridad, básico, medio y alto, en atención a la naturaleza de la información contenida en los ficheros, y en el presente caso, tanto el acuerdo sancionador de la AEPD como la sentencia impugnada, estimaron que el nivel de medidas de seguridad exigible al COIT en el tratamiento de los datos contenido en sus ficheros era el nivel básico, que comporta el cumplimiento de una serie de requisitos, establecidos en los artículos 11 y 12 del RD con carácter de mínimos, que imponen al responsable del fichero el establecimiento de procedimientos para la identificación y autenticación de los usuarios que tengan acceso autorizado, que si se basan en la existencia de contraseñas, exigen a su vez procedimientos de asignación, distribución y almacenamiento que garanticen la confidencialidad e integridad de las mismas, así como el control de acceso a los ficheros, mediante mecanismos que impidan que los usuarios puedan acceder a datos o recursos con derechos distintos de los autorizados.

La sentencia de instancia tuvo por acreditados los mismos hechos que la resolución sancionadora de la AEPD declaró probados, que reprodujo (páginas 3 a 12 de la sentencia), sin que los mismos hayan sido cuestionados en el presente recurso de casación.

Entre los citados hechos probados, y sin perjuicio de los demás, aparecen los siguientes:

4. Con fecha 27/12/07 se constata que se obtienen datos de carácter personal de colegiados al acceder a las siguientes páginas de Internet, sin necesidad de haber introducido con anterioridad contraseña alguna: (Se detallan seguidamente las direcciones de 5 páginas de internet).

8. Con fecha 28/01/08 se realizó una inspección en la sede del COIT y la AEIT, donde sus representantes efectuaron las siguientes manifestaciones en respuesta a las cuestiones planteadas por los inspectores, constatándose los siguientes extremos: (...) 8.10 Efectuados por inspectores de la Agencia el acceso al área personal de la página web www.coit.es a la que los colegiados tienen acceso a través de Internet, se realizan las siguientes comprobaciones:

8.10.1 En la página principal www.coit.es, en el apartado de "Acceso usuarios se introduce el usuario y contraseña de un usuario del Colegio que según manifiestan sus representantes no tiene más privilegios especiales que los de un colegiado normal (sin capacidades de administración). El código del usuario es «C03506".

8.10.2 A continuación se accede a la función de "Actualización de datos' obteniéndose la información relativa a una persona colegiada así como varios campos de información que pueden ser actualizados por el usuario. Se recabó impresiones de pantalla de la anterior consulta.

8.10.3 A continuación se realiza la desconexión del usuario para iniciar una nueva sesión del navegador de Internet. En esta nueva sesión se realizan las siguientes consultas, cuyas impresiones de pantalla se incluyen en el expediente:

8.10.3.1 Se introduce en el navegador la dirección http://www.coit .es/modulos/usuarios/ad min/formulario. php?id=42430, obteniéndose los datos personales de un colegiado.

8.10.3.2 Se introduce en el navegador la dirección http://://www. coit. es/modulos/solicitudes/admin/formulario.php ?idsolicitud= 1000, obteniéndose los datos personales de un colegiado. Entre estos datos figura el domicilio y el número de cuenta bancaria.

8.10.3.3 Se introduce en el navegador la dirección http://wwwaeit.es/modulos/usuarios/admin/formulario.php?id= 49142, obteniéndose los datos personales del denunciante 4.

8.10.7 En el informe técnico de fecha 22/05/07 correspondiente a la Auditoria Externa realizada por la entidad S2lsec, en el capítulo 9, de conclusiones, figura que "Tras el análisis y pruebas realizadas cabe destacar que existen diferentes riesgos asociados a la seguridad externa de Coit. No obstante el nivel actual se puede considerar mejorable en lo referente a sistemas"

8.10.8 En el informe técnico de fecha 28/05/07 correspondiente a la Auditoria de Aplicativos realizada por la entidad S21sec, en el capítulo 10, de conclusiones, figura que "Tras el análisis y pruebas realizadas cabe destacar que existen diferentes riesgos asociados a la seguridad de COIT. No obstante el nivel actual se puede considerar claramente mejorable. Tras el análisis de seguridad del aplicativo Web se han detectado diversas vulnerabilidades cuya explotación no requiere un amplio conocimiento técnico y que evidencian que la seguridad no ha sido un elemento clave a la hora de realizar los desarrollos". (folios 127-322).

8.11 Constan en el expediente copia de Acta Notariales de fechas 21/01/07, 04/11/07, 31/10/07 y 13/12/07 en las cuales se da fe, entre otras, de la posibilidad de acceso, a través de Internet en las páginas web www.coit.es y www.aeit.es, a datos personales de colegidos y asociados, sin mediar identificación previa del usuario que accede al sistema (folios 323-370, 404- 419).

8.12 Con fecha 18/03/08 se obtienen las siguientes pantallas al acceder a las páginas de Internet del COIT y la AEIT:

- http://www.coit.es/comunes/includes/nucleo/config.inc: se obtiene un fichero de texto dentro del cual consta el campo $USUARIO con valor "Adminweb" y el campo $CLAVE con valor "28t49g8aCSRk3YTYOVYG."

- Introduciendo en la página web http.//coit.es/phpMyAdmin los anteriores valores de usuario y contraseña se accede a la página web de administración del entorno phpMyAdmin.

- Accediendo a la tabla de usuarios de la base de datos webcoit dentro de este entorno, se accede a nombres de personas y sus direcciones de correo electrónico. (Folios 390-395).

Los referidos hechos probados tienen perfecto encaje en la descripción del tipo infractor, pues en ellos se constata la posibilidad de acceso a datos de carácter personal de los colegiados, contenidos en los ficheros automatizados en determinadas páginas web del COIT, sin necesidad de introducir ninguna contraseña y sin otras medidas de seguridad.

Las alegaciones de la parte recurrente, relativas a que la omisión de las medidas de seguridad no fue mantenida en el tiempo, no pueden ser acogidas, pues de la narración de hechos probados que efectúa la sentencia impugnada, resulta que en mayo de 2007 el Colegio Oficial recurrente tuvo conocimiento, a través del informe de una auditoria sobre seguridad de sus ficheros automatizados, que el propio Colegio había encomendado a una empresa especializada, que se habían detectado "diversas vulnerabilidades cuya explotación no requiere un amplio conocimiento técnico y que evidencian que la seguridad no ha sido un elemento clave a la hora de realizar los desarrollos" y que el nivel actual de seguridad se podía considerar "claramente mejorable" . No obstante este conocimiento sobre el nivel insuficiente de las medidas de seguridad, la AEPD constató que siete meses más tarde, en diciembre de 2007, los datos personales de los colegiados eran accesibles en unas direcciones de internet, sin necesidad de utilización de contraseña alguna, y lo mismo seguía ocurriendo en enero de 2008, en la visita realizada por inspectores de la AEPD en la sede del COIT, y en la comprobación realizada por la AEPD en marzo de 2008, que pusieron de manifiesto los defectos de seguridad en el acceso al contenido de los ficheros que se detallan en los hechos probados, todo lo cual evidencia que la omisión de las medidas y condiciones de seguridad exigibles tuvieron continuidad a lo largo del tiempo, y encajan sin las dificultades que alega la parte recurrente en la descripción de la infracción grave del artículo 44.3.h) LPPD.

De acuerdo con lo anterior, no cabe acoger el segundo motivo del recurso.

QUINTO

El tercer motivo del recurso denuncia que la sentencia impugnada ha vulnerado el principio de culpabilidad consagrado en los artículos 9 y 25 CE y 130 LRJPAC, porque el Colegio Oficial recurrente sufrió unos ataques externos en su sistema informático, entre los días 12 de diciembre de 2006 y 10 de enero de 2007, que procedió a denunciar ante la Brigada de Investigación Tecnológica de la Policía y, además, solicitó voluntariamente una auditoría externa sobre las formas de protección de ataques externos a sus archivos digitales, lo que demuestra que desde el momento en que tuvo conocimiento de la vulnerabilidad de sus ficheros, tomó medidas para evitar accesos no autorizados a sus datos y actuó con total diligencia.

La sentencia impugnada examinó las anteriores alegaciones de la parte recurrente, pero estimó que a pesar de los ataques externos que refiere el Colegio recurrente, lo cierto es que este conocía, desde la auditoría realizada en mayo de 2007, que el sistema de seguridad de sus ficheros digitales era "claramente mejorable" y que existían vulnerabilidades en la seguridad del aplicativo Web "cuya explotación no requiere un amplio conocimiento técnico" , y sin embargo, el Colegio recurrente no adoptó las medidas de seguridad necesarias para evitar que terceros no autorizados tuvieran acceso a los datos de carácter personal almacenados en sus archivos informatizados.

Tiene también en cuenta la sentencia impugnada que en las comprobaciones e inspecciones de la AEPD posteriores a la auditoría, realizadas el 27 de diciembre de 2007, 28 de enero de 2008 y 18 de marzo de 2008, persistía la posibilidad de accesos no autorizados a los ficheros del COIT, lo que implicaba que seguían sin adoptarse las medidas de seguridad adecuadas.

A la vista de lo anterior, la Sala de instancia concluye que los indicados hechos acreditados ponen de relieve una patente falta de diligencia en la actuación de la parte recurrente, en relación con las medidas de seguridad que debía adoptar, como responsable del fichero, para evitar accesos no autorizados a los datos personales contenidos en sus ficheros.

Por tanto, la Sala de instancia, para estimar la concurrencia en este caso del elemento culpabilístico, efectuó unas apreciaciones de hecho, relativas al previo conocimiento que tuvo el Colegio recurrente de la existencia de fallos en la seguridad de sus ficheros informatizados y a la falta de adopción de medidas para evitarlos, que no son revisables en casación, salvo en los supuestos excepcionales en los que la jurisprudencia admite que cabe cuestionar la valoración de la prueba realizada por el órgano judicial de instancia, que ni siquiera se invocan en este caso, y de tales hechos y omisiones que resultaron acreditados en el proceso, se deduce la conclusión lógica a que llega la Sala de instancia de la falta de diligencia del Colegio recurrente en la adopción de las medidas de seguridad que le impone el artículo 9 de la LOPD como titular del fichero.

Las alegaciones que la parte recurrente formula en este recurso de casación, sobre la rápida adopción de medidas tras conocer la vulnerabilidad de los datos, no desvirtúan la conclusión de la Sala de instancia sobre la presencia del elemento de culpabilidad, pues el artículo 130 LRJPAC afirma la responsabilidad de las personas físicas y jurídicas por los hechos constitutivos de infracción administrativa, "aun a título de simple inobservancia" y, en este caso, las medidas adoptadas por el Colegio Oficial recurrente, tales como la denuncia de unos ataques externos contra sus ficheros informáticos y la realización de una auditoria sobre sus medidas de seguridad, no fueron suficientes para evitar el acceso no autorizado a los ficheros del COIT, debido a que, como quedo demostrado en el expediente sancionador, el sistema de seguridad que mantenía el COIT era claramente mejorable, con vulnerabilidades que podían ser explotadas sin grandes conocimientos técnicos, manteniéndose dicha situación de fallos y defectos en las medidas de seguridad al menos hasta marzo de 2008, pues fue en esta última fecha cuando el COIT adoptó las medidas precisas que pusieron fin a dichos accesos no autorizados, lo que corrobora el acierto de la Sala de instancia al apreciar el carácter negligente de la conducta infractora del COIT, por la falta de observancia de las medidas de seguridad exigibles en sus ficheros informatizados, que permitió un acceso no autorizado a los mismos durante el tiempo que se indica en la sentencia impugnada.

Se desestima por lo anteriormente razonado el motivo tercero del recurso.

SEXTO

En el motivo cuarto alega la parte recurrente la vulneración del principio de tutela judicial efectiva del artículo 24 CE , porque solicitó en el expediente sancionador la práctica de una prueba documental, que fue admitida por el instructor, si bien se produjo un error en la remisión del documento solicitado, sin que el instructor del expediente lo corrigiese, ordenando traer al expediente el documento solicitado, sino que dio por practicada la prueba interesada por el Colegio recurrente.

Los hechos a tener en cuenta para resolver esta alegación fueron los siguientes: en su escrito de alegaciones al acuerdo de incoación del expediente sancionador, el COIT solicitó al Instructor por medio de otrosí el recibimiento a prueba, proponiendo, por lo que ahora interesa, la prueba documental de la Brigada de Investigación Tecnológica de la Policía Nacional, a efectos de acreditar, mediante el expediente 38821/00001/2007/SLG de 24 de abril de 2008, que la web "www.ciberseguridad.es" se encontraba activa y con el contenido indicado en las alegaciones (folio 551 a 569 del expediente), a lo que accedió el Instructor en acuerdo de 18 de mayo de 2009 (folio 808 del expediente), que solicitó copia del expediente interesado (folio 811 del expediente), con contestación del Comisario Jefe de la Brigada de Investigación Tecnológica, con diligencia de entrada de 5 de junio de 2009 (folio 823 del expediente), que comunica que el referido atestado había sido instruido como ampliación a los atestados 87/00001/2007/SLG y 23.890/00001/2007/SLG, y que todos ellos fueron remitidos al Juzgado de Instrucción nº 9 de Madrid, uniéndose a las Diligencias Previas 18/2007.

Recibida la anterior contestación, el Instructor se dirigió mediante escrito de 8 de junio de 2009 (folio 824 de expediente), al Juzgado de Instrucción nº 9 de Madrid, solicitando el atestado policial que había interesado el COIT como diligencia de prueba, y el Secretario del Juzgado de Instrucción citado contestó, mediante escrito diligenciado de entrada el 3 de julio de 2009 (folio 925 a 989 del expediente), acompañando el atestado policial 87/00001/2007-SLG, en lugar del atestado interesado.

El instructor, tras recibir la anterior comunicación, procedió a dictar propuesta de resolución, con fecha 31 de julio de 2009, y el COIT manifestó, en su escrito de alegaciones de 21 de agosto de 2008 (folios 1110 a 1114 del expediente), la relevancia del expediente solicitado como prueba documental, a los efectos de acreditar que fueron los propios colegiados denunciantes ante la AEPD, que habían intervenido en la instalación y explotación del servidor web del COIT, quienes procedieron a divulgar el supuesto fallo de seguridad en los ficheros del COIT.

La resolución del Presidente de la AEPD de 8 de septiembre de 2009, que puso término al procedimiento sancionador con declaración de la comisión por el COIT de la infracción grave del artículo 44.3.h) LOPD , razonó al respecto que la ausencia de la prueba documental solicitada no ocasionó indefensión al Colegio recurrente, porque la conducta infractora que se imputaba al COIT era la omisión de medidas de seguridad que permitía el acceso a sus ficheros por terceros no autorizados, y el hecho de que dicho fallo de seguridad hubiera sido divulgado en la página web a que se refería en su solicitud de prueba, no viene sino a corroborar los hechos imputados, sin que exima o atenúe su responsabilidad como responsable del fichero.

También hay constancia en el expediente administrativo de que las diligencias previas 18/2007, instruidas por el Juzgado de Instrucción nº 9 de Madrid, por la denuncia formulada por el COIT por el uso fraudulento de la aplicación web del Colegio, fueron sobreseídas provisionalmente y archivadas por auto del referido Juzgado, de fecha 24 de julio de 2008, habiendo sido posteriormente desestimados el recurso de reforma, por auto del mismo Juzgado de 30 de octubre de 2008 y el recurso de apelación, por auto de la Sección 7ª de la Audiencia Provincial de Madrid de 30 de enero de 2009, recaído en el rollo 32/2009 (folios 519 a a 527 del expediente administrativo).

La sentencia de instancia, en relación con esta cuestión, estima que la falta de práctica de la prueba documental no ha ocasionado indefensión a la parte recurrente, porque no aprecia la existencia de una relación entre los hechos que se pretendían probar y el thema decidendi, al estimar indiferente quien haya divulgado el fallo en la aplicación informática del COIT, máxime cuando las Diligencias Previas abiertas por un Juzgado de Instrucción de Madrid por la denuncia de los hechos fueron sobreseidas y archivadas, pues la cuestión relevante es si el fallo existió o no, extremo al que no iba dirigida la prueba no practicada en el expediente administrativo.

Para apreciar que la falta de práctica de una prueba admitida, por causa ajena a la parte que la propuso, constituye una vulneración relevante a los efectos del artículo 24 CE , esta Sala viene exigiendo que dicha falta de práctica produzca una indefensión material o real a la parte que la propuso, esto es, cause un impedimento o una limitación improcedente del derecho de alegar o de acreditar en el proceso los propios derechos o intereses, o de oponerse y replicar dialécticamente las posiciones contrarias en el ejercicio del indispensable derecho de contradicción, y en este caso la indefensión no puede apreciarse, como señalan tanto el acuerdo sancionador de la AEPD como la sentencia impugnada, pues la denuncia del COIT se refiere a unos ataques y accesos a su página web que tuvieron lugar en diciembre de 2006 y enero de 2007, a los que se refiere la ampliación del atestado policial de abril de 2008, y aunque fuera cierto el hecho que pretendía acreditar la parte recurrente, mediante la prueba no practicada, sobre la intervención de los denunciantes en la divulgación de la existencia de un fallo en la aplicación informática del Colegio, tal hecho no niega la existencia del indicado fallo, ni que el mismo persistía sin haber sido corregido varios meses después de la denuncia del COIT, en los meses de diciembre de 2007 y enero y marzo de 2008, en los que los inspectores del COIT comprobaron la omisión de las medidas de seguridad, en relación con el acceso a los ficheros de datos de carácter personal del COIT.

Tenemos también presente para negar la existencia de indefensión que el Colegio recurrente ha dispuesto, en recurso contencioso administrativo, de la oportunidad de proponer y practicar la prueba que le interesase para demostrar su ausencia de culpabilidad, o cualquier otro extremo que estimase conveniente a su derecho, en relación con el acuerdo sancionador de la AEPD, y sin embargo, en su escrito de proposición de prueba solicitó, como única diligencia de prueba, que se oficiase a la AEPD a fin de que su Secretario General certifique la autencidad de documento número 1 acompañado a la demanda, que era una resolución del Presidente de la AEPD de 2 de marzo de 2010, pero no solicitó ninguna prueba en relación con el atestado policial número 38821/00001/2007/SLG, que fue el documento al que se refería la prueba no practicada en el expediente administrativo, ni solicitó que dicho atestado fuera incorporado a las actuaciones, lo que pone de relieve que la propia parte recurrente no consideraba relevante o de interés la aportación de dicha prueba documental.

Todavía cabe indicar sobre este extremo, a mayor abundamiento, que el Colegio recurrente, que intervino como parte en las Diligencias Previas 18/2007 del Juzgado de Instrucción nº 9 de Madrid, interponiendo recursos de reforma y apelación contra el auto de sobreseimiento y archivo, no ha alegado, ni menos acreditado, su falta de acceso al atestado policial unido al indicado procedimiento penal, que le haya impedido obtener copia y aportarla por sí mismo al expediente sancionador seguido por la AEPD.

De acuerdo con los razonamientos que se acaban de efectuar, procede la desestimación del motivo cuarto del recurso.

SÉPTIMO

El último motivo del recurso alega la vulneración de la presunción de inocencia, en relación con los principios de equidad y proporcionalidad, insistiendo el Colegio recurrente en que la falta de práctica de la prueba propuesta en el procedimiento sancionador impidió que contrarrestara la prueba de cargo reunida en el expediente, si bien esta alegación reitera la que acabamos de examinar, por lo que hemos de remitirnos a nuestros anteriores razonamientos, que nos llevaron a la conclusión de que la falta de práctica de la prueba que propuso la parte recurrente en el expediente, relativa a la unión de un atestado policial, no le ocasionó indefensión.

También alega en este motivo el Colegio recurrente que la resolución de la AEPD infringió el principio de proporcionalidad, pues concurrían todos los criterios establecidos tanto en la LOPD como en la LRJPAC para proceder a la modulación de las sanciones en favor de la parte recurrente, a pesar de lo cual la resolución de la AEPD le impuso la sanción en el grado máximo dentro de la escala económica contenida en el artículo 45.2 LOPJ , sin tener en cuenta que el expediente acreditó una cualificada disminución de la culpabilidad y de la antijuricidad, de forma que se cumplían un gran número de criterios que hubieran postulado la imposición de una cuantía que representara el grado mínimo dentro de la escala del artículo 45.2 LOPD , e incluso concurrían las circunstancias del artículo 45.5 LOPD que determinan la aplicación de las sanciones correspondientes a las infracciones que preceden en gravedad, y como la infracción fue considerada como grave, debía haberse acudido a la escala de las faltas leves del artículo 45.1 LOPD e imponerse una sanción de 900 a 40.000 euros.

Estos argumentos no pueden acogerse, porque denuncian una indebida determinación de la cuantía de la sanción de multa, llegando incluso a solicitarse un importe de 900 a 40.000 euros, cuando en este caso no hubo imposición de sanción alguna, al amparo del artículo 46 de la LOPD , que se refiere a las infracciones cometidas en ficheros de titularidad pública, habiéndose limitado el órgano sancionador a la declaración de la infracción grave cometida por el COIT, sin imposición de ninguna sanción.

Además de lo anterior hemos de tener en cuenta que es criterio jurisprudencial mantenido por esta Sala en la aplicación del artículo 45.5 LOPD , recogido entre otras en sentencias de 22 de junio de 2010 (recurso 880/2007 ) y 20 de mayo de 2011 (recurso 3810/2007 ), que dicho precepto remite a una valoración de las circunstancias fácticas del caso que pongan de manifiesto una disminución de la culpabilidad o de la antijuricidad, con relevancia para moderar la cuantía de la sanción, en adecuada proporcionalidad a la entidad de los hechos sancionados y, como tales apreciaciones fácticas, su fijación corresponde a la Sala de instancia, lo que obliga a atenerse a la apreciación de la prueba efectuada por esta, salvo que se alegue alguna de las causas que permiten el acceso a casación de la valoración de la prueba, lo que no sucede en el caso de autos.

Se desestima el motivo quinto del recurso de casación.

OCTAVO

Al declararse no haber lugar al recurso de casación, procede imponer a la parte recurrente las costas del mismo, de conformidad con la regla del artículo 139.2 LJCA , si bien, la Sala haciendo uso de la facultad que le confiere el apartado tercero del citado precepto, limita a 4.000 € el importe máximo a reclamar por el Abogado del Estado por todos los conceptos como costas procesales.

FALLAMOS

Que declaramos no haber lugar al presente recurso de casación número 1293/2011, interpuesto por la representación procesal del Colegio Oficial de Ingenieros de Telecomunicación, contra la sentencia de 25 de noviembre de 2010, dictada por la Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, en el recurso número 757/2009 , y condenamos a la parte recurrente en las costas de casación, hasta el límite señalado en el último Fundamento de Derecho de esta sentencia.

Así por esta nuestra sentencia, que se publicará en la colección legislativa, lo pronunciamos, mandamos y firmamos .

PUBLICACIÓN.- Leída y publicada ha sido la anterior sentencia por el Excmo. Sr. Magistrado Ponente D. Jose Maria del Riego Valledor, estando la Sala celebrando audiencia pública en el mismo día de su fecha, de lo que, como Secretario, certifico.