STS, 10 de Diciembre de 2013
| Jurisdicción | España |
| Fecha | 10 Diciembre 2013 |
SENTENCIA
En la Villa de Madrid, a diez de Diciembre de dos mil trece.
Vistos por la Sala Tercera, Sección Sexta, del Tribunal Supremo, constituida por los Señores al margen anotados, el presente recurso de casación, que con el número 3481/11, interpuesto por la representación procesal de LA ADMINISTRACION DE LA COMUNIDAD AUTONOMA DE ANDALUCIA, representada y defendida por Letrado de sus Servicios Jurídicos, contra la Sentencia dictada el día 11 de marzo de 2011 por la Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional en el recurso contencioso administrativo seguido ante ella con el número 746/2009, sobre requerimiento por infracción de la Ley Orgánica de Protección de Datos de Carácter Personal; ha sido parte recurrida LA ADMINISTRACION GENERAL DEL ESTADO, representada y defendida por Abogado del Estado
La Sentencia recurrida contiene parte dispositiva del siguiente tenor literal: << DESESTIMAR el recurso contencioso administrativo interpuesto por LA JUNTA DE ANDALUCÍA, representada y defendida por la Letrada de la misma, contra la resolución de fecha 24 de julio de 2009 de la Agencia Española de Protección de Datos, dictada en el procedimiento AP/00002/2009, por ser la misma conforme a derecho; sin imposición de costas a ninguna de las partes. >> .
Notificada la anterior Sentencia, la representación procesal de LA ADMINISTRACION DE LA COMUNIDAD AUTONOMA DE ANDALUCIA presentó escrito ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, Sección Primera, preparando recurso de casación contra la referida resolución. Por providencia, la Sala tuvo por preparado en tiempo y forma el recurso de casación, emplazando a las partes para que comparecieran ante el Tribunal Supremo.
Ante esta Sala se personaron tanto el Letrado de la Administración recurrente como el Sr. Abogado del Estado, en la representación que le es propia y como parte recurrida.
Recibidas las actuaciones y el expediente administrativo ante este Tribunal, la parte recurrente se personó ante esta Sala y formuló escrito de interposición del recurso de casación, expresando los tres motivos en que se amparaba, suplicando que se tuviera por interpuesto el recurso de casación y se dicte sentencia que case la recurrida y estima la demanda de la instancia anulando la actuación administrativa impugnada.
Teniendo por interpuesto y admitido el recurso de casación por esta Sala, se emplazó a la parte recurrida para que en el plazo de treinta días formalizara su escrito de oposición, lo que verificó en tiempo y forma el Abogado del Estado, en el nombre y representación que ostenta, impugnando los motivos del recurso de casación en virtud de las razones que estimó procedentes y suplicando que la Sala dicte sentencia dicte sentencia confirmatoria de la recurrida.
Conclusas las actuaciones, se señaló para votación y fallo la audiencia del día 3 de diciembre de 2013 , en cuyo acto tuvo lugar, habiéndose observado las formalidades legales referentes al procedimiento.
Siendo Ponente el Excmo. Sr. D. Antonio Jesus Fonseca-Herrero Raimundo, Magistrado de la Sala.
Es objeto del presente recurso de casación la Sentencia dictada el día 11 de marzo de 2011 por la sección primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional en el recurso contencioso administrativo seguido ante ella con el número 746/2009, donde se impugnaba la resolución del Director de la Agencia Española de Protección de Datos de 24 de julio de 2009, dictada en expediente de infracción de Administraciones Públicas AP/00002/2009, y por la que se declaraba que la Consejería de Gobernación de la Junta de Andalucía había infringido lo dispuesto en el artículo 11.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , hecho que integraba una infracción muy grave del artículo 44.4,b) de esa Ley, acordando requerir a la citada Consejería para que adoptase las medidas de orden interno que impidiesen que en el futuro pudiera producirse una nueva infracción.
La sentencia desestima el recurso contencioso administrativo por afirmar que el recurso no había perdido su objeto, que el expediente administrativo no había caducado y que la infracción concurría realmente y no se había vulnerado el principio de tipicidad.
El recurso de casación se interpone con apoyo en tres motivos que se articulan por la vía de la letra d) del artículo 88.1 de la Ley Jurisdiccional , y que son los siguientes:
-
infracción del artículo 53.2 de la Ley 30/1992, de 26 de noviembre , y de la jurisprudencia que cita relativa a la terminación del procedimiento por pérdida sobrevenida de objeto, en relación con el artículo 46 de la Ley Orgánica 15/1990, de 13 de diciembre, de Protección de Datos .
-
infracción del artículo 12 del Real Decreto1398/1993 , regulador del Reglamento para el ejercicio de la potestad sancionadora, y del artículo 18 del Real Decreto 1332/1994, de 20 de junio , regulador del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.
-
infracción de los artículos 24 y 25 de la Constitución Española , del artículo 12 de la Ley Orgánica 15/1990 y de los artículos 49.5 y 94 del Texto Refundido de la Ley de Contratos de las Administraciones Públicas .
Por el primero de los motivos casacionales se denuncia la infracción del artículo 53.2 de la Ley 30/1992, de 26 de noviembre , y de la jurisprudencia que cita relativa a la terminación del procedimiento por pérdida sobrevenida de objeto, en relación con el artículo 46 de la Ley Orgánica 15/1990, de 13 de diciembre, de Protección de Datos . Para ello se alega que la resolución administrativa impugnada se mostraba innecesaria pues al tiempo de dictarse el acuerdo de incoación del procedimiento ya habían sido adoptadas las medidas de seguridad previstas en el artículo 12 de la Ley Orgánica 15/1999 , que figuraban incluidas en el nuevo contrato suscrito por la Administración. De esta manera, mantiene que el requerimiento acordado ya estaba atendido y el contenido del acto no se ajusta a lo dispuesto en el ordenamiento jurídico y no es adecuado a su finalidad.
Sobre este particular la sentencia de la Sala de instancia argumenta que « Esta alegación debe ser rechazada con base en la propia LOPD, que en su artículo 46.1 impone a la Agencia tramitar el procedimiento sancionador (aunque la resolución que ponga fin al mismo y que deberá definir los hechos imputados, la infracción cometida y la tipificación no impondrá sanción alguna) cuando tenga conocimiento de unos hechos que pueden constituir una infracción de la protección de datos, al margen de que tal conducta infractora haya dejado de producirse siempre que no haya prescrito. ».
Cuestionada esta decisión en la forma que ha quedado indicada, nuestra decisión no puede ser otra que la de rechazar el motivo casacional. Para ello bastará con tomar en consideración que la infracción fue realmente cometida y que lo pretendido no es otra cosa que dejar sin efecto el procedimiento incoado para depurarla por haber adoptado ya o dado cumplimiento al requerimiento de adopción de medidas futuras acordado, pretensión que no puede ser admitida pues comporta un evidente fraude.
Por el segundo motivo aduce la recurrente la infracción del artículo 12 del Real Decreto1398/1993 , regulador del Reglamento para el ejercicio de la potestad sancionadora, y del artículo 18 del Real Decreto 1332/1994, de 20 de junio , regulador del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos, con el argumento de que la excesiva duración y sin causa justificada de las actuaciones previas a la incoación del expediente sancionador revelan una fraudulenta utilización de esas actuaciones en cuanto dirigidas a eludir el plazo de seis meses legalmente previsto para la caducidad del procedimiento.
La sentencia impugnada razonaba sobre este punto lo siguiente: « Ahora bien, las "actuaciones previas" son una fase preliminar anterior a la iniciación del procedimiento sancionador en sentido estricto, y esta Sala y Sección, en su sentencia de 17-10-2007 , consideró, a tenor del importante lapso temporal de paralización de las repetidas actuaciones previas que allí se produjo, que había habido una utilización fraudulenta de las mismas, lo que implicaba un supuesto de fraude de Ley ( artículo 6.4 del Código Civil EDL1889/1 ), por pretender burlar la aplicación del art. 42.2 de la Ley 30/1992 EDL1992/17271 usando tal solicitud de información para, con ella, evitar la caducidad del expediente sancionador. Sin embargo con posterioridad, y a partir de la sentencia de 19-11-2008 , y una vez acreditado por el Abogado del Estado el importantísimo aumento del volumen de trabajo de la Agencia, a través de la documentación aportada con la contestación a la demanda reconsideró tal criterio.
En nuestra sentencia de 13 de julio de 2009 decíamos que "necesariamente ha de quebrar uno de los elementos básicos para entender existente un supuesto del artículo 6.4 del Código Civil EDL1889/1 . Ello por haber quedado probado que concurre un motivo que, si bien no justifica tal paralización de la fase previa, si al menos excluye que pueda conceptuarse la misma como un supuesto de fraude de Ley, al no ser posible sostener, dado el llamativo incremento del numero de asuntos registrados y resueltos por la AEPD, que la demora y paralización, y en definitiva tal prolongación de la duración de las repetidas actuaciones preliminares, responda a la intención antijurídica de evitar la caducidad del expediente sancionador. Razones que conllevan que la anterior doctrina de la Sala no pueda ser apreciada en el presente caso, al que tampoco resulta de aplicación el plazo máximo de doce meses de duración que el Articulo 122 del RD 1720/2007, de 21 de diciembre EDL2007/241465 , prevé en la actualidad para dichas "actuaciones previas", tomando en consideración que tal norma reglamentaria solo es de aplicación a actuaciones iniciadas con posterioridad a su entrada en vigor (es decir, a partir del 19 de abril de 2008)." ».
La parte cuestiona esta decisión alegando, simplemente, que el uso abusivo de las diligencias previas no debe operar en perjuicio de la Administración andaluza. Por tanto, ningún argumento jurídico emplea para rebatir las razones por las que la sentencia impugnada rechazaba el vicio que se atribuía al acto administrativo impugnado. Esto sería ya suficiente para que el motivo sea desestimado.
No obstante, es oportuno indicar desde el primer momento que el recurrente nunca ha cuestionado la caducidad del procedimiento por el plazo trascurrido desde su incoación hasta su finalización, sino que la cuestión que plantea la recurrente en este motivo, en armonía con lo ya suscitado en la instancia, es la incidencia que a efectos de la caducidad del expediente sancionador tiene el tiempo transcurrido desde la fecha de la entrada de la denuncia en la Agencia (26 de abril de 2007) y la de la incoación de dicho procedimiento (24 de febrero de 2009), y en particular el periodo de tiempo que va desde la incoación de las actuaciones previas y el acuerdo de inicio del expediente.
Y, para reforzar la desestimación ya anunciada, interesa destacar, al hilo de lo declarado en otras sentencias de esta misma Sala Tercera y sección sexta, como la dictada el día 4 de noviembre de 2013 -recurso de casación nº 251/2011-, (1) que la incoación de las actuaciones previas es potestativa, esto es, que la administración no está obligada a abrir actuaciones previas y puede, si así lo considera, acordar la incoación directa del procedimiento sancionador; y (2) que dichas actuaciones están orientadas, conforme expresa el artículo 122 del Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre, -norma reglamentaria que derogó el Real Decreto 1332/1994 que cita el recurrente como vulnerado-, a determinar, con la mayor precisión posible, los hechos que pudieran justificar la incoación del procedimiento, identificar la persona u órgano que pudiera resultar responsable y fijar las circunstancias relevantes que pudieran concurrir en el caso, tiene una naturaleza informativa de la que sin duda puede prescindir la Administración.
Pues bien, con estas premisas, aún admitiendo que se desnaturaliza su finalidad cuando su incoación, tal como se reconoce en la sentencia recurrida, se justifica esencialmente en el volumen de trabajo de la agencia, aún así el motivo debe desestimarse.
Por el tercer motivo denuncia la recurrente la infracción de los artículos 24 y 25 de la Constitución Española , del artículo 12 de la Ley Orgánica 15/1990 y de los artículos 49.5 y 94 del Texto Refundido de la Ley de Contratos de las Administraciones Públicas , ello en función de que se acuerda el requerimiento de adopción de medidas futuras para evitar la infracción apreciada cuando la Administración andaluza ya había incorporado las medidas de seguridad al clausulado de los Pliegos de la contratación y formaban arte del contrato.
Esta cuestión fue abordada por la Sala de instancia en el fundamento de derecho quinto de la sentencia impugnada, razonando lo siguiente: « QUINTO.- Entrando ya en el fondo de la cuestión planteada, la Agencia considera que la Junta de Andalucía ha incurrido en una infracción del art. 11.1 de la LOPD , tipificada como muy grave en el art. 44.4.b) de la misma Ley , infracción que es negada por la parte actora.
El artículo 11.1 de la LOPD pauta que "Los datos de carácter personal objeto de tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y cesionario con el previo consentimiento del interesado". Dicho precepto se debe relacionar directamente con lo previsto en el artículo 12 de la Ley Orgánica 15/99 que contempla una excepción al principio general de consentimiento en el tratamiento cuando este procede de la ejecución y cumplimiento de un contrato; establece dicho precepto, en sus párrafos 1 y 2, que:" 1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento. 2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el art. 9 de esta Ley que el encargado del tratamiento está obligado a implementar."
Por lo tanto, el cumplimiento de los requisitos exigidos por el artículo 12 de la Ley Orgánica 15/99 permite el tratamiento de datos siempre que concurran una serie de formalidades y garantías como:-la celebración mediante contrato escrito o en alguna otra forma que permita acreditar el contenido;-la previsión de que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento y que no los utilizará con fin distinto ni los comunicará a otras personas;-y la estipulación en el contrato de las medidas de seguridad del artículo 9, medidas de seguridad que habrán de ser las mismas que las requeridas para todo responsable del fichero o tratamiento.
En el presente caso la recurrente suscribió un contrato con la empresa MK Plan que en el pliego recoge la cláusula C1 denominada "confidencialidad de la información" en la que se especifica que la empresa no transferirá información alguna sobre contenido o desarrollo de los trabajos y que debe asegurar la adopción de medidas que salvaguarden la discreción y confidencialidad. Sin embargo, no se recoge en el citado contrato el resto de los aspectos contemplados en el artículo 12 de la LOPD y, en concreto, las medidas de seguridad a que se refiere el artículo 9 de la citada ley , omisión no sólo formal sino que ha tenido su plasmación práctica respecto al acceso a datos personales. Como se recoge en los hechos probados, verificados por el servicio de inspección de la Agencia, la empresa MK Plan 21, S.A., tiene acceso a las "Bases de Datos de Operaciones y Explotación" fichero del que es responsable la Consejería de Gobernación de la Junta Andalucía y que contiene los datos sobre la salud de las personas que se comunican con el Centro de Emergencias 112, con códigos de operador genéricos, cuyas contraseñas coinciden con los respectivos códigos de usuarios y que se pueden consultar con estos códigos llamadas reales con datos personales de los usuarios del servicio.
La Junta Andalucía mantiene que tales omisiones han sido subsanadas en el contrato suscrito el 24 de junio de 2008. Ahora bien, la Agencia ha valorado y enjuiciado la conducta de la recurrente durante la vigencia del contrato suscrito el 24 de junio de 2006 y que mantuvo su vigencia por espacio de dos años. Y ello sin perjuicio de que la citada Agencia, a la vista del nuevo contrato, pueda considerar cumplido, en su caso, el requerimiento recogido en el apartado segundo de la parte dispositiva de la resolución impugnada. ».
Como fácilmente se desprende de la lectura de la sentencia el motivo está abonado al fracaso pues se insiste en alegar lo ya rechazado al tratar de convalidar las deficiencias del contrato del año 2004, el único que fue el valorado en el expediente, con un segundo contrato. La irregularidad apreciada existió realmente y ello es así aunque, efectivamente, el órgano regulador puede admitir que el requerimiento de medidas futuras pueda considerarse atendido con el clausulado del contrato celebrado en el año 2008.
Al declararse no haber lugar al recurso de casación, procede condenar a la parte recurrente en las costas del mismo, de conformidad con la regla del artículo 139.2 de la Ley de la Jurisdicción Contencioso Administrativa , si bien, la Sala haciendo uso de la facultad que le confiere el apartado tercero del citado precepto, limita en 4.000 euros el importe máximo a reclamar por todos los conceptos por el Abogado del Estado.
Por todo ello, en nombre de SM el Rey y en el ejercicio de la potestad que, emanada del pueblo español, nos concede la Constitución.
NO HA LUGAR al presente recurso de casación número 3481/11, interpuesto por la representación procesal de LA ADMINISTRACION DE LA COMUNIDAD AUTONOMA DE ANDALUCIA contra la sentencia dictada el día 11 de marzo de 2011 por la Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional en el recurso seguido ante ella con el nº 746/2009 .
Se hace imposición de las costas del recurso a la parte recurrente hasta un máximo de 4.000 y por todos los conceptos.
Así por esta nuestra sentencia, contra la que no cabe recurso alguno, y que se insertará en la Colección Legislativa, lo pronunciamos, mandamos y firmamos .
PUBLICACIÓN.- Leída y publicada ha sido la anterior sentencia por el Excmo. Sr. Magistrado Ponente D. Antonio Jesus Fonseca-Herrero Raimundo , estando la Sala celebrando audiencia pública en el mismo día de su fecha, de lo que, como Secretario, certifico.
