ATS, 29 de Mayo de 2020
| Jurisdicción | España |
| Emisor | Tribunal Supremo, sala tercera, (Contencioso Administrativo) |
| Fecha | 29 Mayo 2020 |
TRIBUNAL SUPREMO
SALA DE LO CONTENCIOSO-ADMINISTRATIVO
SECCIÓN: PRIMERA
A U T O
Fecha del auto: 29/05/2020
Tipo de procedimiento: R. CASACION
Número del procedimiento: 378/2020
Materia: AGENCIA ESPAÑOLA DE PROTECCION DE DATOS
Submateria:
Fallo/Acuerdo: Auto Admisión
Ponente: Excmo. Sr. D. Fernando Román García
Letrada de la Administración de Justicia: Ilma. Sra. Dña. M. Concepción Riaño Valentín
Secretaría de Sala Destino: 003
Transcrito por:
Nota:
R. CASACION núm.: 378/2020
Ponente: Excmo. Sr. D. Fernando Román García
Letrada de la Administración de Justicia: Ilma. Sra. Dña. M. Concepción Riaño Valentín
TRIBUNAL SUPREMO
SALA DE LO CONTENCIOSO-ADMINISTRATIVO
SECCIÓN: PRIMERA
A U T O
Excmos. Sres.
D. Luis María Díez-Picazo Giménez, presidente
D. José Luis Requero Ibáñez
D. César Tolosa Tribiño
D. Fernando Román García
D. Dimitry Berberoff Ayuda
En Madrid, a 29 de mayo de 2020.
La representación procesal de la entidad Securitas Direct España, S.A. interpuso recurso ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional contra la resolución de la Directora de la Agencia de Protección de Datos de Carácter Personal (AEPD), de 2 de enero de 2018 que, estimando el recurso de reposición interpuesto por D. Carlos María frente a la resolución de 6 de septiembre de 2017, acuerda que la entidad Securitas Direct España, S.A.U. deberá facilitar el acceso al recurrente a la información obrante en los servidores de Securitas Direct relativa a los registros y señales enviados por el equipo de alarma instalado en su propiedad, así como las copias existentes de los registros contenidos en la memoria interna de la alarma entre los días 26 de noviembre y 13 de diciembre de 2015.
La Sala de lo Contencioso-administrativo de la Audiencia Nacional (Sección Primera) dictó sentencia desestimatoria del recurso (recurso n.º 146/2018) en fecha 23 de julio de 2019.
La sentencia hace constar que Securitas Direct, con fecha 11 de mayo de 2017, informó al reclamante de los datos base relativos a su persona que constan en sus ficheros, denegando los registros contenidos en la alarma, al no considerarlos datos de carácter personal, lo que ocasionó la reclamación de Tutela de Derechos ante la AEPD, finalmente resuelta por la resolución aquí recurrida.
A continuación, la sentencia señala que la cuestión controvertida en el pleito consiste en determinar si los "logs" (registros y señales originados y almacenados por la alarma ubicada en la propiedad del codemandado) tienen o no la consideración de datos de carácter personal.
Cita el apartado a) del artículo 3.a) y f) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD); el artículo 4.1 y el Considerando 26 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos; el Considerando 26 de la Directiva 95/46/CE, de 24 de octubre; los artículos 4.5 y 5.p) del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RLOPD); y la STJUE de 19 de octubre de 2016 (asunto Breyer).
Y concluye, aplicando dicha normativa y doctrina, que dentro de la información obrante en los servidores de Securitas Direct, relativa a los registros y señales enviados por el equipo de alarma instalado en el domicilio del reclamante, así como en las copias de los registros contenidos en la memoria interna de la alarma, sí figuran datos de carácter personal del titular de la alarma contratada, razonando al efecto:
"De un lado, se trata de una persona física, y por tanto plenamente identificable, que firma un contrato de instalación y mantenimiento de una alarma para la protección de su vivienda con la empresa de seguridad actora. Firma del contrato del que necesariamente derivan una serie de derechos respecto de la custodia y seguridad de dicha vivienda.
De otra parte, y esto resulta importante remarcarlo, el derecho de acceso se ejercita respecto de registros y señales captadas y enviadas por el equipo de alarma instalado en un domicilio privado, ejerciéndose precisamente por parte de quien es titular de dicho domicilio. Domicilio respecto del que el artículo 18.2 CE reconoce el derecho fundamental a su inviolabilidad, y que conforme a consolidada Jurisprudencia Constitucional (TSC 22/1910/2002 y 22/2003), se vincula al derecho a la intimidad de las personas, al ser el ámbito donde el individuo desarrolla su intimidad, donde ejerce su libertad más íntima, lo que refuerza la naturaleza de dato personal de los registros y señales captadas por el sistema de alarma instalado dentro del referido domicilio.
Y todo lo anterior en relación con el amplio concepto que, de dato personal, deriva en toda la normativa de aplicación, expuesta con anterioridad, conceptuándose como tal incluso, según el nuevo Reglamento General de Protección de Datos también al dato seudonimizado, que cabría atribuir a una persona física mediante la utilización de información adicional, teniendo en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, a tenor de la tecnología disponible en el momento del tratamiento".
Notificada la sentencia, la representación procesal de la entidad Securitas Direct, S.A.U. ha preparado recurso de casación en el que denuncia las siguientes infracciones:
(i) Artículo 5.f) del Real Decreto 1720/2007, al considerar la sentencia que las comunicaciones máquina a máquina (sin intervención humana) son datos personales por el mero hecho de tratarse de información obrante en los servidores de Securitas Direct como consecuencia del contrato existente entre ésta y el interesado para la prestación del servicio de alarmas.
Alega que los datos objeto de discusión son datos puramente técnicos, en la medida en que corresponden al funcionamiento y mantenimiento de un sistema de seguridad, resultando dudoso que dichos datos puedan considerarse información concerniente a personas identificadas o identificables en el sentido del artículo 5 del RLOPD. Añade que en esta línea se ha pronunciado el TJUE en su sentencia de 20 de diciembre de 2017 (caso Nowak), que ha establecido que el empleo de la expresión "toda información" en la definición del concepto de "datos personales" evidencia el objetivo del legislador de la Unión de atribuir a este concepto un significado muy amplio, que sean "sobre" la persona en cuestión; por ello, considera que los datos derivados de comunicaciones máquina a máquina que no proporcionan información sobre una persona, como ocurre en el presente caso, no son datos personales. Añade que debería examinarse la naturaleza técnica o no de los datos generados por la alarma para determinar si estos datos son personales, con independencia de que la alarma esté ubicada en una vivienda.
(ii) Artículo 15 de la Ley Orgánica 15/1999, al considerar la sentencia que por el mero hecho de que el interesado haya firmado un contrato, se derivan una serie de derechos respecto de la custodia y seguridad de la vivienda, entre los que se encuentran el derecho de acceso a los registros y señales captadas y enviadas por el equipo de alarma instalado en la vivienda de la que el interesado es titular.
Alega que únicamente forman parte del derecho de acceso aquellos datos que, siendo considerados de carácter personal, figuren en los archivos del responsable del tratamiento, lo que no ocurre en el presente caso, ya que, debido a la naturaleza técnica de los datos, no constituyen datos de carácter personal, y el derecho de acceso no debería recaer sobre los registros que se generan por la propia alarma para verificar el funcionamiento de la misma, condiciones de mantenimiento, etc.
Añade que, incluso en el caso de que se considere que la información en cuestión únicamente contiene datos personales, es evidente que el acceso a dichos datos afecta directamente a los derechos de terceras personas en términos de seguridad. Y es que, un tratamiento irresponsable de los mismos puede permitir conocer el funcionamiento del sistema de alarma y poner en grave peligro un bien jurídico tan importante como el de la seguridad de todos los usuarios de Securitas Direct. Además, aunque se acabase considerando que los logs de funcionamiento, mantenimiento, etc, de la alarma constituyen datos personales, Securitas Direct no siempre podría determinar con la precisión necesaria a quién corresponden dichos datos, y dicho acceso afectaría necesariamente a terceros, como el propio interesado reconoce al manifestar que "la información a la que se solicita acceso hace referencia, directa o indirectamente, a sucesos y acontecimientos (...) acaecidos en el interior de mi hogar, de los cuales puede inferirse, directa o indirectamente, actos y comportamientos relacionados con mi persona, otras personas de mi familia, o incluso terceros autorizados al acceso a la vivienda".
(iii) Artículo 120.3 en relación con el artículo 24.1 CE y 218.2 LEC, por falta de motivación de la sentencia, al considerar que en los registros de la alarma pueden existir datos personales y no personales, sin motivas qué datos considera que constituyen datos personales y la razón por la cual así lo considera.
Como supuestos de interés casacional invoca la presunción del artículo 88.3.d) LJCA, al resolverse un recurso contra un acto de la AEPD. Invoca asimismo la presunción del artículo 88.3.a) LJCA, pues aunque el Tribunal Supremo ha tenido ocasión de pronunciarse sobre la definición de datos de carácter personal, sin embargo no existe jurisprudencia sobre la aplicación de dicha definición a comunicaciones máquina a máquina, en las que no hay intervención humana; y tampoco existe jurisprudencia que aclare si, por el hecho de tener suscrito un contrato con una persona física, todos los datos generados en virtud del servicio prestado (incluidos los datos automáticos máquina a máquina) pasan a considerarse de forma automática como datos de carácter personal, sin hacer distinción entre los mismos; y tampoco ha encontrado jurisprudencia sobre el concreto alcance del derecho de acceso y, en particular, aclarando si el mismo incluye los datos automáticos máquina a máquina que se producen sin intervención humana.
También invoca los siguientes supuestos de interés casacional: 88.2.b) LJCA, al considerar que la doctrina establecida sobre las normas invocadas puede ser gravemente dañosa para los intereses generales, pues el hecho de que cualquier persona pudiera acceder a toda la información generada por el aparato de seguridad en cuestión generaría una situación de absoluta inseguridad tanto para su representada como para los millones de usuarios que utilizan sus servicios en todo el mundo; 88.2.c) LJCA, al afectar el asunto a un gran número de situaciones y trascender del caso concreto; 88.2.f) LJCA, por contradicción con la jurisprudencia del TJUE relativa al concepto de dato personal y al derecho de acceso; y 88.2.e) LJCA, al aplicar aparentemente con error y como fundamento de su decisión la doctrina constitucional, que ha reiterado en numerosas ocasiones la autonomía del derecho fundamental a la protección de datos frente al derecho a la intimidad.
La Sala de instancia tuvo por preparado el recurso por auto de 23 de diciembre de 2019, ordenando el emplazamiento de las partes para su comparecencia dentro del plazo de treinta días ante esta Sala, así como la remisión de los autos originales y del expediente administrativo.
Ha comparecido ante esta Sala en tiempo y forma el procurador D. José Antonio Moreno Almonacid, en nombre de Securitas Direct España, S.A.U., en calidad de recurrente. Se ha personado, asimismo, en calidad de parte recurrida, la procuradora D.ª Rosa Martínez Serrano, en nombre de D. Carlos María, y el Abogado del Estado.
Es Magistrado Ponente el Excmo. Sr. D. Fernando Román García, Magistrado de la Sala.
La cuestión que se plantea en el recurso de casación preparado es si los "logs" (registros y señales originados y almacenados por la alarma instalada por una empresa de seguridad en un domicilio particular) tienen o no la consideración de datos de carácter personal.
Como se ha expresado en los antecedentes de este auto, la Sala de instancia reconoce el derecho de acceso a la información solicitada al considerar, en resumen, que dichos "logs" sí contienen datos de carácter personal, referidos a la persona que firma un contrato de instalación y mantenimiento de una alarma para la protección de su vivienda, lo que, además, vincula el derecho a la intimidad de las personas, al ser el domicilio el ámbito donde el individuo desarrolla su intimidad, lo que refuerza la naturaleza de dato personal de los registros y señales captadas por el sistema de alarma instalado dentro del referido domicilio.
Por su parte, la entidad recurrente mantiene que los datos contenidos en los "logs" son puramente técnicos, en la medida en que corresponden al funcionamiento y mantenimiento de un sistema de seguridad, por lo que no constituyen datos de carácter personal. Añade que, incluso en el caso de que se considere que la información en cuestión únicamente contiene datos personales, es evidente que el acceso a dichos datos afecta directamente a los derechos de terceras personas.
Planteada en estos términos la controversia, y a los efectos de determinar si la cuestión litigiosa reviste interés casacional objetivo para la formación de jurisprudencia, conviene indicar, en primer lugar, que la recurrente ha invocado en el escrito de preparación la presunción prevista en el artículo 88.3.d) LJCA que, efectivamente, concurre al impugnarse una sentencia dictada en única instancia por la Audiencia Nacional que resuelve un recurso contra una resolución de la Agencia Española de Protección de Datos [por todos, ATS de 7 de febrero de 2018 (RCA 5579/2017)]. También ha invocado la presunción del artículo 88.3.a) LJCA.
No obstante, como ya hemos manifestado en otras ocasiones -entre otros, en los AATS de 10 de abril de 2017 (RRCA 225/2017 y 227/2017) y de 25 de mayo de 2017 ( RCA 1132/2017)- no se trata de unas presunciones de carácter absoluto, pues el propio artículo 88.3 LJCA, in fine, permite inadmitir (mediante "auto motivado") los recursos inicialmente beneficiados por las mismas cuando este Tribunal Supremo "aprecie que el asunto carece manifiestamente de interés casacional objetivo para la formación de jurisprudencia". Carencia manifiesta de interés que se produce, por ejemplo, cuando "se pretende anudar el interés casacional a infracciones normativas circunscritas a las concretas vicisitudes del caso litigioso sin trascender a cuestiones dotadas un mayor contenido de generalidad o con posible proyección a otros litigios".
Partiendo de lo anterior, consideramos que los interrogantes jurídicos que se suscitan en este recurso no carecen manifiestamente de interés casacional objetivo -con una carencia evidente y directamente apreciable- y plantean cuestiones jurídicas de alcance general que trascienden del caso objeto del proceso.
Es cierto que esta Sala ya se ha pronunciado en otras ocasiones sobre lo que debe entenderse que son datos de carácter personal en el sentido del artículo 3 LOPD y del artículo 5.f) del Real Decreto 1720/2007; no obstante, asiste la razón a la demandante cuando, con invocación del supuesto previsto en el apartado a) del artículo 88.3 LJCA, reclama un nuevo pronunciamiento de esta Sala para aclarar, matizar, revisar o ratificar la doctrina de esta Sala en torno a la definición de dato de carácter personal a fin de determinar, a los efectos del derecho de acceso a la información, si los "logs" (registros y señales originados y almacenados por la alarma instalada por una empresa de seguridad en un domicilio particular) tienen o no la consideración de datos de carácter personal.
Y aunque el invocado por la recurrente artículo 15 de la Ley 15/1999 -derecho de acceso- ha sido derogado por la disposición derogatoria única de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que entró en vigor el 7 de diciembre de 2018, no manifestando la recurrente nada al respecto, sin embargo, la carga procesal de argumentar que, pese a la derogación, la cuestión sigue teniendo interés casacional no es exigible en aquellos casos en que la norma derogada ha sido sustituida por otra que presenta idéntico o similar contenido; variable ésta que es directamente verificable o constatable por esta Sección.
Esto es lo que ocurre en el presente caso, pues hay que tener en cuenta que la recurrente considera que no existía el derecho de acceso al no tratarse de datos de carácter personal, por lo que, en definitiva, la cuestión se circunscribe a determinar la naturaleza de los datos solicitados. La citada Ley Orgánica 3/2018 adapta al ordenamiento jurídico español el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, de aplicación directa a todos los Estados Miembros, cuyo artículo 4.1 coincide con el artículo 3.a) LOPD y el artículo 5.f) del Real Decreto 1720/2007, en cuanto define dato personal como toda información sobre una "persona física identificada o identificable".
En la línea de lo expuesto en los dos razonamientos jurídicos anteriores, y en debido cumplimiento de lo previsto en el artículo 90.4 LJCA, declaramos que la cuestión planteada por la parte recurrente presenta interés casacional objetivo, al concurrir las circunstancias previstas en el artículo 88.3.d) y 88.2.c) LJCA, consiste en interpretar la normativa de protección de datos de carácter personal vigente a fin de determinar, a los efectos del derecho de acceso a la información, si los "logs" (registros y señales originados y almacenados por la alarma instalada por una empresa de seguridad en un domicilio particular) tienen o no la consideración de datos de carácter personal.
Conforme a lo dispuesto por el artículo 90.7 este auto se publicará íntegramente en la página web del Tribunal Supremo.
Procede comunicar inmediatamente a la Sala de instancia la decisión adoptada en este auto, como dispone el artículo 90.6 de la LJCA y conferir a las actuaciones el trámite previsto en los artículos 92 y 93 de la LJCA, remitiéndolas a la Sección Tercera de esta Sala, competente para su sustanciación y decisión de conformidad con las reglas de reparto.
-
) Admitir el recurso de casación n.º 378/2020 preparado por la representación procesal de Securitas Direct España, S.A.U. contra la sentencia de la Sección Primera de la Sala de lo Contencioso- administrativo de la Audiencia Nacional de 23 de julio de 2019, dictada en el recurso n.º 146/2018.
-
) Declarar que la cuestión planteada en el recurso que presenta interés casacional objetivo para la formación de la jurisprudencia consiste en interpretar la normativa de protección de datos de carácter personal vigente a fin de determinar, a los efectos del derecho de acceso a la información, si los "logs" (registros y señales originados y almacenados por la alarma instalada por una empresa de seguridad en un domicilio particular) tienen o no la consideración de datos de carácter personal.
-
) Publicar este auto en la página web del Tribunal Supremo.
-
) Comunicar inmediatamente a la Sala de instancia la decisión adoptada en este auto.
-
) Para la sustanciación del recurso, remítanse las actuaciones a la Sección tercera de esta Sala Tercera, a la que corresponde con arreglo a las normas sobre reparto de asuntos.
Así lo acuerdan y firman. los Excmos. Sres. Magistrados, que estuvieron en Sala y votaron, pero no pudieron firmar por causa del confinamiento sanitario, firmando en su lugar el Presidente de la Sala Tercera, Excmo. Sr. D. Luis María Díez-Picazo Giménez.
