Información jurídica inteligente
 España | 900 649 672

STS, 17 de Abril de 2007

Sentencia Citas 78 Citado por 26 Análisis 1 Mapa de Precedentes Relacionados
Vincent
JurisdicciónEspaña
Fecha17 Abril 2007
EmisorTribunal Supremo, sala tercera, (Contencioso Administrativo)

SENTENCIA

En la Villa de Madrid, a diecisiete de Abril de dos mil siete.

Visto por esta Sección Sexta de la Sala Tercera del Tribunal Supremo el recurso de casación interpuesto por la Procuradora de los Tribunales Dña. Mª del Mar Montero de Cozar y Millet en nombre y representación de la entidad Zeppelin Televisión, S.A., contra la sentencia de 31 de enero de 2003, dictada por la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, en el recurso 534/01, en el que se impugna la resolución del Director de la Agencia de Protección de Datos de 21 de febrero de 2001, que desestima el recurso de reposición interpuesto contra la resolución de 29 de diciembre de 2000, por la que se imponen a dicha entidad las siguientes sanciones:

- Multa de 5.000.000 de pesetas por la infracción del art. 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos carácter personal, tipificada como leve en el artículo 44 .d) de dicha norma.

- Multa de 75.000.000 de pesetas por la infracción del artículo 6, en relación con el 7.3, de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, tipificada como muy grave en el artículo 44.4c ) de dicha norma.

- Multa de 75.000.000 de pesetas por la infracción del artículo 11 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, tipificada como muy grave en el artículo 44.4

  1. de dicha norma.

- Multa de 25.000.000 de pesetas por la infracción del artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en relación con el Reglamento de Medidas de Seguridad, aprobado por Real Decreto 994/99, de 11 de junio, tipificada como grave en el artículo 44.3 h) de dicha Ley Orgánica. Ha sido parte recurrida el Abogado del Estado en la representación que legalmente ostenta de la Administración General del Estado.

ANTECEDENTES DE HECHO

PRIMERO

La sentencia de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, de 31 de enero de 2003, objeto de este recurso, contiene el siguiente fallo: "Que desestimamos el recurso contencioso administrativo interpuesto por la representación procesal de ZEPPELIN TELEVISIÓN, S.A. contra los actos impugnados, que declaramos conformes al ordenamiento jurídico, por lo que se confirman, así como las sanciones impuestas; sin costas."

SEGUNDO

Una vez notificada la citada sentencia, se presentó escrito por la representación procesal de la citada entidad, manifestando su intención de interponer recurso de casación y por providencia de 27 de marzo de 2003 se tuvo por preparado, siendo emplazadas las partes ante esta Sala del Tribunal Supremo.

TERCERO

Con fecha 14 de mayo de 2003 se presentó escrito de interposición del recurso de casación, haciendo valer diez motivos al amparo del art. 88.1.d) de la Ley de la Jurisdicción y solicitando que se case la sentencia recurrida y se dicte otra absolviendo a la recurrente de las sanciones impuestas y, con carácter subsidiario, por aplicación del art. 45.5 de la LOPD, se le impongan en la forma prevista en dicho precepto.

CUARTO

Por auto de 3 de febrero de 2005 se rechazó la posible inadmisión del recurso respecto de la sanción de 5.000.000 de pesetas y admitido a trámite, se dio traslado a la parte recurrida para que formalizara escrito de oposición, solicitándose por el Abogado del Estado en dicho trámite que se inadmita parcialmente por razón de la cuantía, se desestime en el resto y se conforme la sentencia recurrida.

QUINTO

Conclusas las actuaciones quedaron pendientes de señalamiento para votación y fallo, a cuyo efecto se señaló el día 11 de abril de 2007, fecha en que tal diligencia ha tenido lugar.

Siendo Ponente el Excmo. Sr. D. Octavio Juan Herrero Pina

FUNDAMENTOS DE DERECHO

PRIMERO

La sentencia de instancia objeto de este recurso recoge como hechos probados de la resolución impugnada:

"1º.-El día 11 de julio de 2000, desde un ordenador de trabajo ubicado en la Agencia de Protección de Datos, se obtuvo, a través de Internet, un fichero en formato comprimido pero no encriptado, que contenía un tabla con 1.722 registros con datos de carácter personal relativos a Número de Cuestionario, Nombre, Sexo, Edad, Número de Teléfono, Localidad, Provincia, Código de Nacionalidad, Código de Nivel de Estudios, Código de Profesión/Trabajo, Clase Social Subjetiva, Código de Estado Civil, Número de Hijos, Grado de Apoyo de la Familia, Código de Asistencia Previa a un Programa de Tv, Nombre del Programa de Tv (En Su Caso) y Grado de Interés (Escala 0-7) mostrado respecto de cada uno de los siguientes 12 Factores Distintos de Motivación (F1- F12): por su carácter competitivo; porque me gustan las experiencias nuevas y diferentes; en lo que concierne a mi futura proyección social- quiero ser famoso; exclusivamente por el premio en metálico; porque sé que puedo controlar perfectamente estas situaciones; por mi prestigio personal; porque me pagarán durante este tiempo -me parece interesante y no tengo otra cosa que hacer; porque me gustan las experiencias y relaciones con la gente; porque me parece una experiencia que socialmente puede ser positiva; porque creo que puedo ayudar y conocer mejor a los demás y a mí mismo; porque voy a demostrar públicamente que soy el mejor,. porque quiero saber dónde está mi límite (documentos 24 a 73);

  1. : ZEPPELIN TELEVISION, S.A. ha producido una serie televisiva (programa-concurso) denominada GRAN HERMANO, que es emitida por la cadena Telecinco, contando para ello con la colaboración, entre otras, de las siguientes entidades: ATENTO TELECOMUNICACIONES ESPAÑA, S.A.U. (denominación actual de ESTRATEGIAS TELEFÓNICAS, S.A.), como compañía especializada en atención telefónica, GARCÍA HUETE & CUADRADO, S.L., en su calidad de gabinete de psicólogos, que ha prestado servicios de asesoramiento profesional para la selección de las personas candidatas a participar en el citado programa televisivo (documento 79-80 y 89 a 93).

  2. : La colaboración de ATENTO TELECOMUNICACIONES ESPAÑA, S.A. quedó plasmada en un documento denominado Proyecto Zeppelin Concurso para ZEPPELIN TV (documento 213 a 218).

  3. : La colaboración de GARCIA HUETE & CUADRADO se reflejó en un contrato de fecha 11 de febrero de 2000 (documento 627 a 629).

  4. : Hacia el mes de marzo de 2000, ZEPPELIN TELEVISION, S.A. decidió la creación de un fichero automatizado de datos de carácter personal con información relativa a personas que pudieran intervenir en los programas producidos por esta compañía, siendo ZEPPELIN TELEVISIÓN, S.A. la compañía que decide acerca de su finalidad y usos previstos. Este fichero fue inscrito en el Registro General de Protección de Datos con código 2000900020 y nombre "CASTING" (documento 80 ).

  5. : Respecto al proceso de selección de los concursantes en el programa GRAN HERMANO, se siguieron las siguientes fases: FASE 1: Se promocionó el programa- concurso por televisión, haciendo referencia a un número de teléfono a través del que podían inscribirse los interesados. Este número de teléfono era gestionado por la compañía ATENTO TELECOMUNICACIONES ESPAÑA, S.A., quien se encargaba de grabar los datos personales aportados por los aspirantes, utilizando para ello un cuestionario. En total se recibieron unas 7.000 llamadas, obteniéndose datos relativos a: nombre y apellidos, edad, teléfono, dirección, localidad, provincia, nacionalidad, nivel de estudios, profesión o trabajo, estado civil, número de hijos, carácter según el propio aspirante, hobbies, motivación, así como la respuesta a las preguntas: ¿le apoyaría su familia? ¿ha estado antes en un programa de televisión? ¿ cuáles? .Esta compañía también obtuvo las respuestas a un test de motivación, que indicaban el grado de acuerdo o desacuerdo de los participantes con cada una de doce frases que se les formulaban. Como resultado de esta fase se obtuvo un fichero conteniendo los datos citados, en número de registros inferior a 7.000, el cual fue remitido a la coordinadora del proyecto en ZEPPELIN TELEVISIÓN, S.A., Dña. Carina, a través del correo electrónico sin encriptar, en distintos trozos a medida que se iban grabando los datos. FASE 2: Haciendo uso del fichero elaborado a partir de la información grabada por ATENTO TELECOMUNICACIONES ESPAÑA, S.A.U., el gabinete de psicólogos GARCÍA HUETE & CUADRADO, S.L. se encargó de seleccionar unas 2.681 personas, que fueron tipificadas por D. Eloy (sociólogo colaborador del gabinete de psicólogos y Administrador de la entidad SECTOR FACTIBILIDAD y EVALUACION, S.L.), a partir de los datos proporcionados por ZEPPELIN TELEVISIÓN, S.A., de acuerdo a su profesión declarada y nivel de estudios, siéndoles asignado un código denominado CLASE SOCIAL SUBJETIVA (CSS). A continuación, D. Eloy remitió a Dña. Carina el fichero conteniendo la información obtenida por ATENTO TELECOMUNICACIONES ESPAÑA, S.A.U. y complementada con el citado código. Este envío se realizó en dos tandas: una primera incompleta con unos 1.800 registros y otra posterior completa conteniendo los 2.681 registros. En ningún caso se envió ni recibió la información encriptada. Teniendo como base este nuevo fichero, ZEPPELIN TELEVISIÓN, S.A. llamó telefónicamente a los participantes para convocarles a un casting, que se realizó en diversas poblaciones del territorio español en función de la localización geográfica del participante. En este casting se les sometió a una prueba de cámara/imagen y a los siguientes tests: Cuestionario Biográfico, Cuestionario de Hábitos y Preferencias, Cuestionario de Personalidad Propia y de la Personalidad de la Pareja Ideal, incluyendo éstos dos últimos una hoja de respuestas para su lectura mecánica. Estos tests fueron entregados por ZEPPELIN TELEVISION, S.A. a D. Mauricio, el cual colaboró también con el gabinete GARCIA HUETE & CUADRADO, S.L. y se encargó de mecanizarlos para su lectura óptica. FASE 3: A partir de los resultados obtenidos en la fase anterior, ZEPPELIN TELEVISION, S.A. y el gabinete de psicólogos convocaron nuevamente a unos 200 seleccionados con objeto de someterles a una nueva prueba de cámara/imagen y a un nuevo test de inteligencia y psicopatías, que contenía también dos hojas de respuestas para lectura mecánica. La lectura de estos tests fue mecanizada por la entidad TEA EDICIONES, S.A. FASE 4: Con los resultados de la fase anterior, se seleccionó un grupo de 57 aspirantes, a los que se sometió a una entrevista personal en la que participó ZEPPELIN TELEVISIÓN, S.A. y el gabinete GARCÍA HUETE & CUADRADO, S.L., resultando como seleccionadas finalmente 25 personas. FASE 5: De estas 25 personas, D. Eloy convocó nuevamente a 17, que cumplimentaron un test de inteligencia emocional. A su vez, ZEPPELIN TELEVISIÓN, S.A. sometió a esas 17 personas a un test de 100 preguntas diversas (documento 80 a 84).

  6. : ZEPPELIN TELEVISIÓN, S.A. no dispone de ningún documento que plasme algún tipo de relación establecida con cada una de las personas aspirantes a participar en el : concurso, a excepción de las 14 personas que finalmente han participado en el concurso, con las que sí ha establecido relación contractual de tipo laboral y mercantil (documento 83). Ni ZEPPELIN ni el resto de las empresas que han participado en el proceso de selección de los concursantes han informado ni obtenido el consentimiento para crear un fichero y cederlo.

    8: Como resultado de todo el proceso, ZEPPELIN TELEVISIÓN, S.A. obtuvo un fichero automatizado en el que figura información relativa a unas 3.000 personas, incluyendo una referencia a la superación o no de cada una de las fases de todo el proceso. Este fichero se organizó a partir de los ficheros remitidos a ZEPPELIN TELEVISIÓN, S.A. por las entidades colaboradoras en el proceso (documento 82-83).

  7. : ZEPPELIN TELEVISIÓN, S.A. no ha firmado ningún contrato específico de confidencialidad con GARCÍA HUETE & CUADRADO, S.L. o con ATENTO TELECOMUNICACIONES ESPAÑA, S.A.U., en el que pudiesen establecerse las medidas de seguridad a adoptar por estas compañías respecto del tratamiento de los datos personales relacionados con los servicios prestados (documento 84).

  8. : En el ordenador de trabajo de Dña. Carina, coordinadora de todo el proceso de selección por parte de ZEPPELIN TELEVISIÓN, S.A. se verifica por la Inspección el contenido de la bandeja de entrada de su correo electrónico asignado al usuario del ordenador ( DIRECCION000 ), obteniéndose copia impresa de diversos mensajes remitidos por D. Eloy, con fechas 14/2/2000, 20/2/2000, 23/2/2000, conteniendo diversos cuestionarios, así como algunos ficheros en los que se incluían bases de datos con diversas tablas conteniendo 1.722 registros con datos personales. Asimismo, se encuentra un cuarto mensaje, remitido con fecha 4/3/2000, que contiene un fichero anexo correspondiente a una base de datos que contiene otras dos tablas con datos personales. Igualmente, se encuentran mensajes de correo electrónico remitidos por Dña. Maite, de ATENTO TELECOMUNICACIONES ESPAÑA, S.A.U, con fechas 9/2/2000, 11/2/2000, 14/2/2000 Y 15/2/2000, conteniendo un fichero de inscripciones del día 8 de febrero de 2000 y un fichero GRAN HERMANO del día 14 del mismo mes que incluye datos personales (documentos 86- 87 y 106 a 177)

    11: En el momento de primera Inspección, ZEPPELIN TELEVISIÓN, S.A. tan sólo tenía en su poder las respuestas de los concursantes correspondientes al Cuestionario Biográfico y al Cuestionario de 100 preguntas. En los Cuestionarios Biográficos se hacen constar los siguientes datos: apellidos y nombre, sexo, provincia, DNL cuestiones relacionadas con la familia y relaciones de amistad, aspecto físico, procedencia, aficiones y costumbres propias y de la pareja ideal, incluyendo orientación política y personalidad religiosa (documento 87)

  9. : En una segunda Inspección, se encontraron en poder de ZEPPELIN TELEVISION, S.A., además de los cuestionarios precitado s, otros relativos a cuestionarios de hábitos y preferencias, cuestionario de personalidad propia, cuestionario de personalidad de la pareja ideal y cuestionario para foto y vídeo, todos ellos cumplimentados con datos de carácter personal y con un apartado para observaciones del redactor, rellenado a mano, conteniendo comentarios subjetivos, en su mayoría indecorosos, sobre la apariencia física, psíquica o de comportamiento de quien rellenaba los cuestionarios (documentos 282 a 519)."

    La sentencia de instancia comienza precisando, frente a las manifestaciones de la demanda, que"la participación en un programa, incluso en el de Gran Hermano, donde va a ser observado a través de las cámaras de televisión por millones de espectadores, no puede "despojar" a un ciudadano de su derecho a la intimidad, porque su libertad sigue intacta y conserva el pleno derecho a que nadie trate, ceda o revele sus datos personales, aunque voluntariamente el mismo los haya facilitado para concursar". Se justifica la realización de actuaciones previas a la iniciación del procedimiento y la observancia del principio de contradicción, y se rechazan las alegaciones sobre vulneración del derecho de defensa y arbitrariedad.

    En relación con las sanciones impuestas, se razona sobre el incumplimiento por la entidad Zeppelin de la obligación impuesta por el art. 5 de la Ley 15/99, la infracción de los arts. 6 y 7 de dicha Ley en cuanto al tratamiento informatizado de los datos y del art. 11 en cuanto a la comunicación o cesión de los datos. Se rechaza la invocación del principio non bis in idem, señalando los distintos hechos de tratamiento de datos y cesión de los mismos. Se razona sobre la sanción por no adoptar las medidas de seguridad que exige el art. 9 de la Ley 15/99, que se especifican en vía reglamentaria, así como la tipificación de dicha infracción. Termina rechazando la vulneración del principio de proporcionalidad, precisando que "no solo no se ha apreciado una cualificada disminución de la culpabilidad del imputado o de la antijuricidad del hecho, para poder disminuir la cuantía de la sanción, como permite el art. 45.5, sino que al contrario concurre en la conducta de ZEPPELIN TELEVISIÓN, S.A. un plus de ilicitud que no permite sino confirmar lo actuado por el órgano sancionador".

SEGUNDO

Frente a dicha sentencia se interpone este recurso de casación en el que, al amparo del art. 88.1.d) de la Ley de la Jurisdicción, se formulan diez motivos, a los que se opone el Abogado del Estado, tras alegar la inadmisibilidad parcial del recurso, por razón de la cuantía, al amparo del art. 94.1 de la LJCA en relación con el art. 86.2.b) de la misma, respecto de las sanciones impuestas de 5 y 25 millones de pesetas.

Tal alegación de inadmisibilidad debe rechazarse, pues, como ya hemos indicado antes, por auto de 3 de febrero de 2005 se rechazó la concurrencia de esa misma causa de inadmisibilidad, en trámite abierto al amparo del art. 93.3 de la Ley de la Jurisdicción por providencia de 14 de octubre de 2004, por lo que no puede alegarse de nuevo en trámite de oposición, como establece el art. 94.1 de la Ley procesal, además de que serían de reiterar las razones apreciadas en dicho auto para su desestimación.

TERCERO

Entrando a examinar los motivos que se hacen valer por la parte recurrente, por su orden, en el primero se denuncia la infracción de la disposición adicional primera de la Ley 15/99, de 13 de diciembre, de Protección de Datos de Carácter Personal, por inaplicación, razonando que los ficheros en cuestión se hallaban en funcionamiento antes de la entrada en vigor de dicha Ley, por lo que les era de aplicación lo previsto en el párrafo primero de dicha disposición adicional primera, que fija un plazo de tres años para su adecuación a la misma, lo que conllevaría la nulidad de todas las actuaciones seguidas por la Agencia de Protección de datos por carecer de base legal en que sustentarse.

El motivo no puede prosperar, pues la disposición adicional primera de la Ley Orgánica 15/99, regula la adecuación a la misma de los ficheros y tratamientos automatizados, inscritos o no en el Registro General de Protección de Datos, concediendo un plazo de tres años para que los ficheros de titularidad privada sean comunicados a la Agencia de Protección de Datos y para que las Administraciones Públicas, responsables de ficheros de titularidad pública, aprueben la pertinente disposición de regulación del fichero o adapten la existencia, es decir, contempla el plazo en el que han de cumplirse esas concretas previsiones legales exigidas por la nueva Ley, lo que es distinto de los demás aspectos que conforman el régimen legal del tratamiento informatizado de datos de carácter personal, que arranca de la Ley Orgánica 5/1992, de 29 de octubre, que es derogada por esta Ley 15/1999, y cuya aplicación deriva de su entrada en vigor, que según su disposición final tercera se produjo al mes de su publicación en el BOE, publicación que tuvo lugar el 14 de diciembre de 1999, sin perjuicio de las concretas previsiones de carácter transitorio, que no son del caso.

CUARTO

El segundo motivo se refiere a la infracción de los principios establecidos en el art. 24 de la Constitución, en razón de las manifestaciones del Director de la Agencia de Protección de Datos sobre el expediente sancionador, anticipando el resultado del mismo antes de su instrucción y fase probatoria, entendiendo que con ello incurrió en arbitrariedad prohibida por el art. 9.3 de la Constitución y se vulneró el derecho a un juez imparcial que establece el art. 24.2 de la CE, imparcialidad que aseguran las causas de abstención previstas en el art. 28.2 de la Ley 30/92, postura que debió adoptar dicho Director de la APD.

La Sala de instancia dio cumplida respuesta a estas alegaciones que se formularon en la demanda, señalando que en las declaraciones del Director de la Agencia de Protección de Datos no se valora, ni califica, ni enjuicia el procedimiento, limitándose a anunciar a la opinión pública que se están investigando unos hechos y las sanciones que podrían imponerse según la legislación de protección de datos, sin incidencia en el procedimiento, en los hechos enjuiciados ni en su calificación jurídica, entiende que no se cercena su derecho a la defensa y que no implican vulneración del principio de interdicción de la arbitrariedad. Tales apreciaciones no se desvirtúan por la recurrente en este motivo, limitándose a mostrar su desacuerdo y reiterar sus valoraciones, sin embargo, no se advierte en que consiste la arbitrariedad denunciada, que no resulta de esas genéricas manifestaciones sobre las investigaciones y procedimiento abierto, en sí mismas carentes de efectos respecto de la situación jurídica de la entidad interesada y que, en lo que se refiere a su posible reflejo en la resolución sancionadora, como señala la Sala de instancia, ha de estarse al examen sobre su legalidad, incluida la divergencia entre las sanciones propuestas y las finalmente impuestas por el Director de la Agencia, como órgano competente para resolver. Por otra parte, si la recurrente entendía que tales declaraciones comprometían la imparcialidad de dicho Director y que por ello concurría en el mismo una causa de abstención de las previstas en el art. 28 de la Ley 30/92, pudo hacerla valer en cualquier momento de la tramitación del procedimiento y obtener así una respuesta al efecto, revisable en vía jurisdiccional.

Por todo ello este motivo de casación debe ser desestimado.

QUINTO

En el tercer motivo se alega la vulneración por inaplicación del art. 24.2 de la Constitución

, en relación con el art. 5.4 de la LOPJ, señalando que resulta contradictorio con el principio de defensa, que la principal prueba del procedimiento sancionador se obtenga antes de haberse dictado el acuerdo de inicio del expediente, mediante la incorporación al mismo de las actas de inspección, elaboradas durante las actuaciones previas.

Como también señala la Sala de instancia, el art. 12 del Real Decreto 1398/1993, de 4 de agosto, que aprueba el Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora y que según su art. 1 es aplicación supletoria en defecto total o parcial de procedimientos específicos, prevé la realización de actuaciones previas a la iniciación del procedimiento, con el objeto de determinar si concurren las circunstancias que la justifiquen, actuaciones orientadas especialmente a determinar, con la mayor precisión posible, los hechos susceptibles de motivar la incoación, la identificación de las personas que pudieran resultar responsables y las circunstancias que concurran en unos y otros, debiéndose llevar a cabo por los órganos que tengan atribuidas las funciones de investigación, averiguación o inspección en la materia. A ello responden las actas a que se refiere la recurrente, levantadas por la Inspección de Datos, a la que corresponden tales facultades, según resulta del art. 28 del Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia de Protección de Datos y aplicable (DT3ª ) mientras no se desarrollen las previsiones reglamentarias de la disposición final primera de la Ley 15/99 y cuyo contenido y alcance responde a la finalidad que resulta de tal previsión legal.

Por otra parte, la incorporación de tales actuaciones previas al expediente sancionador y su valor probatorio, sin que ello suponga infracción de los principios constitucionales que se invocan por la recurrente, ha sido admitida por el Tribunal Constitucional desde el principio, baste al respecto la sentencia 56/98, de 16 de marzo, que comienza recogiendo la abundante doctrina en el sentido que "los principios esenciales reflejados en el art. 24 de la Constitución en materia de procedimiento han de ser aplicables a la actividad sancionadora de la Administración" (STC 18/1981, fundamento jurídico 2º ), a que entre dichos principios se encuentra el que inspira el contenido del derecho a la presunción de inocencia (STC 76/1990, fundamento jurídico 8º : "no puede suscitar ninguna duda que la presunción de inocencia rige sin excepciones en el ordenamiento sancionador y ha de ser respetada en la imposición de cualesquiera sanciones, sean penales, sean administrativas"), y a que aquella aplicación no tiene un alcance "literal", sino el que requiere la preservación de "los valores esenciales que se encuentran en la base del precepto, y la seguridad jurídica que garantiza el art. 9 de la Constitución " (STC 18/1981, fundamento jurídico 2º ). En esta última pauta hemos insistido, también con otras palabras en múltiples resoluciones, postulando una aplicación de las garantías procesales al procedimiento administrativo sancionador "en línea de principio" (STC 66/1984, fundamento jurídico 1º ), cautelosa (SSTC 246/1991, 197/1995 ) y respetuosa con la naturaleza de este procedimiento (SSTC 22/1990, 246/1991 ); y rechazando que dicha aplicación pueda realizarse de modo mimético, inmediato (STC 181/1990 ), o automático (STC 197/1995 ).

A la hora, pues, de calibrar si las diligencias impugnadas generaron un efecto material de indefensión o, si se quiere, si fueron practicadas sin las mínimas condiciones que avalaban su posible fiabilidad, no se trata de aplicar directamente el molde que los valores de justicia y seguridad imponen al proceso penal, a la prueba penal, sino de comprobar si concurren, las garantías que dichos valores exigen a aquel procedimiento en consideración a su peculiar naturaleza y finalidad....

Así las cosas, lo que los valores que subyacen a los derechos fundamentales en juego exigen a las diligencias de prueba en el orden administrativo son unas mínimas condiciones objetivas y subjetivas que hagan posible su fiabilidad. Y si las primeras parecen centrarse en su normatividad y en la posibilidad de contradicción, las segundas aluden a las características del sujeto que las practica."

Y desde este planteamiento general señala la citada sentencia 56/98, en relación con la denominada "información reservada" que precedió a la apertura del expediente disciplinario y que después se incorporó a él, que "con independencia de que la peculiar característica que domina y da nombre a esta diligencia (su carácter inicialmente "reservado") deba ser tenida en cuenta por el órgano decisor a la hora de valorar su contenido, debe señalarse que de las condiciones en las que se practicó no se infiere la necesidad de proscribir su valoración para salvaguardar el equilibrio esencial del procedimiento y para impedir un posible efecto material de indefensión (así, ATC 204/1993 ). Adviértase que, por una parte, dicho informe fue encargado conforme a Derecho por el Ministerio de Justicia a un funcionario concreto en el ejercicio regular de su función y en que dicho funcionario describió pormenorizadamente su actividad para realizarlo y los fundamentos fácticos de sus conclusiones. Obsérvese también que su escrito se incorporó al expediente una vez incoado éste y que, de nuevo con independencia de las oportunidades de defensa que el hoy recurrente tuviera en la fase judicial, ello le dio oportunidad de rebatir su contenido en las dos ocasiones en las que se le concedió audiencia y de solicitar un nuevo testimonio de su autor, en general, las diligencias que estimara convenientes para sustentar su contradicción.

Corrobora las afirmaciones anteriores nuestra jurisprudencia relativa a que las diligencias y actas de la Inspección de los Tributos constituyen un primer medio de prueba sobre los hechos que reflejan y que su "valor o eficacia ha de medirse a la luz del principio de la libre valoración de la prueba. A ello debe añadirse que ese valor probatorio sólo puede referirse a los hechos comprobados directamente por el funcionario, quedando fuera de su alcance las calificaciones jurídicas, los juicios de valor o las simples opiniones que los inspectores consignen en las actas y diligencias" (STC 76/1990, fundamento jurídico 8º; también, ATC 974/1986, en relación con las actas de la Inspección de Trabajo, ATC 7/1984; en general, STC 169/1994 )".

En el presente caso tales actuaciones previas se llevaron a cabo en condiciones objetivas y subjetivas que permiten apreciar su fiabilidad, en los términos que resulta de esa doctrina constitucional, pues, como señala la sentencia de instancia, se cumplió el principio de contradicción tanto en el momento de levantarse las correspondientes actas, en la que consta la intervención de los representantes legales de las entidades afectadas, como en un momento posterior, habiendo tenido diversas ocasiones, ejercitadas por la recurrente, para formular las alegaciones convenientes, como de hecho efectuó en varios escritos que cita en este recurso, así como intervenir en el correspondiente trámite de prueba; y, subjetivamente, como ya hemos indicado antes, las actas fueron levantadas por el órgano de inspección competente al efecto.

Ningún motivo de indefensión se advierte, por lo tanto, en la incorporación de tales actas al expediente y su valoración como elemento de prueba, que por lo demás se completó durante el desarrollo del procedimiento sin que al respecto se hayan apreciado infracciones que puedan afectar a las posibilidades de ejercicio por la recurrente de los medios de defensa que haya estimado convenientes.

Por lo tanto, también este motivo de casación debe ser desestimado.

SEXTO

En el cuarto motivo la recurrente considera infringidos los arts. 5 y 43.1 de la Ley Orgánica 15/1999, que se interpretan erróneamente, en relación con los arts. 9.3 y 25.1 de la Constitución y 130.3 de la Ley 30/92, alegando que encargó la recogida de datos a la entidad ATENTO, para lo cual celebró el correspondiente contrato, siendo dicha entidad la única responsable de la recogida y de la obligación de información del contenido del art. 5 de la Ley a los titulares de los datos y de su incumplimiento sólo se le puede exigir responsabilidad a dicha entidad. Imputar la comisión de la infracción a la recurrente por los actos de otro supone la infracción del principio de culpabilidad. La aplicación que hace la Sala de instancia del art. 5, en relación con el art. 44.2.d) de la LOPD, supone la apreciación de una responsabilidad solidaria que no prevé dicha Ley, no dándose los requisitos exigidos por el apartado 3º del art 130 de la Ley 30/92 .

La sentencia de instancia no desconoce la existencia del contrato al que se refiere la parte, pero, además de ciertas deficiencias sobre la firma del mismo e indicación de la persona que asume la representación de ZEPPELIN, señala que en dicho contrato ATENTO, como proponente de la oferta, no asume ninguna obligación derivada de la legislación de protección de datos ni ZEPPELIN la exige, limitándose a aceptar la propuesta; en todo caso esta última era la beneficiaria del fichero y quien decidió, como responsable del mismo (art. 3 .d) de la Ley 15/99 ) la finalidad, contenido y uso del tratamiento, por lo que no puede eludir la responsabilidad en una de las garantías establecidas, como es el deber de información contenido en el art. 5 de la Ley Orgánica 15/99, añadiendo que, además, en una segunda fase ZEPPELIN convocó directamente a unos 200 seleccionados al objeto de someterlos a una prueba de cámara/imagen y un nuevo test de inteligencias y psicopatía, y tampoco informó a los interesados y lo mismo sucedió posteriormente respecto de 17 personas a las que sometió a un test de 100 preguntas, por lo que le es imputable tal incumplimiento.

Pues bien, las apreciaciones de la Sala de instancia no se desvirtúan por las alegaciones que se formulan por la recurrente. A tal efecto conviene reproducir, aunque sea parcialmente el art. 5 de la LO 15/99, según el cual:

"1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

  1. De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

  2. Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

  3. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

  4. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

  5. De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de trámite, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.

  1. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

  2. No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.

  3. Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e) del apartado 1 del presente artículo."

Del contenido del precepto resulta, no sólo el alcance de la información que debe proporcionarse a los titulares de los datos personales objeto de tratamiento, sino que puede deducirse que la obligación de ofrecer tal información corresponde al responsable del fichero o su representante, como claramente se establece en el número 4, que contempla el caso de que los datos no hayan sido recabados del interesado, así como del hecho de que necesariamente ha de informarse de la identidad y dirección del responsable del tratamiento o, en su caso, de su representante, bien entendido que se está hablando de representante para el supuesto concreto de que el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, que evidentemente no es el caso.

En esta situación ha de entenderse conforme a Derecho la aplicación que de este precepto ha realizado la Sala de instancia en este caso, pues, aun considerando la posibilidad de que el responsable del tratamiento cumpla con el ofrecimiento de tal información a los titulares de los datos a través de la persona o entidad que, directamente y en virtud de una relación que legalmente le habilite para ello, se les solicite, lo que no puede es eludir tal obligación invocando una intermediación en la que no consta que dicha obligación se asume o traslada al encargado de solicitar los datos personales, como es el caso de autos, pues con ello se eludiría tal obligación sin que el responsable del tratamiento, que decide sobre su existencia, objeto y finalidad, hubiera llevado a cabo actuación alguna en favor de su cumplimiento, directamente o través de quien interviene en su lugar y que no tiene la obligación originaria sino únicamente en cuanto la asuma en virtud de una relación jurídica que así lo establezca.

Por otra parte, es claro que dicha obligación existe en relación con todos los datos de carácter personal que se solicitan de su titular y que vayan a ser objeto de tratamiento, de tal forma que si se producen distintas solicitudes sucesivas en el tiempo, el titular debe tener conocimiento que todas ellas tienen como destino su tratamiento, y es el caso que la recurrente convocó directamente a los seleccionados en dos ocasiones (200 y 17 en cada caso), para la obtención de nuevos datos, sin que les facilitara información alguna al respecto, como exige el art. 5 de la Ley Orgánica 15/99, lo que no resulta justificable cuando, previamente, la responsable del tratamiento tampoco se había ocupado de que les fuera proporcionada la oportuna información a los titulares de los datos personales, y sin que, como se ha dicho antes, puede ampararse en la intervención de terceros que ni siquiera consta que hubieran asumido tal obligación respecto de los datos que solicitaron en su momento.

En definitiva, se aprecia en este caso la total ausencia de actividad por parte de la responsable del tratamiento en cuestión, dirigida a proporcionar a los titulares de los datos personales la información exigida por el art. 5 de la Ley Orgánica 15/99, a quien se exige responsabilidad por la obligación impuesta a la misma por dicha Ley y no por la actuación de otros, lo que lleva a rechazar las alegaciones que en tal sentido formula sobre su falta de culpabilidad y la exigencia de una responsabilidad solidaria no establecida en la Ley y sin la concurrencia de los requisitos establecidos en el art. 130.3 de la Ley 30/92 .

Por todo ello el motivo de casación debe ser desestimado.

SEPTIMO

En el quinto motivo se alega la infracción de los arts. 6.2, apartados 2º y y art. 7 de la Ley Orgánica 15/99, en relación con el art. 45.5 de la misma, razonando que los datos obtenidos desde el ordenador de la APD no están incluidos en la protección especial del art. 7.2 y 3 de la LOPD (consentimiento expreso), bastando el consentimiento tácito, y los denominados datos sensibles nunca fueron tratados por Zeppelin. Invoca la dispensa de prestación de consentimiento prevista en el art. 6.2º de la LOPD y termina aludiendo al principio de proporcionalidad, atendida la ambigüedad de la Ley y dado su rigorismo, en aplicación de lo establecido en el art. 45.5 de la misma.

Como hace la sentencia de instancia, conviene transcribir el contenido de los arts. 6 y 7 de la Ley Orgánica 15/99, según los cuales:

Artículo 6 . Consentimiento del afectado

  1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

  2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del art. 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

  3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.

  4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.

    Artículo 7 . Datos especialmente protegidos

  5. De acuerdo con lo establecido en el apartado 2 del art. 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo.

  6. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.

  7. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.

  8. Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.

  9. Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras.

  10. No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este artículo, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.

    También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.

    La Sala de instancia señala respecto de esta infracción, que "Está perfectamente acreditado, y así obra en el expediente en el que aparece unido anexo al Acta de Inspección de 12 de julio de 2000, un denominado "Cuestionario de Hábitos", donde se pregunta si la izquierda es la única opción válida para la igualdad de las personas, si vota a partido de izquierdas, si puede vivir perfectamente sin Dios y sin religión, si es religioso practicante, si los homosexuales le ponen nervioso, si le gusta el sexo con personas del mismo sexo etc. (folio 110) y en el aparatado de "Preferencias", si se considera una persona religiosa, si es de derechas, etc. (folio 109). En el Biográfico se le pregunta por el tamaño de su trasero (con perdón) (sic), y si es mujer, por el de su pecho.

    Todos estos datos fueron tratados informáticamente, y aunque es cierto que fueron dados de forma voluntaria por aquellas personas que deseaban participar en el concurso de Gran Hermano, se precisa, de acuerdo el con el art. 7.2 de la Ley 15/1999, el consentimiento "expreso y por escrito" del afectado para el tratamiento de los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. En ellos existe un apartado, con las observaciones del redactor escritas a mano que contienen comentarios subjetivos, poco respetuosos con las personas. Como muestra, basta el siguiente ejemplo: "No me gusta, tiene pinta de yonki" (folio 386).

    También ha quedado acreditado el tratamiento relativo a la salud mental de los participantes en el proceso de selección por el gabinete de psicólogos de García Huete, a quienes les sometió, según se especifica en las estipulaciones del contrato suscrito con ZEPPELÍN (folio 628) a pruebas de evaluación de la fuerza emocional, vulnerabilidad ante el estrés, informes psicológicos semanales, informe sociológicos quincenales, KBP.

    En definitiva, no bastaba con el consentimiento tácito de los afectados, sino que estos datos a los que la Ley otorga una protección especial, precisan para su tratamiento el consentimiento expreso de la persona.

    Además, cuando en relación con estos datos, conforme al apartado 1 del art. 7, se proceda a recabar el consentimiento, se advertirá al interesado de su derecho a no prestarlo. Advertencia que en ningún momento se ha efectuado.

    Y es evidente que el mero hecho de rellenar los cuestionarios para participar en el concurso no puede ser tomado como la expresión de una voluntad consciente e informada para que el tratamiento automatizado de tales datos se verifique. Es así que no puede afirmarse que el consentimiento de los aspirantes se haya prestado con conocimiento cabal de su exacto alcance y finalidad, ni tan siquiera para que el tratamiento de datos se efectuara. Porque una cosa es dar unos datos personales para participar en un concurso televisivo, y otra muy distinta es prestar el consentimiento para que dichos datos se traten informáticamente."

    La parte cuestiona tales apreciaciones afirmando que los denominados datos sensibles, especialmente protegidos por el art. 7 de la LOPD nunca fueron tratados de forma automatizada por Zeppelin, cuestionando con ello las apreciaciones fácticas del Tribunal de Instancia que, como acabamos de señalar, declara que todos esos datos fueron tratados informáticamente, valorando las pruebas de las que dispuso, planteamiento que no resulta viable en casación, pues es doctrina reiterada de esta Sala, sentencias de 8 de octubre de 2001, 12 de marzo de 2003 y 18 de octubre de 2003, entre otras, que la formación de la convicción sobre los hechos en presencia para resolver las cuestiones objeto del debate procesal está atribuida al órgano judicial que, con inmediación, se encuentra en condiciones de examinar los medios probatorios, sin que pueda ser sustituido en tal cometido por este Tribunal de casación y la valoración prueba sólo en muy limitados casos, declarados taxativamente por la jurisprudencia, puede plantearse en casación, supuestos como el quebrantamiento de las formas esenciales del juicio en relación con la proposición o la práctica de prueba, la incongruencia o falta de motivación de la sentencia; que se invoque oportunamente como infringida una norma que deba ser observada en la valoración de la prueba; o, finalmente, se alegue que el resultado de ésta es arbitrario, inverosímil o falto de razonabilidad (Ss. 21-12-1999, 18-4- 2002, 2-9-2003, 18-10-2003 y 25-11-2003, entre otras muchas), circunstancias que no se plantean en este caso, en que ha de estarse, consecuentemente a los hechos fijados en la instancia.

    En cualquier caso, tampoco las alegaciones de la recurrente desvirtúan en modo alguno las apreciaciones del Tribunal a quo, pues la referencia a los datos obtenidos a través de Internet desde el ordenador de la Agencia de Protección de Datos no excluye que el tratamiento de datos incluyera igualmente los que describe la Sala, con referencia incluso a comentarios "poco respetuosos con las personas", aun cuando no parecieran en dicho archivo de Internet. Por otra parte la atribución del tratamiento al Gabinete de Psicólogos Garcia Huete&Cuadrado, S.L. no le priva de su condición de responsable del tratamiento (art. 3.d ) LOPD) y por lo tanto, no le exonera del cumplimiento de las obligaciones y limitaciones que la Ley establece al efecto. La sentencia de instancia destaca el tratamiento de datos amparados por la necesidad de consentimiento expreso establecida en el art. 7.2 y 3 de la Ley 15/99, pero no circunscribe a ello la conducta infractora, pues también para el resto de los datos objeto de tratamiento es preciso el consentimiento, que como dice la sentencia no se puede entender producido por el hecho de que se prestaran voluntariamente por sus titulares, pues ello se efectuaba a los efectos de participación en determinado concurso televisivo y el consentimiento se exige a efectos del tratamiento de esos datos personales, que no consta en forma alguna, resultando incongruente hablar de consentimiento tácito cuando ni siquiera se ha producido la necesaria información a los titulares sobre la existencia de tal tratamiento y fichero. El art. 6.2 de la LOPD excluye de la exigencia de consentimiento para el tratamiento de datos, cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento, circunstancias que no son predicables de la selección de aspirantes para un concurso, en ninguna de sus facetas, pues ni se trata de un contrato o relación negocial, laboral o administrativa, ni el tratamiento se precisa para el mantenimiento de la relación en el caso de que llegue a establecerse, pues la finalidad del fichero, según manifiesta la propia parte recurrente en el hecho quinto de la demanda por transcripción de la cláusula tercera del contrato suscrito con la entidad Media Bit, S.L., es "contener información de personas que puedan intervenir en las series, programas y concursos producidos o que, en el futuro, pueda producir ZEPPELIN TELEVISION, S.A.". Finalmente, no es de apreciar infracción del principio de proporcionalidad en los términos que se plantea en este motivo, ya que no se advierte la ambigüedad de la LOPD, que no regula ex novo la materia sino que viene a sustituir a la anterior Ley Orgánica 5/1992, de 29 de octubre, la infracción afecta a un elemento esencial de la protección de datos, como es el consentimiento del titular de los mismos, cuyo derecho constituye la razón de ser de la protección establecida en la Ley, y la sanción se ha impuesto en su grado medio.

OCTAVO

Se alega en el sexto motivo la infracción por inaplicación de los arts. 11.2.c) y 12.1 de la Ley Orgánica 15/99, manteniendo que no se dan los elementos del tipo imputado, "comunicación o cesión de datos de carácter personal, fuera de los casos en que estén permitidos", ya que sus actuaciones están amparadas por el art. 12.1 de la citada Ley Orgánica 15/99, razonando sobre el alcance de este precepto, que extendería la consideración de no cesión de los datos personales, el acceso de terceros a los datos del responsable del tratamiento para prestarle cualquier tipo de servicio y no exclusivamente para la realización de servicios de tratamiento de datos, por lo que concluye que el acceso de GH&C a los datos personales de los aspirantes que tenía Zeppelin, no constituye cesión o comunicación de éstos, porque se hallaba amparada por el contrato de arrendamiento de servicios, que entiende se podía encuadrar también en el apartado segundo de dicho art. 12 .

Tras señalar que a la misma conclusión ha llegado el Tribunal a quo, entiende que tampoco puede considerarse como tal la comunicación de los datos a los señores D. Eloy y D. Mauricio, por ser los mismos miembros del Gabinete GH&C y por lo tanto la prestación de sus servicios a Zeppelin estaba amparada por el mismo contrato de 11 de febrero de 2000 y en el caso de que se considerasen ajenos a dicho Gabinete, tampoco existiría cesión de datos por aplicación del art. 12.1 de la LOPD, al darse la condición de terceros en los términos del art. 2.f) de la Directiva 95/46 del Parlamento y del Consejo, pues es obvio que prestaron un servicio retribuido y no se ha probado la utilización de los datos que voluntariamente dieron los aspirantes para un fin distinto. Añade a mayor abundamiento la aplicación al caso del art. 11.2 de la citada LOPD .

Se cuestiona en este motivo la infracción del art. 11 de la LOPD imputada a la recurrente, a cuyo efecto debe reproducirse dicho precepto, según el cual:

"1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

  1. El consentimiento exigido en el apartado anterior no será preciso:

    1. Cuando la cesión está autorizada en una ley.

    2. Cuando se trate de datos recogidos de fuentes accesibles al público.

    3. Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

    4. Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

    5. Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

    6. Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

  2. Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar.

  3. El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.

  4. Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley.

  5. Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores".

    La Sala de instancia señala al efecto que: "Está perfectamente acreditado que haciendo uso del fichero elaborado a partir de la información grabada por ATENTO TELECOMUNICACIONES ESPAÑA, S.A.U., el gabinete de psicólogos GARCÍA HUETE & CUADRADO, S.L. se encargó de seleccionar unas 2.681 personas, que fueron tipificadas por D. Eloy (sociólogo colaborador del gabinete de psicólogos y Administrador de la entidad SECTOR FACTIBILIDAD y EVALUACION, S.L.), a partir de los datos proporcionados por ZEPPELIN TELEVISIÓN, S.A., de acuerdo a su profesión declarada y nivel de estudios, siéndoles asignado un código denominado CLASE SOCIAL SUBJETIVA (CSS). A continuación, D. Eloy remitió a Dña. Carina el fichero conteniendo la información obtenida por ATENTO TELECOMUNICACIONES ESPAÑA, S.A.U. y complementada con el citado código. Este envío se realizó en dos tandas: una primera incompleta con unos 1.800 registros y otra posterior completa conteniendo los 2.681 registros. En ningún caso se envió ni recibió la información encriptada. Teniendo como base este nuevo fichero, ZEPPELIN TELEVISIÓN, S.A. llamó telefónicamente a los participantes para convocarles a un casting, que se realizó en diversas poblaciones del territorio español en función de la localización geográfica del participante. En este casting se les sometió a una prueba de cámara/imagen y a los siguientes tests: Cuestionario Biográfico, Cuestionario de Hábitos y Preferencias, Cuestionario de Personalidad Propia y de la Personalidad de la Pareja Ideal, incluyendo éstos dos últimos una hoja de respuestas para su lectura mecánica. Estos tests fueron entregados por ZEPPELIN TELEVISION, S.A. a D. Mauricio, el cual colaboró también con el gabinete GARCIA HUETE & CUADRADO, S.L. y se encargó de mecanizarlos para su lectura óptica. FASE 3: A partir de los resultados obtenidos en la fase anterior, ZEPPELIN TELEVISION, S.A. y el gabinete de psicólogos convocaron nuevamente a unos 200 seleccionados con objeto de someterles a una nueva prueba de cámara/ imagen y a un nuevo test de inteligencia y psicopatías, que contenía también dos hojas de respuestas para lectura mecánica. La lectura de estos tests fue mecanizada por la entidad TEA EDICIONES, S.A. FASE 4: Con los resultados de la fase anterior, se seleccionó un grupo de 57 aspirantes, A los que se sometió a una entrevista personal en la que participó ZEPPELIN TELEVISIÓN, S.A. y el gabinete GARCÍA HUETE & CUADRADO, S.L., resultando como seleccionadas finalmente 25 personas. FASE 5: De estas 25 personas, D. Eloy convocó nuevamente a 17, que cumplimentaron un test de inteligencia emocional. A su vez, ZEPPELIN TELEVISIÓN, S.A. sometió a esas 17 personas a un test de 100 preguntas diversas (documento 80 a 84).

    Entiende la Sala de instancia que la cesión de datos a García Huete& Cuadrado, S.L. era legítima al amparo del art. 12 de la Ley 15/99, en virtud del contrato suscrito con Zeppelin Televisión, S.A. para la prestación de servicios de tratamiento automatizado de datos, pero no lo era la cesión realizada a D. Eloy y a D. Mauricio, con los que Zeppelin no tenía relación jurídica alguna porque con ellos no había firmado contrato alguno, y en ese caso se precisaba el pertinente consentimiento de los afectados. Razona la Sala al respecto que mediante la testifical practicada se ha tratado de acreditar la existencia de vinculación entre dichos colaboradores y el gabinete GH&C, pero entiende que "lejos de la credibilidad que nos merezca una empleada de la propia recurrente y de la versión que nos pueda dar el representante de la empresa cesionaria de los datos de unos hechos por los que también puede ser sancionada, lo cierto y verdad es la existencia de facturas entre el gabinete y estas personas (folios 522 y 523), y que D. Eloy es Administrador de SECTOR FACTIBILIDAD y EVALUACION, S.L, cuya personalidad jurídica es distinta de la de GARCÍA HUETE & CUADRADO, S.L, y que la cesión de datos no está regida por ningún contrato escrito. Simplemente, la cesión de datos se ha producido materialmente sin ningún tipo de garantía respeto a su tratamiento, a posibles cesiones posteriores, o a su confidencialidad. Y al faltar el contrato exigido en el art. 12 de la LOPDCP, se precisaba el consentimiento previo de los interesados para la cesión de los datos."

    Como ya se ha expuesto en un motivo anterior, la fijación de los hechos corresponde a la Sala de instancia en la valoración inmediata de las pruebas practicadas, que sólo puede se objeto de revisión en casación por alguna de las concretas vías que señala la jurisprudencia y que aquí no se han ejercitado.

    En esta situación ha de estarse a los hechos que la Sala de instancia considera probados, entre los cuales se encuentra la negación de que los Sres. Eloy y Mauricio formaran parte del gabinete GH&C, lo cual se justifica suficientemente si se tiene en cuenta que, aunque colaboradores, actúan con independencia de dicho gabinete, hasta el punto de que se les gira la correspondiente facturación por los servicios prestados y no como miembros del gabinete, Por otra parte, la misma Sala entiende acreditada la falta de contrato alguno entre tales personas y la recurrente, exigido al efecto por el art. 12 de la LOPD, siendo claro que el contrato de 11 de febrero de 2.000 se estableció entre Zeppelin y GH&C y, por lo tanto, es ajeno a la prestación de servicios por los Sres. Eloy y Mauricio .

    Por otra parte, la cesión no puede ampararse en la genérica condición de terceros a que se refiere el art. 12 de la LOPD, que no se niega en la instancia, y el hecho de hayan prestado un servicio retribuido, pues el propio precepto, en su número 2, sujeta expresamente la realización de tratamiento por cuenta de terceros (en eso ha consistido su colaboración) a la existencia de "un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento,...", lo que necesariamente exige una forma que refleje y deje constancia no sólo de su celebración sino de su contenido, que incluso se especifica en sus cláusulas imprescindibles en el propio precepto.

    Tal exigencia responde a la finalidad de la norma de garantizar que el acceso de terceros a los datos de carácter personal, objeto de tratamiento automatizado, se produzca únicamente en los casos y con las limitaciones legalmente establecidas, plasmándose las condiciones, finalidad y alcance de la cesión de forma que resulte controlable en su desarrollo y cumplimiento, circunstancias que no concurren en este caso respecto de los Sres. Eloy y Mauricio . Finalmente, el art. 11.2.c) de la Ley 15/1999, exonera de la regla general de exigencia de consentimiento, el caso de que el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros, circunstancias que en ningún caso pueden considerarse propias de un proceso de selección, como el que es objeto de litigio, en que los datos obtenidos a tal efecto, una vez producida la selección, no precisan de tratamiento informatizado para el desarrollo y cumplimiento de la relación que se establezca, de hecho y como ya se ha indicado antes, el tratamiento pretendido por la recurrente tenía como finalidad disponer de datos en relación con futuros programas que pudiera producir, por lo que falta el presupuesto para que pueda justificarse la conexión con ficheros de terceros, a que se refiere la parte con amparo den el indicado precepto.

    Por todo ello también este motivo de casación debe ser desestimado.

NOVENO

En motivo séptimo se refiere a la infracción por inaplicación de los arts. 25.1 de la Constitución en relación con el art. 133 de la Ley 30/92, por vulneración del principio non bis in idem, al considerar que ante una presunta falta de consentimiento de los titulares de los datos personales, para ser tratados, la APD entiende que se han cometido dos infracciones.

Señala la sentencia de instancia al respecto, "que se trata de dos hechos distintos, por un lado, el tratamiento automatizado de datos especialmente protegidos sin consentimiento expreso del afectado, y, por otro, la cesión de esos datos sin contar con el consentimiento de la persona a quien se refieren los mismos, y cada uno de ellos constituye infracción distinta, y así lo ha considerado el legislador al prever para cada uno de ellos un tipo infractor distinto y una consecuencia jurídica (sanción), totalmente distinta."

Como ha declarado el Tribunal Constitucional en sentencia 180/2004, de 2 de noviembre, "desde una perspectiva sustancial, el principio de ne bis in idem se configura como un derecho fundamental del ciudadano frente a la decisión de un poder público de castigarlo por unos hechos que ya fueron objeto de sanción, como consecuencia del anterior ejercicio del ius puniendi del Estado" y "que irrogada una sanción, sea ésta de índole penal o administrativa, no cabe, sin vulnerar el mencionado derecho fundamental, superponer o adicionar otra distinta, siempre que concurran las tan repetidas identidades de sujeto, hechos y fundamento. Es este núcleo esencial el que ha de ser respetado en el ámbito de la potestad punitiva genéricamente considerada, para evitar que una única conducta infractora reciba un doble reproche aflictivo" (STC 177/1999, de 11 de octubre, FFJJ 3 y 4 )".

Añade dicha sentencia, que "la garantía material de no ser sometido a bis in idem sancionador tiene como finalidad evitar una reacción punitiva desproporcionada (SSTC 154/1990, de 15 de octubre, FJ 3, y 177/1999, de 11 de octubre, FJ 3 ), en cuanto dicho exceso punitivo hace quebrar la garantía del ciudadano de previsibilidad de las sanciones, pues la suma de la pluralidad de sanciones crea una sanción ajena al juicio de proporcionalidad realizado por el legislador y materializa la imposición de una sanción no prevista legalmente."

Y concluye que "en definitiva, este principio veda la imposición de una dualidad de sanciones "en los casos en que se aprecie la identidad del sujeto, hecho y fundamento" (STC 2/1981, de 30 de enero, FJ 4; reiterado entre muchas en las SSTC 66/1986, de 26 de mayo, FJ 2, y 204/1996, de 16 de diciembre, FJ 2 ).

Pues bien, desde estas consideraciones ha de entenderse ajustada a Derecho la apreciación de la Sala de instancia, en cuanto las sanciones impuestas a la recurrente responden a distintas conductas tipificadas por el legislador como infracciones administrativas diferenciadas, como son la comunicación o cesión de datos de carácter personal y el recabar y tratar tales datos, sin que la existencia de un elemento común, como puede ser la falta de consentimiento -que no necesariamente debe concurrir, pues la cesión puede estar fuera de los casos permitidos por la ley por otro motivo- pueda llevar a confundir tales conductas que aparecen expresamente definidas en el art. 3 de la LOPD, considerando como tratamiento de datos en la letra c), las "operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias" y describiendo en la letra i) la cesión o comunicación de datos como "toda revelación de datos realizada a una persona distinta del interesado", lo que justifica la distinta tipificación de infracciones y la sanción de las conductas correspondientes sin que ello suponga infracción del principio ne bis in idem.

En consecuencia, este motivo debe ser desestimado.

DECIMO

Se alega en el motivo octavo la infracción del art. 9 y el art. 44.3.b) de la Ley Orgánica 15/99, en relación con los arts. 4,8,9 al 14,17,18,19,20 y 23 del Reglamento de Medidas de seguridad aprobado por Real Decreto 994/999, de 11 de junio, señalando que la sentencia de instancia incurre en contradicción al argumentar que eran exigibles medidas de nivel medio y considerar que las medidas que incumplió la recurrente eran las de nivel básico. Alega que en todo caso se adoptaron las medidas de seguridad y aun de nivel superior al básico y concluye que no se produjo la infracción del art. 9 de la LOPD y alude al principio de proporcionalidad, señalando que no se ha acreditado que la no adopción de las medidas de seguridad supusiera un peligro real para el bien jurídico protegido.

El art. 9 de la Ley 15/99 establece que "1 . El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

  1. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

  2. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el art. 7 de esta Ley ."

Por su parte el Real Decreto 994/99, de 11 de junio, que aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, distingue entre medidas de seguridad de nivel básico, medio y alto, señalando entre las primeras, reguladas en los arts. 8 a 14, la elaboración e implantación por el responsable del fichero de un documento de seguridad, de obligado cumplimiento para el personal con acceso a los datos informatizados y a los sistemas de información, que deberá contener como mínimo los siguientes aspectos: "

  1. Ambito de aplicación del documento con especificación detallada de los recursos protegidos.

  2. Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento.

  3. Funciones y obligaciones del personal.

  4. Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.

  5. Procedimiento de notificación, gestión y respuesta ante las incidencias.

  6. Los procedimientos de realización de copias de respaldo y de recuperación de los datos."

Tal documento deberá mantenerse en todo momento y deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

Se regulan las funciones y obligaciones del personal, se establece que el responsable del fichero debe adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. Se establece un registro de incidencias. El responsable del fichero se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y autenticación para dicho acceso. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y mientras estén vigentes se almacenarán de forma ininteligible. Se establece un control de acceso, gestión de soportes y régimen de copias de respaldo y recuperación.

La Sala de instancia, tras señalar que dado que los ficheros contienen un conjunto de datos de carácter personal suficientes para permitir la evaluación de las personas que optaban a participar en el concurso, deberán garantizar las medidas de nivel medio establecidas en el citado Reglamento de 11 de junio de 1999, señala que por el juego de la disposición transitoria única del mismo y el artículo único del Real Decreto 195/2000, a partir de marzo de 2000, le era exigible a la entidad actora la adopción de medidas de seguridad de nivel básico, y razona sobre la existencia de la infracción en los siguientes términos:

"Pues bien, ante semejante obligación la parte recurrente alega en su descargo que sí adoptó las medidas de nivel básico, dado que en primer lugar existía el Documento de Seguridad, incorporado como documento (folios 94 a 96 del expediente), confeccionado por MEDIA BIT, que es la entidad con la que su representada contrató el servicio de tratamiento de datos -outsourcing-, cumpliendo con ello lo exigido en el aparatado 2º del art. 12 de la L.O.P.D, la medida se cumplió, pues dicha Ley no exige en ninguno de sus preceptos que el documento de seguridad sea elaborado por el responsable del tratamiento; y además porque

D. Carlos Jesús actuando como jefe de seguridad facilitó a los inspectores de la Agencia de Protección de Datos facilitó la contraseña de accesos, como reconoce la propia Inspección.

En lo concerniente al primer punto, ha de decirse que ZEPPELIN TELEVISIÓN, S.A. y MEDIA BIT,S.L., tienen idéntica sede social y forman parte en la actualidad del mismo grupo empresarial, estando la segunda participada por la primera y por INICIATIVAS DIGITALES, S.A. en una proporción 45%-55%, según se hace constar en el Acta de Inspección de 12 de julio de 2000 E/00167/2000-I/2000 (folio 79). Y que efectivamente se halla aportado al expediente (folios 94-96) un documento sin firmar de Medidas de Seguridad elaborado por Media Bit y referida exclusivamente al ámbito de dicha empresa, en el que no se hace la menor referencia a ZEPPELÍN.

Por lo que hace a que el jefe de seguridad facilitara a los inspectores de la Agencia de Protección de Datos la contraseña de accesos, no implica el cumplimiento de las normas de seguridad exigida en norma reglamentaria. Y tanto es así que los servicios de inspección de la Agencia de Protección de Datos, pudieron comprobar desde un ordenador personal la publicación a través de Internet de un fichero que contenía el una tabla con 1722 registros con datos de carácter personal de aspirantes al concurso de Gran Hermano.

Por todo lo dicho, ha de llegarse a la conclusión que a la sociedad recurrente se le ha sancionado por no adoptar las medidas de seguridad que exige el art. 9 de la Ley 15/1999, pero que se especifican en vía reglamentaria, y que por las razones que se han dicho, le son exigibles, al menos, la adopción de medidas de seguridad de nivel básico."

Pues bien, las alegaciones que se formulan en este motivo no desvirtúan las apreciaciones de la Sala de instancia, que justifica suficientemente la razón por la cual la sanción se refiere, al menos, a las medidas de seguridad de nivel básico, en cuanto son las que sin duda le eran exigibles, cuestión que admite la recurrente en este motivo. Por otra parte y frente al planteamiento de la recurrente, resulta acreditado que el documento de seguridad invocado correspondía a la empresa Media Bit y no a la recurrente, bastando la lectura de tal documento para observar que se refiere al personal y servidores de Media Bit, sin que en ningún momento se haga ninguna referencia al personal de Zeppelin. Como se recoge expresamente en el art. 8 y siguientes del Real Decreto 994/99, corresponde al responsable del fichero elaborar e implantar el referido documento de seguridad, así como adoptar las medidas necesarias para que el personal conozca las normas de seguridad, encargarse de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema, con el correspondiente procedimiento de asignación, distribución y almacenamiento de contraseñas, si este es el sistema, que garantice su confidencialidad e integridad, debiendo establecer procedimientos de identificación y autenticación y mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos a los autorizados. No pueden prosperar, por lo tanto, las alegaciones que se formulan sobre la adopción de tales medidas, que aun siendo de carácter básico completan un cuadro de garantías de confidencialidad y ordenación del acceso a los datos objeto de tratamiento que no se ha cumplido en este caso, lo que justifica la sanción impuesta, cuya proporcionalidad no puede cuestionarse alegando que no se ha probado que la no adopción de las medidas supusiera peligro real para el bien jurídico protegido, siendo que se trata de unas medidas básicas o mínimas y, por lo tanto, elementales para evitar dicho peligro, señalando la Sala de instancia cómo pudo comprobar la Inspección de la Agencia de Protección de Datos desde un ordenador personal la publicación a través de Internet de un fichero que contenía una tabla con 1722 registros con datos de carácter personal de aspirantes al concurso de Gran Hermano.

Por todo ello este motivo de casación debe ser desestimado.

UNDECIMO

En el motivo noveno se denuncia la infracción del art. 44.3.h) de la LOPD, en relación con el art. 25.1 de la Constitución, en cuanto dicho precepto no establece unos criterios objetivos para subsumir la infracción en el catálogo de sanciones, invocando jurisprudencia al efecto y señalando que a pesar de que el R.D. 994/99 establece tres niveles de medidas de seguridad, el art. 44.3 .h) no contempla una graduación entre la medida no adoptada y la sanción que correlativamente le corresponde, por lo que debe tenerse por nulo por contravenir normas constitucionales.

Tal y como se plantea el motivo no puede prosperar, pues se pide la declaración de nulidad del art.

44.3.h) de la Ley 15/99, por contravenir normas constitucionales, planteando la revisión de un precepto con rango legal que queda fuera del ámbito de conocimiento de esta Jurisdicción Contencioso Administrativa (art. 1 de la LJCA ), cayendo en el ámbito del control de constitucionalidad de las Leyes atribuido al Tribunal Constitucional (art. 161 CE ), sin que ni siquiera se suscite por la parte el planteamiento de cuestión de inconstitucionalidad.

En todo caso, como ya señaló la sentencia de instancia, "La regla de la tipicidad no impide que el tipo pueda contener, junto a elementos descriptivos, otros elementos normativos que requieren una valoración por parte del interprete o del Juez que ha de aplicar la Ley, valoración que puede realizarse bien con arreglo a los datos y reglas que suministra la experiencia, bien conforme a otras normas jurídicas, bien según criterios éticos sociales. Así lo ha venido reconociendo el Tribunal Constitucional en su sentencia 62/1982, de 15 de octubre, F.J. 7ª que "el principio de tipicidad no queda infringido en los supuestos en que la definición del tipo incorpora conceptos cuya delimitación permite un margen de apreciación", ni desde luego, "el principio de tipicidad excluye toda intervención del Reglamento pues cabe que la Ley defina el núcleo básico calificado como ilícito y los límites impuestos a la actividad sancionadora y que el Reglamento desarrolle tales previsiones actuando como complemento indispensable de la Ley" (SSTTSS de 21 de marzo, 28 de junio y 1 de julio de 1991 y 4 y 6 de mayo de 1992)".

Por otra parte, la sentencia del Tribunal Constitucional 207/1990, de 17 de diciembre, que se invoca por la recurrente, se refiere al art. 57 del Estatuto de los Trabajadores, que tipificaba genéricamente como infracciones laborales de los empresarios "las acciones u omisiones contrarias a las disposiciones legales en materia de trabajo" y establecía que las sanciones se graduarían en atención a la gravedad de la infracción, malicia,..., faltando tanto la graduación de la infracción (graves, muy graves, leves) como la correspondencia de las sanciones con dicha graduación, lo que llevó al Tribunal Constitucional a considerar que no se ajustaba a las exigencias constitucionales en la materia y rechazar la sanción al amparo de dicho precepto.

Pero, como se advierte fácilmente, el art. 44.3.h) de la Ley 15/99 tiene un contenido muy distinto, tipifica una concreta conducta, como es mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen, se califica la conducta como infracción grave y se determina el tipo de sanción en relación con la calificación de la sanción como grave, completándose con una graduación de la sanción, dentro del tipo, atendiendo la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.

No se advierte, por lo tanto inseguridad jurídica en la tipificación de la conducta, que se describe suficientemente con remisión para su precisión a las previsiones reglamentarias, se califica su gravedad por el legislador y se señala la sanción correspondiente a la misma, que además puede graduarse dentro del tipo, todo ello de manera objetiva, sin que pueda imponerse a la valoración del legislador, que considera en todo caso grave la infracción de las normas de seguridad y que tiene asignada la potestad para determinar las conductas infractoras y sancionables (art. 25 CE ), una calificación gradual atendiendo al nivel de las medidas exigibles reglamentariamente.

No se advierte, por lo tanto la infracción que se denuncia en este motivo, que en todo caso llevaría al planteamiento de cuestión de inconstitucionalidad y no a la declaración de nulidad a la que se alude por la recurrente.

DUODECIMO

En el motivo décimo se considera infringido por inaplicación el art. 131.3 de la LRPAC

, en relación con los arts. 45.5 de la LOPD y 14 y 25.1 de la Constitución, razonando sobre la falta de proporcionalidad de las sanciones impuestas atendiendo a sus consecuencias y falta de culpabilidad de la recurrente.

Las alegaciones que se formulan en este motivo no desvirtúan las apreciaciones de la Sala de instancia al respecto y que pone de relieve "la rechazable conducta observada a lo largo de todo el proceso selectivo para el concurso de Gran Hermano, llevado a cabo por la entidad actora, al tratar en un fichero automatizado datos especialmente protegidos, sobre su ideología, religión o creencias, sin consentimiento expreso de los interesados, y sin informarles lo más mínimo de la finalidad, objeto y sentido del tratamiento. Datos que fueron cedidos a personas con los que la actora no tenía relación jurídica alguna y sin ninguna base contractual, sin las más mínimas garantías, sin firmar con ninguna de ellas contrato de confidencialidad, haciendo calificaciones sobre aptitudes y capacidades intelectuales y físicas y emitiendo juicios atentatorios a la propia dignidad de la persona. La falta de control, la descoordinación, la no adopción de medidas de seguridad oportunas, dieron como resultado la publicación en Internet de una lista de aspirantes al concurso de Gran Hermano. Así las cosas, a juicio de la Sala, la Agencia de Protección de Datos ha graduado correctamente la cuantía de las sanciones impuestas, dentro de los límites establecidas para cada una de ellas en el art. 45.1, atendiendo a la naturaleza de los derechos personales afectados (datos especialmente protegidos), al volumen de los tratamientos efectuados (7.000 personas aproximadamente) y al beneficio obtenido (por la actora se hace alarde de la alta audiencia que alcanzó el programa, con más de 11 millones de espectadores), conforme al art. 45.4 de la repetida LORTAD .

Desde luego, no puede decirse que se ha vulnerado el principio de proporcionalidad, cuando la conducta observada por la entidad recurrente en la recogida de datos para la confección de un fichero sobre posibles concursantes del programa que conocemos, se ha basado en el más completo desprecio hacia la exigencia del consentimiento consciente e informado de los afectados. Exigencia de mayor intensidad cuando se refiere a los denominados "datos sensibles", como pueden ser, de una parte, la ideología o creencias religiosas -cuya privacidad está expresamente garantizada en el art. 16.2 de la Constitución - y, por otra parte la raza, la salud y la vida sexual.

Y no solo no se ha apreciado una cualificada disminución de la culpabilidad del imputado o de la antijuricidad del hecho, para poder disminuir la cuantía de la sanción, como permite el art. 45.5, sino que al contrario concurre en la conducta de ZEPPELIN TELEVISIÓN, S.A. un plus de ilicitud que no permite sino confirmar lo actuado por el órgano sancionador."

Frente a las alegaciones de la parte sobre la no utilización de los datos para otros fines, que no se hubiera abierto ningún procedimiento contra Zeppelin con anterioridad, que no se han acreditado perjuicios, pues de tres mil aspirantes sólo se personaron tres en el expediente, la rigurosidad de las sanciones establecidas en la ley, la falta de culpabilidad y el carácter novedoso y oscuridad de la ley, la Sala de instancia aprecia la naturaleza de los derechos personales afectados, el volumen de los tratamientos efectuados, el desprecio hacia la exigencia del consentimiento consciente e informado de los afectados, la falta de medidas de seguridad básicas que llevaron a la publicación en Internet de datos de un considerable número de aspirantes, e incluso el beneficio obtenido, aspectos más que suficientes para considerar que las sanciones impuestas no resultan desproporcionadas, habiéndose fijado en todos los casos en el grado medio de la cuantía establecida por la Ley.

Finalmente, en cuanto a la pretendida aplicación del apartado 5 del art. 45 de la Ley Orgánica 15/99, de 13 de diciembre, según el cual, "si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate", también debe confirmarse la valoración de la Sala de instancia, pues no se aprecia la concurrencia de circunstancias que disminuyan cualificadamente la culpabilidad o la antijuridicidad que justifiquen su aplicación, por el contrario y como se acaba de exponer, la conducta de la recurrente resulta claramente contraria a las exigencias legales en el tratamiento de datos personales, con inobservancia de los requisitos elementales que se establecen al efecto e incidencia generalizada en los derechos de los afectados amparados por dicha normativa, lo que excluye la aplicación de las previsiones de este precepto.

Por todo ello, también este motivo debe ser desestimado.

DECIMOTERCERO

La desestimación de los motivos invocados lleva a declarar no haber lugar al recurso de casación y determina la imposición legal de las costas a la parte recurrente, si bien, la Sala, haciendo uso de la facultad que otorga el art. 139.3 de la LRJCA y teniendo en cuenta la entidad del recurso y la dificultad del mismo, señala en 2.000 euros la cifra máxima como honorarios de letrado de la parte recurrida.

FALLAMOS

Que desestimando los motivos invocados declaramos no haber lugar al presente recurso de casación nº 3755/2003, interpuesto por la representación procesal de la entidad, Zeppelin Televisión, S.A., contra la sentencia de 31 de enero de 2003, dictada por la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, en el recurso 534/01 que queda firme; con imposición legal de las costas a la parte recurrente, si bien, la Sala, haciendo uso de la facultad que otorga el artículo 139.3 LRJCA y teniendo en cuenta la entidad del proceso y la dificultad del mismo, señala en 2.000 euros la cifra máxima como honorarios de letrado de la Administración recurrida.

Así por esta nuestra sentencia, que se insertará en la Colección Legislativa,, lo pronunciamos, mandamos y firmamos . PUBLICACIÓN.- Leída y publicada ha sido la anterior sentencia por el Excmo. Sr. Magistrado Ponente, Don Octavio Juan Herrero Pina, estando la Sala celebrando audiencia pública en el día de la fecha, de lo que como Secretario, certifico.

Índice de navegación
Voces del tesauro
Funcionalidades premium
  • Acceso al fondo completo de jurisprudencia
  • Búsqueda por voces
  • Búsqueda por legislación citada
  • Filtros avanzados
  • Alertas de búsqueda
  • Interrelación con modelos, doctrina y legislación
Solicita tu prueba
Documentos relacionados

Búsquedas relacionadas:

Otros documentos interesantes:

10 sentencias
  • STSJ Comunidad de Madrid 660/2010, 9 de Abril de 2010
    • España
    • 9 Abril 2010
    ...Marzo de 2.004 que obra a los folios 473 a 486 del Expediente Administrativo). Quiere ello decir que, como señala la Sentencia del Tribunal Supremo de 17 de Abril de 2.007, con independencia de la peculiar característica que domina y da nombre a la diligencia (su carácter inicialmente "rese......
  • SAN, 14 de Febrero de 2019
    • España
    • 14 Febrero 2019
    ...reveladoras del hecho a sancionar y de las personas responsables sin necesidad de posterior actividad probatoria (Véase al efecto la S. TS de 17-4-2007 -recurso de casación 3755/03 - en el ámbito de protección de datos). De ahí precisamente la previsión del art. 90.2 del RAC cuando, sin nec......
  • STSJ Andalucía 340/2008, 31 de Marzo de 2008
    • España
    • 31 Marzo 2008
    ...este en el que es difícil diferenciar la conducta sancionable de forma individualizada, lo que no es el caso que nos ocupa. La STS de 17 de abril de 2.007 señala que "La aplicación que hace la Sala de instancia del art. 5 , en relación con el art. 44.2.d) de la LOPD , supone la apreciación ......
  • SAN, 9 de Abril de 2008
    • España
    • 9 Abril 2008
    ...ni en vía administrativa ni tampoco en esta vía judicial. Por lo que se refiere a la validez de las actuaciones previas, la reciente STS de 17 de abril 2007, Sala 3ª (rec. 3755/2003 ) dictada precisamente en relación con un procedimiento de protección de datos, señala "que la incorporación ......
    • Solicita tu prueba para ver los resultados completos
2 artículos doctrinales
  • Seguridad y protección de datos
    • España
    • Seguridad Pública y Privada
    • 31 Octubre 2016
    ...de verificar que el encargado del tratamiento con el que contrata reúna todas las garantías establecidas reglamentariamente La STS de 17 de abril de 2007 declara respecto del contrato suscrito entre el responsable y el encargado que, la exigencia de una forma responde a la finalidad de gara......
  • Implicaciones del futuro reglamento europeo sobre protección de datos en la libertad de información
    • España
    • Los derechos a la intimidad y a la privacidad en el siglo XXI
    • 20 Febrero 2015
    ...mensajería o la sanción de 1,08 millones de euros impuesta a Zeppelin Televisión, S.A. por la AEPD, ratificada posteriormente por STS de 17 de abril de 2007, por incurrir en una violación de la ley por el tratamiento dado a los datos de carácter personal de más de 7.000 candidatos a partici......

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR