T R I B U N A L S U P R E M O
Sala de lo Contencioso-Administrativo
Sección Tercera
Sentencia núm. 1.756/2023
Fecha de sentencia: 21/12/2023
Tipo de procedimiento: R. CASACION
Número del procedimiento: 4551/2022
Fallo/Acuerdo:
Fecha de Votación y Fallo: 05/12/2023
Ponente: Excma. Sra. D.ª María Isabel Perelló Doménech
Procedencia: AUD.NACIONAL SALA C/A. SECCION 1
Letrado de la Administración de Justicia: Ilmo. Sr. D. Luis Martín Contreras
Transcrito por: BPM
Nota:
R. CASACION núm.: 4551/2022
Ponente: Excma. Sra. D.ª María Isabel Perelló Doménech
Letrado de la Administración de Justicia: Ilmo. Sr. D. Luis Martín Contreras
TRIBUNAL SUPREMO
Sala de lo Contencioso-Administrativo
Sección Tercera
Sentencia núm. 1756/2023
Excmos. Sres. y Excma. Sra.
D. Eduardo Espín Templado, presidente
D. José Manuel Bandrés Sánchez-Cruzat
D.ª María Isabel Perelló Doménech
D. José María del Riego Valledor
D. Diego Córdoba Castroverde
En Madrid, a 21 de diciembre de 2023.
Esta Sala ha visto el recurso de casación 4551/2022 interpuesto por la Procuradora Dª Maria Dolores Girón Arjonilla (sustituida por D. Luis de Villanueva Ferrer) en presentación de D. Silvio, Dª María, D. Valentín, D. Jose Ignacio, Dª Paloma, D. Jose Pablo, Dª Paulina, D. Carlos Ramón, D. Carlos Miguel, Dª Remedios, D. Luis Pedro, D. Luis Pablo, D. Jesús Carlos, Dª Sabina y Dª Salome, con la asistencia letrada de D. Josep Cruanyes Tor, contra la sentencia de 28 de febrero de 2022 (LA LEY 50826/2022), de la Sección 1ª de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, dictada en el recurso contencioso-administrativo nº 1811/2019. Ha sido parte recurrida el Abogado del Estado en la representación que ostenta de la Administración General del Estado.
Ha sido ponente la Excma. Sra. D.ª María Isabel Perelló Doménech.
ANTECEDENTES DE HECHO
PRIMERO.- La representación de los recurrentes "D. Silvio, Dª María, D. Valentín, D. Jose Ignacio, Dª Paloma, D. Jose Pablo, Dª Paulina, D. Carlos Ramón, D. Carlos Miguel, Dª Remedios, D. Luis Pedro, D. Luis Pablo, D. Jesús Carlos, Dª Sabina y Dª Salome", interpuso recurso contencioso-administrativo contra la resolución de la Agencia Española de Protección de Datos de 12 de julio de 2019, que desestima el recurso de reposición contra la resolución de 27 de febrero del mismo año, por la que se archivan las actuaciones incoadas a raíz de la denuncia presentada por los demandantes.
La sentencia de la Sección 1ª de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 28 de febrero de 2022 (LA LEY 50826/2022) (recurso nº 1811/2019) termina con la siguiente parte dispositiva:
" FALLAMOS.
PRIMERO.- Desestimar el presente recurso nº 1811/2019, interpuesto por la Procuradora Sra. Girón Arjonilla, en la representación que ostenta, contra la Resolución de la Agencia Española de Protección de Datos descrita en el primer Fundamento de Derecho,, que se confirma por ser conforme a derecho.
SEGUNDO.- Imponer a la parte demandante las costas del recurso."
Notificada a las partes, preparó recurso de casación la representación de los recurrentes D. Silvio, Dª María, D. Valentín, D. Jose Ignacio, Dª Paloma, D. Jose Pablo, Dª Paulina, D. Carlos Ramón, D. Carlos Miguel, Dª Remedios, D. Luis Pedro, D. Luis Pablo, D. Jesús Carlos, Dª Sabina y Dª Salome, que fue admitido remitiéndose las actuaciones al Tribunal Supremo con emplazamiento de las partes.
SEGUNDO.- Personadas las recurrentes en este tribunal, se admitió a trámite el recurso casación, por Auto de la Sección Primera de esta Sala de 20 de julio de 2022 (LA LEY 170542/2022)en el que se acuerda la remisión de las actuaciones a la Sección Tercera, con arreglo a las normas sobre reparto de asuntos.
La parte dispositiva del Auto de admisión, en lo que ahora interesa, establece lo siguiente:
" (...) 2°) Declarar que la cuestión planteada en el recurso que presenta interés casacional objetivo consiste en un supuesto como el presente en el que no se cuestiona que hubo un tratamiento de datos de carácter personal efectuado sin autorización de los interesados, y que hubo una filtración de dichos datos a un medio de comunicación, en determinar si, ante tales circunstancias, está justificada la decisión de archivo y, en consecuencia, la no iniciación de procedimiento sancionador, con el argumento de si se habían adoptado las medidas necesarias de seguridad que incumben a los responsables del fichero o las que deben observar los responsables de ficheros públicos."
Las normas que, en principio, serán objeto de interpretación son los artículos 18.1 CE (LA LEY 2500/1978), 4, 7, 9, y 22 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LA LEY 4633/1999), y 8 del Convenio Europeo de Derechos Humanos (LA LEY 16/1950).
TERCERO.- La representación procesal de los recurrentes, formalizó la interposición de su recurso de casación mediante escrito presentado el 13 de octubre de 2022 en el que recoge las infracciones que se imputan a la sentencia, y realiza alegaciones sobre:
I. Infracción del principio de tutela judicial efectiva. Art. 24 CE. (LA LEY 2500/1978)
II. Vulneración de la jurisprudencia que reconoce el derecho a la investigación que tienen los ciudadanos denunciantes, como garantía ante las vulneraciones del derecho a la protección de datos.
III. Vulneración del derecho a la protección de datos.
A.- Limitación de los cuerpos de policía en el tratamiento de datos sin el consentimiento de los interesados art. 22 LOPD.
B.- Datos especialmente protegidos artículo y la necesidad de obtener el consentimiento previo 9 y 7 LOPD.
C.- Vulneración de los principios de calidad de los datos objeto de tratamiento del artículo 4 LOPD.
D.- La confidencialidad y seguridad de los datos art. 9 LOPD.
Vulneración del derecho a la intimidad Art. 8 del Convenio Europeo de Derechos Humanos (LA LEY 16/1950) y 18.1 CE.
Y termina suplicando a la Sala dicte sentencia estimatoria, casando la recurrida y resolviendo y dando lugar a los pedimentos de nuestro escrito de demanda.
CUARTO.- Recibidas las actuaciones en esta Sección Tercera, se tuvo por interpuesto el recurso y se acordó dar traslado a las recurridas para que pudiesen formular su oposición.
El Abogado del estado mediante escrito de 13 de diciembre de 2022, realizó las alegaciones que consideró oportunas a su derecho y respecto de la pretensión deducida de contrario, considera que la recurrida es ajustada a derecho y procede su confirmación, con desestimación del recurso de casación.
Concluye, no obstante, si la Sala estima el recurso, se advierte que existe una cierta discrepancia entre la pretensión deducida por la parte recurrente y la cuestión planteada por el auto de admisión, ya que la demanda solicitaba que se realizara una investigación sobre todos los hechos denunciados mientras que el auto de admisión incide en la procedencia de iniciar el procedimiento sancionador. Parece que atendiendo al principio de congruencia la Sala, si estimare el recurso, deberá ordenar la retroacción de actuaciones para que la AEPD complete la investigación y, en su caso ordene la incoación del procedimiento sancionador.
En relación con la cuestión doctrinal planteada en el Auto de admisión, tomando en consideración las concretas circunstancias del caso, la decisión de archivo adoptada por la AEPD sobre la base del examen de las medidas de seguridad adoptadas por el responsable del fichero es ajustada a derecho, sin necesidad de iniciar el procedimiento sancionador.
Termina suplicando a la Sala dicte sentencia mediante la que fije doctrina en los términos interesados en el apartado tercero de su escrito y desestime el recurso de casación, confirmando la sentencia recurrida por ser ajustada a Derecho.
QUINTO.- Quedaron las actuaciones pendientes de señalamiento para votación y fallo, señalándose al efecto el día 5 de diciembre de 2023, en que ha tenido lugar con observancia de las disposiciones legales.
FUNDAMENTOS DE DERECHO
PRIMERO.- Objeto del recurso de casación.
El presente recurso de casación nº 4551/2022 lo interponen D. Silvio, Dª María, D. Valentín, D. Jose Ignacio, Dª Paloma, D. Jose Pablo, Dª Paulina, D. Carlos Ramón, D. Carlos Miguel, Dª Remedios, D. Luis Pedro, D. Luis Pablo, D. Jesús Carlos, Dª Sabina y Dª Salome, contra la sentencia dictada por la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 28 de febrero de 2022, en el recurso contencioso-administrativo nº 1811/2019 (LA LEY 50826/2022).
La sentencia de la Audiencia Nacional ahora recurrida en casación desestima el recurso contencioso-administrativo contra la resolución de la Directora de la Agencia de Protección de Datos de 27 de febrero de 2019, por la que se acuerda el archivo de las actuaciones incoadas a raíz de la denuncia presentada por los ahora recurrentes.
La sentencia impugnada trae causa de la inicial denuncia formulada en fecha 11 de abril de 2014 ante la Agencia Española de Protección de Datos por los 33 recurrentes, en la que denunciaron al Ministerio del Interior y al periódico "La Razón" por la publicación de la noticia titulada "La conspiración de 33 jueces soberanistas" en relación con un manifiesto suscrito por los recurrentes, Magistrados en activo en diferentes órganos jurisdiccionales, en la que figuraba el nombre y apellido de cada uno de los Magistrados firmantes del manifiesto, el órgano judicial en el que prestaban sus servicios, y la fotografía de cada uno de ellos, no facilitada por los mismos, que tampoco autorizaron su difusión. Consideraban los recurrentes que las fotografías publicadas provenían de un fichero del Ministerio del Interior, al coincidir con las utilizadas para la confección del DNI y consideraban vulnerados los artículos 4, 7.4, 9, 15, 22 y 23 LOPD.
La Agencia Española de Protección de Datos inició un expediente de actuaciones previas (E0 1860/2015) y practicadas ciertas diligencias, por resolución de 17 de marzo de 2016 acuerda el archivo de las actuaciones previas que, notificado a los denunciantes, promovieron recurso de reposición que finalmente el 30 de mayo de 2016 es desestimado y confirmada la decisión de archivo.
Disconformes con tal resolución, los aludidos recurrentes formulan recurso contencioso administrativo, en el que denunciaron la vulneración de los indicados preceptos de la LOPD y la falta de diligencias suficientes para la investigación de las infracciones denunciadas, que no se circunscribían a la filtración de las fotografías, sino también a la quiebra del deber de custodia del responsable del fichero.
La Sección Primera de la Sala de los Contencioso administrativo de la Audiencia Nacional dicta Sentencia el 30 de mayo de 2018 estimando en parte el recurso deducido ordenando a la Agencia de Protección de Datos la investigación de los hechos denunciados.
La Sala razona en los siguientes términos en los FJ.4º y 5ª de la sentencia:
"[...] CUARTO.-
[...] Debe recordarse, como se ha hecho constar en el Fundamento Segundo, que la denuncia que los recurrentes presentaron ante la AEPD, el 11 de abril de 2014, era frente al Ministerio del Interior y el Diario La Razón, por la publicación en dicho periódico de una noticia en donde aparecían datos personales de los recurrentes con fotografías que se presumían obtenidas a partir de los ficheros de dicho Ministerio y que, en el escrito de demanda, solicita la parte actora que se reabra la investigación por posible vulneración, de diversos preceptos de la LOPD, entre ellos, el art. 9 de la misma.
Debe recordarse igualmente que toda la actividad investigadora de la AEPD, según se hace constar en las dos resoluciones impugnadas, fue dirigida a la averiguación de la autoría de los hechos, y que la decisión de archivo, se motiva en el resultado de la investigación judicial y la resolución adoptada por el Juzgado de Instrucción 15 de Madrid, que acordó el archivo provisional de las actuaciones, por no poder atribuir a ninguna persona determinada los hechos investigados. Nótese que los hechos investigados en vía penal, eran exclusivamente la publicación de datos personales de los denunciantes en un medio de comunicación, acompañados de sus fotografías que, según declara el Juzgado, " son coincidentes con las utilizadas para la confección por parte de los Servicios y Fuerzas de seguridad del estado del DNI" y que el órgano judicial consideraba que de la instrucción realizada " cabe extraer que los hechos investigados son constitutivos de infracción penal", añadiendo que " no se deducen identidades que permitan la imputación de los hechos perseguidos a persona determinada alguna, teniendo en cuenta que al Director del medio le ampara el secreto profesional".
En ninguna de las resoluciones dictadas por la Agencia Española de Protección de datos, se menciona la existencia de ninguna actividad investigadora, respecto de la posible vulneración del art. 9 de la LOPD denunciada. Dicho precepto, relativo a la Seguridad de los Datos, dispone: (...)
QUINTO .- A la vista de lo expuesto y de los preceptos aplicables al supuesto que se enjuicia, así como la jurisprudencia del Tribunal Supremo relativa a la legitimación activa, considera la Sala, que, aún cuando en el presente supuesto, formalmente, la AEPD ha realizado una investigación, y ha procedido a realizar determinadas actuaciones en averiguación de los hechos denunciados (incluso en dos momentos temporales distintos), es parecer de la Sala que dichas actuaciones han sido solo parciales, y se concretaron en uno de los aspectos de las supuestas vulneraciones denunciadas, como es la autoría de la filtración, respecto de la que, al no existir autor conocido, llevó al Juzgado de Instrucción de Madrid a decretar el sobreseimiento provisional, y a continuación la AEPD, con esta misma fundamentación, al archivo de la denuncia.
Sin embargo, el objeto de la denuncia presentada por los hoy recurrentes, era más amplia, pues comprendía la vulneración del otros preceptos de la LOPD ( arts. 4, 7.4, 9, 15, 22 y 23 de la LOPD), entre los que se encuentra el artículo 9, relativo a la seguridad de los datos, y la responsabilidad del responsable del fichero, cuestión que no ha sido ni siquiera mencionada en las resoluciones de la AEPD, que ha basado todos sus argumentos en la falta de identificación del autor de la filtración, procediendo a adoptar un acuerdo conforme a la declaración de sobreseimiento provisional del órgano judicial.
Pues bien, una cosa es la autoría de la filtración, hecho denunciado ante la jurisdicción penal y que finalizó por el Auto de Sobreseimiento provisional del Juzgado de Instrucción nº 15 de Madrid, y otra distinta es el deber de custodia que corresponde al responsable del fichero así como las medidas de seguridad a que vienen obligados los responsables de ficheros públicos, cuestiones sobre las que la Agencia nada ha investigado, o al menos no se mencionan en las resoluciones adoptadas y que en absoluto están condicionadas por el resultado de la investigación penal que se refiere a un aspecto y un ámbito diferente [...]".
Como consecuencia del pronunciamiento de la Audiencia Nacional, la Agencia de Protección de Datos incoa un nuevo expediente bajo el nº E/06941/2018, practicando una serie de actuaciones en el área de informática de la Dirección General de la Policía, con elaboración de un Acta en la que se recogía el resultado de las comprobaciones realizadas en relación con las medidas de seguridad en el tratamiento de los datos del DNI y las respuestas de funcionarios de la Dirección General de la Policía.
Finalmente, se dicta resolución por la Directora de la Agencia Española de Protección de Datos en fecha 27 de febrero de 2019, acordando el archivo del expediente por considerar que la Dirección General de la Policía cumplía las medidas de seguridad establecidas en la normativa de Protección de Datos, según se razona en el FJ 4º de su resolución de archivo.
Procede entonces que entremos a examinar las cuestiones suscitadas en casación, señaladas en el auto de la Sección Primera de esta Sala de 20 de julio de 2022.
SEGUNDO.- Cuestiones que revisten interés casacional y normas relevantes para la resolución del presente recurso.
El auto de admisión del recurso de casación declara que la cuestión en la que se entiende que existe interés casacional objetivo para la formación de jurisprudencia consiste en que "en un supuesto como el presente en el que no se cuestiona que hubo un tratamiento de datos de carácter personal efectuado sin autorización de los interesados, y que hubo una filtración de dichos datos a un medio de comunicación, en determinar si, ante tales circunstancias, está justificada la decisión de archivo y, en consecuencia, la no iniciación de procedimiento sancionador, con el argumento de si se habían adoptado las medidas necesarias de seguridad que incumben a los responsables del fichero o las que deben observar los responsables de ficheros públicos."
Y se indica en el mencionado Auto que l as normas que, en principio, serán objeto de interpretación son los artículos 18.1 CE (LA LEY 2500/1978), 4, 7, 9, y 22 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LA LEY 4633/1999), y 8 del Convenio Europeo de Derechos Humanos (LA LEY 16/1950).
TERCERO.- La posición de las partes procesales.
La representación procesal de los recurrentes considera, en síntesis, que la sentencia impugnada contradice la precedente de 30 de mayo de 2018, que acordó que la AEPD debía investigar sobre cada una de las vulneraciones de la legislación de protección de datos reconocidos en los artículos 4, 7.4, 9, 15, 22 y 23 LOPD que no se ha cumplido, en su opinión, cuando la investigación se circunscribe a la seguridad en el acceso a la base de datos del DNI, sin investigar sobre el informe elaborado que contenía otros datos sobre la ideología, profesión de los jueces y otras que figuran en el informe o Nota Interna que se filtró al diario "La Razón".
Aduce dicha representación, la infracción de los artículos 103 (LA LEY 2689/1998),2 LJCA (LA LEY 2689/1998), 17.2 LOPJ (LA LEY 1694/1985), 24 CE y 6 CEDH (LA LEY 16/1950) y de la jurisprudencia, ya que la sentencia recurrida contradice y opone con la dictada el 30 de mayo de 2018, pues ésta determinó que se investigara cada una de las vulneraciones de la legislación de protección de datos denunciadas, cosa que no se ha cumplido. En segundo lugar, invoca la vulneración de la jurisprudencia al derecho a la investigación de los hechos denunciados, alegando que en este caso, resulta evidente que la investigación no ha sido conveniente ni idónea, ya que no se ha analizado ninguno de los hechos denunciados. En tercer lugar, la infracción de los artículos 18.1 CE (LA LEY 2500/1978), 4, 7, 9, y 22 LOPD y 8 CEDH (LA LEY 16/1950), así como de la jurisprudencia, alegando que aún cuando en la actualidad han sido derogados los citados preceptos de la LOPD, salvo el artículo 22, siguen vigentes como principios básicos de la protección y tratamiento de datos por la legislación vigente del Reglamento actual, manifestando que dichas infracciones se producen al no haberse efectuado la investigación de los hechos denunciados, y que el informe policial titulado "Nota Interna", plantea si se ha realizado un tratamiento, si ha sido adecuado y pertinente en relación con el ámbito y finalidades explicitas y legítimas para las que se haya obtenido y no excesivos. Añade que al tratarse de datos especialmente protegidos por relacionarse con la ideología y opinión, se ha vulnerado el artículo 7 LOPD, sin que concurra la excepción del artículo 22 ni la legitimidad de la finalidad de su tratamiento como exige el artículo 4.1 LOPD. En cuarto lugar, la infracción del principio de independencia y privacidad de los jueces y magistrados, artículos 13 (LA LEY 1694/1985), 14 (LA LEY 1694/1985) y 400 LOPJ (LA LEY 1694/1985) y 6 CEDH (LA LEY 16/1950), ya que la vulneración de la privacidad tiene una especial trascendencia en el presente caso que afecta a 33 jueces y magistrados ya que la garantía de privacidad afecta en este caso a su independencia.
Añade a lo anterior la Sentencia del Tribunal Europeo de Derechos Humanos de 28 de junio de 2022 (LA LEY 453364/2022), que versa sobre el archivo de las actuaciones penales seguidas por los mismos hechos objeto del proceso, algunos de cuyos fundamentos jurídicos transcribe, y que declaró la vulneración del articulo 8 CEDH (LA LEY 16/1950).
Por su parte, el Abogado del Estado tras delimitar el objeto del recurso y resumir los antecedentes del recurso de casación, aborda la cuestión controvertida indicando que no se aprecia la vulneración del derecho a la tutela judicial efectiva, en su vertiente del derecho a la ejecución de la sentencia en sus propios términos, refiriendo que los recurrentes no detallan ni concretan en que habría consistido la infracción cometida por la AEDP que ejecuta la primera sentencia realizando las investigaciones pertinentes que le permiten concluir sobre las medidas de seguridad y custodia del fichero DNI, para elaborar el informe, considerando, como hace la Audiencia Nacional, que se ha llevado a cabo la investigación ordenada, siendo así que la discrepancia, en su opinión, versa sobre la valoración de los hechos investigados, rechazando por la misma razón la quiebra de la jurisprudencia invocada.
Respecto al motivo tercero y la justificación de la AEPD de proceder al archivo del expediente sancionador, examina cada uno de los alegatos de la parte recurrente, sobre: a) La limitación de los Cuerpos de Policía en el tratamientos de datos sin el consentimiento de los interesados conforme el artículo 22.2 LOPD, indicando que no se identifica la posible infracción con referencia al artículo 44 LOPD, ni las medidas que pudieran adoptarse, afirmando que la investigación que llevo a cabo la AEPD fue coherente y congruente con el contenido de la denuncia; b) Sobre los datos especialmente protegidos y la necesidad de recabar el consentimiento de los interesados, sostiene que el informe mencionado no contiene datos relativos a la ideología de los recurrentes, sino su posición en relación con el manifiesto sobre la consulta en Cataluña, indicando que la firma del manifiesto, conocida públicamente, revela una opinión sobre un asunto, sin adscripción ideológica; c) Sobre la vulneración del principio de calidad de datos del artículo 4 LOPD, reitera la anterior argumentación y sostiene que la elaboración del informe no supone una injerencia en el derecho a la libertad de expresión, pues dio derecho ya había sido ejercitado por medio de la adhesión al manifiesto. Y d) sobre la confidencialidad y seguridad de los datos del artículo 9 LOPD, señala que de la investigación desarrollada se desprende que el organismo afectado cuenta con un documento de seguridad del fichero, en el que se especifican las funciones y obligaciones en relación con el acceso, un registro de incidencias, con un control de accesos y añade que se ha verificado también el cumplimiento de los requisitos del artículo 89 y ss del Reglamento LOPD (LA LEY 13934/2007), de los que se colige que la DGP cumplió con la obligación de adoptar las medidas necesarias para garantizar la seguridad de los ficheros, con diligencia, teniendo en cuenta que no se expresa ningún razonamiento que permita atribuir a la DGP responsabilidad por la falta de concreta implantación de medidas de seguridad o de su adecuada utilización, y desde la perspectiva del articulo 9 LPD no ha habido una utilización indebida que afecte directamente a las medidas de seguridad del fichero. Concluye el Abogado del Estado que la AEPD ha realizado una investigación y ha concluido que no procede incoar un procedimiento sancionador y esta decisión no entra dentro del círculo de legitimación de los recurrentes. Señala que la Agencia niega su competencia para pronunciarse sobre la justificación de los informes elaborados en el ámbito interno de la policía e indica que la apertura de un nuevo procedimiento carecería de efectos prácticos y que no hay base suficiente para que la AEPD se pronuncie sobre la posible existencia de una infracción. Finalmente sobre la vulneración del artículo 8 CEDH (LA LEY 16/1950), sostiene que lo que se cuestiona en el recurso no es una eventual infracción del artículo 22 LOPD, sino si la resolución de archivo de la AEPD es ajustada a derecho, a la que no afecta lo declarado por el TEDH que da respuesta a las pretensiones formuladas en un distinto ámbito, derivado de las actuaciones penales.
CUARTO.- La posición de la Sala.
Para la solución del presente recurso hemos de tomar en consideración lo declarado por el TEDH en la Sentencia de fecha 28 de junio de 2022, a la que hemos aludido, en la que se examina la queja de los ahora recurrentes en relación con la decisión de archivo de un procedimiento penal seguido por los mismos hechos que también objeto de denuncia ante la AEPD, por la presunta vulneración de la Ley de Protección de Datos.
Resulta conveniente resaltar los pasajes más relevantes de la Sentencia en la que el TEDH, tras hacer una serie de reflexiones sobre el derecho reconocido en el artículo 8 CEDH (LA LEY 16/1950), su naturaleza y alcance examina la cuestión suscitada en los siguientes términos:
"57. Por tanto, el Tribunal debe comprobar si las autoridades nacionales han adoptado las medidas necesarias para garantizar la protección efectiva del derecho del demandante a su vida privada y a su correspondencia (véase Craxi c. Italia (nº 2), nº 25337/94, §§ 73 y 74, de 17 de julio de 2003).
[...]
(b) Aplicación al presente caso
(i) En relación con la existencia del informe policial
61. El Tribunal señala que no existe ninguna disposición legal interna que justifique la elaboración por parte de la policía de un informe sobre los ciudadanos cuando no existen indicios de la comisión de un delito o de su implicación en las fases previas necesarias para cometerlo.
62. El informe, de fecha 18 de febrero de 2014, se refería a un grupo de unos 25 jueces en activo en Cataluña que iban a publicar un manifiesto en defensa de la legalidad de la consulta soberanista, prevista para el 9 de noviembre de 2014. El informe identifica al supuesto "promotor principal y redactor más activo". El contenido del informe se refiere a "treinta y cuatro jueces y magistrados que ejercen sus funciones en Cataluña", e incluye una fotografía de cada uno de ellos, sus direcciones, cargos y en algunos casos observaciones sobre cuestiones como su pertenencia a asociaciones profesionales y su participación en cursos profesionales.
63. Según los tribunales nacionales, los datos incluidos en el informe consisten en datos personales, fotografías y cierta información profesional (extraída parcialmente de la base de datos del DNI). Además, los datos de algunos de los demandantes se refieren a sus opiniones políticas.
64. En vista de las circunstancias mencionadas anteriormente, dado que la injerencia en la vida privada de los demandantes no se efectuó en base a una norma de carácter interno, y que las autoridades públicas utilizaron los datos personales para una finalidad distinta de la que justificó su abstención, el Tribunal concluye que la mera existencia del informe policial en cuestión, elaborado respecto a personas cuyo comportamiento no implicaba actividad delictiva alguna, supone una vulneración del artículo 8.
(ii) Respecto a la filtración a la prensa y la posterior investigación
65. Es incuestionable que las fotografías de los demandantes publicadas en el periódico tenían su origen en la base de datos policial, a la que sólo las autoridades tenían acceso. Aunque durante la investigación interna no se estableció la forma en que se filtraron dichas fotografías, no hay otra explicación que la de que las autoridades permitieron que dicha filtración se llevara a cabo, comprometiendo de esa manera la responsabilidad del Estado demandado. Cuando se produjo dicha divulgación ilícita, la obligación positiva inherente al respeto efectivo de la vida privada implicaba la obligación de llevar a cabo una investigación efectiva para subsanar dicho asunto en la medida de lo posible (véase Craxi, citada anteriormente, § 74)."
Y asimismo continua:
"69. En vista de las circunstancias del caso, el Tribunal considera que para que se llevara a cabo una investigación suficiente era necesario que los investigadores hubieran obtenido la declaración de la persona directamente destinataria del informe y responsable de quienes habían accedido a la base de datos del DNI para obtener los datos y las fotografías de los demandantes, ya que, independientemente de su responsabilidad penal o disciplinaria, su testimonio habría ayudado a identificar a los responsables de los actos delictivos en cuestión.
70. A la vista de cuanto antecede, el Tribunal no está convencido de que se haya llevado a cabo una investigación efectiva para establecer las circunstancias en las que los periodistas accedieron a las fotografías de los demandantes y, en su caso, para sancionar a los responsables de los fallos producidos.
71. Por tanto, al no haberse llevado a cabo determinadas diligencias de investigación por parte de los órganos judiciales implicados, que muy probablemente habrían sido útiles para investigar los hechos del caso y que eran susceptibles de reparar la injerencia en los derechos de los demandantes, debe considerarse que el Estado demandado ha incumplido sus obligaciones positivas en virtud del artículo 8 del Convenio (véase Alkovic, citado anteriormente, § 65).
72. Por tanto, el Tribunal sostiene que se ha producido una vulneración del artículo 8 del Convenio."
Se indica en este pronunciamiento, que el informe confeccionado por la policía y su posterior filtración fue posible por una actuación negligente de las autoridades, y ello implicó una vulneración del artículo 8 CEDH (LA LEY 16/1950), y una efectiva violación del derecho a la intimidad puesto adecuadamente en el artículo 18 CE. (LA LEY 2500/1978)
De igual modo cabe traer a colación nuestra Sentencia invocada por el recurrente, número 188/2022 de 15 de febrero (casación 7359/2020),cuyo FJ 3º es del siguiente tenor:
"TERCERO.- [...]
Por último, resulta oportuno recordar que las personas jurídicas responden por la actuación de sus empleados o trabajadores. No se establece por ello una responsabilidad objetiva, pero si es trasladable a la persona jurídica la falta de diligencia de sus empleados, en tal sentido STC 246/1991, de 19 de diciembre (LA LEY 1858-TC/1992) f.j 2.
Este Tribunal Supremo en su STS nº 196/2020, de 15 de febrero de 2021 (rec. 1916/2020 (LA LEY 5834/2021)) ha tenido ocasión de abordar la responsabilidad de una Administración por incumplimiento del deber de seguridad de los datos personales por actos propios de empleados. En ella se compartía el parecer de la Sala de instancia cuando afirmaba que "[...] la responsabilidad de la Administración titular y encargada del fichero [Ayuntamiento de San Sebastián] no puede excusarse en su actuación diligente, separadamente de la actuación de sus empleados o cargos, sino que es la actuación "culpable" de éstos, consecuencia de la violación de las mencionadas obligaciones de protección del carácter reservado de los datos personales la que fundamenta la responsabilidad de la primera en el ámbito sancionador de cuya aplicación se trata; por actos "propios" de sus empleados o cargos, no de terceros[...]". Añadiéndose más adelante que "Lo anterior no significa, claro es, que estemos proyectando sobre el Ayuntamiento recurrente un principio de responsabilidad objetiva, ni que se vulnere el principio de presunción de inocencia, ni que demos por buena una suerte de inversión de la carga de la prueba. Sencillamente sucede que, estando admitida en nuestro Derecho Administrativo la responsabilidad directa de las personas jurídicas , a las que se reconoce, por tanto, capacidad infractora, el elemento subjetivo de la infracción se plasma en estos casos de manera distinta a como sucede respecto de las personas físicas, de manera que, como señala la doctrina constitucional que antes hemos reseñado -SsTC STC 246/1991, de 19 de diciembre (LA LEY 1858-TC/1992) (F.J. 2) y 129/2003, de 30 de junio (F.J. 8)- la reprochabilidad directa deriva del bien jurídico protegido por la norma que se infringe y la necesidad de que dicha protección sea realmente eficaz y por el riesgo que, en consecuencia, debe asumir la persona jurídica que está sujeta al cumplimiento de dicha norma".
Pues bien, el presupuesto del que parte la Sala de instancia en los fundamentos de derecho antes transcritos y la conclusión alcanzada sobre la suficiente investigación por parte de la AEPD no resulta admisible, en nuestra opinión, ni conforme con lo declarado por el TEDH en su Sentencia de 28 de junio de 2022.
Y es que, en efecto, la Audiencia Nacional considera que tras la investigación desarrollada por la AEPD sobre las medidas y reglas de seguridad en torno al acceso a las bases de datos del DNI, se habían agotado todos los medios de investigación y se había dado cumplimiento a la sentencia de la AN. Pero la resolución impugnada en ningún momento hace referencia al informe "Nota Interna" en la que figuran los datos personales de cada uno de los firmantes del manifiesto publicado. La mera lectura de la resolución que acuerda el archivo del expediente pone de manifiesto que las diligencias se centraron en esencia a las medidas de seguridad en el acceso a la base de datos del DNI, protocolos e instrucciones existentes en relación con el sistema de información, a accesos indebidos al fichero y consultas, listado de usuarios investigados, con búsquedas a partir del número de documento -como se reseña en la Sentencia de instancia- pero nada indica ni se razona sobre la elaboración del aludido informe -nota interna en la que figuran los datos personales de los recurrentes, Jueces y Magistrados en ejercicio, en el que se encontraba la fecha de nacimiento, el domicilio, el destino judicial, pertenencia a asociación judicial y en ciertos casos, se hace referencia a su participación en ciertas actividades o movimientos sociales e incluso a sus opiniones políticas-.
Por ende, se constata que la Agencia no culmina la investigación sobre la totalidad de los hechos objeto de denuncia, pues se obvia toda información relativa a la Nota informativa interna sobre la que nada se indica, y no consta la posible investigación de su autoría.
Como indica el TEDH, es incuestionable que las fotografías de los recurrentes publicadas en el periódico tenían su origen en la base de datos policial, a la que sólo las autoridades tienen acceso, y "aunque no se establece la forma en que se produjo la filtración no hay otra explicación que la de que las autoridades permitieron la filtración" y en vista de las circunstancias del caso, para que pudiera considerarse que se llevó a cabo una investigación suficiente era necesario que los investigadores hubieran realizados todas las diligencias oportunas para esclarecer las circunstancias en las que se pudo acceder a las fotografías de los recurrentes. Argumentación trasladable a lo que se refiere a la elaboración de la Nota interna que contiene datos personales y profesionales de los Jueces y Magistrados recurrentes. Ello lleva a considerar que la decisión de archivo en las circunstancias indicadas, se adoptó sin realizar la totalidad de las diligencias útiles y eficaces también en relación con la Nota interna o informe policial confeccionado respecto a personas cuyo comportamiento no implicaba ningún tipo de actividad delictiva.
Por ende, la interpretación de la Sala a quo, que entiende que su precedente sentencia de 30 de mayo de 2018 se cumplió correctamente con la investigación desplegada por la AEPD, se sustenta exclusivamente en lo manifestado por la propia Agencia, que a su vez se remite al Acta y manifestaciones sobre las medidas de seguridad en torno al acceso a los ficheros del DNI. Empero no se considera que se haya culminado la investigación en los términos interesados en la STEDH ni en relación a la elaboración del aludido informe policial, prolijo en datos personales de cada uno de los Jueces y Magistrados que suscribieron el manifiesto, realizado sin justificación objetiva alguna y con clara vulneración de la LPD.
Por nuestra parte y limitado el recurso a resolver la cuestión que presenta interés casacional, ceñida a si en las circunstancias descritas está justificada la decisión de archivo y no iniciación de expediente sancionador, consideramos que no se puede sostener, en los términos en que lo hace la Sala de instancia, que la resolución de archivo se encuentre debidamente justificada, con arreglo a lo declarado por el TEDH en su sentencia de 28 de junio de 2022.
Por ende, ha lugar al recurso de casación y toda vez que lo que se interesa por los recurrentes es que se dicte sentencia estimatoria, casando la recurrida y resolviendo y dando lugar a los pedimentos del escrito de demanda, procede anular la Sentencia de la Audiencia Nacional aquí impugnada y ordenar la retroacción de las actuaciones a fin de que la Agencia de Protección de Datos realice nuevas diligencias útiles y eficaces para esclarecer los hechos objeto de denuncia, incluida la elaboración de la Nota Informe policial.
QUINTO.- Doctrina que se fija.
Con arreglo a lo declarado por el TEDH en su sentencia de 28 de junio de 2022, no se puede sostener que la resolución de archivo de la AEPD y la no iniciación de expediente sancionador se encuentre debidamente justificada, cuando no se han realizado diligencias eficaces y útiles para el esclarecimiento de la totalidad de los hechos objeto de denuncia por infracción de la LPD.
SEXTO.- Resolución del presente recurso de casación y costas.
De conformidad con lo hasta aquí expuesto, procede declarar haber lugar al recurso de casación interpuesto por D. Silvio, Dª María, D. Valentín, D. Jose Ignacio, Dª Paloma, D. Jose Pablo, Dª Paulina, D. Carlos Ramón, D. Carlos Miguel, Dª Remedios, D. Luis Pedro, D. Luis Pablo, D. Jesús Carlos, Dª Sabina y Dª Salome, contra la sentencia de 28 de febrero de 2022, de la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional (recurso contencioso-administrativo nº 1811/2019 (LA LEY 50826/2022)), que desestima el recurso contencioso-administrativo interpuesto por dichos recurrentes contra la resolución de la Agencia Española de Protección de Datos de 27 de febrero de 2019, por la que se archivan las actuaciones incoadas a raíz de la denuncia presentada por los demandantes, que casamos y anulamos. Y con anulación de la resolución de archivo de la Agencia de Protección de Datos, retrotraer las actuaciones a fin de que la Agencia de Protección de Datos realice nuevas diligencias útiles y eficaces para esclarecer los hechos objeto de denuncia, incluida la elaboración de la Nota Informe policial.
De conformidad con lo dispuesto en los artículos 93.4 y 139.1 de la Ley reguladora de esta Jurisdicción, no procede la imposición de costas.