Volver a página de inicio

PRIMERO. - El presente recurso tiene por objeto la Resolución de 22 de diciembre de 2017, confirmada en reposición por otra de 13 de febrero de 2018, de la Directora de la Agencia Española de Protección de Datos (AEPD), por la que se impuso al demandante una multa de 4.000 euros como responsable de una infracción tipificada como grave por el art. 44.3 b) (LA LEY 4633/1999) y 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) (LA LEY 4633/1999), de conformidad con el art. 45 de la misma Ley.

SEGUNDO.- La recurrente solicita que se anulen las resoluciones impugnadas y se acuerde la devolución del importe ingresado más los intereses legales.

Fundamenta su pretensión en las siguientes consideraciones:

- Infracción del artículo 137.2 (LA LEY 3279/1992), 3 y 4 de la Ley 30/1992 (LA LEY 3279/1992) por no atenerse la resolución a los hechos declarados probados en la sentencia de la Audiencia Provincial de Granada, y no a los documentos aportados por parte interesada, que transcribe en parte. Por otra parte, el recurrente estaba habilitado como funcionario coordinador de la informática de la Agencia Tributaria, lo que desvirtúa la afirmación de que actuaba fuera del ámbito de su competencia y, además, ya en el mes de febrero advirtió de la necesidad de adoptar medidas de protección y seguridad adecuadas y el 31 de mayo, día en que descubrió la vulnerabilidad, lo puso en conocimiento de la autoridad responsable que, a su vez, lo trasladó a los responsables técnicos. Prueba de que el Ayuntamiento reconoció el ejercicio de competencias por parte del recurrente es que se obligó a pagar en parte los gastos de defensa del mismo. Esta falta de respeto a los hechos probados de la sentencia penal determina la nulidad de pleno derecho de la Resolución por prescindir totalmente del procedimiento establecido ( art. 62.1 e) de la Ley 30/1992 (LA LEY 3279/1992)) así como por dictarse por órgano manifiestamente incompetente por razón de la materia de régimen disciplinario de los funcionarios públicos ( art. 62.1 a) Ley 30/1992 (LA LEY 3279/1992)).

- Infracción del artículo 3 LOPD y ausencia de tipicidad; la ausencia de medidas de seguridad en los ficheros municipales expuestos en una aplicación en Internet, aun cuando se tuviese acceso a datos personales al ser accesibles a través fuentes de acceso público -medios de comunicación- hacen inexigible el consentimiento a que se refiere el artículo 6.1 LOPD, de modo que la conducta sancionada es atípica. El demandante ha tenido que soportar numerosas penalidades desde mediados de 2012 por el mero hecho de descubrir, alertar y resolver un grave problema de seguridad informática, como consecuencia de actividades ilícitas de personas integrantes de una administración, con las que ha colaborado la Agencia de Protección de Datos al abrir un procedimiento sancionador e imponer una sanción al actor.

- Infracción del artículo 24.2 CE (LA LEY 2500/1978) por vulneración del derecho de audiencia, contradicción y defensa tanto en las actuaciones inspectoras como en el propio expediente sancionador, así como violación del derecho al secreto de las comunicaciones del artículo 18.2 CE (LA LEY 2500/1978) por las actuaciones municipales de identificación de IP's y usuarios, así como por reclamar el instructor del expediente con igual fin a las compañías suministradoras de servicios telemáticos.

- Prescripción de la infracción por transcurso de más de dos años, plazo previsto en el artículo 47.1 LOPD sin que se le haya notificado la iniciación del procedimiento sancionador, que se contiene en la Resolución de 12 de junio de 2013. La publicación edictal en el BOE de 27 de julio de 2013, no puede sustituir a la notificación personal y los dos intentos previos de ésta no aparecen dirigidos al domicilio del demandante ni tampoco al centro de trabajo en el Ayuntamiento de Granada ni se efectuaron en horas diferentes en el período de tres días establecido y esa falta de notificación inicial del procedimiento sancionador no puede suplirse con las alegaciones a la suspensión del procedimiento al ser posterior a la posibilidad de realizar alegaciones y proponer prueba; así, cuando se levanta la suspensión, el 31 de julio de 2017, habían transcurrido más de cinco años sin interrupción alguna.

TERCERO.- La representación de la Administración demandada, por su parte, opone que los hechos por los que se sanciona al ahora recurrente aparecen todos recogidos como hechos probados en la sentencia firme de la Audiencia Provincial de Granada de 17 de mayo de 2017, que vincula a la Administración como dispone el artículo 137.2 de la Ley 30/1992 (LA LEY 3279/1992) y con base en ellos se impone la sanción; de la propia sentencia se deduce que el demandante no ejercía ninguna función relacionada con la seguridad del CPD del Ayuntamiento de Granada que le habilitara para consultar las nóminas de los trabajadores y sí únicamente una función genérica de coordinación entre el servicio de información municipal SIM y la Agencia Tributaria; tampoco puede sostenerse que los datos han sido obtenidos de una fuente accesible al público, que son únicamente las mencionadas en el art. 3 LOPD y no pueden considerarse como tales las páginas web de Internet, que no es un medio de comunicación, sino un canal de comunicación y así lo ha considerado la Sala en la sentencia de 13 de mayo de 2015 (R. 291/2013 (LA LEY 127137/2015)); rechaza, por último, las alegaciones sobre la falta de notificación en forma del acto de inicio del procedimiento, que fue realizada en el mismo domicilio de la notificación de la suspensión, donde sí fue entregado; por todas las razones anteriores solicita la desestimación del recurso.

CUARTO.- La Resolución impugnada (PS/03379/2017) contiene una declaración de hechos probados que, en su mayor parte, se basa en los hechos probados de la sentencia de la Audiencia Provincial de Granada, Sección segunda, de 17 de mayo de 2017 (LA LEY 92261/2017), seguida por un delito contra la seguridad de sistemas de la información en el que era acusado el ahora demandante junto con otra persona, también incluido en el procedimiento sancionador ante la Agencia de Protección de Datos; ambos fueron absueltos tras la retirada de la acusación por el Ministerio Fiscal y de la particular del Ayuntamiento de Granada. Este procedimiento penal determinó la paralización del procedimiento ante la Agencia entre el 26 de junio de 2013 y el 31 de julio de 2017.

Con base en esa declaración, tipifica los hechos como constitutivos de una infracción grave del artículo 6, en relación con el 44.3.b) LOPD, que protegen el principio del consentimiento del titular en el tratamiento de los datos personales, y sanciona al demandante con una multa de 4.000 euros.

El art. 6.1. LOPD, dispone que "el tratamiento de datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa" y añade, en su apartado segundo, los supuestos en los que no será preciso dicho consentimiento, entre los que se encuentra el supuesto en que los datos se refieran a las partes de un contrato o precontrato de una relación negocial.

El art.3 h) de la LOPD define el "consentimiento del interesado" como "toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen".

Como ha recordado esta Sala en su sentencia de 13 de septiembre de 2013, recurso 65/12: «[...]El principio del consentimiento expresado conllevará, por tanto, la necesidad del consentimiento inequívoco del afectado para que puedan tratarse sus datos de carácter personal, permitiéndose así a aquel ejercer efectivo control sobre dichos datos y garantizando su poder de disposición sobre los mismos. Dicho consentimiento podrá prestarse de forma expresa, oral o escrita, o de manera tácita, mediante actos reiterados y concluyentes que revelen su existencia [...]» , añadiendo que: «[...] el consentimiento ha de ser necesariamente "inequívoco". De modo que ha de aparecer como evidente, o, lo que es lo mismo, que no admite duda o equivocación, pues éste y no otro es el significado del adjetivo utilizado para calificar el consentimiento.

Por otro lado, la carga de acreditar la existencia del "consentimiento inequívoco", a que hace referencia el art. 6.1 de la LOPD, recae sobre la entidad responsable del fichero o encargada del tratamiento de los datos personales, cuando su existencia sea negada por el titular de tales datos ( Sentencia de esta Sección de 8 noviembre 2012 -recurso nº. 789/2010-) [...]» .

En el presente caso hay que tener muy en cuenta la detallada declaración de hechos probados de la sentencia penal que, conforme al artículo 77.4 de la Ley 39/2015 (LA LEY 15010/2015), es vinculante para la Administración, y en particular:

1) Que el Sr Alejandro es funcionario municipal de carrera, analista de aplicaciones informáticas, había sido durante varios años director técnico del Centro de Proceso de Datos del Ayuntamiento; en la fecha de los hechos -31 de mayo al 4 de junio de 2012- estaba en las dependencias de ese Centro, aunque adscrito formalmente a la Agencia Tributaria municipal.

2) Que el Sr. Alejandro había desarrollado, por encargo de la Corporación, un programa denominado "Visor de nóminas" para ser usado en la intranet municipal por los funcionarios municipales para consultar sus nóminas; en febrero de 2012 el nuevo director del Centro de Proceso de Datos encomendó el desarrollo de ese programa a dos funcionarios.

3) Que el Sr. Alejandro autorizó a tales funcionarios para la utilización del programa, previniéndoles de que sería necesario dotar al programa con las necesarias medidas de seguridad.

4) Que el programa fue puesto en explotación en Internet en marzo de 2012 y en el mes de abril se adaptó también para consulta de las certificaciones de retenciones del IRPF.

5) El 31 de mayo de 2012 el responsable del desarrollo del programa consultó con el Sr Alejandro la posibilidad de realizar determinadas modificaciones que la mejoraban, consulta a la que accedió el demandante pese a no estar formalmente incluido en el programa, y realizó las modificaciones necesarias, advirtiendo en ese momento que la aplicación podría presentar algún déficit de seguridad y realizó comprobaciones desde su ordenador para verificar la existencia de los fallos que consistía en que, tras acceder a la aplicación identificándose con el certificado digital, podía ver los recibos de nómina de cualquier funcionario, lo que puso en conocimiento de otro funcionario que estaba próximo y realizó varias pruebas más a modo de muestra, comprobando el fallo.

6) Ese fallo de seguridad lo puso en conocimiento del concejal del Ayuntamiento ese mismo día, tras reunirse con dos asesores jurídicos y otros funcionarios del Centro.

7) El Sr Alejandro continuó haciendo comprobaciones desde su ordenador en su domicilio y durante el fin de semana "a fin de comprobar si el problema se había solventado o si la aplicación había sido desactivada" (Hecho probado 11 de la sentencia); el lunes siguiente, 4 de junio, mantuvieron una reunión con el concejal en el Ayuntamiento y le informaron de los problemas de seguridad detectados, de la necesidad de abrir un incidente de seguridad y de informar a la Agencia de Protección de Datos.

8) El mismo día 4 de junio, el director técnico del Centro decidió suspender el uso de la aplicación; el día 25 de ese mes presentaron una denuncia ante la Agencia tanto el Ayuntamiento como los funcionarios, entre ellos el demandante.

QUINTO.- De lo anterior se deduce claramente que el demandante actuó en todo momento en el ejercicio de sus funciones pues, aunque no estuviese formalmente prestando sus servicios en el Centro de Protección de Datos del Ayuntamiento, había desarrollado la aplicación para consulta de nóminas y fue expresamente solicitada su colaboración para la implantación inicial y para su mejora. Desde el primer momento puso de manifiesto los problemas de seguridad que apreciaba, en particular a partir de la introducción de las "mejoras", teniendo sus accesos a los documentos, en todas las ocasiones, la única finalidad de comprobar si se había resuelto el problema o desactivado la aplicación, sin que, por otra parte, se hayan precisado las concretas nóminas o certificados a los que accedió. A esta misma conclusión se llega en el informe del Centro de Protección de Datos del Ayuntamiento de Granada, de 21 de noviembre de 2017, emitido sobre la obligación de que la Corporación pagase los gastos de Abogado de los inculpados en el procedimiento penal, lo que finalmente hizo.

En estas circunstancias no cabe hablar de culpabilidad en la conducta del demandante ya que su acción, realizada a instancia de un funcionario municipal, estuvo dirigida en todo momento a comprobar el correcto funcionamiento de la aplicación que él mismo había dispuesto y los accesos a los datos personales contenidos en las nóminas no tenían el propósito de acceder y conocer tales datos de una manera irregular sino de comprobar el correcto funcionamiento del sistema y evitar, precisamente, esa posibilidad de acceder indebidamente por la existencia de un fallo en la aplicación, lo que excluye el dolo, la negligencia o la ignorancia inexcusable.

El artículo 28 de la Ley 40/2015 (LA LEY 15011/2015) de Régimen Jurídico del Sector Publico, dispone que: «Sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas y jurídicas, ... que resulten responsables de los mismos a título de dolo o culpa»

El Tribunal Constitucional en la Sentencia 246/1991, de 19 de diciembre (LA LEY 1858-TC/1992), ha declarado: «[...] que si bien es cierto que este Tribunal Constitucional ha declarado reiteradamente que los principios inspiradores del orden penal son de aplicación, con ciertos matices, al Derecho administrativo sancionador, dado que ambos son manifestaciones del ordenamiento punitivo del Estado ( STC 18/1987 (LA LEY 86154-NS/0000) por todas), no lo es menos que también hemos aludido a la cautela con la que conviene operar cuando de trasladar garantías constitucionales extraídas del orden penal al derecho administrativo sancionador se trata. Esta operación no puede hacerse de forma automática, porque la aplicación de dichas garantías al procedimiento administrativo sólo es posible en la medida en que resulten compatibles con su naturaleza ( STC 22/1990 (LA LEY 1431-TC/1990)). En concreto, sobre la culpa, este Tribunal ha declarado que, en efecto, la Constitución española (LA LEY 2500/1978) consagra sin duda el principio de culpabilidad como principio estructural básico del Derecho Penal y ha añadido que, sin embargo, la consagración constitucional de este principio no implica en modo alguno que la Constitución haya convertido en norma un determinado modo de entenderlo ( STC 150/1991 (LA LEY 1759-TC/1991)). Este principio de culpabilidad rige también en materia de infracciones administrativas, pues en la medida en que la sanción de dicha infracción es una de las manifestaciones del "ius puniendi" del Estado resulta inadmisible en nuestro ordenamiento un régimen de responsabilidad objetiva o sin culpa ( STC 76/1990 (LA LEY 58461-JF/0000)). Incluso este Tribunal ha calificado de "correcto" el principio de la responsabilidad personal por hechos propios -principio de la personalidad de la pena o sanción- ( STC 219/1988 (LA LEY 58566-JF/0000)) [...]».

También en relación con el elemento de la culpabilidad, se declara, en la Sentencia del Tribunal Supremo de 6 de julio de 2010: «[...]Debe entenderse por culpabilidad el juicio personal de reprochabilidad dirigido al autor (por acción u omisión) de un hecho típico y antijurídico; ello implica y requiere que el autor sea causa de la acción u omisión que supone la conducta ilícita ---a título de autor, cómplice o encubridor---; que sea imputable, sin que concurran circunstancias que alteren su capacidad de obrar; y que sea culpable, esto es, que haya actuado con conciencia y voluntariedad, bien a título intencional, bien a título culposo [...]».

Más recientemente, en la Sentencia del Alto Tribunal de 21 de enero de 2021 -recurso nº. 398/2019-, recuerda que: «[...] La jurisprudencia del Tribunal Supremo, en línea con la del Tribunal Constitucional, ha establecido que la potestad sancionadora de la Administración, en tanto que manifestación del ius puniendi del Estado, se rige por los principios del Derecho penal, siendo principio estructural básico el de culpabilidad, incompatible con un régimen de responsabilidad objetiva, sin culpa. Este denominado "principio de culpabilidad", se encontraba anteriormente previsto en el artículo 130.1 de la derogada Ley 30/1992 (LA LEY 3279/1992) disponía que "solo pueden ser sancionadas por hechos constitutivos de infracción administrativa los responsables de los mismos, aún a título de simple inobservancia."

Así, reiterada jurisprudencia -analizando la literalidad de la norma- descartaba que el artículo citado Art. 130 estableciese una responsabilidad meramente objetiva. Así, la jurisprudencia del Tribunal Supremo (sentencias de 12 de diciembre de 1995, 14 de mayo de 1999, etc) y la doctrina del Tribunal Constitucional atendiendo a la aplicación de los principios penales al ámbito administrativo sancionador señalaron que esta "simple inobservancia" no podía ser entendida como la admisión en el derecho administrativo sancionador de la responsabilidad objetiva, pues se requiere la existencia de dolo o culpa, ya que los principios del ámbito del derecho penal son -con ciertos matices- aplicables al ámbito administrativo sancionador [...]».

La ausencia en este caso del elemento culpabilístico, determina la nulidad de la resolución impugnada en aplicación de las normas y de la jurisprudencia acabada de citar.

Por otra parte, la estimación en cuanto al fondo del recurso por la causa indicada exime de cualquier consideración sobre las restantes alegaciones de las partes.

SEXTO.- Po r todas las razones anteriores procede estimar el recurso y, en aplicación del art. 139.1. de la Ley de esta Jurisdicción imponer las costas a la parte demandada.