FUNDAMENTOS DE DERECHO
PRIMERO.- Constituye el objeto del presente recurso contencioso-administrativo, la Resolución de la Directora de la Agencia Española de Protección de Datos de fecha 27 de noviembre de 2020 (PS/00062/2019), que declara que el Ayuntamiento de Algemesí ha infringido:
- El artículo 6.1 de la Ley Orgánica de Protección de Datos 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), infracción tipificada como grave en el artículo 44.3.b) de dicha ley.
-El artículo 9 de la LOPD, en relación con los artículos 92, 97.1 y 2, y 101 del Reglamento de desarrollo de dicha Ley aprobados por Real Decreto 1720/2007 (LA LEY 13934/2007) (RLOPD), tipificada como grave en el artículo 44.3.h) de la LOPD.
Indica dicha resolución que atendida la fecha en que suceden los hechos, febrero de 2018, resulta de aplicación la Disposición transitoria tercera de la Ley Orgánica 3/2018, de protección de datos personales y garantía de los derechos digitales (LA LEY 19303/2018) (LOPDGDD (LA LEY 19303/2018)): " 1. Los procedimientos ya iniciados a la entrada en vigor de dicha Ley se regirán por la normativa anterior salvo que esta ley orgánica contenga disposiciones más favorables para el interesado", por lo que aplica la normativa anterior, considerada más beneficiosa.
Señala que se trata de determinar, desde la perspectiva de los derechos fundamentales, si el acceso a los contenidos de los ordenadores u otros medios informáticos, en el presente caso, vulnera el artículo 18.4 de la Constitución (LA LEY 2500/1978).
Explica que dado que hasta la entrada en vigor del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016) (RGPD) no existe una norma específica que se refiera al control de los medios puestos a disposición de los empleados, considera razonable la extensión de los principios de la Sentencia del Tribunal Europeo de Derechos Humanos "Barbulescu 2" de 5 de septiembre de 2017, que incorpora el "Test Barbulescu" (relativo al uso del control del ordenador), al ámbito que se examina, pues se trata de un principio general aplicable al tratamiento de datos, el de estar informado de los datos propios que se van a tratar, de su uso y su finalidad y alcance, y de que se puede ejercitar frente a esa recogida y uso de datos los derechos que establece la normativa.
Respecto al control del ordenador usado por la reclamante y el sistema de copia escaneada de documentos disponible para los empleados, subraya que en el presente caso no existía protocolo ni instrucciones sobre los límites y condiciones de utilización de los ordenadores, ni del escáner, ni tampoco sobre los procedimientos de control de su contenido, ni a nivel profesional laboral, ni a nivel de protección de datos que guardan conexión, por lo que no había sido informada. No existía dicha información y se accede de una forma especialmente invasiva escogiendo documentación sin discriminar su contenido, por lo que cabe considerar que las circunstancias en que se llevó a cabo vulneran la normativa de protección de datos.
Entiende que no existía una previa sospecha fundamentada de que la reclamante utilizara su tiempo a funciones particulares y que los medios para acreditar la realización de trabajos no relacionados con la actividad encomendada no pasan, en principio, directamente por la intervención del ordenador, existiendo otros medios menos intrusivos para evaluar si se desempeñan actividades particulares. Subraya que los métodos técnicos para aplicar el control de la prestación deberán ser acordes a las comprobaciones que se quieren realizar y en este caso se ha usado un medio desproporcionado, exhaustivo e intrusivo globalizado sin relación con lo que se buscaba. Así se han visto alcanzado archivos y documentos privados que nada tienen que ver con los motivos, asuntos de salud, de cursos y titulaciones, que se han recogido globalmente, sin descarte alguno, con afectación a su intimidad de forma no necesaria.
Trascribe el artículo 6 LOPD y esgrime que la legitimación para el tratamiento consistente en el acceso al equipo informático asignado a la reclamante puede derivar de que dentro de la existencia de la relación laboral o administrativa y para el cumplimiento de la misma, la comprobación del cumplimiento de sus funciones se puede arbitrar en unos casos concretos, proporcionales y predeterminados ese tipo de accesos, que aquí no lo estaban, volcándose todo el contenido de la carpeta sin realizar investigación sobre los documentos. Si bien, de acuerdo con el artículo 6.2 de la LOPD, no se requiere el consentimiento de los empleados para instaurar dicha medida, si se debe informar de los usos y finalidades y advertencias de los dispositivos para control laboral, lo que no se hizo en el presente caso, por lo que el tratamiento de los datos personales contenido en dichos dispositivos no queda amparado por dicha excepción del consentimiento.
Considera que así mismo se ha producido una infracción de medidas de seguridad del artículo 9.1 LOPD, en relación con los preceptos reglamentarios que cita y señala que no procede la aplicación del RGPD al no acreditarse mejor tratamiento que la normativa de la LOPD.
SEGUNDO.- La resolución impugnada se basa en un relato de hechos probados, de los que cabe destacar los siguientes.
La reclamante prestaba servicios en el Ayuntamiento de Algemesí como funcionaria con habilitación de carácter nacional, como interventor-tesorera.
El 27 de marzo de 2018 le es entregado un acuerdo de notificación de solicitud de incoación de expediente disciplinario adoptado por el Pleno el 22 de marzo de 2018, a propuesta de la Alcaldía de 20 de marzo de 2018. Entre las actuaciones efectuadas por la reclamante, junto a la justificación de asistencia aportada a una supuesta jornada de formación, a la que, recabada información, resultó no haber asistido, se indica en el punto segundo de dicho acuerdo que: " al haber aparecido documentos en el escáner y la impresora que podrían suponer que la reclamante realiza actividades personales o profesionales dentro de la jornada de trabajo que nada tienen que ver con sus funciones de tesorera y que incluso podrían resultar incompatibles, mediante providencia de 26/02/2018, se ordenó al departamento de informática que investigue los documentos del ordenador personal de trabajo para aclarar esos hechos. De la inspección efectuada se obtuvieron varias carpetas de documentos personales sobre actividades privadas que se grabaron en un DVD".
En el mismo acuerdo del Pleno se acuerda remitir la documentación al órgano competente para la instrucción del expediente disciplinario, la Dirección General de Administración Local de la Comunidad Valenciana, si bien la copia del DVD se presenta en registro por el Ayuntamiento de Algemesí el 18 de abril de 2018, manifestando que era la primera copia efectuada, que no iba encriptada, ni portaba elemento alguno que lo identificara como soporte de su contenido.
La providencia de la Alcaldía firmada el 26 de febrero de 2018, a que se refiere el citado Acuerdo del Pleno, indica " Considerando que se han encontrado documentos-impresora y escáner de la funcionaria... sobre actividades que nada tienen que ver con las funciones públicas correspondientes a su puesto de trabajo como Tesorera del Ayuntamiento... y que pueden resultar incompatibles con su puesto de trabajo". Dispone " Que por el Departamento de informática se acceda al ordenador de trabajo de la funcionaria, a fin de comprobar la existencia de documentos que evidencien actividades diferentes a las funciones que como Tesorera de este Ayuntamiento tiene encomendadas" ... "destinando la información que se pueda obtente a los efectos de los expedientes que a la vista de los documentos obrantes puedan iniciarse".
Ese mismo día 26 de febrero de 2018 se produjo el acceso al ordenador de la reclamante, titularidad del Ayuntamiento y con el que prestaba sus servicios, por el responsable informático que lo llevó a efecto con clave como administrador del sistema, sin necesidad de acudir físicamente al mismo, quien manifestó que no vio ni le fueron mostrados los documentos hallados en la impresora y escáner. " Le dijo la alcaldesa que había que hacer una inspección de documentos. De la carpeta mis documentos que se encuentra en los servidores, visible solo por cada usuario, cogió las carpetas que había en mis documentos y además, otros documentos del ordenador del escritorio, siendo dos o tres carpetas, los seleccionó y los copió en un DVD conforme a las instrucciones recibidas de la alcaldesa. El DVD no se encriptó y se lo dio personalmente a la alcaldesa en el momento en que lo grabó", "No llegó a abrir ningún documento, no entró en el correo electrónico ni en los datos de navegación" "Cuando se hizo la intervención del ordenador no se hacía ninguna advertencia a los funcionarios sobre el contenido de la información que se podía tener en los ordenadores".
La reclamante se enteró del acceso a su ordenador cuando se le notifica el 26 de febrero de 2018 el acuerdo de solicitud de incoación de expediente disciplinario. Los representantes de los trabajadores tampoco fueron advertidos de dicho acceso ni de los documentos "aparecidos en el escáner y en la impresora".
Del contenido del DVD enviado por el reclamado en pruebas, que plasma los documentos copiados del ordenador usado por la reclamante, se destaca que contenía tres carpetas "mis documentos" y "download" con espacio de 1,7 GB. La vista de las tres carpetas revela que se contiene tanto información personal como profesional, copia de contrato de seguro de vehículo, declaración de hacienda, datos de contratos de préstamo hipotecario, o pago de bienes inmuebles, claves personales, datos bancarios, y de empresas como la franquicia Now Yow, cuenta de resultados Gestión Spa Hotel Myr, facturas de empresa de fotografía a nombre de otra persona, listado de cuentas anuales, pérdidas y ganancias del ejercicio 2017 de la empresa Aditivos Bio Energéticos, documentos sobre una sociedad que se dedica al negocio de la óptica denominada Sergio.
Los documentos "aparecidos en el escáner y en la impresora", inicialmente no son especificados, ni figura diligencia que explique el modo en que se llega a saber de esos documentos, quien los encuentra o en que fecha. El contenido del DVD, según el Ayuntamiento, sólo fue mostrado a un miembro de un grupo político que tenía que votar en el Pleno y por esta razón.
De la información obtenida en pruebas se verifica que la expresión "documentos aparecidos en el escáner impresora", se refiere al almacenamiento de documentos en la memoria interna del escáner que utilizaban los tres empleados del departamento de Tesorería y al modo de configuración de dicho medio, permitiendo su almacenamiento como fichero de este tipo de información. Entre los documentos hallados hay diversos de la Franquicia Now You SL y relacionados con las nóminas de sus empleados, pudiéndose deducir que la reclamante era administradora de dicha sociedad. También se aprecia que se escanea por la reclamante un documento relacionado con su salud, sobre Resolución de expediente de determinación de la contingencia causante de un proceso de IT en el que figura un informe del Evi conteniendo la patología diagnosticada.
Según el Ayuntamiento, a las carpetas que figuraban en el escáner del departamento de Tesorería podía acceder cualquiera de los tres empleados de la misma, circunstancia de la que no fueron advertidos dichos empleados, precisando que uno de ellos vio los documentos y advirtió a los responsables. Esa configuración del escáner de acceso múltiple a carpetas del escáner, según el reclamado, ha sido variada.
No consta que el Ayuntamiento tuviera al momento del acceso al ordenador usado por la reclamante, el 26/2/18, una política y protocolo de uso del equipo informático de los empleados, prohibiciones o tipos de acceso permitidos, con advertencia sobre medios de control y consecuencias del mismo.
TERCERO.- Respecto a la infracción del artículo 6.1 de la LOPD, que es en la que primero se va a centrar nuestro examen, aduce el Ayuntamiento que no se puede compartir la interpretación de la AEPD sustentada en la aplicación de la Sentencia Barbulescu, porque dicha doctrina se refiere a un conflicto laboral en el seno de una empresa privada y aquí nos encontramos ante una Administración Pública, y con hechos totalmente diferentes a los presentes, ya que no se reúnen los requisitos para entender vulnerada la esfera de intimidad que alega la reclamante. Cuestión que, según dicha parte, ya ha sido refrendada por la Audiencia Provincial de Valencia, Sec. 3ª, mediante Auto de 23 de diciembre de 2019.
Añade que, por la propia naturaleza de los bienes, tanto ordenador como escáneres o impresoras del Ayuntamiento, sobre los que se pretende situar la expectativa de privacidad, sometidos al régimen del artículo 132 de la Constitución (LA LEY 2500/1978), y sobre esta clase de bienes no existe ni puede existir esa potestad de tolerancia con ciertos usos personales. El Ayuntamiento tiene la obligación de proteger el patrimonio público y velar para que se destine a la finalidad pública fijada por el legislador, sin que pueda elegir el grado de mayor o menor severidad en la observancia de dicho requisito, estableciéndose dicha limitación en una norma con rango de ley, el artículo 54.5 de la Ley del Estatuto Básico del Empleado Público (EBEP).
Adicionalmente, esgrime, que la aplicación de los derechos fundamentales a los funcionarios debe ser conciliada con la relación de servicio a la Administración pública y el legislador completa los deberes de conducta de los funcionarios públicos con un régimen disciplinario que se concreta en el Real Decreto 128/2018, de 16 de marzo (LA LEY 3893/2018), por el que se regula el régimen jurídico de los funcionarios de la Administración Local con habilitación nacional, que remite al citado EBEP y a la legislación aplicable de la Comunidad Autónoma, que en el presente caso se basa en la Ley 10/2010, de 9 de julio (LA LEY 14894/2010), de la Generalitat, de ordenación y gestión de la función pública valenciana.
Por ello, considera que no puede sostenerse una expectativa de privacidad basada en que no existía un código interno o documento similar prohibiendo el uso privativo de los dispositivos puestos a disposición de los funcionarios facilitados por el Ayuntamiento, ya que los textos legales citados de obligada aceptación y conocimiento por el funcionario han destruido cualquier tipo de expectativa de uso privativo permitido y con ello cualquier expectativa de privacidad. En ningún caso, ni la doctrina del Tribunal Constitucional, ni del Tribunal Supremo ha vinculado la expectativa de privacidad a una fórmula documental o formal concreta sino a un sentido material.
Señala que el hallazgo de documentos en el escáner no fue el único motivo que le llevan a tener sospechas previas, que se trató de un hallazgo casual, que hizo necesario, junto con el incumplimiento reiterado de la jornada laboral y la presentación de un certificado de asistencia que no se ajustaba a la verdad, acceder al ordenador, tratándose de una medida necesaria y proporcionada.
Concluye que se han cumplido los requisitos para la investigación practicada sobe los dispositivos citados y por ello existe causa de legitimación amparada en el artículo 6.1.c) (LA LEY 6637/2016) y 6.1.e) del RGPD (LA LEY 6637/2016), en relación con el EBEP, el Real Decreto 128/2018 (LA LEY 3893/2018), y la autonómica Ley 10/2010 (LA LEY 14894/2010), de la Generalitat, por lo que no se ha infringido el artículo 6.1 de la LOPD.
Frente a ello, opone el Abogado del Estado que aún cuando en el presente caso el sujeto infractor sea una Administración pública, resulta de aplicación la doctrina contenida en la sentencia "Barbulescu" que interpreta el artículo 8 de la Carta Europea de Derechos Humanos, por cuanto el derecho fundamental del artículo 18 CE (LA LEY 2500/1978) y el artículo 8 de la Carta Europea no desaparece por encontrarnos en el ámbito estatutario.
Señala que el Ayuntamiento yerra al calificar la naturaleza del bien, pues los ordenadores e impresoras son bienes patrimoniales, que habrán de inscribirse en el inventario de Bienes de las Corporaciones Locales, según el artículo 27 del Real Decreto 1372/1986, de 13 de junio (LA LEY 1516/1986), y esa naturaleza patrimonial del bien no excluye que opere la expectativa de privacidad".
Añade que el artículo 54.5 del EBEP no tiene el alcance que pretende el recurrente, encontrándonos en el contexto indicado en la sentencia Barbulescu y en este caso no se indicó por el Ayuntamiento en ningún momento que fuera a aplicarse ningún control sobre el ordenador, escáner y archivos almacenados en ellos, no existía protocolo ni instrucciones al respecto ni sobre los límites y condiciones de utilización.
Considera que, por ende, es clara la infracción del artículo 6 LOPD. La finalidad del control laboral en la modalidad de control de equipos informáticos sin establecer las reglas previas supone que este concreto tratamiento llevado a cabo carecía de la información preceptiva del uso o la finalidad del tratamiento especificado.
Si bien, de acuerdo con el artículo 6.2 de la LOPD no se requiere del consentimiento de los empleados para instaurar dicha medida, no existía información previa ni expectativas del uso de los datos para dichos fines. Y no existió proporcionalidad, ni necesidad de la medida adoptada, con vulneración de los derechos fundamentales de la denunciante.
No nos encontramos ante ninguno de los supuestos habilitantes previstos en los incisos c) y e) del RGPD, invocados por la actora, bastando una lectura del artículo 8 de la Ley Orgánica 3/2018 (LA LEY 19303/2018), sin necesidad de mayores esfuerzos argumentales.
CUARTO.- Constituye un hecho incontrovertido que el 26 de febrero de 2018 se realizó el acceso al ordenador de trabajo de la reclamante, titularidad del Ayuntamiento y con el que prestaba sus servicios como interventor-tesorera, por el funcionario encargado del servicio de informática de dicho Ayuntamiento, que lo llevó a efecto sin necesidad de acudir físicamente al ordenador con clave como administrador del sistema, y copió en un DVD las carpetas halladas en dicho ordenador. Acceso a dicho ordenador acordado por providencia de la Alcaldía de esa misma fecha -página 30 del expediente- al haberse " encontrado documentos (impresora y escáner) de la funcionaria (...) sobre actividades que nada tienen que ver con las funciones públicas correspondientes a su puesto de trabajo como tesorera del Ayuntamiento d'Algemesí y que podrían resultar incompatibles con su puesto de trabajo".
Es decir, frente a lo alegado en la demanda y tal como resulta de la citada providencia, el hallazgo de dichos documentos en el escáner, calificado por el recurrente como "hallazgo casual", fue el único dato o indicio tomado en consideración para acordar el acceso al ordenador de la funcionaria.
"Hallazgo" que difícilmente puede calificarse como casual, cuando no se trata de documentos que aparecieron o fueron dejados en el escáner o la impresora, ni a los que cualquiera pudiera acceder, como en conclusiones señala el demandante, sino que se hallaban almacenados en carpetas en la memoria interna del escáner que utilizaban los tres empleados del departamento de Tesorería, ya que la documentación que era escaneada en el escáner impresora se almacenaba en su memoria interna, con acceso indiferenciado de todos los empleados del departamento a dichas carpetas. Configuración del escáner de acceso múltiple a las carpetas del escáner, de la que no habían sido informados los empleados y que, según el Ayuntamiento, ha sido variada.
Tampoco se indica en la citada providencia cual son esos documentos que motivaron acordar el acceso al ordenador de la reclamante, ni consta diligencia que documente el "hallazgo", ni su fecha, habiéndose constatado que entre los documentos almacenados en carpetas en el escáner figuraban diversos de la Franquicia Now You S.L y relacionados con las nóminas de sus empleados, así como un documento relacionado con la salud de la reclamante, otro sobre resolución de expediente de determinación de la contingencia causante de un proceso de IT en el que figura un informe de Evi conteniendo la patología diagnosticada, es decir, de datos de salud, que son especialmente protegidos.
Además, y pese a la existencia de esos documentos con datos de salud en las carpetas del escáner, el funcionario del departamento de informática del Ayuntamiento que ejecuta la providencia en la que se dice "que investigue los documentos del ordenador del trabajo", al no relacionarle documento alguno del escáner para saber que tiene buscar en esa investigación, copia todas las carpetas sin ver antes los archivos, de tal forma que, como subraya la resolución recurrida, la investigación no es tal, sino un volcado de carpetas y archivos, que se recogen en un DVD que entregó a la alcaldesa.
Las tres carpetas copiadas revelan que contienen tanto información profesional como personal, copia de contrato de seguro de vehículo, declaración de hacienda, datos de contratos de préstamo hipotecario, o pago de bienes inmuebles, claves personales, datos bancarios y de empresas como la franquiciada Now Yow S.L, Gestión Spa Hotel Myr, Aditivos Bio Energéticos, Angels Visión. DVD que estuvo a disposición de los portavoces de los grupos del Ayuntamiento en la reunión donde se decidió proponer la incoación del expediente disciplinario a la reclamante.
Sostiene el demandante, como hemos dicho, que no resulta de aplicación al caso la doctrina de la STDH Barbulescu 2 al referirse a un conflicto laboral en el seno de una empresa privada y aquí se trata de una relación de sujeción especial entre un funcionario público y el Ayuntamiento que es una Administración pública.
Ahora bien, esa relación de sujeción especial que implica una situación de dependencia mayor que la que se produce en las relaciones de sujeción general, efectivamente, tiene manifestaciones propias, como puede ser la modulación del principio non bis in ídem, pero no llega a la exclusión de un derecho fundamental que no encuentra fundamento legal por la naturaleza jurídica pública del Ayuntamiento actuante, pues los principios generales del derecho de protección de datos son aplicables tanto a entidades públicas como privadas aunque en algunos supuestos la normativa pública pueda influir en el tratamiento llevado a cabo.
Las particularidades de ser una Administración Pública, que las hay, son fundamentalmente, en lo que aquí se refiere, las contenidas en el artículo 46 LOPD, que suponen la no imposición de sanción al Ayuntamiento por las vulneraciones de los artículos 6.1 y 9.1 de la LOPD, pero el hecho de que el sujeto infractor sea una Administración Pública no lleva, en lo que aquí atañe, a la desaparición del derecho fundamental del artículo 18 CE (LA LEY 2500/1978) o del artículo 8 de la Carta Europea de Derechos Humanos. Al respecto y aunque no resulte aplicable por razones temporales, resulta ilustrativo el artículo 87 del RGPD (LA LEY 6637/2016) transcrito por la resolución impugnada, por lo que parece razonable la proyección de la doctrina contenida en la STEDH Barbulescu 2, de 5 de septiembre de 2017, al ámbito del empleo público.
En este sentido, el Real Decreto Legislativo 5/2015 (LA LEY 16526/2015), por el que se aprueba el Estatuto Básico del Empleado Público ( EBEP), establece dentro del Capítulo I del Título III "derechos de los empleados públicos" en el artículo 14, que los empleados públicos tienen los siguientes derechos de naturaleza individual en correspondencia con la naturaleza jurídica de su relación de servicio: " j bis) A la intimidad en el uso de dispositivos digitales puestos a su disposición y frente al uso de dispositivos de videovigilancia y geolocalización (...) en los términos establecidos en la legislación vigente en materia de protección de datos personales y garantía de los derechos digitales". Apartado añadido por la Disposición final 14 de la Ley Orgánica 3/2018, de 5 de diciembre (LA LEY 19303/2018) y si bien no resulta aquí aplicable por razones temporales, se estima de interés citar al venir a reforzar el criterio sostenido.
El hecho de que el artículo 54 del EBEP sobre "Principios de conducta", establezca en el apartado 5, citado por la actora, que " Administraran los recursos y bienes públicos con austeridad, y no utilizaran los mismos en provecho propio o de personas allegadas. Tendrán así mismo el deber de velar por su conservación", no tiene el alcance que pretende otorgarle la actora, por cuanto, además de lo ya expuesto, debe tenerse en cuenta que el artículo 20.2 del mismo EBEP dispone que " Los sistemas evaluación del desempeño (...) se aplicarán sin menoscabo de los derechos de los empleados públicos" y el artículo 14.h) contempla entre dichos derechos, a la fecha de los hechos, el derecho al respeto de su intimidad y dignidad en el trabajo.
Por ello, y en orden a establecer una ponderación o justo equilibrio de los intereses en juego, resultan esenciales, en este caso en que no resulta aplicable ratione temporis el artículo 87 del RGPD (LA LEY 6637/2016), las pautas o criterios establecidos en la STEDH Barlubescu 2, de la Gran Sala, que anula la STEDH de 12 de enero de 2016 (LA LEY 9953/2016) (Barlubescu 1).
De otro lado, el Auto de la Audiencia Provincial de Valencia, Sec. 3ª, de 23 de diciembre de 2019. obrante a las páginas 295 y siguiente del expediente, invocado por la actora, después de efectuar una serie de consideraciones por las que estima penalmente irrelevante la actuación de la alcaldesa " con relación a los archivos guardados por la querellante en el sistema informático del Ayuntamiento (ordenador y servidor)", añade en el Razonamiento Jurídico primero, in fine, -página 298- "aunque siempre sin perjuicio del valor probatorio que en otra jurisdicción pueda atribuirse a la información así obtenida o incluso de la responsabilidad administrativa en que haya podido incurrir en virtud de la legislación de protección de datos".
Asimismo, tampoco obsta a lo expuesto la Sentencia de 18 de enero de 2019, del Juzgado de lo Contencioso administrativo nº 7 de Valencia que desestima el recurso interpuesto por la reclamante contra el acuerdo del Ayuntamiento de solicitar la incoación de expediente disciplinario. Sentencia confirmada en apelación por la del Tribunal Superior de Justicia de la Comunidad Valenciana, Sec. 2ª, de 9 de febrero 2022 (Rec. apelación. 83/21 (LA LEY 81816/2022)), como ha podido comprobar la Sala a través del CENDOJ y qué tras argumentar sobre la desestimación del recurso, señala " siendo cuestión distinta que el Ayuntamiento durante sus actuaciones de investigación haya vulnerado la legislación en materia de protección de datos cuestión ésta que ha sido enjuiciada y resuelta por parte del órgano competente".
La STS, Sala de lo Social, de 8 de febrero de 2018 (Rec. 1121/2015 (LA LEY 4068/2018)) invocada por el demandante, en la que nos vamos a detener al haber sido dictada, a diferencia de otras también citadas, con posterioridad a la Sentencia Barbulescu 2, entre otros parámetros, toma en consideración en su Fundamento de Derecho sexto, que los empleados del Grupo empresarial " cada vez que acceden con su ordenador a los sistemas informáticos de la compañía, y de forma previa a dicho acceso, deben de aceptar las directrices establecidas en la Política de Seguridad de la Información del Grupo (...), en la que se señala que el acceso lo es para fines estrictamente profesionales, reservándose la empresa el derecho de adoptar las medidas de vigilancia y control necesarias para comprobar la correcta utilización de las herramientas que pone a disposición de su empleados, respetando en todo caso las legislación laboral y convencional sobre la materia y garantizando la dignidad e intimidad del empleado, por lo que el actor era conocedor de que no podía utilizar el correo para fines particulares y que la empresa podía controlar el cumplimiento de las directrices en el empleo de los medios informáticos por ella facilitados".
Es decir, se trata en ese caso de una empresa que tiene un completo manual de instrucciones y reglas que los trabajadores deben conocer y aceptar al usar los sistemas informáticos
En tanto que en el caso de autos no se informó a los empleados de la utilización de los equipos informáticos, con la advertencia de la existencia de medidas de control o supervisión del ordenador sobre las comunicaciones de los empleados, que es uno de los factores tomados en consideración por la sentencia Barbulescu 2.
El artículo 6 de la LOPD establece en su apartado 1, que " El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa".
En tanto, que el apartado 2 contiene una serie de excepciones a dicha regla general y dispone " No será preciso el consentimiento cuando los datos de carácter personal se recojan en el ejercicio de las funciones públicas de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento (...)"
La legitimación para el tratamiento consistente en el acceso al equipo informático asignado a la reclamante puede obedecer a la comprobación del cumplimiento de sus funciones dentro de la relación que mantiene con el Ayuntamiento, y se puede arbitrar este tipo de accesos cuando se haya informado previamente del uso de los datos para dichos fines y en supuestos en que resulten proporcionales dichos accesos. Sin embargo, en el caso de autos no existía información previa sobre dicho uso o fines y tampoco existió proporcionalidad de la medida adoptada, pues se accede a todas las carpetas y archivos sin discriminar su contenido, de una forma especialmente invasiva, de tal forma que se han visto afectados documentos privados de la reclamante, documentos de salud, etc que se han recogido de forma innecesaria y sin relación con lo que se buscaba.
Po r tanto, se considera acreditada la infracción por vulneración del principio del consentimiento del artículo 6 LOPD, sin que nos hallemos ante ninguno de los supuestos habilitantes previstos en los incisos c) y e) del RGPD, invocados por la actora, pues no concurren ninguno de los presupuestos establecidos en el artículo 8 de la LOPDGD (LA LEY 19303/2018) para entender que se pueda considerar fundado el tratamiento de datos personales en cumplimiento de obligación legal, interés público o ejercicio de poderes públicos.
QUINTO.- En cuanto a la infracción del artículo 9.1 LOPD en relación con los artículos 92, 97.1 y 2, y 101 del Reglamento de desarrollo de dicha Ley aprobados por Real Decreto 1720/2007 (LA LEY 13934/2007) (RLOPD), aduce el demandante que dicha conducta no se encuentra tipificada en el marco de la LOPDGDD (LA LEY 19303/2018) pues el artículo 73.f) de la misma, en relación con el artículo 32.1 del RGPD (LA LEY 6637/2016) no vincula el cumplimiento de las obligaciones de seguridad del responsable del tratamiento a unas medidas concretas, sino que se orienta a través de un enfoque de riesgo.
Considera, con invocación del principio de retroactividad de las disposiciones sancionadoras más favorables, que es de aplicación la nueva normativa al no haberse llevado a cabo actividad probatoria pertinente sobre la evaluación de las medidas de seguridad del Ayuntamiento de conformidad con las previsiones del artículo 32 del RGPD (LA LEY 6637/2016) y no puede valorarse que no cumpla con los principios del citado artículo 32.
Alegaciones que no desvirtúan las consideraciones efectuadas al efecto por la resolución recurrida, que da adecuada respuesta a dicha cuestión planteada en similares términos en vía administrativa.
Así establece el RGPD en su artículo 5.2 (LA LEY 6637/2016)"El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (responsabilidad proactiva)". Y el apartado 1 se refiere a los principios del tratamiento entre los que se encuentran. apartados a) y f), el modo en que han de ser tratados los datos "de manera lícita, leal y transparente", y "de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección (...) contra su pérdida, destrucción o daño accidental mediante la aplicación de medidas técnicas u organizativas apropiadas adecuadas.
Ello implica, como subraya la AEPD, que la entidad es la que asume su propia responsabilidad dirigiendo y coordinando la materia en cuanto al personal que le presta servicios.
En este sentido el 32 del RGPD "Seguridad del tratamiento", establece:
"1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: (...) b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios del tratamiento".
Precepto con el que se conecta el artículo 73.f) de la LOPDGDD (LA LEY 19303/2018), que tipifica como infracción grave " f) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por elartículo 32.1 del Reglamento (UE) 2016/679 (LA LEY 6637/2016)".
Se necesita, por tanto, un desenvolvimiento proactivo sobre la protección de los datos y guardar las evidencias de los pasos que se dan para cumplir con el RGPD junto a la circulación y vida de los datos, incluyendo eventuales instrucciones no solo de seguridad de soportes, sino como las que ha dictado para adaptarse al manejo de datos en sistemas de información y acceso del personal a los datos. De tal forma, que el hecho de que no se establezca expresamente como han de tratarse los soportes de almacenamientos de datos, no significa que no esté tipificado en el RGPD, y que deba reunir unos requisitos, y en ambos casos la conducta infractora acarrearía una infracción de medidas de seguridad en el tratamiento de datos.
Además, ambas normativas establecen un periodo de prescripción de la infracción de dos años.
Por tanto, al no haberse acreditado que el RGPD resulte más favorables que la LOPD vigente al momento de comisión de los hechos, es aplicable la citada LOPD en virtud de lo dispuesto en la Disposición transitoria tercera de la LOPDCDD.
En definitiva, queda acreditada la comisión de la infracción tipificada en el artículo 44.3.h) de la LOPD), por no tener activadas las medidas de seguridad que le eran exigibles para evitar que el soporte DVD que contiene datos e información asociada a la extracción en disco de datos del ordenador de la reclamante, que sirve como prueba en el procedimiento disciplinario, que forma parte de un expediente, como soporte que contiene datos personales, no se haya cifrado, registrado, diligenciado y descrito su contenido. Extremos que no se cuestionan por el recurrente que se limita a propugnar la aplicación del RGPD y la LOPDGDD (LA LEY 19303/2018).
SEXTO.- De conformidad con lo dispuesto en el artículo 139.1 de la Ley Jurisdiccional, procede la imposición de costas a la parte actora.
Vi stos los artículos citados y demás de pertinente y general aplicación