STS, 2 de Diciembre de 2011

• Jurisdicción: España
• Fecha: 02 Diciembre 2011

Sentencia citada en: 5 sentencias, 2 artículos doctrinales, 9 resoluciones administrativas

SENTENCIA

En la Villa de Madrid, a dos de Diciembre de dos mil once.

Vistos por la Sala Tercera, Sección Sexta, del Tribunal Supremo, constituida por los Señores al margen anotados, el presente recurso de casación, que con el número 2706/08, ante la misma pende de resolución, interpuesto por la representación procesal de don Jesus Miguel , contra Sentencia de fecha 20 de febrero de 2008, dictada por la Sala de lo Contencioso Administrativo de la Audiencia Nacional, Sección Primera, en el recurso contencioso administrativo número 255/06 , sobre imposición de sanción por infracción de la Ley Orgánica 15/99 de Protección de Datos de Carácter Personal , siendo parte recurrida la Administración General del Estado

ANTECEDENTES DE HECHO

PRIMERO

La Sentencia recurrida contiene parte dispositiva del siguiente tenor literal: "FALLO: Que desestimando el presente recurso contencioso administra-tivo interpuesto por el procurador NURIA MUNAR SERRANO, en la representación que ostenta de Jesus Miguel , contra la resolución descrita en el primer fundamento de esta Sentencia, debemos confirmar la resolución recurrida. Todo ello sin haber lugar a expresa imposición de costas" .

SEGUNDO

Notificada la anterior Sentencia, la representación procesal de don Jesus Miguel , presentó escrito ante la Sala de lo Contencioso Administrativo de la Audiencia Nacional, Sección Primera, preparando recurso de casación contra la referida resolución. Por providencia, la Sala tuvo por preparado en tiempo y forma el recurso de casación, emplazando a las partes para que comparecieran ante el Tribunal Supremo.

TERCERO

Recibidas las actuaciones y el expediente administrativo ante este Tribunal, la parte recurrente se personó ante esta Sala y formuló escrito de interposición del recurso de casación, expresando los motivos en que se amparaba, suplicando que se tuviera por interpuesto el recurso de casación y que, previos los trámites legales, la Sala "... dicte ulteriormente y > ulterior Sentencia (...) mediante la que desde luego se case aquel precedente pronunciamiento judicial de instancia que se estima del todo punto lesivo e infractor de aquella Normativa legal y reglamentaria antes aludida, con expresa imposición de las correspondiente costas procesales inherentes a la presente litis a aquella referida Administración institucional-estatal antes referenciada... ".

CUARTO

Teniendo por interpuesto y admitido el recurso de casación por esta Sala, se emplazó a la parte recurrida para que en el plazo de treinta días formalizara su escrito de oposición, lo que verificó en tiempo y forma impugnando los motivos del recurso de casación en virtud de las razones que estimó procedentes, y suplicando que la Sala "... lo resuelva por sentencia que desestime el recurso y confirme la sentencia recurrida, con imposición de las costas causadas".

QUINTO

Conclusas las actuaciones, se señaló para votación y fallo la audiencia del día DIECISEIS DE NOVIEMBRE DE DOS MIL ONCE , en cuyo acto tuvo lugar, habiéndose observado las formalidades legales referentes al procedimiento.

Siendo Ponente el Excmo. Sr. D. Juan Carlos Trillo Alonso , .

FUNDAMENTOS DE DERECHO

PRIMERO

Es objeto de impugnación en el presente recurso de casación la sentencia dictada por la Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, el 20 de febrero de 2008, en el recurso contencioso administrativo nº 255/2006 , interpuesto por el hoy aquí también recurrente contra resolución del Director de la Agencia Española de Protección de Datos, de 5 de junio de 2006, por la que se requiere al Juzgado de lo Contencioso Administrativo nº 1 de A Coruña, por infracción de lo dispuesto en el artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , a que adopte las medidas de orden interno que impidan que en el futuro pueda producirse otra infracción, así como a que comunique a la Agencia las resoluciones que dicten al efecto.

La sentencia desestima el recurso contencioso administrativo interpuesto por el que fue Magistrado-Juez titular del indicado Juzgado, siendo de significar que los hechos considerados por la Sala de instancia para apreciar la infracción del citado artículo 10 es la incorporación a la denuncia formulada por el recurrente ante la Fiscalía del Tribunal Superior de Justicia de Galicia, de un certificado del Secretario Judicial, en el que constan los periodos de baja médica de varios funcionarios del Juzgado de lo Contencioso Administrativo nº 1 de A Coruña y las causas de las bajas.

Tras expresar el Tribunal "a quo" en el fundamento de derecho quinto de su sentencia las razones por las que no aprecia infracción alguna en la aportación por el recurrente, a los expedientes disciplinarios incoados por él mismo a determinados funcionarios del Juzgado, de los partes de baja de éstos, en los que se recogían sus datos de salud, esencialmente por considerar que la aportación era necesaria para poner en conocimiento del Presidente del Tribunal Superior de Justicia la situación de anormalidad en que encontraba el Juzgado como consecuencia de la masiva petición de bajas laborales simultáneas, en el quinto exterioriza aquéllas otras por las que sí estima la comisión de la infracción del artículo 10 de la Ley Orgánica de Protección de Datos por la incorporación a la denuncia formulada ante la Fiscalía del certificado expedido por el Secretario Judicial.

En ese fundamento de derecho quinto afirma la Sala de la Audiencia Nacional la innecesariedad de la aportación con la denuncia de los datos de salud de los funcionarios, en los siguientes términos: "Otra cosa cabe pensar en relación a la denuncia presentada en la Fiscalía que aparece incorporada a partir del folio 95 del expediente administrativo y en la que se vuelven a mezclar a lo largo de 14 farragosos apartados hechos dudosamente conectados entre sí y que pudieran haberse denunciado igualmente sin necesidad de aportar los datos de salud de los funcionarios destinados en el Juzgado de lo Contencioso Numero 1 de A Coruña. La innecesariedad de la aportación de dichos datos procede, del hecho de que ni los partes de baja habían sido solicitados ni requeridos para la tramitación de las denuncias formuladas por el Titular del Juzgado de lo Contencioso de A Coruña y, en su caso, habrían debido de aportarse los partes relativos a las personas denunciadas, pero no partes de baja relativos a personas distintas de aquellas respecto de las que se había interpuesto la denuncia" .

Esa innecesariedad sirve de apoyo al Tribunal para declarar seguidamente que "... no hay duda de que, en relación a esta denuncia en la Fiscalía, se ha infringido el deber de secreto que debe regir, muy especialmente, en relación a los datos de salud y ello por aplicación de los preceptos que acabamos de citar: artículo 10 de la Ley orgánica 15/99 y artículo 7.3 de la misma Ley cuando dice que: «Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente»" .

A continuación, en el mismo fundamento de derecho quinto, da respuesta la Sala de instancia, y negativamente, a dos alegaciones esgrimidas por el recurrente en justificación de su proceder, centradas en la aplicación del artículo 11.2 de la Ley 15/1999 y en su deber de denunciar, con la redacción siguiente: "El recurrente en el presente recurso contencioso administrativo trata de justificar su conducta sobre la base de la aplicación de lo previsto en el artículo 11.2 de la Ley orgánica 15/99 que establece como no es preciso el consentimiento para la cesión de datos cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

No obstante, cuando el artículo 11.2 de la Ley Orgánica 15/99 autoriza la cesión sin consentimiento de los datos reclamados por Jueces y Tribunales se está refiriendo a aquellos datos que están directamente relacionados con la función jurisdiccional, no a los datos, como ocurre en el caso presente, de que conoce un Juez en ejercicio de una función de carácter netamente administrativa como es en relación a funciones disciplinarias y que fueron aportados a una denuncia en la Fiscalía y que carecía de ningún vinculo con los datos de salud que se aportaron a dicha denuncia ante la Fiscalía.

Por lo tanto, a juicio de esta Sala, no existía justificación suficiente para la aportación de datos de salud a una denuncia presentada en Fiscalía a instancia del propio Magistrado Juez Titular del Juzgado de lo Contencioso Administrativo de A Coruña por lo que, en consecuencia, debe entenderse claramente infringida la exigencia de guardar secreto sobre dichos datos de salud.

El recurrente alega, también, como motivo de impugnación lo que hace referencia a su deber de denunciar los hechos que consideraba que debían ser objeto de expediente disciplinario; en relación a esta cuestión la resolución recurrida no sanciona un indebido ejercicio del derecho a denunciar sino que lo que motiva la resolución sancionadora es haber aportado a los expedientes sancionadores, de modo innecesario, los partes de baja con la indicación de los motivos de las bajas laborales de los funcionarios que prestaban sus servicios en el Juzgado de lo Contencioso Numero 1 de A Coruña. Además, ya hemos señalado mas arriba como, si bien en relación a la denuncia presentada ante el Presidente del TSJ de Galicia presentada por el ahora recurrente pudiera tener cierta justificación la presentación de los partes de baja, dicha presentación en relación a una denuncia en Fiscalía carece por completo de ninguna justificación.

Esta Sala en la sentencia correspondiente al recuso 283/2004 sancionó, en un supuesto parecido al que ahora nos ocupa, como incumplimiento del mismo artículo 44.4 .g) la comunicación de los datos de baja de un profesor de la Universidad del País Vasco (incluyendo la enfermedad que le aquejaba) en una comunicación interna para justificar determinados gastos" .

Ya en el fundamento de derecho sexto aborda el Tribunal la alegación del recurrente relativa a la infracción por la resolución recurrida del artículo 399 de la Ley Orgánica del Poder Judicial , la cual también merece a juicio de la Sala de instancia una respuesta negativa. Dice así el fundamento de derecho sexto:

"La parte recurrente considera, también, que se ha infringido por la resolución recurrida lo previsto por el artículo 399 de la Ley orgánica del Poder Judicial cuando establece que: «Las Autoridades civiles y militares se abstendrán de intimar a los Jueces y Magistrados y de citarlos para que comparezcan a su presencia.

Cuando una Autoridad civil o militar precise de datos o declaraciones que pueda facilitar un Juez o Magistrado, y que no se refieran a su cargo o función, se solicitarán por escrito o se recibirán en el despacho oficial de aquél, previo aviso».

El art. 46 de la LOPD supone una excepción a la aplicación de la Ley en relación a los ficheros públicos y ello pues si bien a dichos ficheros se les aplica la Ley Orgánica 15/99, la infracción de lo dispuesto en sus preceptos no da lugar a la aplicación de una sanción sino a que se dicte una resolución por la que se establezcan las medidas de corrección que se consideren oportunas sin que se produzca el efecto sancionador derivado de la misma infracción en relación a ficheros privados y que daría lugar a la imposición de la multa correspondiente tal como resulta de los artículos 44 y 45 de la LOPD .

Evidentemente, el artículo 399 de la LOPJ no puede impedir la aplicación del citado artículo 46 de la LOPD (nótese que también aparece incorporado a una norma con rango de ley orgánica) según el cual: «Cuando las infracciones a que se refiere el art. 44 fuesen cometidas en ficheros de los que sean responsables las Administraciones públicas, el Director de la Agencia de Protección de Datos dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera».

Por lo tanto, cuando la Agencia Española de Protección de Datos incluye en la parte dispositiva de la resolución que ahora se recurre un requerimiento a fin de que el Juzgado de lo Contencioso Administrativo de A Coruña adopte las medidas precisas para que no se produzcan nuevas infracciones del artículo 10 de la LOPD no hace mas que dar cumplimiento especifico al contenido del precepto que acabamos de transcribir".

SEGUNDO

Disconforme el demandante en la instancia con la sentencia, interpone el recurso que ahora nos ocupa con apoyo en lo que expresa en veinte fundamentos jurídicos, cuya viabilidad procesal se declara por auto de la Sección Primera de 12 de febrero de 2009, al entender que "... si bien es cierto que las argumentaciones jurídicas se encuadran simultáneamente al amparo de los aparados c) y d) del artículo 88.1 de la Ley de la Jurisdicción , sin embargo, también lo es que en su desarrollo argumental se distinguen, en concretos subapartados, las precisas infracciones que se denuncia al amparo de cada uno de tales motivos, por lo que reexaminada la causa de inadmisión puesta de manifiesto a las partes se aprecia que la misma no concurre" .

No cabe pues cuestionar ahora, en virtud de lo dispuesto en el artículo 94.4 de la Ley Jurisdiccional , la admisibilidad del recurso con fundamento en la referida causa de inadmisibilidad rechazada en el trámite establecido en el artículo 93, si bien conviene precisar el contenido de los veinte fundamentos jurídicos en que se apoya el recurso casacional.

Por el primero se denuncia la infracción del artículo 11.1 y 2 d) de la Ley Orgánica 15/99. Entiende el recurrente que concurre en el supuesto enjuiciado la excepción prevista en el indicado apartado 2 d) del artículo 11 , que actúa, a su juicio, de excusa absolutoria.

Por el segundo se insiste en la comisión de la infracción referenciada en el anterior, con alusión a la vulneración de los principios de legalidad (artículo 25.1 de la Constitución) y seguridad jurídica (artículo 93 ).

Por el tercero, para reforzar lo expresado en el segundo, se cita como infringida la doctrina jurisprudencial que emana de la sentencia del tribunal Constitucional 54/08, de 14 de abril , que parcialmente trascribe.

Por el cuarto, en línea con los precedentes, se reitera la innecesariedad del consentimiento, para calificar de insólitas la resolución de la Agencia de Protección de Datos y la sentencia dictada en la instancia, a lo que añade que ésta última incurre en incongruencia en cuanto entiende justificada la comunicación efectuada al Presidente del Tribunal Superior y no la realizada con motivo de la denuncia presentada ante el Ministerio Público.

Por el quinto, además de recalcar, en armonía con el precedente, la improcedente distinción en la sentencia de la comunicación realizada al Presidente del Tribunal Superior y al Ministerio Fiscal, con mención del aforismo jurídico " donde la Ley no distingue no se debe distinguir" , arguye de nuevo incongruencia de la sentencia con el argumento de que el tribunal de instancia imputa "in peius" al recurrente un hecho no considerado en la precedente resolución de la Agencia, cual es la comunicación o denuncia dirigida al Ministerio Fiscal. Añade que la Sala "a quo" incurre en palmario error cuando, con relación a las denuncias cursadas y que dan origen a las diligencias previas 3411/03 del Juzgado de Instrucción nº 5 de A Coruña, expresa que se dirigieron contra algunos funcionarios del Juzgado de lo Contencioso Administrativo nº 1 de dicha ciudad, en cuanto realmente se dirigieron contra todo el personal auxiliar.

Por el sexto hace mención a los artículos 165 y 418.7 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial , con trascripción parcial de dichos preceptos, sin consideración alguna al respecto.

Por el séptimo alega no solo la atipicidad, con arreglo al artículo 11.1 y 2 d) de la Ley Orgánica 15/99 , de su conducta con respecto a los funcionarios del Juzgado del que era titular, sino también que la comunicación al Presidente del Tribunal Superior y las denuncias ante la Fiscalía y el Juzgado de Instrucción respondían a una obligación profesional derivada de los citados artículo 165 y 418.7 de la Ley Orgánica del Poder Judicial , en relación con los artículos 262 y 264 de la Ley de Enjuiciamiento Criminal .

Por el octavo trascribe parcialmente los artículos 262 y 264 de la Ley de Enjuiciamiento Criminal .

Por el noveno insiste en la atipicidad de su conducta, refiriendo circunstancias relativas a los expedientes incoados con motivo de su actuación, para concluir que la resolución administrativa sancionatoria incurre en nulidad de pleno derecho conforme al artículo 62.1.a) de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y Procedimiento Administrativo Común, por palmaria infracción de los principios de legalidad y tipicidad contenidos en los artículos 127 y 129 del texto legal citado, en relación con el artículo 25 de la Constitución.

Por el décimo trae a colación el recurrente doctrina jurisprudencial relativa a la valoración de la prueba en casación cuando en la instancia se realiza de modo ilógico o arbitrario, con cita y trascripción parcial de las sentencias de este Tribunal de 20 de noviembre de 2000 y 25 de marzo de 2002 , y a la motivación de las sentencias, también con cita y trascripción parcial de las del Tribunal Constitucional números 147/99, de 4 de agosto ; 10/08, de 31 de enero ; 25/00, de 31 de enero , 87/00, de 27 de marzo ; y 221/01, de 31 de octubre .

Por el undécimo cuestiona la legitimación de la Agencia Española de Protección de Datos no solo para investigar y enjuiciar la conducta de un juez en el legítimo desempeño de sus funciones, sino también para dirigirle intimidaciones o requerimientos de cualquier género.

Por el duodécimo, en conexión con el anterior, se argumenta que la sentencia obvia la patente nulidad de la resolución administrativa por ausencia competencial de la Agencia, bajo la consideración de que el control de las conductas que se le imputan está reservada en exclusiva al Consejo General del Poder Judicial, citando al efecto los artículos 230.5, 414 y 415 de la Ley Orgánica 6/25, de 1 de julio , y los artículos 86 y siguientes del Reglamento de los aspectos accesorios de las actuaciones judiciales, aprobado por acuerdo del Consejo de 15 de septiembre de 2005.

Por el decimotercero se denuncia la infracción del estatuto personal judicial y en particular el del derecho-deber de denuncia que a los jueces imponen los artículos 165 y 418.7 de la Ley Orgánica del Poder Judicial , así como la inmunidad judicial, amparado, según dice por el artículo 399.1 de igual texto legal.

Por el decimocuarto se aduce por el recurrente incongruencia omisiva por la sentencia al omitir todo pronunciamiento sobre defectos procedimentales padecidos en vía administrativa y oportunamente denunciados, advirtiendo de la indefensión producida al impedirle intervenir en el procedimiento administrativo. Lo conecta con su baja por enfermedad durante los días 10 de enero y 10 de julio de 2006.

Por el decimoquinto, decimosexto, decimoséptimo y decimoctavo, se insiste en la indefensión denunciada en el decimocuarto, con cita y trascripción parcial de la sentencia del Tribunal Constitucional 157/07, de 23 de julio .

Por el decimonoveno se alude a la cuantía indeterminada del recurso, interesando la condena en costas.

Y por el último se hace mención a la viabilidad procesal del recurso.

Si bien una mas depurada técnica casacional y una mas cuidadosa redacción de las consideraciones fácticas y jurídicas que se ofrecen en los fundamentos jurídicos, sobre todo evitando reiteraciones y hacer mención a circunstancias irrelevantes, harían, sin duda, más fácil su lectura y comprensión, lo cierto es que tras esa lectura no puede concluirse que no se conocen los concretos motivos impugnatorios que presiden la casación.

En efecto, prescindiendo de los dos últimos fundamentos jurídicos, en cuanto no encierran en puridad motivos casacionales, de las argumentaciones del resto se infiere que son cinco las cuestiones esenciales sobre los que pivota el recurso.

Una primera se circunscribe a la ausencia de tipicidad de la infracción. A ello se refieren los fundamentos jurídicos primero al noveno con distintos y a veces reiterados argumentos.

Una segunda gira sobre la infracción de las normas reguladoras de la sentencia. Así resulta de los fundamentos jurídicos cuarto, quinto, décimo, duodécimo y decimocuarto, en los que se arguye incongruencia y falta de motivación.

Una tercera se apoya en la falta de competencia de la Agencia Española de Protección de Datos. La conforman los fundamentos jurídicos undécimo a decimotercero.

Una cuarta se circunscribe a la valoración de la prueba. Lo constituye el fundamento jurídico décimo.

Y una quinta se ciñe a defectos procedimentales originadores de indefensión. Así los fundamentos jurídicos decimocuarta a decimoctavo.

TERCERO

Iniciando el examen del recurso por razones metodológicas de enjuiciamiento por la cuestión relativa a la legalidad del ejercicio de determinadas potestades de ingerencia (inspección, reclamaciones, declaraciones de infracción ... ) de la Agencia Española de Protección de datos en el seno de la Administración de Justicia, objeto de consideración por el recurrente en los fundamentos jurídicos undécimo a decimotercero de su escrito de interposición, preciso es comenzar por examinar las razones que justifican el nacimiento de esta Agencia, su naturaleza y los fines que persigue en nuestro sistema jurídico en orden a la protección de datos de carácter personal, para detenernos a continuación en el ejercicio de sus potestades correctoras y sancionadoras en relación con las Administraciones Públicas, y para finalmente analizar si dichas potestades pueden desplegarse, y de qué manera, en el seno de la Administración de Justicia.

Fue el Convenio 108, de 28 de enero de 1981 , del Consejo de Europa, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, el que previó que las distintas Partes designaran una autoridad para concederse ayuda mutua, siendo esta previsión el germen de la creación de las Autoridades de Control por parte de los distintos Estados europeos y también de la Agencia Española de Protección de Datos. Siguiendo estas pautas, la Ley Orgánica 5/1992, de 29 de octubre , de regulación del Tratamiento Automatizado de los Datos de carácter personal (LORTAD), fue pionera al encomendar el control de su aplicación a una Administración independiente, la denominada Agencia de Protección de Datos, decisión que años después la Directiva 95/46/ CE, del Parlamento y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, consolidó en el ámbito europeo al señalar en su Considerando 62 que la creación de una Autoridad de Control que ejerza sus funciones con plena independencia en cada uno de los Estados miembros constituye un elemento esencial de la protección de las personas en lo que respecta al tratamiento de datos personales, Considerando que tiene su plasmación en el art. 28 de la Directiva , dedicado a la Autoridad de Control, en el que se reitera la necesidad de que debe ejercer sus competencias con total independencia y ordena que se le atribuyan poderes de investigación, de intervención y sancionadores. Más adelante, la Carta Europea de los Derechos Fundamentales, proclamada en Niza el 8 de diciembre de 2000 , e incorporada a los Tratados constitutivos de la Comunidad Europea en el reciente Tratado de Lisboa, declaró en su art. 8.3 que el respeto a las normas de protección de datos quedará sujeto al control de una autoridad independiente.

En definitiva, en el sistema jurídico europeo de protección de datos de carácter personal la existencia de la denominada Autoridad de Control cumple una función esencial e indisociable al propio sistema jurídico para la plenitud del reconocimiento y tutela del derecho fundamental, función que se reitera y expresa además con claridad meridiana en el Considerando 2 del Reglamento (CE) nº 45/2001, del Parlamento y del Consejo de 18 de diciembre de 2000 , por el que se crea la figura del Supervisor Europeo de Protección de Datos en lo que respecta al tratamiento de datos personales por las instituciones y los organismo comunitarios, al señalar que: "Un sistema completo de protección de datos personales no requiere únicamente establecer los derechos de las personas cuyos datos se tratan y las obligaciones de quienes tratan dichos datos personales, sino también unas sanciones apropiadas para los infractores y un organismo supervisor independiente" .

El ordenamiento jurídico español, en gran medida tributario del Derecho Comunitario en este campo, comparte plenamente esta concepción incluso desde la LORTAD como ya hemos visto. La vigente Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD ) se refiere en su art. 35 a la Agencia de Protección de Datos como ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones tuitivas del sistema legal de protección de datos y sancionadoras.

La singularidad de esa función tuitiva, previa a la tutela judicial, como justificante esencial de su propia existencia, ya fue destacada por el Tribunal Constitucional en la STC 290/2000, de 30 de noviembre , en el fundamento noveno:

"9. Por último, de lo que se acaba de exponer se desprende un rasgo significativo de la Agencia de Protección de Datos: el carácter básicamente preventivo de sus funciones en orden a la protección de datos personales. Un rasgo caracterizador que es común a las instituciones especializadas existentes en los países de nuestro entorno y al que ha hecho referencia la Exposición de Motivos de la LORTAD al afirmar que esta disposición está guiada «por la idea de implantar mecanismos cautelares que prevengan las violaciones» de los derechos fundamentales. En efecto, al dar cumplimiento al mandato contenido en el art. 18.4 CE , el legislador, sin excluir en modo alguno el recurso último a los órganos jurisdiccionales para la tutela de los derechos individuales, como se determina en los apartados 2 a 5 del art. 17 LORTAD , no ha querido sin embargo que la protección de datos personales frente al uso de la informática se lleve a cabo exclusivamente en la vía judicial, esto es, cuando ya se ha producido una lesión del derecho fundamental. Por el contrario, ha querido que dicha protección se lleve a cabo mediante el ejercicio por la Agencia de Protección de Datos, con carácter básicamente preventivo, de las funciones de control de los ficheros tanto de titularidad pública como privada que la LORTAD le atribuye y, en su caso, a través de las reclamaciones de los afectados ante la Agencia de Protección de Datos (art. 17.1 ), las que provocarán la posterior actuación de este órgano. Por lo que cabe estimar que existe una correspondencia entre las funciones y potestades que la LORTAD ha atribuido a la Agencia de Protección de Datos y el carácter preventivo de sus actuaciones. Pues es este carácter tuitivo o preventivo el que, en última instancia, justifica la atribución de tales funciones y potestades a la Agencia de Protección de Datos para asegurar, mediante su ejercicio, que serán respetados tanto los límites al uso de la informática como la salvaguardia del derecho fundamental a la protección de datos personales en relación con todos los ficheros, ya sea de titularidad pública o privada" .

Acción tutelar en la que se incluyen todas aquellas actividades desarrolladas por este organismo público encaminadas a garantizar los derechos reconocidos en la Ley y el buen funcionamiento de todo el sistema legal de protección de datos: amparar el ejercicio de los derechos de información, acceso, rectificación, oposición y cancelación de datos; emitir autorizaciones; atender peticiones y reclamaciones formuladas por las personas afectadas; proporcionar información a las personas acerca de sus derechos en materia de tratamientos de los datos de carácter personal; recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria para el desempeño de sus funciones; velar por la publicidad de la existencia de los ficheros de datos de carácter personal, etc..., acción tutelar que se complementa con el ejercicio de potestades correctoras y sancionadoras.

No obstante, pese a esta singularidad de su función y de su estatuto de independencia, no podemos obviar también, a los efectos que luego se dirá, que la Agencia Española de Protección de Datos no deja de ser una Administración Pública que se inserta dentro del poder ejecutivo. Basta examinar el sistema de nombramiento y separación de su Director en la LOPD (por el Gobierno, a propuesta del Ministro de Justicia) y el régimen jurídico de sus actos (sujeta su actuación a la Ley 30/1992, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común) para que esta afirmación no ofrezca ninguna duda.

Aceptada la importancia y singularidad de la función desarrollada por la Agencia Española de Protección de Datos en nuestro sistema jurídico de protección de este derecho, es preciso examinar el alcance de esa función en relación con las Administraciones Públicas, pues en el caso que juzgamos la Agencia Española de Protección de Datos ha identificado, en cuanto al régimen jurídico aplicable, al Juzgado de lo Contencioso-Administrativo núm. 1 de los de La Coruña con una Administración Pública, lo que tiene su importancia, pues aunque el art. 2 de la LOPD extiende el régimen jurídico de la protección de datos tanto al sector privado como al sector público, esta Ley establece particularidades para los ficheros de titularidad pública, a los que dedica los artículos 20 a 24, conteniendo mandatos específicos en cuanto a su creación, modificación y supresión, determinadas excepciones al régimen de los derechos de los afectados y un régimen específico en materia de infracciones pues el art. 46 de la LOPD refiere que cuando las infracciones del régimen de protección de datos fuesen cometidas en ficheros de los que sean responsables las Administraciones Públicas, el Director de la Agencia Española de Protección de Datos dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción, pudiendo proponer la iniciación de actuaciones disciplinarias, si procedieran, que serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones Públicas, debiéndose comunicar a la Agencia las resoluciones que recaigan en relación con las medidas y actuaciones propuestas.

De este último precepto se desprende que las Administraciones Públicas quedan excluidas de la imposición de sanciones pero no de la declaración de infracción, de que se impongan correcciones o de que se promueva responsabilidad disciplinaria de los funcionarios públicos que aparezcan como responsables de la infracción, a lo que se añade como consecuencia de la propia declaración de infracción que se entablen reclamaciones de responsabilidad patrimonial en los términos expresados en el art. 19 de la LOPD . Se une a lo anterior el hecho de que la Autoridad de Control ex art 40 LOPD - a los efectos de cumplir con sus funciones puede inspeccionar los ficheros públicos y recabar cuantas informaciones precise para el cumplimiento de su cometido, pudiendo solicitar al efecto la exhibición o envío de documentos y datos o examinarlos en el lugar en que se encuentran depositados, así como inspeccionar los equipos físicos o logísticos utilizados en el tratamiento de datos, accediendo a los locales donde se hallen instalados. También puede en el ejercicio de esas funciones requerir a los responsables y los encargados del tratamiento la adopción de las medidas que estime necesarias para la adecuación de los tratamientos de datos a las disposiciones de la LOPD y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones (art. 37.1.f) de la LOPD ).

En definitiva, en relación con las Administraciones Públicas la Agencia Española de Protección de Datos tiene reconocidas en la LOPD importantes potestades de intervención, de intimación incluso, pese a que no tenga reconocida la potestad sancionadora propiamente dicha.

Pues bien, para resolver el punto litigioso con el que iniciábamos este fundamento -competencia de la Agencia para declarar la infracción de un Juzgado y legitimidad de los requerimientos dirigidos al mismo- debemos analizar ahora si esas potestades tuitivas, de intervención y correctoras que acabamos de referir extensamente, y que la LOPD reconoce genéricamente a la Agencia en relación con las Administraciones Públicas, pueden tener como destinatarios los Juzgados y Tribunales, de suerte que éstos, se identifican con una Administración Pública a la que debe controlar.

Anticipamos ya que esta posición no puede mantenerse por razones constitucionales y de legalidad que exponemos a continuación.

La Constitución española ha establecido en su artículo 122 un órgano -el Consejo General del Poder Judicial- que tiene atribuido entre otros fines la defensa de la posición de independencia de Jueces y Magistrados que aparece proclamada en la propia norma constitucional y en la Ley Orgánica del Poder Judicial. Esta garantía presenta dos planos claramente diferenciados. Por un lado, está dirigida a preservar a Jueces y Magistrados de toda interferencia ajena, especialmente las procedentes de otros poderes del Estado, en cuanto titulares de la potestad jurisdiccional, por razón de que el ejercicio de dicha potestad de juzgar y hacer ejecutar lo juzgado solo puede controlarse a través de los recursos establecidos por las leyes. El segundo plano que ofrece se refiere a la actividad no jurisdiccional de Jueces y Magistrados, a aquella que realizan en virtud de una relación de servicio que les sujeta a un determinado estatuto profesional. El control de esta actividad también está reservado con carácter exclusivo al Consejo General del Poder Judicial pues también la Constitución española así lo ha querido en su Título VI al configurar a dicho Consejo como específico órgano de gobierno del Poder Judicial, desapoderando al poder ejecutivo de esta tarea.

La Ley Orgánica del Poder Judicial expresa estos mismos principios constitucionales en su artículo 104 que señala que: "El Poder Judicial se organiza y ejerce sus funciones con arreglo a los principios de unidad e independencia. El Gobierno del Poder Judicial corresponde al Consejo General del Poder Judicial, que ejerce sus competencias en todo el territorio nacional, de acuerdo con la Constitución y lo previsto en la presente ley" .

Nótese que estos principios de unidad e independencia no solo se predican del ejercicio de las funciones propias del Poder Judicial, principalmente el ejercicio de la potestad jurisdiccional, sino también de su organización, hasta el punto de que la Ley Orgánica del Poder Judicial consagra en su texto la inmunidad judicial como garantía de su independencia (arts. 398 a 400 ), ordenando específicamente (art. 399.1 ) a las autoridades civiles y militares que se abstengan de intimar a los Jueces y Magistrados.

Pues bien, estos enunciados forman un marco de referencia en el que hemos de movernos para el desarrollo de nuestro razonamiento sobre la cuestión litigiosa, atendida la nula atención que la LOPD dedica a los ficheros judiciales y lo escueto de la referencia contenida en la LOPJ.

La Ley Orgánica del Poder Judicial dedica fundamentalmente un precepto a la protección de datos de carácter personal. Se trata del art. 230, ubicado en el Título III ( "De las actuaciones judiciales" ) del Libro III , que habilita en su apartado primero a Juzgados y Tribunales a utilizar cualesquiera medios técnicos, electrónicos, informáticos y telemáticos, para el desarrollo de su actividad y ejercicio de sus funciones, con sujeción a la normativa de protección de datos. En dicho precepto se establece además el deber de salvaguardar en todo momento la confidencialidad, privacidad y seguridad de los datos de carácter personal contenidos en los ficheros judiciales. Estos deberes jurídicos, cuyos principales destinatarios son los propios Jueces y Magistrados, resultan obligados desde el reconocimiento de la protección de datos personales como derecho fundamental de la persona en la STC 292/2000 e inciden en la actuación de los Tribunales de muy diversas maneras, máxime si se tiene en cuenta que la legislación española y europea en general contiene una amplísima definición de lo que se entiende por dato personal (cualquier información concerniente a personas físicas identificadas o identificables). En definitiva, los datos de carácter personal forman parte consustancial de la actividad jurisdiccional, sirven de base para el funcionamiento de determinados ficheros judiciales y otros registros públicos de uso judicial y permiten llevar a cabo diligencias fundamentales para la investigación criminal , lo que plantea situaciones especialmente complejas, dado que pueden verse afectados otros derechos fundamentales, como sucede por ejemplo, en el acceso a los datos de tráfico en las comunicaciones electrónicas, a ficheros policiales o a la historia clínica. En todos estos supuestos, las posibilidades de actuación judicial en relación con los datos personales son ciertamente amplias, de ahí que tenga especial sentido el mandato de confidencialidad, privacidad y seguridad contenido en el art. 230 LOPJ .

Pero este precepto orgánico no se limita a ser simple recordatorio de los principios que deben regir la actividad de Jueces y Magistrados en virtud del derecho fundamental a la protección de datos. Hace algo más, apodera al Consejo General del Poder Judicial para dictar un Reglamento en el que se determinarán los requisitos y demás condiciones que afectan al establecimiento y gestión de los ficheros automatizados que se encuentren bajo responsabilidad de los órganos judiciales de forma que se asegure el cumplimiento de las garantías y derechos establecidos en la legislación de protección de datos de carácter personal. Este apoderamiento aparece además reiterado en el art. 107.10, inciso segundo, de la LOPJ , con la finalidad de asegurar también el cumplimiento de la legislación en materia de protección de datos personales en la elaboración de libros electrónicos de sentencias, recopilación de las mismas, su tratamiento, difusión y certificación, para velar por su integridad, autenticidad y acceso. Serán estas normas jurídicas reglamentarias dictadas por el CGPJ en virtud de los apoderamientos contenidos en el art. 230 y 107.10 de la LOPJ las que modularán y adaptarán el sistema de protección al ámbito judicial, introduciendo mecanismos de garantía específicos y fijando la extensión y límites de los derechos propios de este sistema jurídico -acceso, rectificación, cancelación, etc...- que la legislación general (LOPD) reconoce a los afectados, es decir a todas aquellas persona físicas que sean titulares de los datos que sean objeto de tratamiento en el ámbito de la Administración de Justicia. Es pues el Consejo General del Poder Judicial al que la LOPJ encarga de la función tuitiva en esta materia no solo por razón del apoderamiento reglamentario al que el art. 230 hace referencia, sino también por tener atribuidas con carácter exclusivo las potestades precisas para el necesario control de la observancia de derechos y garantías, pues solo al órgano de gobierno judicial corresponde la inspección de Juzgados y Tribunales (art. 107.3 LOPJ ).

Además, en línea con lo que estamos exponiendo, el contenido del art. 230 cobra pleno sentido si tenemos en cuenta que cuando fue incorporado el precepto en su redacción actual a la LOPJ por la Ley Orgánica 16/1994, de 8 de noviembre , la norma que estaba vigente en materia de protección de datos era la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal . (vigente hasta el 14 de enero de 2000), norma que excluía directamente en su Disposición Adicional Primera la aplicación de los Títulos dedicados a la Agencia de Protección de Datos y a las Infracciones y Sanciones respecto de los ficheros automatizados de los que eran titulares las Cortes Generales, el Defensor del Pueblo, el Tribunal de Cuentas, el Consejo General del Poder Judicial y el Tribunal Constitucional, exclusión que se justificaba no solo en el hecho de que se trate de órganos constitucionales diferenciados del Gobierno y de la Administración sino también porque, como poderes del Estado, gozan de una garantía constitucional de independencia respecto del poder ejecutivo, poder público en el que, como ya dijimos, se enmarca orgánica y funcionalmente la Agencia Española de Protección de Datos, aunque lo sea con un estatuto de independencia de su Director respecto del Gobierno. Además, por lo que se refiere en concreto al Consejo General del Poder Judicial y a su ámbito de gobierno, la exclusión del poder de decisión de la Agencia se justificaba entonces -y ahora- por una razón añadida a la ya expuesta, aunque nada se diga en la vigente LOPD, y es que tiene singularmente reconocida la función tutelar en materia de protección de datos de carácter personal en relación con los ficheros judiciales por formar parte de su ámbito de gobierno interno, función que se justifica en la necesidad de preservar los principios de unidad e independencia de la organización judicial a que se refiere el art. 104 de la LOPJ y que impide cualquier tipo de intromisión o ingerencia por parte de una autoridad administrativa.

La existencia de estas limitaciones a las potestades de la Agencia Española de Protección de Datos por razón de la específica naturaleza de órgano susceptible de supervisión no es incompatible con el sistema europeo de protección recogido en la Directiva 95/46 / CE, del Parlamento y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, pues ninguno de sus preceptos obliga a la existencia en cada Estado miembro de una sola Autoridad de Control que monopolice o concentre esta función, encargándose la propia LOPD, que transpone la Directiva, de desmentir todo pretendido monopolio de la Agencia al prever en su texto (art. 41 ) la coexistencia de varias de ellas en territorio nacional (la estatal y las autonómicas) para supervisar a las propias Administraciones Públicas.

Sirva de complemento argumental a lo que llevamos dicho hasta ahora el propio sistema europeo de supervisión en materia de protección de datos de carácter personal en las instituciones comunitarias. El Reglamento (CE) nº 45/2001, del Parlamento Europeo y del Consejo por el que se crea el Supervisor Europeo de Protección de Datos, al regular sus funciones, establece en el art. 46 que le corresponde supervisar y asegurar la aplicación del Reglamento y de cualquier otro acto comunitario relacionado con la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de una institución u organismo comunitario, con excepción del Tribunal de Justicia de las Comunidades Europeas cuando actúe en el ejercicio de sus funciones jurisdiccionales.

El propio Consejo General del Poder Judicial, con posterioridad a la LOPD, ha ratificado su competencia en esta materia en virtud del apoderamiento del art. 230 LOPJ al aprobar el Reglamento 1/2005, de 15 de septiembre, de los Aspectos Accesorios de las Actuaciones Judiciales . Este Reglamento dedica su Título V, en desarrollo del art. 230 de la LOPJ , a regular el establecimiento y gestión de los ficheros automatizados bajo responsabilidad de los órganos judiciales, comprendiendo tanto los ficheros de datos automatizados de carácter personal dependientes de los Juzgados y Tribunales como los del Consejo General del Poder Judicial, e incluyendo también en su ámbito tanto los ficheros jurisdiccionales (aquellos que incorporan datos de carácter personal que deriven de actuaciones jurisdiccionales), como los ficheros no jurisdiccionales o gubernativos (aquellos que incorporan datos de carácter personal que deriven de los procedimientos gubernativos así como los que, con arreglo a las normas administrativas aplicables, sean definitorios de la relación funcionarial o laboral de las personas destinadas en tales órganos y de las situaciones e incidencias que en ella acontezcan) y a todos ellos sitúa bajo el control del Consejo General del Poder Judicial con sujeción a un régimen específico de tutela ante los órganos de gobierno interno, mediante la articulación del correspondiente sistema de reclamaciones y recursos, en cuanto al ejercicio de los derechos de acceso, rectificación y cancelación. Régimen de protección del que es ajeno la Agencia Española de Protección de Datos, a la que no se reconoce facultades de intervención, correspondiendo éstas a los órganos de gobierno judicial.

Como quiera que en el caso que juzgamos las funciones desarrolladas por la Agencia en relación con el Juzgado de lo Contencioso-Administrativo núm. 1 de los de La Coruña han sobrepasado los límites establecidos en la Ley Orgánica del Poder Judicial para garantizar la inmunidad judicial y asegurar su independencia, la conclusión de nuestro razonamiento no puede ser otra que la Agencia Española de Protección de Datos carecía de competencia para hacer la declaración de infracción.

En consecuencia procede declarar haber lugar al recurso de casación, revocar y dejar sin efecto la sentencia recurrida y, con estimación del recurso contencioso administrativo, anular la resolución administrativa impugnada por ser nula de pleno derecho, y ello sin necesidad de examinar el resto de los motivos impugnatorios aducidos por el recurrente, aunque a mayor abundamiento deba advertirse que el signo estimatorio del recurso de casación vendría dado, con independencia de la razón esencial ya expresada de ausencia competencial, por la circunstancia denunciada de que en la resolución de la Agencia Española de Protección de Datos no se contempla como conducta infractora la considerada en la sentencia recurrida y determinante del fallo, a saber, la aportación con la denuncia formulada por el recurrente ante la Fiscalía del Tribunal Superior de Justicia de Galicia de datos relativos a la salud de los funcionarios del Juzgado de lo Contencioso Administrativo nº 1 de A Coruña.

CUARTO

La estimación del recurso exime de hacer un especial pronunciamiento de condena en costas; siendo de significar que no se aprecian motivos para la imposición en la instancia.

FALLAMOS

PRIMERO

HA LUGAR al recurso de casación interpuesto por la representación procesal de don Jesus Miguel , contra Sentencia de fecha 20 de febrero de 2008, dictada por la Sala de lo Contencioso Administrativo de la Audiencia Nacional, Sección Primera, en el recurso contencioso administrativo número 255/06 .

SEGUNDO

Revocamos y dejamos sin efecto la sentencia de mención y, con estimación del recurso contencioso administrativo, declaramos la nulidad de pleno derecho de la resolución administrativa impugnada.

TERCERO

Sin hacer especial pronunciamiento en cuanto al pago de las costas.

Así por esta nuestra sentencia, lo pronunciamos, mandamos y firmamos

PUBLICACIÓN.- Leída y publicada ha sido la anterior sentencia por el Excmo. Sr. Magistrado Ponente D. Juan Carlos Trillo Alonso , estando la Sala celebrando audiencia pública en el mismo día de su fecha, de lo que, como Secretario, certifico.