SAN, 6 de Julio de 2005
| Ponente | EDUARDO CALVO ROJAS |
| Emisor | Audiencia Nacional. Sala Contencioso Administrativo, Sección 1ª |
| ECLI | ES:AN:2005:3728 |
| Número de Recurso | 1031/2003 |
MARIA LUZ LOURDES SANZ CALVOMARIA NIEVES BUISAN GARCIAJOSE ARTURO FERNANDEZ GARCIAEDUARDO CALVO ROJAS
SENTENCIA
Madrid, a seis de julio de dos mil cinco.
La Sala constituida por los Sres. Magistrados relacionados al margen ha visto el recurso
contencioso administrativo número 1031/03 interpuesto por el Procurador D. Antonio Rafael
Rodríguez Muñoz en representación de DIVULNET, S.L. contra la resolución de la Agencia de Protección de Datos de 5 de septiembre de 2003 dictada en el procedimiento sancionador
PS/00143/2002 en la que se impuso a aquella entidad multa por importe de 60.101´21 euros. Ha
sido parte demandada en las presentes actuaciones la Administración del Estado, representada
por la Abogacía del Estado.
Admitido el recurso y previos los oportunos trámites la parte actora formalizó su demanda mediante escrito presentado el 27 de febrero de 2004 en el que tras alegar los hechos y fundamentos de derecho que consideró oportunos termina solicitando que: 1) se dicta sentencia en la que se declare la no conformidad a derecho del procedimiento sancionador por vulneración del derecho de defensa y se anule la resolución sancionadora; 2) subsidiariamente, se declare que la conducta imputada es atípica y se anule la sanción impuesta.
El Abogado del Estado contestó la demanda mediante escrito presentado el 22 de abril de 2004 en el que, tras exponer los hechos y fundamentos de derecho que estimó oportunos solicita que se dicte sentencia desestimando el recurso y confirmando la resolución recurrida por ser ajustada a derecho, con imposición de las costas a la parte recurrente.
Habiéndose acordado por auto de 29 de abril de 2004 el recibimiento a prueba, esta Sala admitió la prueba consistente en tener por reproducida la documentación aportada al expediente administrativo así como las pruebas testificales de D. Jose Ignacio y D. Juan Alberto, que se practicaron con el resultado que reflejan las actas unidas a las actuaciones. En cambio, mediante auto de 2 de junio de 2004, confirmado en súplica por auto de 4 de noviembre del mismo año, se denegó la prueba en la que se pretendía que declarase como testigo el denunciante D. David.
Se emplazó a las partes para que formulasen sus conclusiones y una vez presentados los correspondientes escritos quedaron las actuaciones pendientes de señalamiento para votación y fallo fijándose finalmente al efecto el día 5 de julio del presente año, fecha en que tuvo lugar la deliberación y votación.
Ha sido PONENTE el Ilmo. Sr. D. Eduardo Calvo Rojas.
El presente recurso contencioso-administrativo lo dirige DIVULNET, S.L. contra la resolución de la Agencia de Protección de Datos de 5 de septiembre de 2003 dictada en el procedimiento sancionador PS/00143/2002 en la que se impuso a aquella entidad multa por importe de 60.101´21 euros como autora de una infracción del artículo 9 de la Ley Orgánica 15/99 en relación con los artículos 8 al 26 del Reglamento de Seguridad de los ficheros automatizados aprobado por Real Decreto 994/99, de 11 de junio, infracción tipificada como grave en el artículo 44.3.h) de dicha Ley Orgánica. La resolución sancionadora recurrida incluye la siguiente declaración de hechos probados:
‹
‹HECHOS PROBADOS
La entidad DIVULNET S.L. ofrece a través de la Web www.divulnet.com un servicio gratuito y otro de pago sobre información que aparece publicada en el BORME. Para ello, los clientes deben facilitar su nombre, apellidos, domicilio, teléfono y dirección de correo electrónico, siéndole asignado un identificador de usuario y una clave de acceso para la utilización gratuito.
La empresa DIVULNET, S.L. dispone de un servidor WEB en el que reside tanto la información ofrecida a los clientes como los datos personales de éstos.
El denunciante, D. David, en fecha de 1 de febrero de 2002 se dio de alta como usuario en la web www.divulnet.com.
Con posterioridad volvió a entrar en la citada web donde, tras introducir su identificador y clave de acceso, comprobó que el puerto asociado al servicio de transferencia de ficheros (FTP) se encontraba abierto o activo y que todos los ficheros tanto de información como de datos personales de los clientes de acceso gratuito como de pago se encontraban accesibles al público sin necesidad de utilizar ningún tipo de herramientas que evitaran el intrusismo.
En fecha 14/3/2002, entre las 13.30 y las 14.30 horas, la Inspección de Datos constató que desde un ordenador instalado en la Agencia de Protección de Datos se pudo acceder, tras identificarse como usuario "Octavio" y clave "NUM000" (usuario y clave del denunciante), a la dirección Internet ftp://rmercantil.divulnet.com/bormenet/ y visualizar el contenido del directorio "/bormenet", pudiendo descargarse desde el servidor de DIVULNET S.L. los ficheros BUsuTemp.tps, BClaveDef.tps, browseborne.exe y BUsudef.tps que se encuentran alojados en dicho directorio.
Una vez obtenida por la Inspección copia de los citados ficheros en el ordenador de la Agencia, pudo visualizarse el contenido de los ficheros BUsuTemp.tps y BUsuDef.tps por medio del programa browseborne.exe., comprobándose que ambos disponen de datos de carácter personal y que el acceso a su contenido no se encuentra protegido mediante ningún control de identificación ni autenticación.
La descripción de los citados ficheros de clientes es la siguiente:
Fichero BUsuTemp.tps (clientes gratuitos
Contiene aproximadamente unos 16.500 registros con la siguiente estructura de datos: código, empresa, nombre y apellidos, profesión, dirección de correo electrónico, fecha petición, fecha final, hora, localidad, teléfono, identificador de usuario, clavel, interés, publicidad, sistema (relativo al ordenador personal utilizado por el usuario) y huésped.
Fichero BUsuDef.tps (clientes de pago)
Contiene aproximadamente unos 1.000 registros con la siguiente estructura de datos: código, CIF, razón social, nombre y apellidos, profesión, dirección de correo electrónico, dirección postal, teléfono, fax, localidad, provincia, país, horario, fecha petición, fecha final, identificador de usuario, clave, tipo de abonado, cantidad, tipo de pago, titular de la cuenta, banco o caja, dirección de la sucursal, nº cuenta corriente (código de banco, código de sucursal, dígito de control, código cuenta) y huésped.
Entre febrero y mayo de 2002 DIVULNET S.L. activó el servicio FTP, al realizarse un traslado de domicilio social de la empresa. Durante al traslado, parte del equipamiento informático de la empresa permaneció ubicado en el domicilio de origen y parte en el de destino, por lo que se activó el servicio FTP con objeto de poder intercambiar información entre los equipos de una y otra ubicación ».
Este enunciado de hechos y las demás consideraciones que se contienen en la resolución recurrida llevan a la Agencia de Protección de Datos a concluir que la conducta de la entidad ahora recurrente constituye una infracción del artículo 9 de la Ley Orgánica 15/99- en relación con los artículos 8 al 26 del Reglamento de seguridad de los ficheros automatizados aprobado por Real Decreto 994/99, de 11 de junio- tipificada como grave en el artículo 43.3.g) de dicha Ley Orgánica. El primero de estos preceptos, artículo 9, determina lo siguiente:
1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.
Por su parte, el mencionado artículo 44.3.h) tipifica como infracción grave la conducta consistente en "Mantener los ficheros, locales, programas o equipos que contengan datos de...
Para continuar leyendo
Solicita tu prueba