SAN 426/2016, 24 de Junio de 2016
| Ponente | FERNANDO DE MATEO MENENDEZ |
| Emisor | Audiencia Nacional. Sala Contencioso Administrativo, Sección 1ª |
| ECLI | ES:AN:2016:3312 |
| Número de Recurso | 1200/2015 |
A U D I E N C I A N A C I O N A L
Sala de lo Contencioso-Administrativo
SECCIÓN PRIMERA
Núm. de Recurso: 0001200 / 2015
Tipo de Recurso: PROCEDIMIENTO ORDINARIO
Núm. Registro General: 02555/2015
Demandante: LA ASOCIACIÓN DE PERITOS TASADORES JUDICIALES DE ANDALUCIA
Procurador: MARIA ICIAR DE LA PEÑA ARGACHA
Demandado: AGENCIA PROTECCIÓN DE DATOS
Abogado Del Estado
Ponente IImo. Sr.: D. FERNANDO DE MATEO MENÉNDEZ
S E N T E N C I A Nº:
IImo. Sr. Presidente:
D. EDUARDO MENÉNDEZ REXACH
Ilmos. Sres. Magistrados:
Dª. FELISA ATIENZA RODRIGUEZ
Dª. LOURDES SANZ CALVO
D. FERNANDO DE MATEO MENÉNDEZ
D. JUAN PEDRO QUINTANA CARRETERO
Madrid, a veinticuatro de junio de dos mil dieciséis.
Vistos por la Sala, constituida por los Sres. Magistrados relacionados al margen, los autos del recurso contencioso-administrativo número 1.200/15, interpuesto por la Procuradora de los Tribunales doña Iciar de la Peña Argacha, en nombre y representación de LA ASOCIACIÓN DE PERITOS TASADORES JUDICIALES DE ANDALUCÍA., contra la resolución de 27 de febrero de 2015 del Director de la Agencia Española de Protección de Datos, que confirma en reposición la resolución de 29 de diciembre de 2014, por la que se le impone una sanción de 6.000 euros por una infracción del art. 9 de la Ley Orgánica 15/1999, de 13 de diciembre, tipificada como grave en el art. 44.3.h) de la citada norma . Ha sido parte LA ADMINISTRACIÓN DEL ESTADO, representada por el Abogado del Estado. La cuantía del recurso quedó fijada en 6.000 euros.
Admitido el recurso y previos los oportunos trámites procedimentales, se confirió traslado a la parte actora para que, en el término de veinte días formalizara la demanda, lo que llevó a efecto mediante escrito presentado el día 22 de julio de 2014 en el que, tras exponer los hechos y fundamentos de derecho que estimó oportunos, terminó solicitando que se dictara sentencia estimatoria del recurso anulando el acto impugnado en el presente recurso, o subsidiariamente, que se declare que se debió aplicar el apercibimiento, o, en otro caso, subsidiariamente, se debió ponderar la sanción, imponiendo la mínima.
Formalizada la demanda se dio traslado de la misma a la parte demandada para que la contestara en el plazo de veinte días, lo que realizó mediante el pertinente escrito, alegando los hechos y fundamentos jurídicos que estimó pertinentes, solicitando la desestimación del recurso, y que se declarara la plena adecuación a derecho del acto administrativo impugnado.
Contestada la demanda, se concedió el plazo de diez días a las partes para la formulación de confusiones, y, una vez presentados los correspondientes escritos quedaron los autos conclusos para sentencia, señalándose para votación y fallo el día 21 de junio del presente año, fecha en que tuvo lugar.
SIENDO PONENTEel Magistrado Ilmo. Sr. Don FERNANDO DE MATEO MENÉNDEZ .
La parte demandante impugna la resolución de 27 de febrero de 2015 del Director de la Agencia Española de Protección de Datos, que confirma en reposición la resolución de 29 de diciembre de 2014, por la que se le impone una sanción de 6.000 euros por una infracción del art. 9 de la Ley Orgánica 15/1999, de 13 de diciembre (en adelante LOPD), tipificada como grave en el art. 44.3.h) de la citada norma .
Los Hechos Probados en que se basan las resoluciones sancionadoras son los siguientes: 1. La entidad APTJA es titular de la web www.aptjasevilla.es.
-
La entidad APTJA es adjudicataria de varios concursos públicos para la contratación de servicios de peritaciones judiciales de varias provincias andaluzas en procedimientos instruidos por los órganos judiciales de los respectivos territorios, así como adjudicataria de servicios de recaudación de la Diputación de Cádiz
-
Con fecha 09/04/2014, se formuló denuncia ante la AEPD contra la entidad APTJA por permitir el acceso sin restricciones a datos personales de la aplicación "ADRIANO", cuestionada a través del sitio web de la Asociación.
El denunciante aportó Acta Notarial, de fecha 14/03/2014, en la que se deja constancia de la posibilidad de acceder sin restricción a datos identificativos de peritos y de los expedientes que tienen asignados, incluyendo datos de carácter personal de los deudores asociados a cada expediente de tasación, municipio y finca registral afectada, a través de la dirección web https://www.aptjasevilla.es/diputacion/ incidencias.php . En el Acta citada se detalla lo siguiente:
"DILIGENCIA.- En Valencia, siendo las once horas y cincuenta y ocho minutos del mismo día de la autorización del Acta, en mi estudio y acompañado del requirente, entro a través del navegador y desde esta Notaría, e imprimo los contenidos que me va solicitando el requirente de dicha página https:// www.aptjasevilla1.
-
- Entrando en dicha página, dice "gestión de tasaciones y periciales ADRIANO", la cual imprimo y dejo protocolizada en la presente matriz.
-
- Y en el mismo, y accediendo desde un icono lupa, se observan las fichas números 231, 270, 362 y
363, donde pincho, e imprimo y dejo protocolizada en la presente matriz el contenido de las fichas".
-
Con fecha 06/10/2014, por el instructor del procedimiento se intenta acceder a la URL https:// www.aptjasevilla1, obteniendo el siguiente resultado: "no se puede encontrar la página web".
-
La entidad APTJA es titular de un fichero de datos de carácter personal denominado "Datos Periciales", que figura inscrito en el Registro General de Protección de Datos con nivel de seguridad "Alto">> .
La infracción por la que ha sido sancionada la parte actora es la recogida en el art. 9 de la LOPD, que traspone el art. 17 de la Directiva 9546/CE, que en su apartado 1 establece la necesidad de la adopción de medidas técnicas y organizativas necesarios para garantizar la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado, obligación que impone al responsable del fichero y, en su caso, al encargado del tratamiento, especificando en su apartado 2 que no se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los... equipos, sistemas y programas. Por su parte, el art. 91 de la citada norma establece: "1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones.
-
El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.
-
El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.
-
Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero.
-
En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio" .
Mientras que el art. 93 dispone: "1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.
-
El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.
-
Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad" .
Por su parte el art. 44.3.h) de la LOPD tipifica como infracción grave: "Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen" .
Es de ver, según indica la Sentencia del Tribunal Supremo de 4 noviembre de 2013 -recurso nº. 1.293/11
- "que la LOPD después de determinar los elementos esenciales de la conducta antijurídica calificada como infracción grave, acude a la colaboración reglamentaria en la tarea de precisar y desarrollar las condiciones de seguridad que se estiman precisas en el mantenimiento de los ficheros de datos", desarrollo reglamentario, que está contenido en el Título VII del Reglamento de desarrollo de la LOPD, aprobado por Real Decreto
1.720/2007, de 21 de diciembre, que regula en su art. 81 los niveles de seguridad en función de la naturaleza de la información tratada, refiriéndose la resolución recurrida a los niveles básico y medio.
En interpretación del citado art. 9, esta Sala ha señalado en múltiples Sentencias, (13 de junio de 2002 -recurso nº. 1.517/2001 -, 7 de febrero de 2003 -recurso nº. 1.182/2001 -, 25 de enero de 2006 - recuso nº. 227/2004 -, 28 de junio de 2006 -recurso nº. 290/2004 -, 24 de marzo de 2015 -recurso nº. 269/2013 - y 25 de junio de 2015 -recurso nº. 90/2014 -, entre otras muchas), que la obligación que dimana del mismo no se cumple con la adopción de cualquier medida, pues deben ser las necesarias para garantizar aquellos objetivos que marca el precepto, y por supuesto, no basta con la aprobación formal de las medidas de seguridad, pues resulta exigible que aquéllas se instauren y pongan en práctica de manera efectiva. Hemos considerado, en consecuencia, que se impone una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros. En...
Para continuar leyendo
Solicita tu prueba