SAN, 10 de Noviembre de 2017

• Ponente: FERNANDO DE MATEO MENENDEZ
• Emisor: Audiencia Nacional. Sala Contencioso Administrativo, Sección 1ª
• ECLI: ES:AN:2017:4612
• Número de Recurso: 32/2016

A U D I E N C I A N A C I O N A L

Sala de lo Contencioso-Administrativo

SECCIÓN PRIMERA

Núm. de Recurso: 0000032 / 2016

Tipo de Recurso: PROCEDIMIENTO ORDINARIO

Núm. Registro General: 07048/2015

Demandante: EXTEL CONTACT CENTER S.A.U.

Procurador: CARLOS ALBERTO DE GRADO VIEJO

Demandado: AGENCIA PROTECCIÓN DE DATOS

Abogado Del Estado

Ponente IImo. Sr.: D. FERNANDO DE MATEO MENÉNDEZ

S E N T E N C I A Nº:

IImo. Sr. Presidente:

D. EDUARDO MENÉNDEZ REXACH

Ilmos. Sres. Magistrados:

Dª. FELISA ATIENZA RODRIGUEZ

D. FERNANDO DE MATEO MENÉNDEZ

Dª. NIEVES BUISAN GARCÍA

Madrid, a diez de noviembre de dos mil diecisiete.

Vistos por la Sala, constituida por los Sres. Magistrados relacionados al margen, los autos del recurso contencioso-administrativo número 32/16, interpuesto por el Procurador de los Tribunales don Carlos de Grado Viejo, en nombre y representación de EXTEL CONTACT CENTER, S.A.U., contra la resolución de 23 de septiembre de 2015 del Director de la Agencia Española de Protección de Datos -procedimiento sancionador nº. PS/00230/2015-, por la que se le impone una sanción de 50.000 euros por una infracción del art. 9 de la Ley Orgánica 15/1999, de 13 de diciembre, tipificada como grave en el art. 44.3.h) de la citada norma . Ha sido parte LA ADMINISTRACIÓN DEL ESTADO, representada por el Abogado del Estado. La cuantía del recurso quedó fijada en 50.000 euros.

ANTECEDENTES DE HECHO

PRIMERO

Admitido el recurso y previos los oportunos trámites procedimentales, se confirió traslado a la parte actora para que, en el término de veinte días formalizara la demanda, lo que llevó a efecto mediante escrito presentado el día 14 de junio de 2016 en el que, tras exponer los hechos y fundamentos de derecho que estimó oportunos, terminó solicitando que se dictara sentencia estimatoria del recurso anulando el acto impugnado en el presente recurso, o subsidiariamente, el apercibimiento de las medidas correctoras a aplicar.

SEGUNDO

Formalizada la demanda se dio traslado de la misma a la parte demandada para que la contestara en el plazo de veinte días, lo que realizó mediante el pertinente escrito, alegando los hechos y fundamentos jurídicos que estimó pertinentes, solicitando la desestimación del recurso, confirmando el acto administrativo impugnado.

TERCERO

Mediante Auto de 25 de octubre de 2016, no recurrido, se acordó el recibimiento del recurso a prueba, admitiéndose las pruebas documental y pericial propuestas por la parte actora, denegándose las pruebas testificales. Una vez declarado concluso el periodo probatorio, se concedió el plazo de diez días a las partes para la formulación de confusiones. Presentados los correspondientes escritos, quedaron los autos conclusos para sentencia, señalándose para votación y fallo el día 7 de noviembre del presente año, fecha en que tuvo lugar.

SIENDO PONENTEel Magistrado Ilmo. Sr. Don FERNANDO DE MATEO MENÉNDEZ .

FUNDAMENTOS DE DERECHO

PRIMERO

La parte demandante impugna la resolución de 23 de septiembre de 2015 del Director de la Agencia Española de Protección de Datos -procedimiento sancionadora nº. PS/00230/2015-, por la que se le impone una sanción de 50.000 euros por una infracción del art. 9 de la Ley Orgánica 15/1999, de 13 de diciembre (en adelante LOPD), tipificada como grave en el art. 44.3.h) de la citada norma .

Los hechos en que se funda la resolución sancionadora es que el denunciante, trabajador de la entidad aquí recurrente, utilizó su ordenador para acceder a los ordenadores de sus compañeros de trabajo o de sus superiores, es decir, el ordenador fue utilizado como un medio o instrumento para acceder no a internet o datos externos, sino a datos propios de la empresa, utilizando un programa de control remoto, que permite ocupar el lugar de otros trabajadores de la empresa, y así acceder a la información existente, y para cuyo conocimiento el denunciante no se encontraba autorizado, hechos por los cuales fue despedido por la parte actora. Se añade, que el "documento de seguridad" no reunía los requisitos legales, ni la "auditoria" los requisitos del art. 96 del Reglamento de Protección de Datos .

SEGUNDO

La entidad recurrente, alega en síntesis, lo siguiente: a) Irrelevancia de la vulnerabilidad del sistema informático denunciada por la Agencia de Protección de Datos, tal y como se ha demostrado con el informe pericial practicado, señalándose que se ha acreditado que aunque la empresa hubiese instalado una versión superior del software VNC, no se habría evitado el hecho de que el trabajador tuviese acceso remoto a otros ordenadores; b) en cuanto a la supuesta vulnerabilidad de las medidas de seguridad que estaban adaptadas, se pone de manifiesto que el denunciante fue contratado como teleoperador, y en ningún caso poseía los permisos para acceder a la documentación que adjuntó a su denuncia, desde el ordenador que le había sido suministrado para el desarrollo de las funciones que le eran propias; c) respecto al "documento de seguridad", se dice que cumple con los requisitos del art. 88 del Reglamento de Protección de Datos, designándose expresamente a una persona como responsable de seguridad, y por otro lado, existe una auditoria externa, que cumple con las previsiones del art. 96 del citado Reglamento; d) vulneración del art. 80.3 de la ley 30/1992, de 26 de noviembre, ya que no solo en vía administrativa se denegó la prueba propuesta, sino que se hizo sin ninguna justificación; e) nulidad de la resolución recurrida por vulneración del principio de culpabilidad y el derecho a la presunción de inocencia, contenidos en los arts. 25.1 y 24 de la Constitución ;

6. se solicita que se le imponga apercibimiento al amparo del art. 45 de la LOPD, al no haberse apreciado por la propia inspección de la Agencia ninguna falta de medidas de seguridad, habiendo reaccionado la empresa contra la situación adaptando mayores medidas de seguridad, no produciéndose fuga de seguridad alguna, y fue un propio trabajador de la empresa el que vulneró las medidas de seguridad con sus propios conocimientos de informática, etc., y g) nulidad del acto administrativo por vulneración del principio de proporcionalidad del art. 131 de la Ley 30/1992, de 26 de noviembre .

La infracción por la que ha sido sancionada la parte actora es la recogida en el art. 9 de la LOPD, que traspone el art. 17 de la Directiva 9546/CE, que en su apartado 1 establece la necesidad de la adopción de medidas técnicas y organizativas necesarios para garantizar la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado, obligación que impone al responsable del fichero y, en su caso, al encargado del tratamiento, especificando en su apartado 2 que no se registrarán datos de carácter

personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

Por su parte el art. 44.3.h) de la LOPD tipifica como infracción grave: "Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen" .

Es de ver, según indica la Sentencia del Tribunal Supremo de 4 noviembre de 2013 -recurso nº. 1.293/11 - "que la LOPD después de determinar los elementos esenciales de la conducta antijurídica calificada como infracción grave, acude a la colaboración reglamentaria en la tarea de precisar y desarrollar las condiciones de seguridad que se estiman precisas en el mantenimiento de los ficheros de datos", desarrollo reglamentario, que está contenido en el Título VIII del Reglamento de desarrollo de la LOPD, aprobado por Real Decreto 1.720/2007, de 21 de diciembre (en adelante RLOPD).

Así, el art. 91 del RLOPD, establece: "1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones.

2. El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.

3. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.

4. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero.

5. En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio" .

TERCERO

En interpretación del citado art. 9, esta Sala ha señalado en múltiples Sentencias, (13 de junio de 2002 -recurso nº. 1.517/2001 -, 7 de febrero de 2003 -recurso nº. 1.182/2001 -, 25 de enero de 2006 - recuso nº. 227/2004 -, 28 de junio de 2006 -recurso nº. 290/2004 -, 24 de marzo de 2015 -recurso nº. 269/2013 - y 25 de junio de 2015 -recurso nº. 90/2014 -, entre otras muchas), que la obligación que dimana del mismo no se cumple con la adopción de cualquier medida, pues deben ser las necesarias para garantizar aquellos objetivos que marca el precepto, y por supuesto, no basta con la aprobación formal de las medidas de seguridad, ya que resulta exigible que aquéllas se instauren y pongan en práctica de manera efectiva. Hemos considerado, en consecuencia, que se impone una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros. En definitiva, toda responsable de un fichero (o encargada de tratamiento) es, por disposición legal, una deudora de seguridad en materia de datos debiendo asegurarse...