STS 287/2021, 1 de Marzo de 2021
| Jurisdicción | España |
| Emisor | Tribunal Supremo, sala tercera, (Contencioso Administrativo) |
| Número de resolución | 287/2021 |
| Fecha | 01 Marzo 2021 |
T R I B U N A L S U P R E M O
Sala de lo Contencioso-Administrativo
Sección Sexta
Sentencia núm. 287/2021
Fecha de sentencia: 01/03/2021
Tipo de procedimiento: REC.ORDINARIO(c/a)
Número del procedimiento: 61/2019
Fallo/Acuerdo:
Fecha de Votación y Fallo: 25/02/2021
Ponente: Excmo. Sr. D. Pablo Lucas Murillo de la Cueva
Procedencia: CONSEJO GRAL.PODER JUDICIAL
Letrada de la Administración de Justicia: Ilma. Sra. Dña. Rosario Maldonado Picón--
Transcrito por: MTP
Nota:
REC.ORDINARIO(c/a) núm.: 61/2019
Ponente: Excmo. Sr. D. Pablo Lucas Murillo de la Cueva
Letrada de la Administración de Justicia: Ilma. Sra. Dña. Rosario Maldonado Picón--
TRIBUNAL SUPREMO
Sala de lo Contencioso-Administrativo
Sección Sexta
Sentencia núm. 287/2021
Excmos. Sres. y Excmas. Sras.
D. César Tolosa Tribiño, presidente
D. Segundo Menéndez Pérez
D. Pablo Lucas Murillo de la Cueva
D. Eduardo Espín Templado
D. José Díaz Delgado
En Madrid, a 1 de marzo de 2021.
Esta Sala ha visto el recurso contencioso administrativo n.º 61/2019, interpuesto por don Cirilo, abogado, actuando en su propio nombre y derecho, representado por la procuradora doña María del Mar Sánchez López, contra el acuerdo de la Comisión Permanente del Consejo General del Poder Judicial de 19 de diciembre de 2018, que acordó el archivo de las actuaciones seguidas con número de expediente 1/2018, iniciadas por denuncia formulada por el Sr. Cirilo, referida al Juzgado Central n.º 4 y a la Sección Cuarta de la Sala de lo Penal de la Audiencia Nacional, por no apreciar ninguna vulneración de la normativa de protección de datos de carácter personal en los hechos denunciados.
Ha sido parte demandada el Consejo General del Poder Judicial, representado y asistido por el Abogado del Estado.
Ha sido ponente el Excmo. Sr. D. Pablo Lucas Murillo de la Cueva.
Por escrito registrado el 27 de febrero de 2019, don Cirilo, actuando en su propio nombre y derecho, interpuso recurso contencioso administrativo contra el acuerdo de la Comisión Permanente del Consejo General del Poder Judicial de 19 de diciembre de 2018, que acordó el archivo de las actuaciones seguidas con número de expediente 1/2018, iniciadas por denuncia formulada por el Sr. Cirilo, referida al Juzgado Central n.º 4 y a la Sección Cuarta de la Sala de lo Penal de la Audiencia Nacional, por no apreciar ninguna vulneración de la normativa de protección de datos de carácter personal en los hechos denunciados.
Y solicitó a la Sala que lo tenga por interpuesto y que, previos los trámites preceptivos, se reclame el expediente administrativo a fin de que le sea puesto a disposición para formalizar la demanda.
Por primer otrosí digo, manifestó que la cuantía del recurso es indeterminada. Y, por segundo, solicitó el nombramiento del procurador por parte de la Comisión de Asistencia Jurídica Gratuita.
Recibida de la Comisión de Justicia Jurídica Gratuita la designación correspondiente a la representación del recurrente, recaída en la procuradora doña María del Mar Sánchez López, se concedió a dicha parte el plazo de dos meses para la interposición del recurso. Trámite evacuado por escrito de 6 de mayo de 2019 en el que pidió a la Sala que, previos los trámites preceptivos, se reclame el expediente administrativo.
Por primer otrosí, señaló la cuantía del recurso en indeterminada.
Admitido a trámite el recurso, se requirió al Consejo General del Poder Judicial la remisión del expediente administrativo y que practicara los emplazamientos previstos en el artículo 49 de la Ley de la Jurisdicción. Verificado, se hizo entrega a la representante procesal del actor, a fin de que dedujera la demanda.
Evacuando el traslado conferido, la procuradora Sra. Sánchez López, en representación de don Cirilo, formalizó la demanda mediante escrito de 26 de marzo de 2020 en el que, después de exponer los hechos y fundamentos que estimó pertinentes, suplicó a la Sala que proceda
"1) conforme al motivo primero a anular la resolución del CGPJ por haber omitido una suficiente actividad investigativa necesaria y que ordene al CGPJ que realice las medidas necesarias para conocer los hechos ocurridos en referencia a la cesión no consentida de datos personales y en referencia a posible brecha de seguridad en el uso de un software o sistema informático que no garantiza que se impida el acceso según roles permitido o consentimiento del interesado; 2) que conforme al motivo segundo quiera reconocer que el RGPD habilita al interesado a una mayor tutela judicial por lo que el Tribunal pueda revocar la resolución y adoptar otra resolución por la que reconozca la posible existencia de un hecho calificado como infracción a la normativa de protección de datos y ordenar a la Autoridad de Control la apertura de un procedimiento de infracción, o subordinadamente elevar la cuestión prejudicial ante el TJUE por posible conflicto entre el RGPD y la doctrina jurisprudencial que impide que la más amplia tutela judicial ante la jurisdicción administrativa como órgano meramente revisor. 3) conforme al motivo tercero tenga por anular la resolución del CGPJ por vicio de racionalidad intrínseco que provoca una vulneración del derecho a la protección de los datos personales ante la cesión no autorizadas a terceros, y acuerde remitir las actuaciones al órgano administrativo demandado para que adopte una nueva resolución congruente con las premisas en que reconoce la existencia de una cesión y descoordinación entre los órganos administrativos afectados. Y en base a todo lo mencionado acuerde la condena en costas a cargo de la administración demandada".
Por primer otrosí digo, solicitó que el presente pleito se falle sin necesidad de recibimiento a prueba ni de celebración de vista.
Y en el señalado como motivo Segundo de la demanda interesó que:
"el Tribunal eleve la cuestión de prejudicialidad al TJUE conforme al art. 267 TFUE (antiguamente 234 TCE), para que TJUE aclare la portada y el alcance de la interpretación que limita el interés legitimo del denunciante respecto al RGPD y de los principios generales del derecho europeo que afectan a la posibilidad de obtener una Tutela Judicial Efectiva en base a las siguientes cuestiones:
1) De si un denunciante que presenta una reclamación, ante la Autoridad de Control en tema de Protección de Datos personales, pueda obtener una revisión y revocación integra de una resolución desestimatoria por parte de la Autoridad Judicial del Estado Miembro
2) De si el derecho a la tutela judicial efectiva engloba el derecho a la apertura de un procedimiento sancionatorio en tema de Protección de Datos Personales
3) De si un denunciante en base al art 78 RGPD, tiene un derecho a la aplicación de una sanción administrativa ante comisión de una infracción cometida por un Responsable del tratamiento".
El Abogado del Estado, en su escrito de contestación a la demanda, ha pedido la desestimación del recurso, con expresa imposición de costas, dijo, al recurrente.
Por primer otrosí, ha manifestado que no procede el planteamiento de cuestión prejudicial, "al no existir duda alguna que exija dicho planteamiento".
No habiéndose solicitado recibimiento a prueba ni vista ni conclusiones, por diligencia de ordenación de 24 de junio de 2020 quedó el pleito concluso y pendiente de señalamiento para cuando por turno correspondiera.
Dirigiéndose este recurso contra un acuerdo de la Comisión Permanente del Consejo General del Poder Judicial, por providencia de 9 de febrero de 2021 se dejó sin efecto el señalamiento que venía acordado para dicha fecha y, de acuerdo con las normas de reparto de asuntos entre las Secciones de la Sala Tercera, se pasaron las actuaciones a esta Sección Sexta.
Recibidas, mediante providencia de 16 de febrero de 2021 se señaló para la votación y fallo el día 25 de febrero de 2021 y se designó Magistrado Ponente al Excmo. Sr. don Pablo Lucas Murillo de la Cueva.
En la fecha acordada, 25 de febrero de 2021, han tenido lugar la deliberación y fallo del presente recurso. Y el 1 de marzo siguiente se pasó la sentencia a la firma de los magistrados de la Sección.
En la tramitación de este procedimiento se han observado las prescripciones legales.
El objeto del recurso contencioso-administrativo .
El presente recurso tiene por objeto el acuerdo de la Comisión Permanente del Consejo General del Poder Judicial de 19 de diciembre de 2018 que dispuso el archivo de la denuncia presentada por don Cirilo respecto de la que consideraba cesión ilegal de sus datos personales, producida en el Juzgado Central de Instrucción n.º 4 y en la Sección Cuarta de la Sala de lo Penal de la Audiencia Nacional.
Presentada inicialmente ante la Agencia Española de Protección de Datos, que la remitió al Consejo General del Poder Judicial, competente en razón del artículo 236 nonies de la Ley Orgánica del Poder Judicial, y conforme al Convenio suscrito por ambos el 6 de julio de 2017, se quejaba del traslado de documentos a un procurador no personado en la causa en lugar de al legítimo representante de la parte. En particular, en el seno de un procedimiento penal seguido en el Juzgado de Instrucción Central n.º 4 en el que el Sr. Cirilo era investigado, renunció a su procurador y asumió su representación procesal una nueva procuradora. Sucedió, sin embargo, que al elevarse los autos a la Sección Cuarta de la Sala de lo Penal de la Audiencia Nacional se practicaron algunos actos de comunicación con su anterior procurador. Y el Sr. Cirilo entendió que constituían supuestos de cesión ilegal de datos personales.
En el curso de las actuaciones emprendidas por el Consejo General del Poder Judicial, las Letradas de la Administración de Justicia del Juzgado Central de Instrucción n.º 4 y de la Sección Cuarta de la Sala de lo Penal de la Audiencia Nacional informaron de lo siguiente.
La primera, entre otros extremos, indicó que el 14 de junio de 2017 se tuvo por personada a la nueva procuradora del Sr. Cirilo y que el 28 de junio de 2017 dictó diligencia de ordenación elevando a la Sección Cuarta los autos para la sustanciación del recurso de apelación contra el auto de 23 de mayo de 2017 interpuesto en nombre del Sr. Cirilo por su anterior procurador y no por la nueva, tal como precisaba la Letrada de la Administración de Justicia. Añadía que el Sr. Cirilo:
"está constantemente entorpeciendo la labor jurisdiccional de este Juzgado desde el inicio de la incoación de las presentes Diligencias, tratando de paralizar las mismas con sus continuas quejas, siendo hasta el día de la fecha todas archivadas".
La Letrada de la Administración de Justicia de la Sección Cuarta de la Sala de lo Penal de la Audiencia Nacional informó que, recibido el 4 de julio de 2017 testimonio de particulares de las diligencias previas en las que el Sr. Cirilo interpuso el mencionado recurso de apelación, se notificó al procurador que figuraba en las actuaciones y a éste se le notificó el auto de 11 de julio de 2017 que desestimó dicho recurso. Añade que el 28 de julio siguiente la procuradora del Sr. Cirilo promovió incidente de nulidad de actuaciones contra dicho auto, entre otras razones porque no se le había notificado y explica la Letrada de la Administración de Justicia que si se notificó al procurador anterior y no a la nueva procuradora fue porque no se tenía conocimiento en la Sección del cambio producido. El incidente de nulidad de actuaciones fue desestimado por auto de 20 de octubre de 2017.
El acuerdo de la Comisión Permanente deja constancia de que el cambio de representación procesal del Sr. Cirilo no produjo efectos en la Sección Cuarta de la Sala de lo Penal por conocerse tardíamente y que, por esa razón, hubo actos de comunicación que se entendieron con el procurador que ya había sido sustituido. Entiende que pudo haber descoordinación entre las oficinas judiciales correspondientes pero dice que, como autoridad de protección de datos, no le corresponde pronunciarse sobre el origen y entidad de esa descoordinación, ni sobre sus causas. Sí debe, explica, examinar lo sucedido en la medida en que de ello pudiera derivar una vulneración de la normativa de protección de datos.
A ese respecto concluye que no se aprecia que fuera vulnerado el derecho del Sr. Cirilo a la protección de los suyos. Así, explica que, examinados los actos de comunicación con quien fue su procurador, se comprueba que no se desveló ningún dato que no conociera ya ese procurador. Además, indica que con arreglo al artículo 236 quater de la Ley Orgánica del Poder Judicial no es preciso el consentimiento del afectado para que los tribunales traten sus datos en el ejercicio de la potestad jurisdiccional. Y que, según el apartado octies de ese artículo 236, se debe estar a lo dispuesto por las normas procesales en lo que respecta al ejercicio de los derechos de acceso, rectificación, cancelación y oposición respecto de los datos de carácter personal tratados con fines jurisdiccionales.
Por último, el acuerdo dice que la condición de quien fue el cesionario de los datos a que se refiere la denuncia, es relevante. Al tratarse de un procurador de los tribunales, debe, en virtud del estatuto al que está sujeto ( artículo 2.2 del Estatuto General de los Procuradores de los Tribunales de España, aprobado por el Real Decreto 1281/2002, de 5 de diciembre), guardar secreto de los hechos o noticias que conozca por razón de su actuación profesional. Es un deber profesional que se añade al que impone el artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos Personales, aplicable en este caso conforme a la disposición transitoria tercera de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales.
En definitiva, concluye el acuerdo:
"no cabe hablar de cesión indebida de datos si aquel a quien se le comunican no sólo los conocía ya por razón de su relación profesional con el titular de los datos, sino que, por las características de dicha relación, tiene un deber de secreto profesional que se extiende a los hechos y noticias de que conozca por su actuación profesional, como es el caso".
La demanda de don Cirilo.
Explica que reclamó a la autoridad de garantía por la inexistencia de un sistema de control, mediante documentos de autorización de la cesión de datos entre órganos de la misma Administración para vincular luego las notificaciones a Lexnet. Y que cuestionaba que el software en uso dispusiera de un sistema de acceso y transmisiones por roles de sujetos autorizados o legitimados, lo cual es obligado para las empresas privadas a fin de preservar y proteger la transmisión de datos. Recuerda que alegó la infracción del artículo 11 de la Ley Orgánica 15/1999 y dice que ahora la Ley Orgánica 3/2018 y el Reglamento (UE) 2016/679, del Parlamento Europeo y el Consejo, de 27 de abril de 2016, ofrecen el marco para la investigación de su reclamación, aunque reconoce que había un periodo transitorio de dos años para la adaptación a sus disposiciones.
Tras recordar que en su reclamación defendió la competencia conjunta de la Agencia Española de Protección de Datos y del Consejo General del Poder Judicial, dice que sostuvo que se produjo una cesión no consentida de datos, ya que se había recibido la hoja de revocación del consentimiento al anterior procurador y el sistema utilizado no garantizó el seguimiento de control de acceso por parte de terceros no legitimados. Por eso, pidió al órgano competente que declarara que se había cometido una infracción grave por dicha cesión no consentida de los documentos identificados con los números 8, 9, 13, 14 y 15.
Ya sobre el acuerdo de la Comisión Permanente dice que su decisión es contradictoria y de dudosa racionalidad jurídica una vez que se ha reconocido que la sustitución de su representación no produjo efectos y que es probable que se hubiera producido una descoordinación entre las oficinas judiciales.
A partir de aquí alude a la función revisora de nuestra jurisdicción y a su interés legítimo en obtener la declaración de la nulidad del acuerdo recurrido por carencia de actividad investigadora, a propósito de lo cual trae a colación la jurisprudencia sobre la legitimación del denunciante en los procedimientos sancionadores para, seguidamente, sostener que no es cierto que no le corresponda al Consejo General del Poder Judicial pronunciarse sobre el origen de la descoordinación advertida. Sostenerlo, dice, vulnera su derecho fundamental porque si el sistema no garantiza suficientemente la cesión de roles de sujetos habilitados, entonces tenemos una potencial brecha en la seguridad en la protección de datos y esto determinaría por sí mismo la necesidad de una previa investigación. Aquí recuerda la competencia que atribuye al Consejo el artículo 236 bis decies de la Ley Orgánica del Poder Judicial y el artículo 24 de la Ley Orgánica 3/2018, así como la cláusula 1 del Convenio entre la Agencia Española de Protección de Datos y el Consejo General del Poder Judicial, de la que destaca sus apartados 1 y, sobre todo, el 2. De ahí pasa al considerando n.º 20 del Reglamento General de Protección de Datos, todo ello para concluir que el Consejo es, sin duda, la autoridad de control.
Menciona, entonces, el deber de investigación contemplado en el artículo 53 de la Ley Orgánica 3/2018 y recoge el considerando n.º 141 del Reglamento General de Protección de Datos y la sentencia de la Sala de lo Contencioso Administrativo de la Audiencia Nacional dictada en el recurso n.º 608/2016, tras lo cual dice que las funciones de investigación siguen vigentes cuando la autoridad de control es el Consejo General del Poder Judicial. Y debido, sostiene, a que éste no ha investigado los hechos, solicita que declaremos nulo el acuerdo de su Comisión Permanente y que le obliguemos a realizar una investigación más exhaustiva con independencia de su resultado final.
En este punto, argumenta que el criterio consolidado de esta Sala sobre la limitación del interés legítimo del denunciante podría estar vulnerando el Derecho de la Unión Europea en el ámbito concreto de la protección de los datos personales pues impide que el órgano judicial, tras la averiguación de lo sucedido revoque la resolución adoptada por la autoridad de garantía y la sustituya por otra que reconozca la vulneración y obligue a la apertura de un expediente de infracción. Recuerda al respecto que el de protección de datos es un derecho individual que comprende la identificación de la brecha de seguridad, la limitación de las posibles vulneraciones y la sanción de las conductas contrarias a la norma. Separar el interés legítimo del denunciante de la posible imposición de una sanción, añade, entra en conflicto con el deber del Estado de asegurar la más completa tutela judicial efectiva ante una resolución de la autoridad de garantía. Por tanto, sostiene, se ha de estar a una norma superior inmediatamente aplicable a pesar de los criterios jurisprudenciales y reproduce el artículo 78 del Reglamento General de Protección de Datos, así como su considerando n.º 143. Además, cita la sentencia Schrems de la Gran Sala del Tribunal de Justicia de la Unión Europea de 6 de octubre de 2015, dictada en el asunto C-362/14, según la cual, dice, cuando no se cumple por las autoridades de control la función positiva de tutela, se está afectando el derecho fundamental a la protección de datos.
En consecuencia, la demanda pide la revocación del acuerdo de la Comisión Permanente y la apertura de un procedimiento sancionador, dado que reconoce que hubo tardía comunicación de la revocación del consentimiento y que hubo descoordinación entre los responsables del tratamiento y ello es suficiente para la aplicación de una sanción.
Subsidiariamente, mantiene que debemos plantear al Tribunal de Justicia de la Unión Europea cuestión prejudicial y someterle las preguntas siguientes:
"1) De si un denunciante que presenta una reclamación, ante la Autoridad de Control en tema de Protección de Datos personales, pueda obtener una revisión y revocación integra de una resolución de desestimatoria por parte de la Autoridad Judicial del Estado Miembro.
2) De si el derecho a la tutela judicial efectiva engloba el derecho a la apertura de un procedimiento sancionatorio en tema de Protección de Datos Personales.
3) De si un denunciante en base al art 78 RGPD, tiene un derecho a la aplicación de una sanción administrativa ante comisión de una infracción cometida por un Responsable del tratamiento".
Por último, alega las contradicciones que aprecia en el acuerdo impugnado, determinantes de un vicio de racionalidad y de su nulidad de pleno Derecho. Expone sobre ello que infringe la normativa sobre protección de datos y relaciona los artículos 12.4, 46 y 11 de la Ley Orgánica 15/1999; 10 y 72.1. c) de la Ley Orgánica 3/2018; 5.1, 6.1 y 10 del Reglamento General de Protección de Datos; y 86 y 91 del Reglamento 1/2005 del Consejo General del Poder Judicial, de Aspectos Accesorios a las Actuaciones Judiciales. Después de esa exposición considera que hubo una cesión de datos con infracción de los principios de consentimiento y finalidad y que el Consejo General del Poder Judicial confunde el tratamiento de datos de ficheros judiciales con la cesión de esos datos y ve muy grave que el acuerdo diga que no están sujetos a la normativa de protección de datos ya que esto supone reconocer una zona franca de la Ley y es una afirmación que cae por su propio peso a la vista del artículo 236 bis, ter y restantes de la Ley Orgánica del Poder Judicial y del artículo 9.2 f) del Reglamento General de Protección de Datos y su considerando n.º 20. E insiste en que el acuerdo no distingue, como debía, entre tratamiento por ley y transmisión de datos.
En fin, ve irracional que se justifique la cesión no consentida porque el procurador tenía el deber profesional de guardar silencio. Es, dice, una afirmación apodíctica porque es irrelevante que esté sometido a ese deber y no convalida la conducta del responsable del tratamiento que ha cometido infracción. De ahí que tenga a la motivación por irracional e incongruente y contraria al artículo 9.3 de la Constitución.
La contestación a la demanda del Abogado del Estado.
Propugna la desestimación del recurso contencioso-administrativo.
En primer lugar, invoca la reiteradísima --dice-- doctrina de la Sala sobre la legitimación del denunciante en lo relativo a la imposición de sanciones. Y observa que en este caso se incoó el oportuno procedimiento y en su seno se practicaron las correspondientes actividades de investigación, en las que se emitieron informes y sobre los hechos acreditados se adoptó de manera plenamente justificada la decisión de archivo.
Repasa, seguidamente, el contenido del acuerdo recurrido y destaca que los hechos se produjeron en el seno de un proceso judicial con fines jurisdiccionales, teniendo lugar la supuesta infracción al practicar actos de comunicación de actuaciones procesales en el curso de un proceso. Asimismo, subraya que ha quedado acreditado que la sustitución del procurador del recurrente no produjo efectos en la Sala de lo Penal hasta más tarde y hubo comunicaciones cuando ya había sido sustituido. No obstante, afirma que eso no ha supuesto la vulneración del derecho a la protección de datos del Sr. Cirilo porque los datos personales --su nombre y apellidos-- que constaban en ellas ya los conocía quien había sido su representante procesal. Recuerda, además, el artículo 236 quater de la Ley Orgánica del Poder Judicial, que no requiere el consentimiento del afectado para que los tribunales traten sus datos en el ejercicio de la potestad jurisdiccional. Y que el artículo 236 octies.1 prevé los correspondientes remedios procesales.
Por último, destaca el deber profesional de secreto del procurador cesionario de los datos, terminando así:
"De esta forma, como bien señala el CGPJ, no cabe hablar de cesión indebida de datos si aquel a quien se le comunican no solo los conocía ya por razón de su relación profesional con el titular de los datos, sino que, por las características de dicha relación, tiene un deber de secreto profesional que se extiende a los hechos y noticias de que conozca por su actuación profesional, como ocurría en el presente caso".
El juicio de la Sala. La desestimación del recurso contencioso-administrativo.
El recurso debe ser desestimado.
Según se ha visto en la exposición anterior, no hay discusión sobre los hechos relevantes: el procurador del Sr. Cirilo, a pesar de haber sido sustituido y de haberse comunicado dicha sustitución al Juzgado Central de Instrucción n.º 4, siguió recibiendo por unos días comunicaciones de las actuaciones procesales seguidas en la Sección Cuarta de la Sala de lo Penal de la Audiencia Nacional. A ella se habían elevado los autos para la resolución de un recurso de apelación interpuesto por el Sr. Cirilo en las diligencias previas seguidas en dicho Juzgado y en las que era investigado.
Tampoco hay discusión en que lo sucedido fue fruto de la descoordinación entre las oficinas judiciales ni, por tanto, en que no debió ocurrir. Igualmente, está claro que la actuación del Consejo General del Poder Judicial se ha producido en su condición de autoridad de control en materia de protección de datos personales en el seno de los procesos judiciales. La controversia gira, pues, en torno a si el Consejo debía haber hecho cosa distinta a archivar la denuncia y, en estrecha relación con ello, sobre la relevancia de las comunicaciones procesales dirigidas indebidamente al procurador que ya no representaba al recurrente desde el punto de vista del derecho fundamental a la protección de datos personales.
Buena parte de los alegatos de la demanda se encaminan a sostener que el Consejo General del Poder Judicial debió proseguir su investigación para comprobar el origen y las causas de la descoordinación apreciada. Además, relacionan esa pretensión con la de que prescindamos de la jurisprudencia sobre la legitimación del denunciante en los procedimientos sancionadores y admitamos que la normativa de protección de datos le permite hacer valer su pretensión de que se incoe expediente sancionador a quien sea responsable de lo ocurrido.
Pues bien, resulta evidente que el Consejo General del Poder Judicial investigó los hechos. Abrió el expediente 1/2018 y solicitó informes a las Letradas de la Administración de Justicia del Juzgado Central de Instrucción n.º 4 y de la Sección Cuarta de la Sala de lo Penal de la Audiencia Nacional. Así, comprobó y puso de manifiesto la descoordinación producida y, también, el alcance que había tenido, extremo éste que, a efectos de lo que se discute, es fundamental.
En efecto, esa investigación pudo contrastar que las comunicaciones indebidamente dirigidas al procurador ya sustituido, fueron pocas --exactamente 4- - y que en ellas no había más datos personales que el nombre y apellido del Sr. Cirilo. Es decir, comprobó el muy limitado alcance temporal que había tenido y su relevancia material, reforzada por la circunstancia de que el cesionario estuviera obligado, no sólo por la normativa de protección de datos, sino también por su régimen profesional, a guardar secreto de los datos recibidos. Ciertamente, dicha circunstancia no convalida la descoordinación producida pero sí es un elemento determinante para valorar la incidencia que tuvieron en el derecho a la protección de datos personales las mencionadas comunicaciones.
En otras palabras, la investigación mostró a la vez la descoordinación de las oficinas judiciales afectadas y el nulo impacto que tuvo en el derecho fundamental a la protección de datos del recurrente. Por eso, habiendo cesado en breve tiempo y no habiendo causado perjuicio perceptible para el Sr. Cirilo la Comisión Permanente no consideró precisas más actuaciones y archivó el expediente.
La falta de perjuicio apreciable para el afectado es muy importante porque, de haberse producido, el derecho a la protección de datos ampararía su pretensión de reparación pero nada ha dicho al respecto el recurrente. De ahí que no venga al caso la pretensión de reconsideración de la jurisprudencia sobre legitimación porque no es una reparación la que pretende, sino que se incoe un procedimiento sancionador sin explicarnos en qué le beneficia su apertura o el perjuicio que le causa no iniciarlo.
Las consideraciones anteriores sirven para descartar la petición --por otra parte, no formulada en el suplico-- de que planteemos cuestión prejudicial sobre los extremos indicados en los antecedentes y en el fundamento en que resumimos la demanda. Ni la Ley Orgánica 15/1999, aplicable al caso por razón de la fecha de los hechos, ni la Ley Orgánica 3/2018, vigente ahora, ni, tampoco, el Reglamento (UE) 2016/679, en el que reside el régimen esencial del derecho fundamental a la protección de datos, exigen una solución diferente, ya que, se ha de insistir, se practicó la investigación necesaria y se resolvió en función de los elementos de juicio que aportó.
Igualmente, sirven los argumentos ya expuestos para rechazar que el acuerdo impugnado incurra en contradicción o en irracionalidad y comporte una decisión arbitraria de la Comisión Permanente. Al contrario, nos parece coherente con lo averiguado, pues puso de relieve una disfunción lo cual ayudará a evitar que se produzcan otras en el futuro. Y ha comprobado que su incidencia en el derecho fundamental a la protección de datos del Sr. Cirilo, que vino a reconocer en la práctica, careció de trascendencia. No habiendo ni siquiera dicho el recurrente haber sufrido perjuicios que requieran otra solución, es, por tanto, ajustada al principio de proporcionalidad.
Costas.
Conforme a lo establecido por el artículo 139.1 de la Ley de la Jurisdicción, imponemos al recurrente las costas de este recurso. A tal efecto, la Sala, haciendo uso de la facultad reconocida en el apartado 4 de ese precepto legal, señala como cifra máxima a que asciende la imposición de costas por todos los conceptos la de 4.000€. Para la fijación de la expresada cantidad se tienen en cuenta los criterios seguidos habitualmente por esta Sala en razón de las circunstancias del asunto y de la dificultad que comporta.
Por todo lo expuesto, en nombre del Rey y por la autoridad que le confiere la Constitución, esta Sala ha decidido
(1.º) Desestimar el recurso contencioso-administrativo nº 61/2019, interpuesto por don Cirilo contra el acuerdo de la Comisión Permanente del Consejo General del Poder Judicial de 19 de diciembre de 2018, dictado en el expediente 1/2018.
(2.º) Imponer al recurrente las costas de este recurso en los términos señalados en el último de los fundamentos jurídicos.
Notifíquese esta resolución a las partes e insértese en la colección legislativa.
Así se acuerda y firma.
