Sentencia ADMINISTRATIVO Audiencia Nacional, Sala de lo Contencioso, Sección 1, Rec 1825/2015 de 15 de Diciembre de 2017

Encabezamiento

A U D I E N C I A N A C I O N A L

Sala de lo Contencioso-Administrativo

SECCIÓN PRIMERA

Núm. de Recurso: 0001825 /2015

Tipo de Recurso: PROCEDIMIENTO ORDINARIO

Núm. Registro General: 06648/2015

Demandante: INTERSERVE FACILITIES SERVICES S.A.

Procurador: FLORA TOLEDO HONTIYUELO

Demandado: AGENCIA PROTECCIÓN DE DATOS

Codemandado: SEGUR IBÉRICA S.A.

Abogado Del Estado

Ponente IImo. Sr.:D. FERNANDO DE MATEO MENÉNDEZ

S E N T E N C I A Nº:

IImo. Sr. Presidente:

D. EDUARDO MENÉNDEZ REXACH

Ilmos. Sres. Magistrados:

Dª. NIEVES BUISAN GARCÍA

Dª. LOURDES SANZ CALVO

D. FERNANDO DE MATEO MENÉNDEZ

Dª. FELISA ATIENZA RODRIGUEZ

Madrid, a quince de diciembre de dos mil diecisiete.

Vistos por la Sala, constituida por los Sres. Magistrados relacionados al margen, los autos del recurso contencioso-administrativo número 1.825/15, interpuesto por la Procuradora de los Tribunales doña Flora Toledo Hontiyuelo, en nombre y representación de INTERSERVE FACILITIES SERVICES, S.A., contra la resolución de 4 de septiembre de noviembre de 2015 del Director de la Agencia Española de Protección de Datos, recaída en el procedimiento sancionador nº PS/00724/2014, que confirma en reposición la resolución de 3 de julio de 2015, por la que se le impone una sanción de 3.000 euros por una infracción del art. 6.1 de la Ley Orgánica 15/1999 , de 13 de diciembre, tipificada como grave en el art. 44.3.b) de dicha norma . Ha sido parte LA ADMINISTRACIÓN DEL ESTADO, representada por el Abogado del Estado. La cuantía del recurso quedó fijada en 3.000 euros.

Antecedentes

PRIMERO .- Admitido el recurso y previos los oportunos trámites procedimentales, se confirió traslado a la parte actora para que, en el término de veinte días formalizara la demanda, lo que llevó a efecto mediante escrito presentado el día 28 de noviembre de 2016 en el que, tras exponer los hechos y fundamentos de derecho que estimó oportunos, terminó solicitando que se dictara sentencia estimatoria del recurso anulando el acto impugnado en el presente recurso, y, subsidiariamente se decretase la desproporción de la sanción, acomodándola a criterios de mayor proporcionalidad.

SEGUNDO .- Formalizada la demanda se dio traslado de la misma a la parte demandada para que la contestara en el plazo de veinte días, lo que realizó mediante el pertinente escrito, alegando los hechos y fundamentos jurídicos que estimó pertinentes, solicitando la desestimación del recurso.

TERCERO .- Mediante Auto de 9 de octubre de 2017 se acordó el recibimiento del recurso a prueba, admitiéndose la prueba documental aportada por la parte actora. Mediante diligencia de ordenación de 6 de noviembre de 2017, quedaron los autos conclusos para sentencia, señalándose para votación y fallo el día 12 de diciembre del presente año, fecha en que tuvo lugar.

SIENDO PONENTEel Magistrado Ilmo. Sr. Don FERNANDO DE MATEO MENÉNDEZ.

Fundamentos

PRIMERO .- La parte demandante impugna la resolución de 4 de septiembre de 2015 del Director de la Agencia Española de Protección de Datos, recaída en el procedimiento sancionador nº PS/00724/2014, que confirma en reposición la resolución de 3 de julio de 2015, por la que se le impone una sanción de 3.000 euros por una infracción del art. 6.1 de la Ley Orgánica 15/1999 , de 13 de diciembre (en adelante LOPD), tipificada como grave en el art. 44.3.b) de dicha norma .

También en la resolución de 3 de julio de 2015 se sancionó a Seguriberica por una infracción del art. 11 de la LOPD , tipificada como grave en el art. 44.3.k de dicha norma , imponiendo una multa de 3.000 euros.

La resolución sancionadora se basa en los siguientes hechos probados: "1º Consta denuncia presentada por Daniel comunicando posible infracción a la Ley Orgánica 15/1999 motivada por cámaras de videovigilancia cuyo titular es la entidad CBRE GLOBAL SOUTHERM EUROPE S.L.U. (en adelante el denunciado) instaladas en centro comercial Gran Vía de VIGO.

En particular se manifiestan los siguientes hechos:

* Que dicho centro comercial denunciado dispone de un sistema de videovigilancia del que es responsable el titular del centro CBRE GLOBAL SOUTHERM EUROPE S.L.U., el cual tiene contratada la empresa de seguridad SEGURIBERICA, S.A. que dispone de acceso a las imágenes que se graban en un centro de Control. Además también tiene contratado el servicio de limpieza con la empresa INTERSERVE FACILITIES SERVICES, S.A.

* Que se están usando las Cámaras de Videovigilancia para vulnerar los derechos de las personas. Aportan copia de una carta de despido de una trabajadora de INTERSERVE FACILITIES SERVICES, S.A. de fecha 15 de noviembre de 2013, basando el despido en incumplimiento de la jornada laboral. La misma carta de despido incluye el siguiente párrafo: 'A parte de lo anterior el día 10 de noviembre ocurrió un incidente muy grave en su centro de trabajo. Ese día, la encargada del centro recibe una llamada de su compañera en la cual le informa de un problema que ha sufrido con usted y que casi le da un puñetazo en la cara. En ese mismo momento también la llamaban del puesto de seguridad para decirle que había dos personas de la limpieza que estaban discutiendo y que usted estaba empujando a Penélope y que le quiso dar un puñetazo que estaba grabado y que podía pasar a ver la grabación. La encargada fue al puesto de seguridad a ver la grabación y nos informa que se ve a Penélope subiendo por las escaleras limpiando los cristales y a usted detrás, Penélope deja de limpiar y se ve como discuten y como usted le da tres empujones agarrándola con actitud agresiva señalándola con el dedo y acercándole la cara, finalmente se ve como levanta el puño cerrado como si fuese a propinarle un puñetazo en la cara de no ser porque llega Angustia y la retienen para que se tranquilice y no fuera detrás de Penélope . De no ser porque apareció Angustia usted hubiese agredido físicamente a su compañera Penélope .'

2º Constan las siguientes alegaciones de INTERSERVE FACILITIES SERVICES, S.A. en relación con los hechos denunciados,

* INTERSERVE FACILITIES SERVICES, S.A., no tiene instalado sistema de videovigilancia propio en el centro de trabajo de la empleada a la que se refiere la carta de despido.

* Que El sistema existente pertenece y es de la exclusiva responsabilidad de la empresa titular del centro comercial, esto es, ING REAL STATE.

* Que la encargada del Centro no tiene acceso al referido sistema de videovigilancia, habiendo sido los empleados de seguridad del Centro Comercial -que carecen de vinculación alguna con INTERSERVE-, quienes mostraron las imágenes a la encargada del Centro, sin que ésta lo solicitase o requiriese en modo alguno.

* En el centro existe un reloj fichador propiedad de tres empresas, la de mantenimiento', seguridad y limpieza (INTERSERVE).

* Adjunta un listado de en el que se relacionan los fichajes de control laboral de la trabajadora a la que se envió la carta de despido como documentación acreditativa del fichero origen de los datos relativos a la hora de entrada de la trabajadora que consta en la mencionada carta de despido, desde el 7/0812013 hasta el día 8/11/2013.

3º Constan las siguientes alegaciones de SEGUR IBERICA, S.A

* Que fue la encargada directora del centro quien comunico la incidencia a la empresa de limpiezas. Nadie en la empresa de limpiezas tuvo acceso a las imágenes captadas por el servicio de seguridad del mismo

* Que las imágenes no fueron utilizadas por Segur Ibérica para sancionar o despedir a la agresora, sino para dar parte de la incidencia de seguridad ocurrida a la Responsable del fichero, siendo verificado el incidente por la Directora del Centro y que sirvieron al responsable del fichero para amonestar a la empresa de limpieza en relación al comportamiento producido por sus empleadas".

SEGUNDO .- Alega, en síntesis, la sociedad recurrente, lo siguiente: 1.- Inexistencia de infracción, ausencia de tratamiento de datos. La parte actora no es responsable ni encargada del tratamiento de los datos en cuestión. Lo que ha acontecido no fue una utilización de unas imágenes, sin la alusión a las mismas en una carta de despido. No existe un real acceso y utilización de imágenes, y mucho menos tratamiento en el sentido establecido en la LOPD, máxime cuando se reconoce que la parte actora sólo pudo visionar las imágenes por ofrecimiento directo del responsable o encargado de su recogida.

2.- Ausencia de dolo o negligencia. Es la empresa Seguribérica la que comunica y advierte a la sociedad recurrente de la existencia de la grabación, sin que ésta requiriera, exigiera o pidiera de ningún modo su visionado.

3.- Desproporción de la sanción. Hay que tener en cuenta que no sólo se trata de un hecho puntual, sino además, guiado por la voluntad de proteger a sus trabajadores ante hechos violentos, y sin que, por otra parte, partiese de la parte actora la exigencia de visionado ni acceso a las imágenes.

La infracción por la que ha sido sancionada la sociedad recurrente es la recogida en el art. 44.3.b) de la LOPD , que tipifica como infracción grave: 'Tratar los datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo'.

Mientras el art. 6 de la LOPD dispone en su apartado primero que 'El tratamiento de datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa'. A continuación, dicho precepto en su apartado segundo establece aquellos supuestos en los que no será preciso dicho consentimiento, entre los que se encuentra el supuesto en que los datos se refieran a las partes de un contrato o precontrato de una relación negocial.

El art.3.h) de la LOPD define el 'consentimiento del interesado' como: 'Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen'.

El principio del consentimiento expresado conllevará, por tanto, la necesidad del consentimiento inequívoco del afectado para que puedan tratarse sus datos de carácter personal, permitiéndose así a aquel ejercer efectivo control sobre dichos datos y garantizando su poder de disposición sobre los mismos. Dicho consentimiento podrá prestarse de forma expresa, oral o escrita, o de manera tácita, mediante actos reiterados y concluyentes que revelen su existencia.

Ahora bien, tal y como ha expresado esta sala reiteradamente, el consentimiento ha de ser necesariamente 'inequívoco'. De modo que ha de aparecer como evidente, o, lo que es lo mismo, que no admite duda o equivocación, pues éste y no otro es el significado del adjetivo utilizado para calificar el consentimiento.

Por otro lado, la carga de acreditar la existencia del 'consentimiento inequívoco' a que hace referencia el art. 6.1 de la LOPD , recae sobre la entidad responsable del fichero o encargada del tratamiento de los datos personales, cuando su existencia sea negada por el titular de tales datos.

TERCERO.- La resolución sancionadora se basa en que '....si bien ha quedado constancia que INTERSERVE no es responsable ni encargada del tratamiento, si ha utilizado las imágenes captadas, a las que tuvo acceso al haber sido ofrecido la posibilidad del mismo por la empresa de vigilancia, y que las mismas se han utilizado en la fundamentación de una carta de despido de una trabajadora que aparece en dichas imágenes'.Más adelante se añade que 'la norma establece una equivalencia entre registro en soporte físico y fichero aunque, si bien, para que una actuación manual sobre datos personales (recogida, grabación, conservación, elaboración, modificación, bloqueo ...) tenga la consideración de 'tratamiento de datos' sujeto al sistema de protección de la Ley Orgánica 15/1999 es necesario que dichos datos estén contenidos o destinados a ser incluidos en un fichero, esto es, en un conjunto estructurado u organizados de datos con arreglo a criterios determinados. Si no es así, el tratamiento manual de datos personales quedará fuera del ámbito de aplicación de la ley, no será un 'tratamiento de datos personales' según el concepto normativo que la ley proporciona.

La carta de despido de un trabajador resulta evidente que pertenece al fichero de personal de la empresa, sea este automatizado o no, por lo que la LOPD resultaría de aplicación al supuesto examinado'.

Concluyendo: ' En este supuesto el sistema de videovigilancia no estaba instalado por INTERSERVES ni tenía la consideración de encargada de tratamiento en relación a él, por lo que no estaba legitimada para utilizar sus imágenes como una media de verificación y control del cumplimiento, por parte de sus trabajadores, de sus obligaciones laborales, por consiguiente el acceso a las mismas y su posterior tratamiento se ha realizado sin el debido consentimiento de las personas afectadas, siendo además una de ellas perjudicada por dichas imágenes, por lo que el mismo debe considerarse como no legítimo'.

Así las cosas, debemos partir que para que una actuación manual sobre datos personales (recogida, grabación, conservación, elaboración, modificación, bloqueo etc...), tenga la consideración de tratamiento de datos sujeto al sistema de protección de la LOPD es necesario, según criterio reiterado de la Sala, que dichos datos estén contenidos o destinados a ser contenidos en un fichero, esto es, en un conjunto estructurado u organizado de datos con arreglo a criterios determinados. Si no es así el tratamiento manual de datos personales quedará fuera del ámbito de aplicación de la citada LOPD, no será un 'tratamiento de datos personales' según el concepto normativo que la citada Ley proporciona.

Es decir, los tratamientos de datos no automatizados quedan comprendidos en el ámbito de protección de la LOPD en la medida que los datos de carácter personal se encuentren contenidos en un fichero estructurado.

El Tribunal Supremo en sus Sentencias de fecha 19 de septiembre y 1 de octubre de 2008 fija una doctrina interpretativa del concepto de fichero. En la primera Sentencia citada se señala, respecto al contenido de los arts. 1 y 2 de la Directiva 95/46 CE, lo siguiente: " la redacción de esa Directiva, por lo que se refiere a la definición de ficheros en los términos expuestos, no presenta ninguna duda interpretativa, como tampoco lo hace el citado artículo 3.b) de la Ley Orgánica 15/99 . No está de más en todo caso destacar que la redacción inicial de la Ley Orgánica 5/92 , en concreto en su Exposición de Motivos, se establecía que 'la Ley se nuclea en torno a lo que convencionalmente se denominan ficheros de datos' y que es la existencia de unos ficheros, y la utilización que de ellos pudiera hacerse, la que justifica la necesidad de la nueva frontera de intimidad y del honor, añadiendo que la Ley concibe los ficheros desde una perspectiva dinámica de tal forma que los concibe no sólo como un mero depósito de datos, sino también, y sobre todo, como la globalidad de procesos o aplicaciones informáticas que se lleva a cabo con los datos almacenados y que son susceptibles si llegasen a conectarse entre sí, de configurar el perfil personal a que antes se refiere dicha Exposición de Motivos".

Por su parte en la reseñada Sentencia de 1 de octubre de 2008, tras referirse a los considerandos 15 y 27 de la Directiva 46/95 , se añade 'la propia Directiva 46/95 refiere el ámbito de la protección que regula al tratamiento del dato, y en relación tanto con los tratamientos automatizados como respecto a los que no lo estén, siempre que en este caso los datos estén contenidos o se destinen a encontrarse contenidos en un fichero, entendido éste como un archivo estructurado según criterios específicos relativos a las personas que permitan acceder fácilmente a los datos personales'.

Pues bien, la cuestión que se suscita en el caso que nos ocupa, consiste en dilucidar si la carta de despido de una empleada de la sociedad recurrente, en la que se hace referencia a una grabación que significó la justificación del despido, forma parte de algún fichero del que sea responsable la sociedad recurrente.

La Agencia Española de Protección de Datos no ha practicado prueba alguna que acredite que la carta de despido forme parte del fichero personal de la empresa, automatizado o no, sino que se limita a argumentar, que 'resulta evidente que pertenece al fichero de personal de la empresa, sea este automatizado o no, por lo que la LOPD resultaría de aplicación al supuesto examinado', sin sustento probatorio que acredite dicha afirmación.

La presunción de inocencia recogida en el art. 24.2 de la Constitución y 137.1 Ley 30/1992, de 26 de noviembre , vigente a la sazón, y que la doctrina del Tribunal Constitucional ha considerado aplicable al derecho administrativo sancionador ( SS.TC. 13/1981 , 76/1990 ) implica que la carga de la prueba de los hechos constitutivos de la infracción recaiga sobre la Administración SS.TC. 76/1990 , 120/1994 , 154/1994 , 23/1995 , 97/1995 , 147/1995 y 45/1997 , que implica que la carga de la prueba de los hechos constitutivos de la infracción recaiga sobre la Administración.

Así las cosas, declaramos en la Sentencia de 9 de julio de 2009 -recurso nº. 274/2008 -, en un supuesto en la cuestión que se suscitaba, consistía en dilucidar en si la carta de despido del denunciante en la que se hace referencia a sus datos de salud, formaba parte de algún fichero del que fueses responsable la parte recurrente: 'Por todo lo cual, no habiéndose acreditado que la carta en cuestión pertenezca o se haya incorporado al fichero de personal o de cualquier otro de la empresa demandante, bien fichero papel o bien automatizado, la conducta imputada no puede tener encuadre en el ámbito de protección por la LOPD ya que falta el elemento esencial del fichero, por lo que procede estimar el recurso interpuesto y anular la sanción impuesta'.

Pues bien, la citada conclusión aplicable al supuesto que nos ocupa. Sin que resulte aplicable lo declarado en la Sentencia del Tribunal Supremo de lo Social de 13 de mayo de 2014, -recurso para la unificación de doctrina nº. 1.685/2013 - a que se refiere la resolución sancionadora, pues, como bien pone de manifiesto la parte recurrente, contempla un caso diferente al que nos ocupa. Ya que en dicha Sentencia se valoraba la actuación de una empresa que, como encargada de la cámara y de las imágenes captadas, basó el despido de una trabajadora en las imágenes que almacenaba, y de las cuales era encargada en cuanto al fichero correspondiente. Se trataba de la utilización no consentida ni previamente informada de las grabaciones de imagen para un fin, desconocido por la trabajadora afectada y distinto del expresamente señalado por la empresa al instalar el sistema con carácter permanente, de control de su actividad laboral y a pesar de que la representación empresarial, tras la instalación de la cámaras, comunicó a la representación de los trabajadores que la finalidad exclusiva era la de evitar robos por parte de clientes y que no se trataba de un sistema de vigilancia laboral.

En consecuencia, en virtud de lo expuesto, procede estimar el recurso contencioso-administrativo.

CUARTO.- A tenor del art. 139.1 de la Ley de la Jurisdicción procede imponer las costas procesales a la parte demandada.

VISTOSlos artículos citados, y demás de general y pertinente aplicación.

Fallo

Que estimando el recurso contencioso-administrativo interpuesto por la Procuradora de los Tribunales doña Flora Toledo Hontiyuelo, en nombre y representación de INTERSERVE FACILITIES SERVICES, S.A., contra la resolución de 4 de septiembre de noviembre de 2015 del Director de la Agencia Española de Protección de Datos, recaída en el procedimiento sancionador nº PS/00724/2014, que confirma en reposición la resolución de 3 de julio de 2015, por la que se le impone una sanción de 3.000 euros por una infracción del art. 6.1 de la Ley Orgánica 15/1999 , de 13 de diciembre, tipificada como grave en el art. 44.3.b) de dicha norma , declaramos la nulidad de las citadas resoluciones por no ser conformes a derecho; con expresa imposición de las costas procesales a la parte demandada.

La presente sentencia es susceptible de recurso de casación, que deberá prepararse ante esta Sala en el plazo de 30 días contados desde el siguiente al de su notificación; en el escrito de preparación del recurso deberá acreditarse el cumplimiento de los requisitos establecidos en el art. 89.2 de la Ley de la Jurisdicción justificando el interés casacional objetivo que presenta.

Así, por esta nuestra Sentencia, lo pronunciamos, mandamos y firma mos.

PUBLICACIÓN.- Dada, leída y publicada fue la anterior Sentencia en Audiencia Pública. Doy fé.

Madrid a

LA LETRADA DE LA ADMINISTRACIÓN DE JUSTICIA