Sentencia ADMINISTRATIVO Audiencia Nacional, Sala de lo Contencioso, Sección 1, Rec 37/2018 de 29 de Abril de 2019

Encabezamiento

A U D I E N C I A N A C I O N A L

Sala de lo Contencioso-Administrativo

SECCIÓN PRIMERA

Núm. de Recurso: 0000037 /2018

Tipo de Recurso: PROCEDIMIENTO ORDINARIO

Núm. Registro General: 00299/2018

Demandante: Socorro

Procurador: SR. PARDO MARTINEZ

Demandado: AGENCIA PROTECCIÓN DE DATOS

Abogado Del Estado

Ponente IIma. Sra.:Dª. LOURDES SANZ CALVO

S E N T E N C I A Nº:

IImo. Sr. Presidente:

D. EDUARDO MENÉNDEZ REXACH

Ilmos. Sres. Magistrados:

Dª. FELISA ATIENZA RODRIGUEZ

Dª. LOURDES SANZ CALVO

Dª. NIEVES BUISAN GARCÍA

Madrid, a veintinueve de abril de dos mil diecinueve

Visto por la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional el recurso contencioso administrativo número 37/2018interpuesto por el Procurador de los Tribunales Sr. Pardo Martínez, en nombre y representación de Dª Socorro , frente la resolución de la Directora de la Agencia Española de Protección de Datos de fecha 22 de diciembre de 2017, dictada en el expediente NUM000 , que confirma en reposición la resolución de 23 de octubre de 2017; ha sido parte en autos, la Administración del Estado demandada representada y defendida por el Abogado del Estado.

Antecedentes

PRIMERO.- Interpuesto el recurso Contencioso-administrativo ante esta Sala de lo Contencioso administrativo de la Audiencia Nacional y turnado a esta Sección, fue admitido a trámite, reclamándose el expediente administrativo, para, una vez recibido emplazar a la actora para que formalizara la demanda, lo que así se hizo en escrito en la que tras exponer los hechos y fundamentos de derecho qué consideró oportunos, terminó suplicando que se dicte sentencia por la que se declare no conforme a Derecho las resoluciones recurridas, al objeto de que se ordene a la Agencia Española de Protección de Datos (AEPD) a reabrir la investigación de los hechos denunciados, y subsidiariamente que la Audiencia Nacional resuelva sobre las infracciones de la LOPD en relación con el derecho de acceso, a la calidad de los datos, la vulneración de los artículos 22 y 23 de la LOPD y la vulneración del deber de seguridad de los datos de cuyo cumplimiento.

SEGUNDO.-El Abogado del Estado, en su escrito de contestación a la demanda, tras alegar los hechos y fundamentos de derecho qué consideró aplicables, solicitó se dicte sentencia que inadmita o, subsidiariamente, desestime el recurso, confirmando íntegramente la resolución impugnada por ser conforme a Derecho, con expresa condena en costas a la parte recurrente.

TERCERO.-Re cibido el recurso a prueba, practicada la admitida y evacuado el trámite de conclusiones, se señaló para votación y fallo el día 23 de abril de 2019, en que tuvo lugar.

Ha sido Ponente la Magistrada Ilma. Sra. Dª. LOURDES SANZ CALVO.

Fundamentos

PRIMERO.- La demandante impugna la resolución de la Directora de la Agencia Española de Protección de Datos de fecha 22 de diciembre de 2017, dictada en el expediente NUM000 , que confirma en reposición la resolución de 23 de octubre de 2017, por la que se acordó no iniciar procedimiento administrativo.

Dª Socorro formuló denuncia en octubre de 2018 ante la AEPD, contra la presidenta de la Comunidad de Propietarios sita en la CALLE000 nº NUM001 de Granada, Residencial Arco y su cónyuge, porque el día 6 de octubre de 2017, hablaban muy alto desde la terraza de su domicilio diciendo que era una morosa y debía cuatro años a la Comunidad, escuchándolo su hija Julia , quien sufrió una crisis de ansiedad y tuvo que recibir asistencia médica. Denunciaba la vulneración de la normativa de datos por parte de la citada presidenta de la Comunidad de Propietarios, Dª Lorena , al revelar desde su terraza a terceros que la denunciante no se encontraba al corriente de sus obligaciones comunitarias.

Denuncia a la que recayó la resolución de la AEPD de 23 de octubre de 2017 acordando no iniciar procedimiento, confirmada en reposición por la de 22 de diciembre de 2017 aquí recurrida, por entender que de la documentación aportada y las circunstancias concurrentes no se desprenden indicios racionales de infracción de la normativa de protección de datos.

SEGUNDO.-La actora alega, en síntesis, que con la denuncia y el recurso de reposición interpuesto se aportó material probatorio suficiente para iniciar la investigación que se solicitaba, pues existía prueba documental y testifical de los hechos denunciados y que constituyen una infracción por parte de la presidenta de la Comunidad de Propietarios y de su cónyuge ya que revelaron al resto de la Comunidad la condición de morosa de la recurrente, sin estar realizándose ningún acto relativo a la Comunidad de Propietarios que permitiese tal difusión.

Señala que puso en conocimiento de la AEPD unos hechos que constituyen una infracción muy grave pues constituyen una comunicación o cesión inconsentida de datos e infracción grave consistente en no inscribir los ficheros en la AEPD y utilizar los ficheros con una finalidad distinta con la que se crearon. Transcribe los artículos 44.3 y 4 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD ), que tipifican las infracciones graves y muy graves y los artículos 9 y 16.2 de la Ley de Propiedad Horizontal y considera que se hizo una difusión o comunicación de los datos de morosidad de la recurrente que no está legalmente previsto.

Añade que al no haber iniciado la AEPD ninguna actuación previa ni incoación de expediente sancionador se vulnera lo establecido tanto en la LOPD como en el reglamento de desarrollo de la misma.

Solicita, que se ordene a la AEPD a reabrir la investigación de los hechos denunciados por posible vulneración de los artículos 4 , 7.4 , 9 , 15 , 22 y 23 de la LOPD y subsidiariamente, que la Sala resuelva sobre las infracciones denunciadas.

Por su parte, el Abogado del Estado opone, en primer lugar, falta de legitimación activa de la recurrente, ex artículo 69.b) de la Ley de la Jurisdicción por cuanto la recurrente solicita, en última instancia, un pronunciamiento en el que se reconozca la infracción de la normativa de protección de datos y no consta ningún interés de la recurrente digno de tutela más allá del deseo de que se imponga una sanción a la persona denunciada.

Subsidiariamente, se aduce que la AEPD procedió al archivo de la denuncia presentada por las razones que se exponen motivadamente, al no existir prueba de cargo acreditativa de los hechos denunciados, pues no puede considerarse como tal ni la declaración de la denunciante, su marido o su hija, ni la denuncia presentada ante la Guardia Civil, que no acredita la certeza de los hechos denunciados, ni los partes médicos, que únicamente acreditan que la denunciante y su hija fueron a un centro de salud e hicieron determinadas manifestaciones ante el público pero no la certeza de éstas.

TERCERO.-Siguiendo un orden lógico se va a examinar, en primer lugar, la invocada falta de legitimación activa del recurrente (denunciante ante la AEPD) para impugnar en sede jurisdiccional la resolución de la AEPD de 26 de marzo de 2018, que confirma en reposición la de 31 de enero de 2018, que acuerda no iniciar procedimiento administrativo.

La legitimación es presupuesto inexcusable de proceso, disponiendo el artículo 19. 1. a) de la LJCA , que ' Están legitimados ante el orden jurisdiccional contencioso- administrativo: a) Las personas físicas o jurídicas que ostenten un derecho o interés legítimo'.

En este sentido, la Sentencia del Tribunal Constitucional 52/2007, de 12 de marzo , ha precisado que el interés legítimo, al que se refiere el art. 24.1 de la Constitución 'se caracteriza como una relación material unívoca entre el sujeto y el objeto de la pretensión (acto o disposición impugnados), de tal forma que su anulación produzca automáticamente un efecto positivo (beneficio) o negativo (perjuicio) actual o futuro pero cierto, debiendo entenderse tal relación referida a un interés en sentido propio, cualificado y específico, actual y real (no potencial o hipotético). Se trata de la titularidad potencial de una ventaja o de una utilidad jurídica, no necesariamente de contenido patrimonial, por parte de quien ejercita la pretensión, que se materializaría de prosperar ésta. O, lo que es lo mismo, el interés legítimo es cualquier ventaja o utilidad jurídica derivada de la reparación pretendida ( SSTC 252/2000, de 30 de octubre, FJ 3 ; 173/2004, de 18 de octubre, FJ 3 ; y 73/2006, de 13 de marzo , FJ 4; con relación a un sindicato, STC 28/2005, de 14 de febrero , FJ 3)' .

Abundando en lo expuesto, señala la STS 28 de enero de 2019 (Rec.4580/2017 ), que ' Para apreciar el requisito de la legitimación en una determinada persona física o jurídica, es preciso, salvo en los excepcionales supuestos en los que nuestro ordenamiento jurídico reconoce la existencia de una acción pública, que exista un interés legítimo en la pretensión ejercitada, que debe ser identificado en la interposición de cada recurso contencioso administrativo. Así, la legitimación, que constituye un presupuesto inexcusable del proceso, 'implica la existencia de una relación material unívoca entre el sujeto y el objeto de la pretensión deducida en el recurso contencioso- administrativo, en referencia a un interés en sentido propio, identificado y específico, de tal forma que la anulación del acto o la disposición impugnados produzca automáticamente un efecto positivo (beneficio) o negativo (perjuicio), actual o futuro, pero cierto'. ( SSTS de 13 de diciembre de 2005 (recurso 120/2004 ) y 20 de marzo de 2012 (recurso 391/2010 )).

En suma, la jurisprudencia existente define el interés legítimo, base de la legitimación procesal a que alude el artículo 19 LJCA , como 'la titularidad potencial de una posición de ventaja o de una utilidad jurídica por parte de quien ejercita la pretensión y que se materializaría de prosperar ésta'

Esa concreta relación entre la persona física o jurídica y la pretensión ejercitada en cada proceso, explica el carácter casuístico que presenta la legitimación, que también ha sido puesto de relieve por la jurisprudencia de esta Sala, en sentencias de 24 de mayo de 2006 (recurso 957/2003 ) y 26 de junio de 2007 (recurso 9763/2004 ), por lo que no es aconsejable ni una afirmación ni una negación indiferenciadas para todos los casos, sino que habrá de indagarse en cada caso la presencia del interés legítimo de la parte, a cuyo fin sirve el proceso'.

En el ámbito propio de protección de datos en el que nos encontramos, cabe citar la STS de 6 de octubre de 2009 (Rec. 4.712/2005 ) que expresa que ' quien denuncia hechos que considera constitutivos de infracción de legislación de protección de datos carece de legitimación activa para impugnar en vía jurisdiccional lo que resuelva la Agencia. Así se desprende de las sentencias de esta Sala de 6 de noviembre de 2007 y, con mayor nitidez aún, de 10 de diciembre de 2008 '.

La razón de dicha falta de legitimación radica según la citada sentencia de 6 de octubre de 2009 , en que el denunciante carece de la condición de interesado en el procedimiento sancionador que se pueda incoar a resultas de su denuncia, pues ni la LOPD, ni su Reglamento de desarrollo le reconocen esa condición. Y por lo que se refiere a los principios generales del derecho administrativo sancionador prosigue la citada sentencia ' aunque en algunas ocasiones esta Sala ha dicho que el denunciante puede impugnar el archivo de la denuncia por la Administración, no se admite que el denunciante pueda impugnar la resolución administrativa final. El argumento crucial en esta materia es que el denunciante, incluso cuando se considere a sí mismo 'víctima' de la infracción denunciada, no tiene un derecho subjetivo ni un interés legítimo a que el denunciado sea sancionado. El poder punitivo pertenece únicamente a la Administración que tiene encomendada la correspondiente potestad sancionadora -en este caso, la Agencia Española de Protección de Datos- y por consiguiente, sólo la Administración tiene un interés tutelado por el ordenamiento jurídico en que el infractor sea sancionado. Es verdad que las cosas no son así en el derecho penal propiamente dicho, donde existe incluso la acción popular, pero ello es debido a que hay normas que expresamente establecen excepciones que no aparecen en el derecho administrativo sancionador y, por lo que ahora específicamente interesa, en la legislación sobre protección de datos. Es más, aceptar la legitimación activa del denunciante no sólo conduciría a sostener que ostenta un interés legítimo que el ordenamiento jurídico no le reconoce ni protege, sino que llevaría también a transformar los tribunales contencioso administrativos en una especie de órganos de apelación en materia sancionadora (...)En otras palabras, los tribunales contencioso-administrativos pueden y deben controlar la legalidad de los actos administrativos en materia sancionadora; pero no pueden sustituir a la Administración en el ejercicio de las potestades sancionadoras que la ley encomienda a aquélla.

Cuanto se acaba de decir debe ser objeto de una precisión: el denunciante de una infracción de la legislación de protección de datos carece de legitimación activa para impugnar la resolución de la Agencia en lo que concierne al resultado sancionador mismo (imposición de una sanción, cuantía de la misma, exculpación, etc); pero llegado el caso, puede tener legitimación activa con respecto a aspectos de la resolución distintos del específicamente sancionador siempre que, por supuesto, pueda mostrar algún genuino interés digno de tutela'.

Como también señala la STS de 9 de junio de 2014 (Rec. 526/2011 ), es de aplicación la doctrina jurisprudencial de dicha Sala del Tribunal Supremo recaídas en relación con expedientes sancionadores del Consejo General del Poder Judicial, que también ha sido aplicada en el ámbito que nos ocupa del ejercicio de las potestades sancionadoras de la AEPD, en sentencia de 24 de enero de 2013 (recurso 51/2010 ), que ' reconoce legitimación al denunciante para demandar el desarrollo de la actividad investigadora que resulte conveniente para la debida averiguación de los hechos que hayan sido denunciados, pero no para que esa actividad necesariamente finalice en una resolución sancionadora: y esto último porque la imposición de una sanción a la persona denunciada, al no producir efecto positivo alguno en la esfera jurídica del denunciante, ni eliminar carga o gravamen de clase alguna en dicha esfera, no encarna el interés real que resulta necesario para que pueda ser apreciada la legitimación que, como inexcusable presupuesto del proceso contencioso administrativo, exige el artículo 19 de la Ley Jurisdiccional . 'Criterio que se reitera en la posterior STS 18 de mayo 2015 (Rec. 277/2013 ) recaída en esta misma materia de protección de datos.

Por tanto, a tenor de la citada jurisprudencia, en el caso de autos en que no se ha realizado ninguna actuación de comprobación y averiguación de los hechos y lo pretendido, según el suplico de la demanda, es el desarrollo de una actividad de investigación por parte de la Agencia Española de Protección de Datos, si está legitimada la recurrente respecto a dicha pretensión. Cosa distinta es que se hubiera pretendido la incoación de un procedimiento sancionador, para lo cual, a tenor de la doctrina jurisprudencial expuesta, si carecería de legitimación.

CUARTO.-En cuanto al fondo, interesa destacar, en primer lugar, que si bien ante la Agencia Española de Protección de datos se denuncia a la Presidenta de la Comunidad de Propietarios y a su esposo, por revelar a terceros la condición de morosa de la denunciante al decir en voz alta que debía cuatro años a la Comunidad, sin embargo en esta vía jurisdiccional se amplía el catálogo de infracciones imputadas y se habla de responsabilidad de la Comunidad de Propietarios, que no fue denunciada en vía administrativa.

Por otro lado, si bien el cuerpo de la demanda se centra en que los hechos constituyen una infracción muy grave de comunicación o cesión inconsentida de datos e infracción grave consistente en no inscribir los ficheros en la AEPD y utilizar los datos con una finalidad distinta o incompatible con aquella para la que se hubieran recogido o los ficheros para una finalidad distinta de la que se crearon, luego en el suplico de la demanda se expresa que se ordene a la AEPD ' a reabrir la investigación de los hechos denunciados por posible vulneración de los artículos 4 , 7.4 , 9 , 15 , 22 y 23 de la LOPD '.

Llama la atención que se aluda en el suplico de la demanda a artículos, como el 7.4 LOPD, referente a datos especialmente protegidos, que dispone ' Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico o vida sexual'y el 22 LOPD referente a los ficheros de las Fuerzas y Cuerpos de Seguridad, que ninguna relación tienen con el caso de autos .

También se citan en el suplico los artículos 15 y 22 de la LOPD , referentes al derecho de acceso, cuando en la denuncia que ha dado lugar a las resoluciones impugnadas se ha omitido toda alusión sobre el particular. Como ya hemos dicho, la denuncia se interpuso contra la presidenta de la Comunidad de Propietarios y su esposo, y en ella nada se dijo en relación con el derecho de acceso ni se aportó solicitud de haber ejercitado dicho derecho, por lo que la AEPD ninguna consideración hizo sobre el particular.

Y lo mismo cabe decir, en relación con el incumplimiento del deber de seguridad de los datos, que anudado al artículo 9 de la LOPD atribuye la actora a la Comunidad de Propietarios, así como a la no inscripción de los ficheros por la Comunidad a que se alude en el cuerpo de la demanda. Cuestiones a las que se omitió toda referencia en la denuncia que, como hemos dicho, no se interpuso contra la Comunidad de Propietarios.

Sentado lo anterior, cabe señalar que a diferencia de otros supuestos que han sido examinados por la Sala, en este caso concurre como peculiaridad, que se imputa la vulneración de la Ley de Protección de datos, por la revelación a terceros de la condición de morosa con la Comunidad de Propietarios de la recurrente, que habría efectuado la presidenta de la Comunidad de Propietarios, cuando se encontraba en la terraza de su domicilio hablando en voz muy alta con su esposo, es decir, de forma oral.

En estas circunstancias y a la vista de la documentación adjuntada por la denunciante ante la AEPD y la aportada con la demanda, se adelanta que la resolución recurrida resulta ajustada a Derecho.

Efectivamente, al imputarse la revelación o utilización o cesión de datos de forma oral, en un contexto como el de autos, las declaraciones de la recurrente, su esposo e hija así como la denuncia ante la Guardia Civil por amenazas, los partes médicos por ansiedad y la certificación aportada con la demanda, no constituyen prueba de cargo ni indicios de la comisión de una infracción de la normativa de protección de datos, que es la que aquí nos interesa.

Así las cosas, no cabe apreciar indicios de infracción de la normativa de protección de datos que justifiquen la apertura de una investigación, no concretada por la actora, ni en correlación, vulneración procedimental por la AEPD, procediendo, en definitiva, la desestimación del recurso contencioso administrativo interpuesto.

QUINTO.-De conformidad con lo dispuesto en el artículo 139.1 de la Ley Jurisdiccional , procede la imposición de costas a la parte actora.

Vistos los artículos citados y demás de pertinente y general aplicación

Fallo

1º- RECHAZARla causa de inadmisibilidad del recurso contencioso administrativo opuesto por el Abogado del Estado.

2º DESESTIMARel recurso contencioso-administrativo interpuesto por el Procurador de los Tribunales Sr. Pardo Martínez, en nombre y representación de Dª Socorro , frente la resolución de la Directora de la Agencia Española de Protección de Datos de fecha 22 de diciembre de 2017, dictada en el expediente NUM000 , que confirma en reposición la resolución de 23 de octubre de 2017.

3º.-Co n imposición de costas a la parte demandante.

La presente sentencia es susceptible de recurso de casación ante el Tribunal Supremo que deberá prepararse ante esta Sala en el plazo de 30 días contados desde el siguiente al de su notificación; en el escrito de preparación del recurso deberá acreditarse el cumplimiento de los requisitos establecidos en el artículo 89.2 de la Ley de la Jurisdicción justificando el interés casacional que presenta.

Así por esta nuestra sentencia, lo pronunciamos, mandamos y firmamos.

PUBLICACIÓN.- Dada , leída y publicada fue la anterior Sentencia en audiencia pública. Doy fe. Madrid a.

LA LETRADA DE LA ADMINISTRACIÓN DE JUSTICIA.