Vulneración del deber de secreto de datos personales por una Administración al publicar en el boletín oficial en internet una resolución de separación del servicio a un funcionario que incluía datos sobre la condena impuesta por delito de abuso sexual

Audiencia Nacional, Sala de lo Contencioso-administrativo, Sección 1ª, Sentencia de 10 Feb. 2010, rec. 357/2008



Ponente: Sanz Calvo, María Luz Lourdes.

Nº de Recurso: 357/2008

Jurisdicción: CONTENCIOSO-ADMINISTRATIVA

Vulneración del deber de secreto de datos personales por una Administración al publicar en el boletín oficial en internet una resolución de separación del servicio a un funcionario que incluía datos sobre la condena impuesta por delito de abuso sexual



PROTECCIÓN DE DATOS. Infracción del deber de guardar secreto. Publicación por la Consejería de Seguridad Ciudadana de la Ciudad Autónoma de Melilla, a través del boletín oficial, de resolución de expediente disciplinario contra un policía local, que resulta accesible a través de página web institucional, y que contiene datos sobre sentencia condenatoria y pena impuesta al denunciante por un delito de abuso sexual. Carácter de fichero automatizado de tratamiento de datos de carácter personal de la publicación en cuestión, que cae bajo el ámbito de aplicación de la LOPD. Análisis de la infracción cometida. La mera mención del delito cometido no supone una vulneración de los datos de carácter personal referidos a la «vida sexual», aunque el delito se incardine entre aquellos que afectan a la libertad sexual, siendo lo relevante el tratarse de un delito cometido por un funcionario público prevaliéndose de su cargo. Modificación de la calificación jurídica de la infracción cometida, que ha de considerarse de «grave» y no de «muy grave», al incluirse en la publicación el concreto delito por el que fue condenado el denunciante y la pena que le fue impuesta. COMPETENCIA. De la AEPD para regular los ejercicios de los derechos del afectado y del procedimiento sancionador. Si bien la Ley Orgánica contempla la posibilidad de creación por las CC.AA de autoridades de control en materia de protección de datos en relación con los ficheros de carácter personal que puedan crear o gestionar, solo algunas CC.AA han creado sus propias autoridades de control, entre las que no se incluye la Ciudad Autónoma de Melilla.

Resumen de antecedentes y Sentido del fallo

La Audiencia Nacional estima parcialmente el recurso contencioso-administrativo interpuesto por la Ciudad Autónoma de Melilla contra la resolución de la AEPD, que anula parcialmente, en el sentido de calificar como grave en lugar de muy grave, la infracción del deber de secreto apreciada.



Texto

SENTENCIA



Visto por la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional el recurso contencioso administrativo número 357/2008 interpuesto por la CIUDAD AUTÓNOMA DE MELILLA representada por el Procurador Sr. Granados Bravo contra la resolución del Director de la Agencia Española de Protección de Datos de fecha 24 de abril de 2008 en el procedimiento nº AP/00064/2007; habiendo sido parte en autos, la Administración demandada, representada y defendida por el Abogado del Estado.

ANTECEDENTES DE HECHO



PRIMERO.- Interpuesto el recurso Contencioso-administrativo ante esta Sala de lo Contencioso administrativo de la Audiencia Nacional y turnado a esta Sección, fue admitido a trámite, reclamándose el expediente administrativo, para, una vez recibido emplazar a la actora para que formalizara la demanda, lo que así se hizo en escrito en el que tras exponer los hechos y fundamentos de derecho qué consideró oportunos, terminó suplicando que se dicte sentencia por la que se anule la resolución impugnada.

SEGUNDO.- El Abogado del Estado, en su escrito de contestación a la demanda, tras alegar los hechos y fundamentos de derecho qué consideró aplicables, postuló una sentencia por la que se desestime el recurso interpuesto en todos sus extremos.

TERCERO.- Recibido el recurso a prueba, practicada la admitida y evacuado el trámite de alegaciones, se señaló para votación y fallo el día 27 de enero de 2010.

Ha sido Ponente la Magistrada Ilma. Sra. Dª. LOURDES SANZ CALVO.

FUNDAMENTOS DE DERECHO



PRIMERO.- Se impugna en el presente recurso contencioso-administrativo la resolución del Director de la Agencia Española de la Protección de Datos de fecha 24 de abril de 2006 dictada en el procedimiento AP/00064/2007 , que declara que la Consejería de Seguridad Ciudadana ha infringido el deber de secreto del artículo 10 de la LOPD , infracción tipificada como muy grave en el artículo 44.3.g) de la citada Ley Orgánica 15/1999 al haber vulnerado el deber de secreto sobre los datos relacionados con la vida sexual del denunciante.

Se basa la resolución impugnada para apreciar dicha infracción, en el siguiente soporte fáctico:

«PRIMERO: Con fecha 10/11/2005 se publicó en el Boletín Oficial de la ciudad de Melilla (BOME) por la Consejería de Seguridad Ciudadana de la ciudad autónoma de Melilla, la resolución del Presidente de la Ciudad Autónoma de Melilla relativa a la "notificación de resolución de expediente disciplinario" al Policía Local, D. Luis Miguel que resulta accesible a través de la página web http://www.melilla.es.

SEGUNDO: La citada resolución, publicada en el BOME, reproduce la propuesta de resolución, citando expresamente su contenido, en el que en los antecedentes 3º y 4º, se señala "que se dictó la Sentencia 227/2003 por la Sala de lo penal del Tribunal Supremo que desestimaba la casación interpuesta 3804/2001 por el expedientado, contra la dictada por la Sección Séptima de la Audiencia Provincial de Málaga, causa 3/1999 . La parte dispositiva de la citada sentencia absolvía del delito de agresión sexual al expedientado D. Luis Miguel y condenándolo como autor criminalmente responsable de un delito de abuso sexual con prevalimiento, sin la concurrencia de circunstancias modificativas, a la pena de dos años de prisión, inhabilitación especial para el desempeño de la profesión o empleo de Policía durante el tiempo de la anterior condena ... así como a indemnizar a la perjudicada en la suma de tres millones de pts". El denunciante no ha otorgado consentimiento para dicha comunicación.

TERCERO: La notificación así practicada, que acuerda la separación del servicio del denunciante, se realiza en aplicación del artículo 59.5 de la LRJPAC , al "intentarse la notificación y no poder ser practicada" que supone, según dicha norma, "la notificación por medio de anuncios en el Boletín Oficial del Estado, de la Comunidad Autónoma o de la Provincia, según cual sea la Administración de la que procede el acto a notificar, y el ámbito territorial del órgano que lo dictó".

CUARTO: La instrumentación de la notificación en el BOME se materializa, según declaró la Consejería, por la publicación prevista en el artículo 60 de la LRJPAC, y en concreto el 60.2 conteniendo "los mismos elementos que el punto 2 del artículo 58 exige respecto de las notificaciones", es decir, publicando de modo íntegro la misma.

QUINTO: La Consejería que publicó la citada resolución manifestó que "no" apreció motivo alguno para aplicar un extracto de la resolución en el BOME, ya que del contenido de la resolución íntegra no se vulnera ningún derecho o interés legítimo, ya que "los hechos que originan la incoación del expediente han sido contenido de resolución judicial firme y "publica", y además "han sido objeto de un dilatado tratamiento por parte de los medios de comunicación y difusión pública de la ciudad de Melilla, que constan en las hemerotecas".

SEXTO: Con fecha 29/04/2006, se comprobó que se podía acceder al contenido íntegro de la citada resolución, mediante el buscador Google, anotando el nombre y apellidos del denunciante, llevando directamente a citado BOME de 10/11/2005, en la página http://www.melilla.es».

SEGUNDO.- Considera la AEPD que la Consejería quería notificar la resolución de expediente disciplinario al denunciante de forma eficaz y que al intentarse dicha notificación y no poder ser practicada, se efectuó a través del BOME al amparo del artículo 59.5 de la LRJPAC , pero que se extralimitó al publicar datos relacionados con infracciones penales al trasladar al BOME y permitir su acceso generalizado, a la referencia que aparece en dicha resolución a la sentencia condenatoria penal del denunciante, dando a conocer un delito (abuso sexual) y la pena impuesta, vulnerándose su derecho a que sus datos contenidos en dicha sentencia penal no se divulguen. Argumenta que la finalidad pretendida con la notificación podría haberse conseguido, sin aludir directamente a la sentencia y a la condena y a su motivo, podía haberse omitido el detalle de los hechos por los que fue condenado o podría haber mencionado que fue condenado por un delito doloso o podría haberse publicado una notificación en el BOME de forma extractada sin mencionar dichos aspectos, pero no se hizo, posibilitando así el acceso a dichos datos por multitud de personas a través de los buscadores en las páginas de Internet.

Señala que las sentencias no son fuente de acceso público, alude al principio de pertinencia en el tratamiento de los datos de carácter personal (artículo 4.1 LOPD) y concluye que se ha producido una vulneración del deber de secreto al dar a conocer o divulgar el delito y la pena impuesta al denunciante, cuando pudo haberse omitido dicha circunstancia en la notificación realizada.

La actora relata en la demanda que ante la gravedad de los hechos por los que fue condenado penalmente el Policía Local aquí denunciante, se le incoó un expediente disciplinario que concluyó con una resolución de 8 de noviembre de 2005 que le imponía la separación del servicio. Que esta resolución fue recurrida en vía contenciosa administrativa por el afectado, dictándose sentencia desestimatoria por el Juzgado de lo Contencioso-Administrativo nº 1 de Melilla en fecha 22 de junio de 2007 (procedimiento abreviado 11/06) en el que se trata el tema relativo a la notificación de la resolución. Señala que el aquí denunciante interpuso también una demanda por responsabilidad patrimonial contra la Ciudad Autónoma de Melilla, porque consideraba que dicha publicación había lesionado su derecho al honor y le había originado daños morales, recayendo asimismo sentencia desestimatoria del Juzgado de lo Contencioso-Administrativo nº 2 de Melilla (procedimiento abreviado 3/2007) de 2 de mayo de 2008, es decir, de fecha posterior a la resolución aquí impugnada.

Como motivos de impugnación esgrime en los Fundamentos de Derecho de la demanda los siguientes: a) Improcedencia de la aplicación de la LOPD por cuanto no se está ante un fichero automatizado de datos personales; b) Nulidad de pleno derecho de la resolución recurrida por incompetencia del órgano instructor y sancionador; c) La conducta de la Administración demandante se ha ajustado a la legalidad y no ha incurrido en infracción alguna.

TERCERO.- Siguiendo el orden expuesto en la demanda se va a analizar el primer motivo de impugnación.

Aduce la actora que no es aplicable la LOPD al acto de publicar en el BOME, posteriormente volcado en Internet, una resolución de un expediente sancionador, por cuanto dicha resolución no forma parte de un fichero de la Administración sino de un expediente administrativo incoado al denunciante por la Ciudad Autónoma que no se encuentra incluido en ningún fichero de la Administración.

Invoca en apoyo de su alegato la STS de 19 de septiembre de 2008 que estima que los libros de bautismo no pueden considerarse como ficheros en los términos de la LOPD. Cita también en apoyo de que la publicación en el BOME, volcado en Internet, de una resolución de un expediente sancionador no es un fichero de la Administración, el artículo 20 LOPD que dispone como deben crearse, modificarse o suprimirse los ficheros de titularidad pública.

Para resolver si resulta de aplicación o no la LOPD al caso de autos, hay que partir de la Directiva 95/46 CE en cuyo artículo 3.1 se establece que "Las disposiciones de la presente Directiva se aplicarán al tratamiento total o parcialmente automatizado de datos de carácter personal, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero".

Como ha señalado esta Sala y Sección en la SAN de 18 de diciembre de 2006 (Rec. 241/2005) y se ha reiterado más recientemente en la SAN de 22 de abril 2009 (Rec. 106/2008) aparece en la propia Directiva una limitación del alcance del régimen de protección cuando se trata de tratamientos de datos no automatizados, siendo preciso que esos datos tratados estén contenidos o destinados a ser incluidos en un fichero, entendiendo por fichero "todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica" (art. 2 .c) de la Directiva).

Esta limitación del alcance del régimen de protección cuando se trata de tratamientos no automatizados aparece formulada en términos similares en los Considerandos 15 y 27 del Preámbulo de la propia Directiva. El Considerando 15 recoge que los tratamientos que afectan a los datos de carácter personal sólo quedan amparados por la Directiva cuando están automatizados o cuando los datos a que se refieren se encuentran contenidos en un archivo estructurado según criterios específicos relativos a las personas, a fin de que se pueda acceder fácilmente a los datos de carácter personal de que se trata. Por su parte, el Considerando 27 del Preámbulo señala, entre otros particulares, que la protección de las personas debe aplicarse tanto al tratamiento automático de datos como al tratamiento manual; que el alcance de esta protección no debe depender de las técnicas utilizadas, pues lo contrario daría lugar a riesgos graves de elusión; que no obstante, por lo que respecta al tratamiento manual, la presente Directiva sólo abarca los ficheros, y no se aplica a las carpetas que no están estructuradas; que, en particular, el contenido de un fichero debe estructurarse conforme a criterios específicos relativos a las personas, que permitan acceder fácilmente a los datos personales.

Es decir, la exigencia del fichero se conecta conforme a lo expuesto con el tratamiento de datos no automatizados, no con el tratamiento de datos automatizados. En el caso de autos la publicación de la resolución en cuestión en un Boletín oficial, volcado en Internet y que es accesible a través de la página http://www.melilla.es, constituye un tratamiento automatizado de datos de carácter personal, por lo que sin necesidad de hacer mayores consideraciones, resulta claro que cae bajo el ámbito de aplicación de la LOPD.

Se trata, por tanto, de un supuesto que difiere notablemente del contemplado en aquellas sentencias que versan o tienen por objeto tratamientos de datos personales no automatizados, en los libros de bautismo que se llevan en las parroquias, que es al que se refiere la STS de 19 de septiembre de 2008 invocada en la demanda.

Por otra parte, el artículo 20 de la LOPD invocado por la actora, regula la creación, modificación o supresión de los ficheros de las Administraciones públicas, ficheros que materialmente no dejan de tener la condición de tal con independencia de que hayan sido creados o no formalmente al amparo de lo establecido en el artículo 20 de la LOPD , por lo que nada aporta la invocación del citado precepto.

CUARTO.- Se postula en segundo lugar la nulidad de pleno derecho de la resolución recurrida, al amparo del artículo 62.1.b) LRJPAC al haberse dictado por órgano manifiestamente incompetente. Se esgrime que en cualquier caso nos encontraríamos ante un expediente de una Administración y en este caso de una Ciudad Autónoma que cuenta con su propio Estatuto de Autonomía, por lo que sería la recurrente y no la AEPD, la competente para regular los ejercicios de los derechos del afectado y del procedimiento sancionador, conforme lo dispuesto en la Disposición adicional tercera del RD 1332/1994 .

La citada Disposición adicional tercera del RD 1332/1994 relativa a los ficheros de las Comunidades Autónomas, dispone que "Corresponde a las Comunidades Autónomas, respecto de sus propios ficheros, la regulación del ejercicio y tutela de los derechos del afectado y del procedimiento sancionador en los términos y con los límites establecidos en la Ley Orgánica 5/1992 y de acuerdo con las normas del procedimiento administrativo común".

La Disposición transitoria tercera de la LOPD mantiene subsistente y hasta tanto no entre en vigor el nuevo Reglamento LOPD (aprobado por RD 1720/2007) el RD 1332/1994 , "en cuanto no se oponga a la presente Ley".

En la LOPD, artículo 37 .g) se establece entre otras funciones de la AEPD la de ejercer la potestad sancionadora en los términos previstos por el Título VII de la presente Ley. También se contempla en el artículo 41 de la citada LO la posibilidad de creación por parte de las Comunidades Autónomas de Autoridades de Control en materia de protección de datos, si bien limitadas sus competencias a los supuestos establecidos en el citado precepto, que en esencia se circunscriben a los ficheros de carácter personal, creados o gestionados por la Comunidad Autónoma y por la Administración Local de su ámbito territorial. Las únicas Comunidades Autónomas que han creado sus propias Autoridades de Control han sido, por este orden, las de Madrid, Cataluña y País Vasco.

De lo expuesto se desprende con claridad, y en línea con lo dispuesto en los artículos 18 y 19 del citado RD 1332/1994 , la competencia de la AEPD para instruir y resolver el procedimiento en cuestión, por lo que no cabe apreciar la infracción alegada.

QUINTO.- En cuanto al fondo del asunto, aduce que la conducta de la Administración demandante se ajusta plenamente a la legalidad y no es constitutiva de infracción alguna.

A tal fin esgrime dos argumentos: a) la cobertura legal otorgada por la Ley 30/1992 a la publicación en el BOME de la resolución que ponía fin al procedimiento disciplinario y, b) la publicación de esos datos no suponían vulneración alguna, por cuanto los datos a que se hacía referencia en la resolución administrativa no eran datos personales, sino que eran de general conocimiento.

Finalmente aduce de forma subsidiaria, que no se puede mantener que los delitos cometidos contra la libertad sexual por un funcionario público prevaliéndose de su condición de agente de la autoridad, formen parte de su vida sexual.

En primer lugar, en cuanto a la notificación de la citada resolución que ponía fin al procedimiento disciplinario, se alega que si bien con carácter general es suficiente para la notificación de un acto con remitirlo por correo con acuse de recibo, o por medio de un agente notificador, en el presente caso el funcionario sancionado que era miembro de la Policía Local, contaba con informantes en el propio cuerpo de policía que le avisaban de que iba a ir un agente notificador, por lo que este medio no tenía virtualidad, y el recurso a la publicación íntegra de la resolución era la única posibilidad con que contaba la actora, conforme lo dispuesto en los artículos 58, 59 y 60 LRJPAC .

Señala que la sentencia dictada por el Juzgado de lo contencioso administrativo nº 1 de 22 de junio de 2007 analiza y considera que no se ha producido la vulneración del artículo 61 LRJPAC .

Considera que las referencias que hace la resolución recurrida a la LOPD, al Reglamento de aspectos accesorios de las actuaciones procesales de 1/2005 y a la jurisprudencia no son aplicables al presente caso, que se circunscribe a la notificación por vía edictal de una resolución administrativa que pone fin a un procedimiento sancionador incoado al Sr. Luis Miguel .

Respecto a dichos alegatos cabe comenzar señalando que efectivamente consta acreditado y no se pone en tela de juicio, que la Administración recurrente intentó notificar la resolución sancionadora recaída en el procedimiento disciplinario en reiteradas ocasiones personalmente al denunciante. Al no conseguirse dicha notificación personal es cuando se procede a la publicación de la resolución en el BOME, al amparo del artículo 59.5 LRJPAC .

El citado precepto establece que cuando "intentada la notificación no se hubiese podido practicar, la notificación se hará... en el Boletín Oficial del Estado, de la Comunidad Autónoma... según cual sea la Administración de la que proceda el acto a notificar, y el ámbito territorial del órgano que la dictó".

Ninguna objeción cabe hacer por lo expuesto a que se acudiera al BOME para realizar la citada notificación, ni tampoco la realiza la resolución impugnada.

Ahora bien, la cuestión que se suscita es distinta, pues se refiere a si la publicación de la resolución sancionadora en su integridad en el BOME, volcado en Internet, vulneró o no la normativa de protección de datos y en concreto el deber de secreto recogido en el artículo 10 LOPD . En definitiva, si era necesaria para la finalidad pretendida con la notificación de la resolución, la publicación de datos relativos a la infracción penal por la que fue condenado el denunciante, tales como el tipo de delito apreciado (de abuso sexual) y la pena impuesta por la sentencia penal.

Para examinar dicha cuestión hay que tomar en consideración que la resolución sancionadora objeto de notificación imponía la separación del servicio del Sargento de la Policía Local aquí denunciante, por la comisión de una infracción muy grave tipificada en el artículo 27.3 de la LO 2/1986 , consistente en haber realizado una conducta constitutiva de delito doloso. La Audiencia Provincial de Málaga enjuició la citada conducta y dictó sentencia absolviendo al Sr. Luis Miguel del delito de agresión sexual y le condenó como autor de un delito de abuso sexual, con prevalimiento, a la pena de dos años de prisión, inhabilitación especial para el desempeño de la profesión o empleo de policía durante el tiempo de la anterior condena. Esta sentencia ganó firmeza al desestimar el Tribunal Supremo el recurso interpuesto contra la misma.

Al no haberse podido practicar la notificación personal, pese a los reiterados intentos realizados es cuando, como ya se ha dicho, se acudió a la notificación de la citada resolución en el BOME, al amparo del artículo 59.5 LRJPAC .

El artículo 60.2 LRJPAC se remite en cuanto al contenido de la publicación de un acto al artículo 58.2 que dispone que la notificación deberá contener el texto íntegro de la resolución. En esta normativa se ampara la actora para considerar que su actuación es ajustada a derecho.

Sin embargo, el artículo 61 LRJPAC dispone que si el órgano competente apreciare que la publicación de un acto lesiona derechos o intereses legítimos, se limitará a publicar en el diario oficial que corresponda una somera indicación del contenido del acto y del lugar donde los interesados podrán comparecer en el plazo que se establezca para conocimiento del contenido íntegro mencionado acto y constancia de tal conocimiento. Se trata de una norma especifica frente a aquella de carácter general contenida en el artículo 60.2 en relación con el 58.2 , ambos de la LRJPAC, y que como tal precepto especial debe prevalecer cuando se puedan lesionar con la publicación del acto derechos o intereses legítimos, como el derecho fundamental a la protección de datos, especialmente cuando la publicación de la resolución a notificar se lleva a cabo en un BOME que se ha volcado en Internet y posibilita el acceso a dichos datos por multitud de personas a través de los buscadores.

En este sentido, se recoge en el apartado sexto de los hechos probados de la resolución impugnada, que en abril de 2006 se comprobó que se podía acceder al contenido íntegro de dicha resolución mediante el buscador Google, anotando el nombre y apellidos del denunciante, llevando directamente al citado BOME de 10 de noviembre de 2005 en la página http://www.melilla.es.

En definitiva, la finalidad pretendida con la notificación de la resolución podría haberse obtenido en este caso concreto, como señala la resolución recurrida, sin mencionar el concreto delito por el que fue condenado el denunciante ni la pena impuesta, o notificándose dicha resolución de forma extractada. Por tanto, no resultaba necesario incluir la citada información que afecta a aspectos relativos a la comisión de infracciones penales recogidos en sentencia, lo que supone que se ha vulnerado su derecho a que sus datos de carácter personal contenidos en la referida sentencia penal no se divulguen mediante su publicación en el BOME volcado en Internet, poniéndoles a disposición de un destinatario múltiple.

Por otra parte, lo aquí expuesto no es contradictorio con la sentencia de 22 de julio de 2007 del Juzgado de lo contencioso administrativo número 1 de Melilla -folios 114 y siguientes del expediente- que desestima el recurso interpuesto contra el Decreto de la Presidencia de la Ciudad Autónoma de Melilla, de 8 de noviembre de 2005 , que impuso al aquí denunciante la sanción de separación del servicio. Dicha sentencia analiza la publicación de la resolución administrativa en toda su extensión pero desde el punto de vista del artículo 18 de la Constitución en relación con el derecho al honor, la intimidad personal y la propia imagen, no con el derecho de protección de datos que es un derecho fundamental autónomo diferenciado del derecho a la intimidad, al que se refiere la importante STC 292/2000 .

En segundo lugar, argumenta la recurrente que la publicación de dichos datos no suponía la revelación de datos personales, por cuanto los datos penales a que se hacía referencia en dicha resolución eran de general conocimiento por el seguimiento que hicieron los medios de comunicación de todo el proceso penal y, por tanto, dicha información penal había dejado de pertenecer al ámbito privado y particular del Sr. Luis Miguel mucho antes de que se publicase la resolución disciplinaria en cuestión.

Al respecto, cabe aclarar que el hecho de que los medios de comunicación (prensa escrita de Melilla, como la aportada con la demanda) en el ejercicio de su derecho de información y al amparo del artículo 20 de la Constitución, se hicieran eco de los hechos por los que fue condenado penalmente el citado Sr. Luis Miguel , no priva a los datos en cuestión de su condición de datos de carácter personal, además la resolución publicada no había obtenido los datos de los citados medios de comunicación, sino de la información que tenía en sus ficheros la Consejería de Seguridad Ciudadana de la Ciudad Autónoma de Melilla.

SEXTO.- Sentado lo anterior, resta analizar si, como establece la resolución de la AEPD recurrida, se ha vulnerado el deber de secreto de los datos personales.

El artículo 10 de la LOPD regula de forma individualizada el deber de secreto de quienes tratan datos personales, dentro del título dedicado a los principios de protección de datos, lo que refleja la gran importancia que el legislador atribuye al mismo. Este deber de secreto pretende que los datos personales no puedan conocerse por terceros, salvo de acuerdo con lo dispuesto en otros preceptos de la LOPD, como por ejemplo el Art. 11 (comunicación de datos). Traspone el Art. 16 de la Directiva 95/46 /CE que lleva como título "Confidencialidad del tratamiento" y dispone que "Las personas que actúen bajo la autoridad del responsable o del encargado del tratamiento, incluido este último, solo podrán tratar datos personales a los que tengan acceso, cuando se lo encargue el responsable del tratamiento o salvo en virtud de un imperativo legal".

El deber de secreto trata de salvaguardar o tutelar el derecho de las personas a mantener la privacidad de sus datos de carácter personal y en definitiva el poder de control o disposición sobre sus datos. El repetido deber de secreto en el tratamiento de datos personales se refiere al ámbito estricto del tratamiento de los datos personales, para que el responsable del fichero y, cualquier persona que intervenga en el tratamiento, esté obligado al mantener la confidencialidad de los datos personales.

En este sentido el mencionado artículo 10 de la LOPD que la resolución recurrida considera infringido dispone "El responsable del fichero y quienes intervengan en cualquier fase de tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero, o, en su caso, con el responsable del mismo".

Deber de sigilo que como hemos señalado en las SSAN, Sec. 1ª, de 14 de septiembre de 2002 (Rec. 196/00), 13 de abril de 2005 (Rec. 230/2003), 18 de julio de 2007 (Rec. 377/2005) "es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la STC 292/2000 (...) Este deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de los derechos fundamentales, como la intimidad o el derecho a la protección de datos que recoge el artículo 18.4 de la CE (...)".

Es decir, el deber de secreto o confidencialidad se infringe desde el momento en que se permite acceder a terceros a los datos en cuestión, sin que exista cobertura para dicho acceso o lo que es igual, para que dichos terceros puedan conocer los mencionados datos o tenerlos a su disposición, como ha sucedido en el caso enjuiciado.

SÉPTIMO.- Finalmente, constatada la vulneración del deber de secreto, se va a analizar su concreta calificación jurídica en atención a su gravedad.

La AEPD califica jurídicamente la infracción como muy grave tipificada en el artículo 44.4.g) LOPD por considerar que la vulneración afecta a datos de carácter personal que hacen referencia a la vida sexual, que son datos especialmente protegidos según el artículo 7.3 , al que alude el citado tipo sancionador.

Sin embargo, no se puede mantener que la mera mención del delito cometido por un funcionario público prevaliéndose de su condición de agente de la autoridad, suponga una vulneración de los datos de carácter personal referidos a la "vida sexual" en el sentido establecido en el artículo 7.3 de la LOPD , aunque el delito se incardine entre aquellos que afectan a la libertad sexual, puesto que lo relevante en el caso concreto es que se trata de un delito cometido por un funcionario público prevaliéndose de su cargo.

Por ello procede calificar la infracción como grave tipificada en el artículo 44.3 g) de la LOPD en lugar de muy grave, al versar dicha vulneración de guardar secreto sobre datos relacionados con infracciones penales que obraban en los ficheros de la Consejería que es la que decide la publicación en el BOME, volcado en Internet, de la resolución sancionadora a notificar, en su integridad, con inclusión del concreto delito por el que fue condenado el denunciante y la pena que le fue impuesta.

Procede, en consecuencia y en cuanto a este particular, estimar parcialmente el recurso interpuesto.

OCTAVO.- De conformidad con lo dispuesto en el artículo 139.1 de la Ley de la Jurisdicción , no se aprecian motivos para efectuar una expresa condena en costas.

Vistos los artículos citados y demás de pertinente y general aplicación

FALLAMOS



ESTIMAR PARCIALMENTE el recurso contencioso-administrativo interpuesto por laCIUDAD AUTÓNOMA DE MELILLA representada por el Procurador Sr. Granados Bravo contra la resolución del Director de la Agencia Española de Protección de Datos de fecha 24 de abril de 2008 en el procedimiento nº AP/00064/2007 , resolución que se anula parcialmente en el sentido de calificar como grave en lugar de muy grave la infracción del deber de secreto apreciada; sin expresa imposición de costas.

Así por esta nuestra sentencia, lo pronunciamos, mandamos y firmamos
PUBLICACIÓN.-

Dada, leída y publicada fue la anterior sentencia en audiencia pública. Doy fe. Madrid, a

LA SECRETARIA

Dª María Elena Cornejo Pérez