El ayuntamiento ordena investigar los contenidos del ordenador de la interventora. Vulneración del art. 18.4 CE

29.09.2022

Sentencia de la Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional de 10 de junio de 2022. (Leer aquí la Sentencia).

Se trata de determinar, desde la perspectiva de los derechos fundamentales, si el acceso a los contenidos de los ordenadores u otros medios informáticos, en el presente caso, vulnera el artículo 18.4 de la Constitución.

Recurso contencioso administrativo número 1684/2020 del Ayuntamiento de Algemesí frente a la Resolución de la Directora de la Agencia Española de Protección de Datos de fecha 27 de noviembre de 2020 (PS/00062/2019).

Objeto del recurso contencioso-administrativo:

Resolución de la Directora de la Agencia Española de Protección de Datos de fecha 27 de noviembre de 2020 (PS/00062/2019), que declara que el Ayuntamiento de Algemesí ha infringido:

  • El artículo 6.1 de la Ley Orgánica de Protección de Datos 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), infracción tipificada como grave en el artículo 44.3.b) de dicha ley.
  • El artículo 9 de la LOPD, en relación con los artículos 92, 97.1 y 2, y 101 del Reglamento de desarrollo de dicha Ley aprobados por Real Decreto 1720/2007 (RLOPD), tipificada como grave en el artículo 44.3.h) de la LOPD.

Los hechos.

En el escaner e impresora utilizados por la interventora del Ayuntamiento de Algemesí aparecieron unos documenos que podrían suponer que la interventora realizaba actividades personales o profesionales dentro de la jornada de trabajo que nada tienen que ver con sus funciones en el Ayuntamietno y que incluso podrían resultar incompatibles.

Los documentos fueron encontrados de forma casual. El hallazgo no fue documentado en ninguna diligencia.

El Pleno del Ayuntamiento acordó iniciar una investigación, y ordenaron al departamento de informática investigar los documentos del ordenador personal de trabajo de la tesorera para comprobar la existencia de documentos que evidencien actividades diferentes a las funciones que como Tesorera de este Ayuntamiento tiene encomendadas.

De la inspección efectuada se obtuvieron varias carpetas de documentos personales sobre actividades privadas que se grabaron en un DVD.

Entre los documentos hallados hay diversos de la Franquicia Now You SL y relacionados con las nóminas de sus empleados, pudiéndose deducir que la interventora era administradora de dicha sociedad.

El Ayuntamiento no tenía en el momento del acceso al ordenador usado por la interventora una política y protocolo de uso del equipo informático de los empleados, prohibiciones o tipos de acceso permitidos, con advertencia sobre medios de control y consecuencias del mismo.

La interventora se enteró del acceso a su ordenador cuando se le notificó el 26 de febrero de 2018 el acuerdo de solicitud de incoación de expediente disciplinario.

No existía una previa sospecha fundamentada de que la reclamante dedicara su tiempo a
funciones particulares.

El Ayuntamiento argumenta que:

  • No se puede compartir la interpretación de la AEPD sustentada en la aplicación de la Sentencia Barbulescu, porque dicha doctrina se refiere a un conflicto laboral en el seno de una empresa privada y aquí nos encontramos ante una Administración Pública, y con hechos totalmente diferentes a los presentes, ya que no se reúnen los requisitos para entender vulnerada la esfera de intimidad que alega la reclamante.
  • Los bienes, tanto ordenador como escáneres o impresoras sobre los que se pretende situar la expectativa de privacidad, son del Ayuntamiento y, por tanto, sometidos al régimen del artículo 132 de la Constitución, y sobre esta clase de bienes no existe ni puede existir esa potestad de tolerancia con ciertos usos personales.
  • La aplicación de los derechos fundamentales a los funcionarios debe ser
    conciliada con la relación de servicio a la Administración pública y el legislador completa los deberes de conducta de los funcionarios públicos con un régimen disciplinario que se concreta en el Real Decreto 128/2018, de 16 de marzo, por el que se regula el régimen jurídico de los funcionarios de la Administración Local con habilitación nacional.
  • No puede sostenerse una expectativa de privacidad basada en que no existía un
    código interno o documento similar prohibiendo el uso privativo de los dispositivos puestos a disposición de los funcionarios facilitados por el Ayuntamiento.
  • El hallazgo de documentos en el escáner no fue el único motivo que le llevan a tener sospechas previas, que se trató de un hallazgo casual, que hizo necesario, junto con el incumplimiento reiterado de la jornada laboral y la presentación de un certificado de asistencia que no se ajustaba a la verdad, acceder al ordenador, tratándose de una medida necesaria y proporcionada.
  • Se han cumplido los requisitos para la investigación practicada sobe los dispositivos citados y por ello existe causa de legitimación amparada en el artículo 6.1.c) y 6.1.e) del RGPD, en relación con el EBEP, el Real Decreto 128/2018, y la autonómica Ley 10/2010, de la Generalitat, por lo que no se ha infringido el artículo 6.1 de la LOPD.

El abogado del Estado argumenta que:

  • Resulta de aplicación la doctrina contenida en la sentencia "Barbulescu" que interpreta el artículo 8 de la Carta Europea de Derechos Humanos, por cuanto el derecho fundamental del artículo 18 CE y el artículo 8 de la Carta Europea no desaparece por encontrarnos en el ámbito estatutario, aunque en el presente caso el sujeto infractor sea una Administración pública.
  • Los ordenadores e impresoras del Ayuntamiento son bienes patrimoniales, que habrán de inscribirse en el inventario de Bienes de las Corporaciones Locales, según
    el artículo 27 del Real Decreto 1372/1986, de 13 de junio, y esa naturaleza patrimonial del bien no excluye que opere la expectativa de privacida.
  • El artículo 54.5 del EBEP no tiene el alcance que pretende el recurrente, encontrándonos en el contexto indicado en la sentencia Barbulescu y en este caso no se indicó por el Ayuntamiento en ningún momento que fuera a aplicarse ningún control sobre el ordenador, escáner y archivos almacenados en ellos, no existía protocolo ni instrucciones al respecto ni sobre los límites y condiciones de utilización.
  • Es clara la infracción del artículo 6 LOPD.
  • Si bien, de acuerdo con el artículo 6.2 de la LOPD no se requiere del consentimiento de los empleados para instaurar dicha medida, no existía información previa ni expectativas del uso de los datos para dichos fines. Y no existió proporcionalidad, ni necesidad de la medida adoptada, con vulneración de los derechosfundamentales de la denunciante.
  • No nos encontramos ante ninguno de los supuestos habilitantes previstos en los incisos c) y e) del RGPD, invocados por la actora, bastando una lectura del artículo 8 de la Ley Orgánica 3/2018, sin necesidad de mayores esfuerzos argumentales.


Pronunciamiento de la Audiencia Nacional:

  • Los principios generales del derecho de protección de datos son aplicables tanto a entidades públicas como privadas aunque en algunos supuestos la normativa pública pueda influir en el tratamiento llevado a cabo.
  • El hecho de que el sujeto infractor sea una Administración Pública no lleva, en lo que aquí atañe, a la desaparición del derecho fundamental del artículo 18 CE o del artículo 8 de la Carta Europea de Derechos Humanos.
  • El Real Decreto Legislativo 5/2015, por el que se aprueba el Estatuto Básico del Empleado Público ( EBEP), establece dentro del Capítulo I del Título III "derechos de los empleados públicos" en el artículo 14, que los empleados públicos tienen los siguientes derechos de naturaleza individual en correspondencia con la naturaleza jurídica de su relación de servicio: " j bis) A la intimidad en el uso de dispositivos digitales puestos a su disposición y frente al uso de dispositivos de videovigilancia y geolocalización (...) en los términos establecidos en la legislación vigente en materia de protección de datos personales y garantía de los derechos digitales".
  • El artículo 20.2 del mismo EBEP dispone que " Los sistemas evaluación del desempeño (...) se aplicarán sin menoscabo de los derechos de los empleados públicos" y el artículo 14.h) contempla entre dichos derechos, a la fecha de los hechos, el derecho al respeto de su intimidad y dignidad en el trabajo.
  • En orden a establecer una ponderación o justo equilibrio de los intereses en juego, resultan esenciales, en este caso en que no resulta aplicable ratione temporis el artículo 87 del RGPD, las pautas o criterios establecidos en la STEDH Barlubescu 2, de la Gran Sala, que anula la STEDH de 12 de enero de 2016 (Barlubescu 1).
  • En el caso de la empresa de la  STS, Sala de lo Social, de 8 de febrero de 2018 (Rec. 1121/2015) invocada por el Ayuntamiento, no es aplicable al presente supuesto, porque tiene un completo manual de instrucciones y reglas que los trabajadores deben conocer y aceptar al usar los sistemas informático toma en consideración en su Fundamento de Derecho sexto, que los empleados del Grupo empresarial "cada vez que acceden con su ordenador a los sistemas informáticos de la compañía, y de forma previa a dicho acceso, deben de aceptar las directrices establecidas en la Política de Seguridad de la Información del Grupo (...), en la que se señala que el acceso lo es para fines estrictamente profesionales, reservándose la empresa el derecho de adoptar las medidas de vigilancia y control necesarias para comprobar la correcta utilización de las herramientas que pone a disposición de su empleados, respetando en todo caso las legislación laboral y convencional sobre la materia y garantizando la dignidad e intimidad del empleado, por lo que el actor era conocedor de que no podía utilizar el correo para fines particulares y que la empresa podía controlar el cumplimiento de las directrices en el empleo de los medios informáticos por ella facilitados".
  • En el caso de la interventora no se informó a los empleados de la utilización de los equipos informáticos, con la advertencia de la existencia de medidas de control o supervisión del ordenador sobre las comunicaciones de los empleados, que es uno de los factores tomados en consideración por la sentencia Barbulescu 2.
  • La legitimación para el tratamiento consistente en el acceso al equipo informático asignado a la interventora puede obedecer a la comprobación del cumplimiento de sus funciones dentro de la relación que mantiene con el Ayuntamiento, y se puede arbitrar este tipo de accesos cuando se haya informado previamente del uso de los datos para dichos fines y en supuestos en que resulten proporcionales dichos accesos. Sin embargo, en el caso de autos no existía información previa sobre dicho uso o fines y tampoco existió proporcionalidad de la medida adoptada, pues se accede a todas las carpetas y archivos sin discriminar su contenido, de una
    forma especialmente invasiva, de tal forma que se han visto afectados documentos privados de la reclamante, documentos de salud, etc que se han recogido de forma innecesaria y sin relación con lo que se buscaba.
  • Por tanto, se considera acreditada la infracción por vulneración del principio del consentimiento del artículo 6 LOPD, sin que nos hallemos ante ninguno de los supuestos habilitantes previstos en los incisos c) y e) del RGPD, invocados por la actora, pues no concurren ninguno de los presupuestos establecidos en el artículo 8 de la LOPDGD para entender que se pueda considerar fundado el tratamiento de datos personales en cumplimiento de obligación legal, interés público o ejercicio de poderes públicos.
  • En cuanto a la infracción del artículo 9.1 LOPD en relación con los artículos 92, 97.1 y 2, y 101 del Reglamento de desarrollo de dicha Ley aprobados por Real Decreto 1720/2007 (RLOPD), aduce el demandante que dicha conducta no se encuentra tipificada en el marco de la LOPDGDD pues el artículo 73.f) de la misma,  en relación con el artículo 32.1 del RGPD no vincula el cumplimiento de las obligaciones de seguridad del responsable del tratamiento a unas medidas concretas, sino que se orienta a través de un enfoque de riesgo.
  • Así establece el RGPD en su artículo 5.2 "El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (responsabilidad proactiva)". Y el apartado 1 se refiere a los principios del tratamiento entre los que se encuentran. apartados a) y f), el modo en que han de ser tratados los datos "de manera lícita, leal y transparente", y "de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección (...) contra su pérdida, destrucción o daño accidental mediante la aplicación de medidas técnicas u organizativas apropiadas adecuadas. Ello implica, como subraya la AEPD, que la entidad es la que asume su propia responsabilidad dirigiendo y coordinando la materia en cuanto al personal que le presta servicios.
  • En este sentido el 32 del RGPD "Seguridad del tratamiento", establece: "1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: (...) b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios del tratamiento". Precepto con el que se conecta el artículo 73.f) de la LOPDGDD, que tipifica como infracción grave " f) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el artículo 32.1 del Reglamento (UE) 2016/679".
  • Se necesita, por tanto, un desenvolvimiento proactivo sobre la protección de los datos y guardar las evidencias de los pasos que se dan para cumplir con el RGPD junto a la circulación y vida de los datos, incluyendo eventuales instrucciones no solo de seguridad de soportes, sino como las que ha dictado para adaptarse al manejo de datos en sistemas de información y acceso del personal a los datos. De tal forma, que el hecho de que no se establezca expresamente como han de tratarse los soportes de almacenamientos de datos, no significa que no esté tipificado en el RGPD, y que deba reunir unos requisitos, y en ambos casos la conducta infractora acarrearía una infracción de medidas de seguridad en el tratamiento de datos.

Conclusión:

  • Queda acreditada la comisión de la infracción tipificada en el artículo 44.3.h) de la LOPD, por no tener activadas las medidas de seguridad que le eran exigibles para evitar que el soporte DVD que contiene datos e información asociada a la extracción en disco de datos del ordenador de la interventora, que sirve como prueba en el procedimiento disciplinario, que forma parte de un expediente, como soporte que contiene datos personales, no se haya cifrado, registrado, diligenciado y descrito su contenido. Extremos que no se cuestionan por el recurrente que se limita a propugnar la aplicación del RGPD y la LOPDGDD.