AEPD 02/12/2020
Se interpuso reclamación contra un ayuntamiento por difundir información personal de una empleada municipal obtenida de su ordenador, tras solicitar la alcaldía su acceso por la comisión de supuestas irregularidades.
La AEPD señala que, en este caso concreto, se ha producido un doble tratamiento de datos, puesto que, se ha accedido a datos personales almacenados en carpetas del escáner y del ordenador con el que prestaba servicios.
En ambos supuestos, este organismo considera que no se adoptaron las medidas necesarias para garantizar el correcto tratamiento de estos datos, ya que, se accedió a datos personales de la trabajadora que debieron haber estado especialmente protegidos.
Por ello, condena al ayuntamiento por la infracción de los arts.6 y 9 de la LOPD y comunica dicha resolución al Defensor del Pueblo.
Resolución en el procedimiento sancionador PS/00062/2019, instruido por la Agencia Española de Protección de Datos al AYUNTAMIENTO DE ALGEMESí, vista la denuncia presentada por A.A.A., y en base a los siguientes
PRIMERO: A.A.A. (en adelante, la reclamante) con fecha 9/08/2018 interpuso reclamación ante la Agencia Española de Protección de Datos. contra el AYUNTAMIENTO DE ALGEMESÍ, (en adelante, reclamado).
Los motivos en que basa la reclamación son que "Se ha ordenado por la Alcaldía al departamento de Informática del Ayuntamiento el acceso a mi ordenador en base a unas presuntas irregularidades cometidas por mí que no han sido justificadas y se ha hecho sin mi consentimiento y violentando mis claves de acceso personales. La documentación obtenida sin seleccionar aquella que es personal e íntima ha sido difundida a otros miembros y a prensa".
La reclamante presta servicios para el reclamado como ***PUESTO.1. Declara que el 27/03/2018 se le notifica un acuerdo del Pleno, de fecha ***FECHA.1, por el que se solicitaba a los órganos responsables de la Comunidad Autónoma, Dirección General de Administración Local, la incoación de un expediente disciplinario, por la comisión de determinadas infracciones tipificadas en la legislación de función pública.
Junto a la reclamación, aporta:
1) Copia firmada con el recibí de la reclamante, de 27/03/2018, del acuerdo de notificación de solicitud de incoación de expediente disciplinario, adoptado por el Pleno el ***FECHA.1, a propuesta de la Alcaldía, en escrito de 20/03/2018, relatándose los siguientes argumentos y situaciones:
a. El punto uno de la propuesta, se refieren los hechos relacionados con la presentación de la reclamante de un justificante de asistencia emitido por el Ayuntamiento de Valencia a jornadas de formación, figurando que se emite el 2/03/2018 certificado por el servicio de formación del Ayuntamiento de Valencia de qué esa jornada no existía, información que había sido solicitada el 23/02/2018.
b. En el punto segundo de la propuesta de alcaldía se indica: "que al haber aparecido documentos en el escáner y la impresora que podrían suponer que la reclamante realiza actividades personales o profesionales dentro de la jornada de trabajo que nada tienen que ver con sus funciones de ***PUESTO.1 y que incluso podrían resultar incompatibles, mediante providencia de la Alcaldía de fecha ***FECHA.3 se ordena al departamento de Informática que investigue los documentos del ordenador personal de trabajo para aclarar esos hechos". "De la inspección efectuada se obtuvieron varias carpetas de documentos personales sobre actividades privadas que se grabaron en un CD."
c. El resto de la propuesta valora la competencia para la instrucción y resolución del procedimiento disciplinario que se propone incoar, determinando que la competencia corresponde a la Generalitat Valenciana, Dirección General de Administración Local (DGAL en lo sucesivo) si fuera falta grave, o al Ministerio de Hacienda y Función Pública, si fuera muy grave.
d. Consta en la propuesta que se emitió dictamen de la Comisión informativa de economía, gestión administrativa y personal el ***FECHA.2.
e. En el acuerdo, se resuelve: remitir copia del expediente a la DGAL, indicando las posibles faltas que se consideran cometidas, figurando entre otras como muy graves la de incumplimiento sobe normas de incompatibilidades, la realización dentro de la jornada laboral de manera reiterada o con ánimo de lucro de algún tipo de actividad personal o profesional y como grave, entre otras, emplear o autorizar para usos particulares medios o recursos de carácter oficial. En los documentos que forman parte del expediente que se envía, figura en su punto 7 "Providencia de la alcaldía de ***FECHA.3 ordenando al departamento de informática la revisión del ordenador del trabajo de la funcionaria". En el punto 9: "DVD en el que figura la documentación extraída del ordenador del trabajo de la interesada que evidencia la realización dentro de la jornada laboral de otras actividades personales y profesionales que además podrían resultar incompatibles con su puesto de trabajo".
2) "Providencia de la Alcaldía", firmada el ***FECHA.3 ,que indica "Considerando que se han encontrado documentos-impresora y escáner- de la funcionaria ...sobre actividades que nada tienen que ver con las funciones públicas correspondientes a su puesto de trabajo como ***PUESTO.1 del Ayuntamiento...y que pueden resultar incompatibles con su puesto de trabajo",
DISPONE: "Que por el Departamento de informatica se acceda al ordenador de trabajo de la funcionaria, a fin de comprobar la existencia de documentos que evidencien actividades diferentes a las funciones que como ***PUESTO.1 de este ayuntamiento tiene encomendadas"..."Todo ello se realizará desde el cumplimiento de la normativa de Protección de Datos de carácter personal y con la máxima confidencialidad destinado a la información que se puede obtener solamente a los efectos de los expedientes que a la vista de los documentos puedan iniciarse destinando la información que se pueda obtener únicamente a los efectos de los expedientes a la vista de los documentos obrantes puedan iniciarse."
3) "En fecha 24/03 (antes de mi notificación del acuerdo de Pleno) se produce una filtración a prensa de los datos relativos al inicio del expediente y, por tanto, de parte del contenido de los documentos obtenidos en la intervención del ordenador siendo portada en los medios de comunicación de mayor tirada en la Comunidad Valenciana. Esta publicación añade un elemento de tensión y presión familiar y social sobre mí que ha hecho que sea muy duro emocionalmente incorporarme cada día a mi puesto de trabajo y seguir realizando mis funciones". Adjunta impresión de diario LEVANTE, de ***FECHA.4 con el titular "***NOTICIA.1" "El ayuntamiento de Algemesí acusa a su actual ***PUESTO.1 de ***INFRACCION.1". En la noticia se contiene el nombre y primer apellido señalando que "el Ayuntamiento de Algemesí ha propuesto a Presidencia de la Generalitat la apertura de un expediente disciplinario por faltas muy graves contra B.B.B., (...) que en la actualidad trabaja como ***PUESTO.1 de la citada localidad."" La alcaldía, que ha remitido el expediente a la Dirección General de Administración Local (competente para sancionar a funcionarios con habilitación nacional) considera que B.B.B. pudo cometer numerosas infracciones, entre ellas, ***INFRACCION.1. Además, se le achaca, siempre según el documento, el incumplimiento de las normas sobre incompatibilidades al constar que en su tiempo de trabajo realizaba".
También se indica que "documentos que aparecieron en el escáner y la fotocopiadora levantaron las sospechas y la alcaldía ordenó al departamento de informatica que investigara los documentos de su ordenador. Tras la inspección se encontraron varias carpetas de documentos personales sobre actividades privadas que se encuentran grabadas en un DVD".
4) "El 10 de julio recibo notificación de la Dirección General de Administración Local de la Generalitat Valenciana por la que se me comunica el Inicio del expediente sancionador por idénticos motivos a los alegados en el acuerdo de denuncia (que es así como lo define el acuerdo de la Generalitat) remitido por el Ayuntamiento de 22/03. Se adjunta como DOCUMENTO nº11.
5) Aporta copia de escrito dirigida a la reclamante por el reclamado de 11/04/2018 en el que señala que "en relación al escrito presentado por usted el 10 de abril del 2018 solicitando a los documentos del expediente completo", y le informa que los documentos que se enviaron junto a la convocatoria a los miembros de la comisión informativa de personal son los mismos que lo los que se adjuntaron al escrito del regidor que suscribió el 9/04/2018, qué se le ha notificado a usted el mismo día, que vuelve a enumerar, sin que entre ellos se haga mención al DVD, ni a concretos documentos hallados en el escáner. La reclamante manifiesta que además de tomarse el acuerdo sin saber de qué documentos se trata, "no figuran los documentos aparecidos en el escáner y la impresora" que justifican, según el acuerdo, la posterior intervención del ordenador, ni a ella le han sido entregados,
-Indica:
A-"De la tramitación de dicho expediente y por supuesto de la intervención de mi ordenador tuve conocimiento el mismo día con la comunicación del Acuerdo por lo que todas las actuaciones previas que se realizaron fueron efectuadas sin mi conocimiento y, por tanto, sin mi consentimiento.",
B- "solicitó información a la Junta de Personal del Ayuntamiento en fecha 28/03 sobre si ha tenido ese órgano conocimiento o ha sido informado de las actuaciones investigadoras que se estaban realizando o si le fue comunicada la providencia de la Alcaldía que ordena la intervención de mi ordenador y si estuvo presente algún representante cuando se realizaron estas actuaciones" "se me informa en fecha 29/03 que no a ambas cuestiones ". Acompaña dos escritos, uno firmado por la reclamante dirigido a la presidenta del comité de empresa en tal sentido y la respuesta a ambas cuestiones fue que no en el escrito del comité.
C-En la documentación aportada, figura la copia del CD con la documentación extraída de su ordenador, y que "se entregó no solo como Anexo al acuerdo que se remitió a la Dirección General de Administración Local, sino además a los integrantes de la Junta de Portavoces y miembros de la Comisión Informativa de Hacienda que se celebró previa al Pleno."
"El CD contiene una copia íntegra de la carpeta de descargas de mi ordenador, de la carpeta de "Desktop" y de la carpeta de "Descargas" y de la misma no se ha efectuado una diferenciación de aquellos documentos que no teniendo que ver con la cuestión planteada afectan a mi intimidad personal. Adjunto copia de las carpetas y archivos extraídos en formato PDF (cuya justificación se acompaña como DOCUMENTO Nº5) donde aparecen archivos personales evidentes como son mis contraseñas personales, mi declaración de la renta, mis cuentas personales, transferencias, las rutas del colegio de mi hija, la matrícula de la universidad, mi TFM del Máster que estoy cursando, mi certificado de deudas tributarias con la AEAT, reservas de vuelos, nóminas, etc."
Se debe señalar que en los dos archivos electrónicos de la reclamación del 9/08/2018, el DOCUMENTO 5 no es aportado, pasando de referir el documento 4 en el primer envío, al 6 y siguientes en el segundo.
D-"No existe ni se me comunicaron instrucciones respecto al uso del ordenador en el ámbito de mi trabajo que establezca las reglas de uso de estos medios (con aplicación de prohibiciones absolutas o parciales) ni se me informó de que se pondría en marcha un control, ni de cómo se iba a realizar o con qué medios en orden a comprobar la corrección de su uso."
SEGUNDO: A la vista de los hechos denunciados en la reclamación y de los documentos aportados por la reclamante, la Subdirección General de Inspección de Datos procedió a la realización de actuaciones siguientes:
A) Traslado de la reclamación en escrito de 2/10/2018 a reclamado, para que de conformidad con art. 9.4 del Real Decreto-ley 5/2018 (BOE 30/07/018) la analice, y le comunique a la reclamante la decisión adoptada, con remisión a la AEPD de la siguiente información:
"1. Copia de las comunicaciones, de la decisión adoptada que haya remitido al reclamante a propósito del traslado de esta reclamación, y acreditación de que el reclamante ha recibido la comunicación de esa decisión.
2. Informe sobre las causas que han motivado la incidencia que ha originado la reclamación.
3. Informe sobre las medidas adoptadas para evitar que se produzcan incidencias similares.
4. Cualquier otra que considere relevante." El envío fue recibido el 3/10/2018.
Con fecha 7/11/2018, se recibe respuesta del DPD de reclamado, SEGURIDAD Y PRIVACIDAD DE DATOS , aportando:
1)-Copia de respuesta a la reclamación a la reclamante, notificada telemáticamente el 6/11/2018, identificado como núm. salida ***NÚMERO.1 de 5/11/2018, que según manifiesta es prueba de haber enviado respuesta a reclamante. Añade que se también ha enviado la respuesta por correo certificado que aún no ha recibido los justificantes. En el escrito dirigido a la reclamante reitera los motivos por los que se incoa expediente sancionador, y que dentro de las atribuciones propias del Ayuntamiento, está el control de los medios propios, utilizados por el personal a su cargo.
El escrito de respuesta, que lleva fecha 22/10/2018, en el punto quinto explica que la base legitimadora de los datos es: "Resulta evidente que a la vista de la existencia de documentación conteniendo datos de carácter personal susceptibles de protección, recorriendo las dependencias del Ayuntamiento sin control alguno, e identificándose el uso de los mismos por Usted y por la documentación presentada aparentemente falseada, no quedaba otro remedio que comprobar el uso adecuado y legítimo de dichos datos, y otros que usted posiblemente estaba tratando, así como las posibles brechas de seguridad y, de existir, si las mismas afectaban directamente (datos en poder del propio Ayuntamiento) o indirectamente (por aplicación de la responsabilidad derivada por los actos del personal a cargo del Ayuntamiento) al Ayuntamiento de Algemesí.
Para dichos fines y siempre dentro del respeto a la intimidad y a los derechos que a Usted le asisten, el Ayuntamiento se vio en la necesidad de recabar datos suficientes para la defensa de los interesados, valoración del impacto que pudiera haberse producido y para la adecuada instrucción del expediente sancionador."
En el punto sexto le informa que "El Ayuntamiento no ha tenido acceso ni ha utilizado publicado los datos de carácter personal relativos a usted salvo los necesarios a fin de cumplir con las obligaciones de carácter laboral que le unen al mismo y cuya legitimación resulta implícita a la propia relación existente entre ambos."
Indica también en este punto séptimo que "en la adopción del acuerdo de solicitar la Incoación del expediente disciplinario adoptado por el pleno del 22 de marzo del 2018, dado el carácter público de esa sesión, se omitió citar nombres de funcionarios relatando solo hechos para objetivar las medidas a adoptar y para preservar la privacidad del funcionario".
En el punto octavo del comunicado le indica que "En el CD donde se recopiló información, solo constan datos profesionales, algunos procedentes de trabajos al servicio del Ayuntamiento y otros de sus trabajos personales, no datos de carácter personal suyos o de sus familiares."
En el punto noveno le indica "La adecuación o no al procedimiento de lo que usted denomina intervención que no fue más que una revisión de ciertos contenidos a efectos de asegurarnos de la legalidad de los tratamientos de datos será dilucidada en el cauce procesal oportuno y que en ningún caso está bajo la supervisión de la AEPD".
Le indica en el punto undécimo que frente a su manifestación de que no existen normas de uso interno del uso de archivos, datos y su uso en el ordenador que existe como normativa aplicable, el artículo 54.5 del Estatuto básico del empleado público que determina que "los funcionarios públicos administrarán los recursos y bienes públicos con austeridad y no utilizarán los mismos en provecho propio o de personas allegadas, en parecido sentido, el artículo 88.5 de la ley 10/010 de 9/07 de la Generalitat, Ley de ordenación y gestión de la función pública valenciana.
2) Escrito dirigido a la AEPD informando que ha enviado a la reclamante el escrito de respuesta en el que se informa que la actuación se ha realizado con respeto a las normas sobre protección de datos, siendo la motivación principal, la "defensa de datos personales de los posibles interesados que pudiera verse en peligro por la actuación de un funcionario al servicio del mismo".
En cuanto a medidas adoptadas para evitar situaciones como la de la reclamación, entre otras:
-Se ha contratado a un Delegado de Protección de Datos el 11/06/2018, ha publicado el registro de tratamientos.
-"Se pasó un documento a todos los empleados del 18/10/2018 sobre confidencialidad y medidas de seguridad, y prohibiciones adaptado al RGPD" (indica que se adjunta el documento, si bien no se aporta) y se ha iniciado el expediente sobre la aprobación de la política de seguridad de la información."
TERCERO: Con fecha 14/11/2018 la directora de la AEPD acuerda admitir a trámite la reclamación.
CUARTO: Se recibe escrito de la reclamante de 28/02/2019, informando que se halla en trámite un procedimiento penal en el seno del cual tuvo conocimiento de la respuesta a su reclamación, emitida por el DPD con la que no está de acuerdo con los motivos que explica motivaron el acceso a su equipo informático por no corresponderse con los hechos puestos de manifiesto en el comunicado de acuerdo para la incoación de procedimiento disciplinario. Principalmente, indica que no se aportaron los documentos que se recogen el acuerdo, documentos que habían generado las sospechas para el acceso del ordenador.
QUINTO : Se recibe escrito de la reclamante de 21/03/2019 (folios 145 y ss.) en el que adjunta declaraciones de diversas personas físicas, entre otros la ***PUESTO.2 C.C.C., el ***PUESTO.3 D.D.D., funcionarios de la entidad reclamada., "delito contra la intimidad" previas XXX/2018, en el que figura como denunciante la reclamante.
Aporta copia de las declaraciones de:
a) D.D.D. de 20/03/2019, en el sentido de que para acceder al contenido del equipo informático de la reclamante lo hizo como administrador, sin necesidad de acudir físicamente al mismo, pues "... la mayor parte de la información está en la red, en los servidores", y otra en "ordenador "el ordenador era propiedad del ayuntamiento"" No llegó a ver los documentos encontrados en la impresora y escáner" "no tuvo que acceder a ninguna clave de usuario de la querellante porque entró con la clave de administrador "Por correo electrónico le llegó la providencia", si bien no recuerda si accedió al equipo de la reclamante ese día o al día siguiente. Manifiesta que en conversación con la ***PUESTO.2, esta descartó la opción de acceder al equipo con la presencia de la reclamante. "Le dijo la ***PUESTO.2 que había que hacer una inspección de documentos" "De la carpeta mis documentos que se encuentra en los servidores aunque cada usuario solo puede ver la suya, el declarante cogió las carpetas que había en mis documentos de la querellante y además, otros documentos del ordenador de la querellante del escritorio, siendo dos o tres carpetas" "Los seleccionó y los copió en un DVD, conforme a las instrucciones recibidas por la ***PUESTO.2." "El DVD no se encriptó y se lo dio personalmente a la ***PUESTO.2 en el momento en que lo grabó" "No llegó a abrir ningún documento "Cuando se hizo la intervención del ordenador, no se hacía ninguna advertencia a los funcionarios sobre el contenido de la información que se podía tener en los ordenadores, porque no había entrado en vigor el RGPD y no era necesario" "no se hizo ningún acta de intervención, el declarante estaba" solo cuando se hizo y se lo entregó directamente a la ***PUESTO.2, sin tampoco ningún acta de diligencia" "desconoce si la ***PUESTO.2 mostró a los Concejales el contenido del DVD"."A fecha de hoy el Ayuntamiento no está todavía ajustado al esquema nacional de seguridad" y que ""Todos los funcionarios saben que el administrador tiene acceso a toda la documentación y que tiene copias de seguridad" "No entró en el correo electrónico ni en los datos de navegación".
b) De la jefa y encargada de gestión de personal de 20/03/2019. Se indica que fue la persona que "redactó la providencia de ***FECHA.3 de acuerdo de intervención del ordenador" "La ***PUESTO.2 le dijo que tenía antecedentes previos y que tenía que redactar una providencia para averiguar unas razones a fin de determinar si se incoaba expediente" "la redactó en horario de trabajo conforme a lo que la ***PUESTO.2 le minutó" "No vio los documentos que aparecieron en el escáner" "La ***PUESTO.2 le comentó que quería ver si esa funcionaria estaba realizando tareas que no fueran las propias del puesto" "Los documentos que aparecieron en el escáner no están en el expediente administrativo que se elevó a la Dirección General" "La declarante no le pidió a la ***PUESTO.2 esos documentos" "respecto a la no utilización de los medios de la administración por los funcionarios para usos personales, conoce lo que señala el TREBEP y no se ha hecho una comunicación interna a los funcionarios sobre esta cuestión" "No sabe quién hizo la comprobación del contenido del volcado" "La ***PUESTO.2 le dijo que figuraban documentos que no tenían nada que ver con el puesto de trabajo, que no lo recuerda pero que dijo algo de empresas que nada tenían que ver con el ayuntamiento" "no ha visto el DVD" "no sabe con quién comprobó la ***PUESTO.2 los documentos que contiene el DVD" "De la entrega del DVD de la ***PUESTO.2 a ella no se hizo ningún acta" "Cuando se lo dio a la declarante ya habían comprobado el contenido y lo habían visto los concejales" y "pasaron unos días hasta que se lo entregaron" "La querellante solicitó una copia y se le entregó " "El DVD no está puesto dentro del expediente electrónico porque para poder pasar el expediente a la comisión informativa deben estar foliados y firmados y no se incluyó el DVD" "El DVD luego se remitió a la Dirección General" "La impresora está en un pasillo donde hay mucha gente que tiene acceso". "Que la querellante puso un recurso contencioso administrativo que se ha desestimado" "cuando el Juzgado reclamó el expediente administrativo, se acordó no mandar el DVD" "Sabe que por la Dirección General se incoo expediente, nombrando instructor y secretario, y está paralizado por la prejudicialidad penal de esta causa".
c) De testigo, 20/03/2019, que manifiesta "que era presidenta de la junta de personal funcionario del ayuntamiento" "ni la ***PUESTO.2 ni ningún funcionario le comunicó antes de la intervención del ordenador que la iban a realizar". "La primera noticia que tuvo fue cuando la querellante le presentó un escrito de ***FECHA.4""el 29/03/2018 se celebró una Junta, y se contestó que no habían tenido conocimiento ni de la intervención ni de la documentación ni del expediente" "Que no se puso en contacto la declarante ni la junta de personal con la ***PUESTO.2" "De todo lo que se enteró fue por la prensa" "De este tema nunca ha hablado con la ***PUESTO.2 "En la fecha de los hechos, a los funcionarios no se les comunicaba expresamente que no podían utilizar los ordenadores para uso personal, pero ahora sí, se les remitió un escrito vía mail, muy farragoso comunicando que no podían utilizar los medios materiales del ayuntamiento para usos propios" "En la Junta no se comentó si se debería haber citado a algún miembro de la junta de personal para estar presente en la intervención".
SEXTO: Con fecha 26/07/2019, la Directora de la AEPD acuerda:
"1. INICIAR PROCEDIMIENTO DE DECLARACIÓN DE INFRACCIÓN al AYUNTAMIENTO DE ALGEMESÍ, por la presunta infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3 b) de dicha LOPD.
2. INICIAR PROCEDIMIENTO DE DECLARACIÓN DE INFRACCIÓN al AYUNTAMIENTO DE ALGEMESÍ, por la presunta infracción del artículo 9.1 de la LOPD, en relación con los artículos 92, 97.1 y .2 y 101 del RLOPD tipificada como grave en el 44.3.h) de la LOPD.
3. SUSPENDER el procedimiento nº PS/00062/2019 incoado al AYUNTAMIENTO DE ALGEMESÍ" al constatarse la existencia de demanda penal sobre los hechos."
SÉPTIMO: En fecha 26/12/2019, se recibe escrito de la reclamante en el que manifiesta que se ha dictado sobreseimiento en el procedimiento penal. Aporta copia del auto YYYY/2019 de 23/12/2019 de la Audiencia Provincial de Valencia, sección 3ª, apelación de resolución procedimiento abreviado XXX/2018 del Juzgado de Instrucción 2 de Alzira (folio 187 y ss.). El recurso de apelación se formula tanto por la reclamante como por C.C.C. (***PUESTO.2 del Ayuntamiento de Algemesí).
El razonamiento jurídico primero indica que comenzando por el recurso interpuesto por la ***PUESTO.2 del Ayuntamiento de Algemesí interesa sobreseimiento de actuaciones pues el objeto se limitó a un delito contra la intimidad permitiendo que se accediera al ordenador utilizado por la querellante Sra. B.B.B. (***PUESTO.1 en el citado Ayuntamiento) para comprobar si era utilizado para actividades ajenas a sus funciones municipales. Llevado a cabo el acceso se procedió a incoar expediente disciplinario contra la querellante por realizar dentro de la jornada laboral actividades personales y profesionales ajenas a sus funciones."
"Aunque en sede laboral y no contenciosa administrativa el acceso por la empresa al ordenador de su propiedad y utilizado por sus trabajadores es cuestión debatida que han seguido distintos criterios jurisprudenciales uno de ellos marcado por la sentencia de la gran sala del Tribunal Europeo de Derechos Humanos de 5/09/2017 (caso Barbulescu) ha venido a armonizarlo y a concretar ""En la jurisprudencia penal se ha podido pronunciar sobre esta cuestión al examinar la alegación de la nulidad de prueba obtenida mediante la sentencia del Supremo de 23/10/2018 recurso 1674/2017 n 498/2018 qué señala que en la citada sentencia "acudiendo a la clásica técnica, se habla de la insoslayable necesidad de ponderar los bienes en conflicto. De una parte el interés del empresario en evitar o descubrir conductas desleales o ilícitas del trabajador. Prevalecerá sólo si se atiene a ciertos estándares que han venido a conocerse como test Barbulescu.
Se enuncian criterios de ponderación relacionados con la necesidad y utilidad de la medida, la inexistencia de otras vías menos invasivas, la presencia de sospechas fundadas...Algunos se configuran como premisas de inexcusables concurrencia. En particular no cabe un acceso inconsentido al dispositivo de almacenamiento masivo de datos si el trabajador no ha sido advertido de esa posibilidad y/o además no ha sido expresamente limitado el empleo de esa herramienta a las tareas exclusivas de sus funciones dentro de la empresa (los usos sociales admiten en un grado y según los casos como se ha dicho, el empleo para fines personales creándose así un terreno abonado para que genera una expectativa fundada de privacidad que no puede ser laminada o pisoteada).
El resto de los factores de ponderación entran en juego para inclinar la balanza en uno u otro sentido sólo si se cuenta con ese presupuesto. En otro caso, habrá vulneración aunque existe necesidad, se use un método poco invasivo etc."
Y continúa diciendo que "esta es la clave que nos permite resolver este asunto. Podrían existir razones fundadas para sospechar y entender que el examen del ordenador era una medida proporcionada para esclarecer la conducta desleal y evaluar los perjuicios, se buscó además una fórmula lo menos invasiva posible pero faltaba un prius inexcusable. Si existiese esa expresa advertencia o instrucción en orden a la necesidad de limitar el uso del ordenador a tareas profesionales (de lo que podría llegar a derivarse una anuencia tácita al control, o, al menos, el conocimiento de esa potestad de supervisión) y/o además alguna cláusula conocida por ambas partes autorizando la empresa medidas como la aquí llevada a cabo o si se hubiera recabado previamente el consentimiento de quien venía usando de forma exclusiva o el ordenador (en caso de negativa nada impedía recabar la autorización necesaria) pocas dudas podrían albergarse sobre la legitimidad de la actuación indagatoria llevada a cabo por la empresa. Pero en las circunstancias en que se llevó a cabo hay que afirmar que el ordenamiento ni consiente, ni consentía en la fecha de los hechos, tal acción intrusiva por ser lesiva de derechos fundamentales"
"Es inevitable recordar que los criterios citados se expresaban para determinar la validez de la prueba obtenida del acceso al ordenador utilizado por el trabajador, cuestión que obviamente, requiere una mayor exigencia que cuando, como en el caso de autos no se plantea la mera regularidad a efectos probatorios del acceso al ordenador sino su calificación como delictiva"
Alude al ejemplo de la sentencia del Tribunal Supremo de 14/10/2011 recurso 10365/2011 nº 1045/2011, señalando que el delito de descubrimiento y revelación de secretos del artículo 197 del código penal requiere en el elemento subjetivo una conducta típica que ha de ser dolosa, pues no se recoge expresamente la incriminación imprudente. Continúa indicando que "Sin entrar a valorar la regularidad o irregularidad de la actuación de la señora ***PUESTO.2 y sin necesidad de determinar el valor probatorio que puedan tener los archivos obtenidos, no puede calificarse como penalmente relevante la actuación del apelante por razones que expone", y "estima penalmente irrelevante la actuación de la señora ***PUESTO.2 con relación a los archivos guardados por la querellante en el sistema informático del Ayuntamiento (ordenador y servidor) y, en consecuencia, se estima procedente el sobreseimiento de las actuaciones que ha interesado la apelante aunque siempre sin perjuicio de valor probatorio que en otra jurisdicción pueda atribuirse a la información así obtenida o incluso de la responsabilidad administrativa en que haya podido incurrir en virtud de la legislación de Protección de Datos."
"Procede en consecuencia estimar el recurso interpuesto por la representación de C.C.C."
Alude el fallo también en el fundamento de derecho tercero, final a la "sentencia del juzgado de lo Contencioso administrativo 7 de Valencia el ***FECHA.5 que desestimó la demanda interpuesta por la querellante contra el acuerdo del Ayuntamiento de solicitar la incoación de expediente disciplinario contra la misma, demanda en la que entre otras alegaciones aludía a la vulneración de sus derechos por la decisión de la ***PUESTO.2 de acceder a su ordenador ".
OCTAVO: Con fecha 17/01/2020, se remite escrito al Juzgado solicitando certificación de la situación del procedimiento y se recibe escrito de 12/03/2020, del Juzgado de Primera Instancia e Instrucción nº 2 de Alzira que remite diligencia de constancia en la que se indica que en fecha 23/12/2019, la Audiencia Provincial de Valencia "acuerda el sobreseimiento provisional, el cual es firme, por lo que el procedimiento penal se encuentra archivado". Se indica el procedimiento abreviado XXX/2018, delito contra la intimidad, contra varias personas entre las que se incluye C.C.C., o D.D.D. por mencionar solo alguno.
NOVENO: Con fecha 23/03/2020 se acuerda LEVANTAR la SUSPENSIÓN del procedimiento sancionador incoado al AYUNTAMIENTO DE ALGEMESÍ, y continuar su tramitación, produciéndose la efectiva recepción el 2/06/2020. Transcurrido el tiempo otorgado, no se reciben alegaciones.
DÉCIMO: Con fecha 22/06/2020 se acuerda iniciar un periodo de practica de pruebas, y practicar las siguientes:
1. Dar por reproducidos a efectos probatorios la reclamación interpuesta y su documentación, los documentos obtenidos y generados por los Servicios de Inspección ante el reclamado, AYUNTAMIENTO DE ALGEMESÍ, y las actuaciones que forman parte del expediente E/06844/2018.
2. Asimismo, se da por reproducido el escrito de la reclamante sobre comunicación de la sentencia de la AP Valencia que resuelve el asunto penal y las diligencias remitidas y recibidas con el Juzgado sobre dicho asunto.
Además, se amplían las pruebas a las siguientes:
3. A RECLAMADO, se le solicita, aporte o informe sobre:
3.1) En el acuerdo del pleno del Ayuntamiento de ***FECHA.1 que recoge la solicitud de incoación de expediente disciplinario formulada por la ***PUESTO.2, se contiene:
a-Se emitió dictamen de la COMISIÓN INFORMATIVA DE ECONOMÍA, GESTIÓN ADMINISTRATIVA Y PERSONAL el ***FECHA.2. A este respecto, se solicita que informen la normativa que faculta su petición y emisión, y si se le entregó copia del DVD conteniendo lo extraído del equipo informático de la reclamante.
En el mismo sentido, si dicho DVD, en dicha fecha o antes, fue enviado, mostrado o traspasado a algún cargo público, grupo municipal, etc., explicando el motivo.
Se recibe respuesta de 6 y 07/7/2020, manifestando que la solicitud de incoación se tenía que adoptar en el Pleno, por lo que se ha de incluir el asunto en el orden del día. "En el orden del día solo pueden incluirse asuntos que hayan sido previamente dictaminados por la Comisión Informativa (artículo 82.2 del Real Decreto 2568/86 de 28/11 por la que se aprueba el Reglamento de organización funcionamiento y régimen jurídico de las entidades locales, ROF. "
Declara que el DVD solo se envió a la DGAL, añadiendo que "fue mostrado" a un único miembro de los grupos políticos que tenía que votar en el Pleno, "pues sin saber el motivo difícilmente podían justificar su voto "No se mostraron los documentos en detalle. Únicamente la relación existente en las carpetas copiadas explicándoles el caso. Con el nombre de los documentos ya se deduce que se trataba de asuntos ajenos al puesto de trabajo".
Aporta DOCUMENTO DOS que es un escrito del Secretario Delegado de la Comisión Informativa de Economía, gestión administrativa, y personal de 10/01/2019 en el que indica que en la sesión celebrada el 21/03/2019 sobre el asunto de incoación de expediente disciplinario a la reclamante, se envió el 20/03/2018 documentación a través de la aplicación informática del Ayuntamiento a todos los regidores que conforman la Corporación, y a la interventora y secretario general. En ninguno de los documentos que menciona como remitidos figura referencia al DVD, si a la providencia de la alcaldía de ***FECHA.3 que ordena al departamento de informatica el acceso al ordenador de trabajo de la reclamante "para comprobar la existencia de documentos que evidencien actividades diferentes a las funciones que como ***PUESTO.1 del Ayuntamiento tiene encomendadas". Se indica en el apartado segundo del escrito que "no se facilitó ninguna copia de ningún documento contenido en el DVD y tampoco se mostró el contenido a los miembros asistentes a la comisión informativa" . "El 22/03/2019 se envió el dictamen adoptado por la comisión informativa a través de la aplicación informatica al Secretario General y a una administrativa adscrita a este, al objeto de su inclusión en el orden del día de la sesión del pleno".
Alude fuera de la cuestión a que la sentencia RRR-2019 del Juzgado de lo Contencioso Administrativo 7 de Valencia, concluye que procede la desestimación de la demanda por no haber quedado acreditado que la actuación realizada por la Corporación Local resulte contraria a las determinaciones contenidas en el precepto invocado, que establece su obligación de emitir una propuesta razonada sobre los presuntos hechos cometidos y la autoría de los mismo y remitirla al órgano correspondiente de la Comunidad Autónoma a la que pertenezca, señalando asimismo la normativa de aplicación el deber de que una a dicho escrito la documentación estime pertinente, sin que haya quedado acreditada la vulneración de derechos que alega la recurrente, pues la no intervención de la interesada en este fase previa no resulta suficiente para decretar la nulidad de lo actuado... Tampoco ha quedado acreditada la vulneración del derecho a la intimidad que denuncia ni la filtración a la prensa o a los grupos políticos, pues estas cuestiones han sido negadas de contrario y ninguna prueba se ha practicado que acredite las manifestaciones en este punto de la actora. Por todo ello procede la desestimación de lo solicitado". Aporta como acreditación, DOCUMENTO UNO, entrada ***NUMERO.2 ***FECHA.6 que contiene la sentencia de ***FECHA.5 contra la que cabe recurso de apelación. La sentencia indica que la reclamante interpuso la demanda contra el acuerdo del pleno del Ayuntamiento de ***FECHA.1 que acordó solicitar la incoación del expediente disciplinario.
b-En el punto dos, se indica que "aparecieron documentos en el escáner y la impresora que podrían suponer que la funcionaria realizaba actividades personales y profesionales dentro de la jornada de trabajo que nada tenía que ver con las funciones encomendadas". A este respecto, por guardar relación esta cuestión con el acceso y habilitación a los equipos informáticos, se les solicita Informe sobre cómo han documentado dichos hallazgos de la documentación hallada en escáneres e impresora, si existe diligencia o algún tipo de documento que indique fechas en que el hallazgo se produce, persona que halla esos documentos, concreción de los documentos a través de la remisión de una copia al menos representativa de los mismos, y modo en que se han incorporado al expediente y conservado desde su hallazgo).
En segundo lugar, si no se hallaron dichos documentos, expliquen el motivo de porque se accede al equipo informático.
Manifiesta que esos hallazgos no fueron documentados, "únicamente se custodiaron en el ***DEPARTAMENTO.1". "Posteriormente, comprobando que algunos documentos aún estaban en el escáner, sí que se levanta acta de los existentes y se copian en un CD que se encripta con contraseña. El CD se encuentra en un sobre cerrado y firmado por los asistentes, custodiado por el inspector de policía local presente en dicho acto."" Se adjunta como DOCUMENTO TRES, acta de cumplimiento de providencia del regidor delegado de personal de 7/11/2019 en la que:
-acceden a una dirección de "acceso a la unidad escáner Algemesí.net/ficheros (W) que señalan y revisan los ficheros existentes en esa unidad que parezcan ajenos al trabajo que se desarrolla en ***DEPARTAMENTO.1, figurando 20 relaciones numéricas algunas comienzan por 2017, 2018 y 2019, pudiendo referirse el resto de numeración a la fecha". Indican que a continuación, un empleado procede a grabar una copia de los documentos existentes en este momento en la mencionada unidad en un dispositivo externó protegido con una contraseña registrada el archivo de contraseñas del departamento de informática y se guarda este dispositivo externo en un sobre firmado por todos los asistentes.
Figura DOCUMENTO CUATRO, "PROVIDENCIA DEL CONCEJAL SOBRE DOCUMENTOS ESCANER DE 6/11/2019" que del literal se desprende que en la solicitud de apertura de expediente disciplinario contra la reclamante, "se hace referencia a una serie de documentos encontrados en la carpeta informática de escaneo del ***DEPARTAMENTO.1 que podrían suponer que la funcionaria realizaba actividades personales o profesionales dentro de la jornada de trabajo que nada tenían que ver en sus funciones como ***PUESTO.1 y que incluso podrían resultar incompatibles. "El ***DEPARTAMENTO.1 está formado por tres funcionarios, la propia ***PUESTO.1, un técnico (...) y una auxiliar administrativa. Los documentos que figuran en la carpeta de escáner del departamento son visibles por todos los funcionarios que forman parte del mismo, al tratarse de una carpeta compartida. Según se indica desde el ***DEPARTAMENTO.1, en la carpeta compartida de escáner todavía quedan documentos de la funcionaria B.B.B. ajenos al trabajo que desarrolla en el ayuntamiento como ***PUESTO.1." "disponiendo que uno de los tres empleados que señala, acceda a la carpeta compartida del escáner de este departamento y proceda a la extracción e impresión de los documentos mencionados."" levantando acta" que firman diversos empleados como asistentes. Señala que el responsable de informatica guardará copia de los documentos extraídos en un dispositivo externo protegido, custodiándolo uno de los asistentes, citándose a los asistentes al acto, que tendrá lugar el 7/11/2019.
3.2 Copia de la resolución sancionadora recaída por los hechos contenidos en la orden de incoación de disciplinario.
Se responde que el expediente no está finalizado, pues quedó suspendido por la interposición de la reclamante de procedimiento penal, que quedó archivado con auto de sobreseimiento provisional , en el que no se apreció delito, figurando copia en DOCUMENTO CINCO.
El 10/03/2020 se produjo el levantamiento de la suspensión del procedimiento, figurando en copia en DOCUMENTO SEIS.
3.3 Copia del DVD conteniendo el resultado de los accesos al equipo informático de la reclamante y copia de la entrega a la reclamante cuando lo solicita.
Se contiene en DOCUMENTO SIETE que no se puede enviar por sede electrónica y se envía un DVD, siendo el registro de entrada de 15/07/2020 número ***NUMERO.3 que la clave para desencriptarlo figura en el escrito de manifestaciones presentado en la Agencia, refiriéndose al de entrada de 6/07/2020( remite por sede electrónica señalando la contraseña para la apertura). Al abrirse, se observa una estructura de DOCUMENTO SIETE, ALGEMESÍ, y tres carpetas, capacidad de los datos almacenados, 1,71 GB:
-carpeta 1 denominada DESKTOP, traducción escritorio, propiedades: 31.335 KB, cuatro carpetas, 80 archivos Figuran entre otras, la carpeta CLAVES PERSONALES, de la clave de portal del empleado, borradores contrato cesión actividad ópticas, contraseña acceso Ayuntamiento Algemesí de la reclamante , documento certificado titularidad de cuenta de la Caixa de la reclamante, nómina de abono a empleado de empresa franquicia ***EMPRESA.1
-carpeta 2 denominada DOWNLOADS, descargas, propiedades: 1.824.810 KB, 1049 archivos.
información sobre franquicia ***EMPRESA.1, cuenta de resultados SPA, facturas de empresa de fotografía a nombre de otra persona.
-carpeta 3 denominada MIS DOCUMENTOS, 8 carpetas siendo las más relevantes:
· C.C.C. PERSONAL, con 14 carpetas y 7 archivos. Se contienen por mencionar alguna parte de sus contenidos, la renta de la reclamante presentada en 2015, en la carpeta T CUENTAS E.E.E. información sobre nota de reparos en un expediente, parece que es información de tipo profesional desarrollada en el Ayuntamiento, Contrato de seguro con ZURICH motor de un vehículo a nombre de la reclamante fecha de efecto de vigencia del contrato 23/07/2015, listado de cuentas anuales pérdidas y ganancias del ejercicio 2017 de la empresa ***EMPRESA.3 , documentos sobre una sociedad que se dedica al negocio de la óptica denominada ***EMPRESA.4 , nómina de mes de noviembre 2016 de la reclamante, solicitud aplazamiento impuesto plusvalía de 2/12/2016, alegaciones sobre un procedimiento sancionador del Ayuntamiento de Valencia, documento de reconocimiento de situación económica entre la reclamante y otra persona, recibos y adeudos de esa tercera persona así como documentos a ella referidos
· EXPTES VALLADOS SOLARES,
· INSTRUCCIONES GEST DOC,
· PENDIENTE, vacía
· TEMAS PERSONAL. Figura la nómina de 8/2016 de la reclamante, certificados de temas de personal, DNI escaneado, fotografía y títulos de la reclamante , clave máster usuario y contraseña, currículo para realizar un máster en el INAP.
- En DOCUMENTO OCHO se contiene un escrito de 10/04/2018 dirigido a la reclamante en relación con la remisión de copia de documentos del expediente "completo relativo al orden del plenario del Ayuntamiento de ***FECHA.1 sobre la posible apertura de un expediente disciplinario, "solicitado el 10/04/2018", entre los que se comprende el "dictamen de la Comisión informativa de personal" no figurando relacionado el DVD extraído de su ordenador.
También se le informa de los documentos que se enviaron a los miembros de la "Comisión informativa de personal, figurando desde 15/02/2018 algunos relacionados con su supuesta justificación de ausencia del trabajo el 9/02/2018 alegando asistencia a una jornada formativa en el Ayuntamiento de Valencia y las pesquisas realizadas por la alcaldía sobre si dicha jornada existía, certificándose por el Ayuntamiento de Valencia que no existía. SE envió también la providencia de la alcaldía de ***FECHA.3 ordenando al departamento de Informatica de la revisión del ordenador del trabajo de la funcionaria.
Manifiestan sobre dicho DOCUMENTO OCHO, que " aunque figura erróneamente que el DVD se entregó a los miembros de la Comisión informativa, sin embargo, en ningún caso se produjo su entrega a la Comisión informativa, como queda aclarado en el DOCUMENTO 9". En este documento, a petición de la ***PUESTO.2 de 10/01/2019, sobre aclaración sobre el escrito del 10/04/2018, sobre si se remitió o no a los miembros de la comisión informativa de personal celebrada el ***FECHA.2 el DVD, se aporta el certificado DOCUMENTO NUEVE en el que indica que aunque se relacionaba a la denunciante el 10/04/2018 que se había enviado a la comisión informativa el DVD, esto "fue un error de copia pega" procedente del escrito del acuerdo plenario en el que sí se solicitaba a la Dirección General de administración local apertura de expediente disciplinario organismo al cual si se remite el DVD para hacer competente para la evaluación del expediente manteniendo por tanto un error de transcripción
3.4 En la remisión de copia del expediente a la DGAL de la Comunidad Valenciana no figuraban los citados documentos hallados en el escáner en la impresora y fotocopiadora, asociados con una eventual infracción muy grave de incompatibilidades. Se le solicita qué informe si éstos les fueron remitidos y el motivo por el que no figuran en la relación de lo enviado. En el mismo sentido, si se remitió diligencia de contenido del DVD, relación de remisión de la misma.
Manifiestan que la copia de los documentos hallados en el escáner/ impresora, "no se remitieron inicialmente porque se entendió que con los datos facilitados a la Dirección General eran suficientes para el inicio del expediente, como de hecho así lo estimó la propia D. Gral. al decidir su incoación". Relaciona los documentos que se enviaron a la DGAL el ***FECHA.4. Algunos de ellos tratan sobre la supuesta asistencia a una jornada de formación que el Ayuntamiento de Valencia certifica no existió, la providencia de la alcaldía de ***FECHA.3 de intervención del ordenador y la COPIA DEL DVD;"DVD en el que figura la documentación sacada del ordenador del trabajo de la interesada que evidencian la realización dentro de la jornada laboral de otras actividades personales y profesionales que además podrían resultar incompatibles con su puesto de trabajo"
Continúa manifestando que "posteriormente, al comprobar que aun existían documentos en el escáner, se levantó acta de dichos documentos y se recogieron en soporte informático encriptado", señalando el DOCUMENTO CUATRO "providencia del concejal sobre documentos escáner" y DOCUMENTO TRES "acta de cumplimiento de la providencia" y mencionados en el punto b
Finaliza indicando que "No se hizo diligencia del contenido del DVD porque no se abre ningún documento. Se comprueba por el título dado a los mismos que son documentos que nada tienen que ver con el puesto de trabajo, pero no se hace un examen exhaustivo de los mismos".
3.6. En sus alegaciones indican que se entregó a los empleados el 18/10/2018, un protocolo establecido sobre confidencialidad, medidas de seguridad y política de seguridad de la información, se les solicita copia del mismo en lo referente en su caso, solo al acceso, prohibiciones o uso de los medios de trabajo y advertencias de monitorización de equipos, si las hubiera, y modo en que se ha puesto en conocimiento de los empleados. También se solicita que informe sobre si antes de estos documentos, existía información sobre dichos extremos, política sobre uso de equipos informáticos, correos electrónicos del equipo, uso de soportes como pendrives, cds.
Manifiesta que aportan DOCUMENTO DIEZ- ANEXO II, medidas seguridad personal que en el punto 3 refiere sobre el uso de los ordenadores, prohibiéndose almacenar "datos personales sin autorización" "El empleado que desea utilizar su dispositivo personal para finalidades empresariales tiene que comunicarlo previamente a su superior, y en caso de autorizársele tiene que implementar medidas de seguridad oportunas que garanticen la seguridad y confidencialidad". También se contemplan aspectos como el uso de los correos electrónicos, navegación por internet, que el uso del dispositivos para finalidades laborales no se tiene que utilizar para particulares, soportes como USB o DVD, descarga de aplicaciones.
Figura una referencia al control de la actividad laboral a través de la aplicación del artículo 20.3 del Estatuto de los trabajadores para verificar el cumplimiento de las obligaciones y deberes laborales, indicando que el uso particular queda completamente excluido, no se permite el envío y recepción de mensajes privados, ni almacenamiento de fotografías o documentos particulares. Entre los sistemas de control previstos se impone "el registro y la revisión de la navegación, alertas automáticas sobre envío de mensajes con ficheros adjuntos y revisión y acceso de correos electrónicos sospechosos durante la ausencia del usuario en caso de que sea necesario".
3.7 Sobre la orden o diligencia de intervención del ordenador de la reclamante, se le solicita:
a-informe o aporte copia del mensaje o mensajes o escritos que se remiten a la persona a la que se encargó el acceso al equipo (D.D.D., ***PUESTO.3, que declaró en el proceso judicial que "Por correo electrónico le llegó la providencia", se solicita que envíen copia del mismo). Modo, explicación o instrucciones que existían o se dieron para articular los accesos al equipo informático. Expresamente, si se indicó el acceso al correo electrónico y si se obtuvieron datos de este.
Responde que figura en DOCUMENTO ONCE la notificación a través del gestor documental como adjunto por email. En la copia que se ve al abrir el documento se ve un correo electrónico de ***FECHA.3 enviado desde dominio Algemesí.net <http://Algemesí.net> asunto envío Ayuntamiento Algemesí, con el texto "te adjunto la providencia de la alcaldía, envío desde GEstdoc., y se ve un literal "providencia inspección ordenador.pdf" No aparece ni se ve el documento.
"La única instrucción que se le da, es la que indica la providencia que se adjunta como DOCUMENTO DOCE" "providencia revisión ordenador sobre cumplimiento de la normativa de datos de carácter personal y máxima confidencialidad". El DOCUMENTO 12 que no lleva fecha, firmado por la ***PUESTO.2 reseña que dado que se han encontrado documentos -impresora y escáner- de la funcionaria... "sobre actividades que nada tienen que ver en las funciones públicas correspondientes a su puesto de trabajo como ***PUESTO.1 del ayuntamiento de Algemesí y que podrían resultar incompatibles con su puesto de trabajo" DISPONGO,
Que por el departamento de informática se acceda al ordenador de trabajo de la funcionaria A.A.A. a fin de comprobar la existencia de documentos que evidencian actividades diferentes a las funciones que como ***PUESTO.1 de este ayuntamiento tiene encomendadas.
Todo aquello se realizará siempre desde el cumplimiento de la normativa de protección de datos de carácter personal y con máxima confidencialidad destinando la información que se pueda obtener a los solos efectos de los expedientes que a la vista de los documentos obrantes puedan iniciarse"
"En ningún caso se accede al correo electrónico de la interesada ni se ordena dicho acceso en la providencia." Se adjunta informe sobre el acceso a los datos como informe de informática, DOCUMENTO TRECE, que firma D.D.D. sin verse la fecha. Se indica que "Realiza un volcado de documentos en apoyo digital, el cual entregó a la alcaldía". "De los documentos extraídos en la mencionada tarea de volcado, parte de los mismos estaban alojados en una carpeta conectada en red a uno de los servidores del Ayuntamiento". No se señala extremo alguno por la persona que accedió, a si extrajo datos de correos electrónicos.
b-Sobre si la ***PUESTO.2 que firma la intervención en el equipo se hallaba con el Sr. D.D.D. cuando este accedió a la carpeta de mis documentos de la reclamante, y motivo por el que accedió además a otros documentos del ordenador de la reclamante, situados en el "escritorio", y que bases o parámetros de búsqueda se tenían antes de acceder al equipo.
Manifiesta que el acceso al ordenador lo hace desde el ordenador de D.D.D., no desde el ordenador de la reclamante y que la ***PUESTO.2 no estaba presente. El ***PUESTO.3 plasmó en DOCUMENTO TRECE dicho acceso.
c-En el DVD se copiaron tres carpetas conteniendo información almacenada, y no se hizo diligencia de fecha, ni de su contenido, no se registró como soporte de información, ni se diligenció la entrega de copia a la ***PUESTO.2. A este respecto, informen si conocían que cualquier soporte que contenga información, datos de carácter personal que como en este caso se destinan a pruebas en un procedimiento, tenían que estar detallado el modo de acceso, el contenido al que se accede, el resultado, fecha, numero de soporte de registro o encriptación del mismo, y registros de copias identificadas del soporte, si existían normas al respecto, y si se le hizo saber a Sr. D.D.D.. Ha de indicar asimismo que normas sobre la cuestión existen actualmente sobre copias de soportes con información y datos de carácter personal.
Manifiesta que si bien el DVD es un soporte, al formar parte de un expediente disciplinario, "no constituye un soporte a los efectos de la normativa entonces aplicable, el RLOPD RD 1720/2007."
Añade que el Ayuntamiento dispone de un sistema de gestión de seguridad de la información conforme al Esquema Nacional de Seguridad,(ENS) existiendo un inventario de soportes. Aportan DOCUMENTO CATORCE, normativa de seguridad en el que se contempla el mantenimiento y destrucción de dispositivos y soportes que contenga información protegida y el régimen de salidas y entradas de datos. El documento se titula "normativa de seguridad 4/09/2018, consta de 13 páginas. Se refieren entre otros aspectos a la confidencialidad, integridad y trazabilidad, y su aplicabilidad en el servicio expedientes de personal y se habla de un comité de gestión y coordinación de la seguridad de la información. Adjuntan copia de DOCUMENTO QUINCE, sobre reutilización y destrucción de soportes de equipos. El documento lleva fecha 25/10/2018, consta de siete páginas. Trata sobre procedimiento que describe la metodología a seguir para reutilización, borrado y destrucción de soportes de información propiedad del Ayuntamiento, aplicable a los elementos que componen los sistemas de información dentro del ámbito de aplicación del ENS. Indica como elementos de soporte, elementos que están adquiridos que ha sido inventariados y etiquetados referido a soportes y equipos. En ese sentido no se menciona ni se entra en detalles sobre los soportes físicos que tratan la información como el DVD sino que está protocolo se refiere a equipos, sí que menciona los soportes no regrabables como los DVD o CD indicando que el procedimiento de destrucción puede ser cortándolo pero no menciona la integración de estos soportes como sistemas de información que contienen datos.
4. A LA RECLAMANTE, se le solicita que en el plazo de diez días aporte copia o informe de:
-Copia de sentencia recaída en contencioso administrativo sobre el asunto disciplinario, si es firme, o situación procesal de la misma.
-Según manifestó: el ***FECHA.5 se desestimó la demanda interpuesta contra el acuerdo del Ayuntamiento de solicitar la incoación de expediente disciplinario contra la ***PUESTO.2, demanda en la que entre otras alegaciones aludía a la vulneración de sus derechos por la decisión de acceder a su ordenador. Se le solicita copia de la sentencia de dicha demanda por poder contener algún pronunciamiento de relevancia para los hechos sobre el acceso al equipo informático.
La reclamante no contestó a lo solicitado.
DÉCIMO PRIMERO: Con fecha 22/09/2020 se acuerda ampliar pruebas y se envía al reclamado la petición de la siguiente información:
1) Si conoce si ha recaído ya resolución acuerdo en el procedimiento disciplinario, aporte copia, o indique en qué fase se encuentra.
Respondió el 7/10/2020 que lo desconoce.
2) Sobre los documentos que aportó en pruebas, en la mayoría no figuran la fecha de su firma, consta:
"Y, para que conste y tenga los efectos que correspondan, libro este documento a petición de la Sra. ***PUESTO.2, C.C.C..Algemesí a la fecha de la firma. Documento firmado electrónicamente. Código de verificación al margen."
En otros la firma es de otra autoridad, pero el hecho es que no se visionan dichas fechas. Por ello, con el fin de aclarar las fechas de firma de cada escrito, se pide que se subsane aportando copia en la que se puedan ver las fechas o una relación de los documentos, excepto la/s sentencia/s y en los documentos que lleven fecha como el de documento de seguridad -esquema nacional, que forman parte de cada archivo, con el título y la fecha en que esa firma electrónica del documento tuvo lugar.
Manifiesta:
-"En lengua valenciana sí que figuran las fechas, y no figuran por haberse traducido al castellano para este procedimiento. DOCUMENTO 4, "providencia del concejal sobre documentos escáner es de 7/11/2019."
-"El DOCUMENTO TRES, "acta de cumplimiento de la providencia", tiene la fecha en el propio documento, 7/11/2019."
3) En DOCUMENTO TRES se relacionan solamente los códigos de unos documentos que figuraban en una carpeta del escáner, y se dice que se imprimieron y se copiaron los documentos y se guardaron en un CD. A tal efecto, se solicita que envíen alguna muestra documental física de esos documentos hallados relacionando número-documento de que se trate, y como derivaron que correspondían a la reclamante, (pueden remitirlo bien sea en papel bien sea en un CD), y detallen:
Manifiestan que aportan en DOCUMENTO 18, fichero encriptado con contraseña en un escrito separado, los documentos que figuran en el CD. (El código para abrirlo se halla en el mismo escrito de entrada 7/10/2020, número registro ***NUMERO.4, figurando como escrito de salida del remitente, "personal de 6/10/2020", folio 327 del procedimiento.
Manifiesta que el código de cada documento es el propio nombre del archivo. "Se dedujo que podían pertenecer a la reclamante por aparecer en el escáner de ***DEPARTAMENTO.1, al cual solo tenían acceso las tres personas del mismo, que comprobaron que allí se alojaban documentos ajenos a las funciones propias del puesto de trabajo y que incluían el nombre de la reclamante" .
Se aprecia que el documento 18 no es recibido.
3.1) Si los empleados conocían que cualquier fotocopia o documento que se escaneara-fotocopiara, queda guardado en dicha carpeta del dispositivo.
Manifiesta que dentro del marco establecido en el Estatuto básico del empleado público, articulo 54.5 que determina que los funcionarios públicos administrarán los recursos y bienes públicos con austeridad, y no utilizaran los mismos en provecho propio o de personas allegadas, no era necesario reiterar las obligaciones de uso con los medios públicos -Ayuntamiento-, pues si se regulara el uso de cualquier bien público, como es el escáner, adquirido con dinero público en un edificio público destinado a funciones públicas, se produciría una hipertrofia de normas infra legales. Considera que "No rige expectativa de privacidad alguna siendo indiferente si los documentos que se envían a la fotocopiadora o el escáner quedan archivados en alguna carpeta del propio dispositivo".
Añade que se informó a los empleados de las medidas de seguridad a aplicar mediante el ANEXO II, medidas seguridad personal, aportado ya como DOCUMENTO 10, en el que se expresaba tanto la prohibición de uso personal o privado de los recursos del Ayuntamiento como de la obligación de borrar los archivos temporales, con el siguiente tenor:
(...)14. Queda prohibido utilizar los recursos de los sistemas a que tenga acceso para uso privado o para cualquier otra finalidad diferente de las estrictamente laborales del Ayuntamiento de Algemesí.
(...)11. Todos los ficheros temporales que los usuarios mantengan en sus ordenadores personales tienen que ser borrados una vez haya acabado el motivo para el cual fueron creados.
3.2) -Si existía o existe norma aplicable sobre régimen de copias/escaneos de documentos.
Manifiesta que a ello se refiere la normativa de seguridad SGSI02 aportada como DOCUMENTO 14 que indica:
"7.2 Uso, mantenimiento y destrucción de dispositivos o soportes que contengan información protegida "17) La impresión o fotocopia de documentos debe limitarse únicamente aquellos que sean estrictamente necesarios y preferiblemente a doble cara. Los documentos desechados, incluidas las fotocopias erróneas no podrán ser reutilizados cuando contengan datos personales o información confidencial o restringida debiéndose proceder a su inmediata destrucción".
3.3) -Si los empleados podían o han podido efectuar para sí, escaneos de documentos privados sobre permisos, bajas médicas, etc.
Responde que queda contestada en el punto 3.1.
3.4)- Explique si cualquier empleado puede visualizar e imprimir cualquier documento que se haya fotocopiado o escaneado, o si hay un administrador que puede ver y fotocopiar dichos documentos.
Indica que los documentos fotocopiados no se almacenan en ningún soporte cuyo contenido pueda ser consultado posteriormente.
En cuanto a los documentos escaneados, "hasta el primer trimestre del 2020, cada Departamento disponía de una carpeta alojada en los servidores, en la cual se depositaban los documentos escaneados desde los equipos multifunción. A la carpeta de cada Departamento sólo tenían acceso los miembros de dicho departamento y los administradores del sistema."
Actualmente, cada usuario dispone de su propia carpeta personal de documentos escaneados, con acceso exclusivo del usuario y los administradores del sistema.
-Si estos documentos hallados se han comunicado a alguien relacionado con el procedimiento.
Señala que los hallazgos en " la impresora, no fueron documentados", pasando a su custodia al ***DEPARTAMENTO.1. Respecto a "los documentos del escáner, en un principio tampoco se documentaron ni se levantó acta". "Posteriormente, comprobando que algunos aún estaban en el escáner, sí que se levanta acta de los existentes y se copia en un CD que se encripta con contraseña. El CD se halla en sobre cerrado y firmado por los asistentes, custodiado por el Comisario de la policía local dentro de una caja fuerte en su despacho, bajo llaves. No se ha comunicado a nadie su contenido a excepción del presente procedimiento ante la AEPD"
4) En DOCUMENTO 9 aportado en pruebas indican que si enviaron el DVD a la DGAL encargada de la apertura e instrucción del disciplinario, si bien indican que no lo hicieron en un primer envío y no figura en la relación, se les solicita que remita copia del escrito en el que se contenga la fecha y la remisión del DVD, si se incluyó algún elemento para que se supiera que era copia, se enviaba encriptado y si contenía alguna identificación como soporte físico que contiene datos de carácter personal que correlacione su contenido e identificación.
Manifiesta que el DVD se entrega presencialmente por registro de entrada a la DGAL, junto con el resto de la documentación del expediente disciplinario para evitar cualquier pérdida o extravió. "No se entrega encriptado". Adjuntan copia del envío del Ayuntamiento de ***FECHA.4 a la DGAL, del acuerdo del pleno de ***FECHA.1 que acuerda solicitar el inicio de procedimiento disciplinario a la misma, con el listado de la documentación que se acompaña, donde aparece en el noveno, el DVD.
Manifiesta que en DOCUMENTO 17, justificante del registro de entrada en dicha entidad, de fecha 18/04/2018, junto con el escrito de la ***PUESTO.2 solicitando se incorpore al expediente disciplinario el DVD fue presentado por registro presencial ante la imposibilidad de adjuntarlos por la plataforma de la DGAL. El documento tiene un justificante de entrada de documentos presentados por el reclamado con cinco documentos pdf asociados; denominados Formulario de datos personales, oficio remisión, acuerdo del pleno, documentos del expediente, ficha de la trabajadora. Acompaña un escrito de la ***PUESTO.2, dirigido al órgano competente de la instrucción del procedimiento, de 19/04/2018, en el que indica que en relación con el requerimiento del 17/04/2018 para que se presentará por medios electrónicos el acuerdo del pleno del ***FECHA.1, se indica que en la plataforma de la Consejería para presentar en registro no permite adjuntar archivos que exceden de cierta capacidad, y que el DVD está integrado por centenares de documentos y que no se puede aportar uno a uno, por no ser operativo y a causa de ello ya que en el DVD se encuentra información importante, se ha presentado por el registro presencial.
5) Un DVD es un soporte físico que además de como en este caso, poder contener datos profesionales del empleado es susceptible de contener otros datos de carácter personal e información sobre la entidad. Todos ellos además susceptibles de producir efectos jurídicos para la afectada y responsabilidades (perdida del DVD, copia, etc.) .En este caso además forma parte de un expediente disciplinario que constituye una serie de trámites ordenados con datos de carácter personal que identifican a la persona. Por tanto se les cuestiona que indiquen que medidas técnicas y organizativas tomaron con respecto al DVD para la identificación e integración en el expediente como soportes, donde se guarda, quien tiene acceso físico, que medidas de seguridad físicas hay en esa dependencia si se registra y contenidos y accesos al mismo, con el fin de evitar riesgos como sustracciones, copias, envíos parciales o totales de contenido. Si hay un protocolo de respuesta en caso de incidencia, periodo de conservación, que medidas contemplan en las copias de soportes que se puedan remitir a otras entidades, cuantas copias del DVD se han efectuado en este procedimiento, y si este tipo de soportes físicos por tamaño o por otras causas es una excepción en el almacenamiento de la información en sus sistemas de gestión.
Indica que se han realizado dos copias del DVD, una para ser entregada al órgano competente de la instrucción del procedimiento, y otra que queda en poder del Ayuntamiento como parte necesaria del expediente de referencia. La copia del Ayuntamiento que ha servido para una posterior copia solicitada por la Agencia se encuentra custodiada en una caja fuerte en el despacho del Comisario de Policía local, dotado de puerta con llave. En cuanto a la normativa sobre el uso y destrucción de soportes, "que contengan información protegida", el documento de seguridad que figura aportado en DOCUMENTO 14, indica en su punto 7.2 que "cuando la información sea calificada como "restringida o confidencial" deberá guardarse en los lugares designados al efecto por el responsable de la unidad correspondiente al final de la jornada, en todo caso al abandonar el puesto cuando su conformación no permita que esté bajo el control de algún usuario". Por otro lado, el tamaño del DVD no permite almacenamiento en el gestor de expedientes digitales y este tipo de soportes físicos es una excepción en el almacenamiento de la información de los de sus sistemas de gestión. En cuanto a los controles de acceso físico y lógico, el documento de seguridad indica que el acceso físico a áreas que contengan información confidencial o restringida, solo se permite al personal autorizado por responsable de la unidad correspondiente. En este sentido el comisario de la policía local es el único que dispone de la llave de su despacho. "
5) En pruebas aportaron DOCUMENTO 13, que firma D.D.D. sin verse la fecha. Se indica que "Realiza un volcado de documentos en apoyo digital, el cual entregó a la alcaldía". "De los documentos extraídos en la mencionada tarea de volcado, parte de los mismos estaban alojados en una carpeta conectada en red a uno de los servidores del Ayuntamiento"
-Se le solicita que explique según se deduce del relato:
· Repercusiones que tiene o que supone la afirmación "que parte de los mismos estaban alojados en una carpeta conectada en red a uno de los servidores del ayuntamiento", y a que se refiere con parte, y si puede identificar que carpeta es esa parte.
· En el mismo sentido que implicación tiene a nivel informático que el resto no estuviera en su caso conectado a un servidor del Ayuntamiento, si ello era así.
Manifiesta que la fecha del documento es de 26/10/2018. Detalla que una carpeta alojada en un servidor se incluye en las copias de seguridad diarias que realiza el organismo. Se trata de la carpeta "mis documentos", al cual para todos los usuarios es alojada en los servidores para garantizar integridad y disponibilidad. A dicha carpeta solo tiene acceso el usuario y los administradores del sistema. También señala que las carpetas no conectadas a servidores se encuentran alojadas en el PC local que utiliza el usuario.
-Por otro lado, en DOCUMENTO TRECE que aportaron en pruebas, el técnico informático no indica si accedió al correo electrónico de la reclamante, teniendo en cuenta que la providencia se refería a "se acceda al ordenador de trabajo de la funcionaria A.A.A. a fin de comprobar la existencia de documentos que evidencian actividades diferentes a las funciones que como ***PUESTO.1 de este ayuntamiento tiene encomendadas. " y se hizo un volcado de documentos. A tal efecto, si puede acreditar esta manifestación, puede aportarla.
Responde que no se accedió al correo electrónico de la reclamante.
En un segundo escrito de entrada de 7/10/2020 se adjuntan cinco documentos pdf , numerados, denominados ***DOCUMENTOS.1.
En el número 1, nueve páginas en el que se ve diferente documentación de la entidad FRANQUICIA ***EMPRESA.1 de los que se deduce que podría ser parte de los documentos hallados en el escáner. Se aportan distintos documentos entre los que se ha de mencionar, dos de extinción de relación laboral de empleados de dicha empresa, un certificado de empresa del Servicio público de empleo estatal, pedido por la administradora de la entidad, la reclamante, sobre cotizaciones de una de las empleadas, o la petición de un certificado de empresa para la solicitud de incapacidad temporal, de 4/08/2017, nóminas de esas empleadas.
En número 2 de ***DOCUMENTOS.1, cuatro folios, documento de extinción de relación laboral de otra empleada, de 4/08/2017.
En el 3, cuatro folios conteniendo carta de extinción de relación laboral de una empleada de la misma entidad.
El documento 4, un documento firmado el 4/08/2017 por la reclamante como administradora única de la franquicia ***EMPRESA.1, dirigido a una empresa.
El documento 5, de 8 folios, también contiene carta de extinción de relación laboral de fecha 4/08/2017 de empleado de franquicia ***EMPRESA.1, nóminas del trabajador de julio y agosto 2017, documento de saldo y finiquito de ese trabajador, y certificado de empresa del Servicio Público de Empleo sobre ese trabajador con sus cotizaciones.
En el tercer escrito con entrada 7/10/02020, se aportan escritos denominados ***DOCUMENTOS.1, del 6 al 10, destacando como importantes:
El 6 es una hoja de la AEAT , consulta datos fiscales 2017 de la reclamante, con sus retribuciones en el Ayuntamiento, y figurando en el apartado de actividades económicas otros dos pagadores así como datos de préstamos y créditos ,o titularidad de inmuebles.
El 7, ejemplar para Contribuyente, el Ayuntamiento de Alicante, impuesto sobre bienes inmuebles con los datos de la reclamante y los inmuebles ,ejercicio 2018.
El cuarto escrito de entrada de 7/10/2020, porta los archivos adjuntos pdf números 11 a 15, ***DOCUMENTOS.1, tratándose de diligencias varias del procedimiento penal juzgado instrucción dos de Alzira, de la reclamante.
Figura el número 15, un informe del EVI, del Ministerio de trabajo migraciones y Seguridad Social, dirigido a la reclamante, evaluando la incapacidad sobre la contingencia del proceso de incapacidad temporal de la reclamante de 3/04/2019 en el que se recoge el motivo de la patología, enfermedad común, se indica que el proceso se inició con baja médica 25/07/2018, y no guarda relación con otro proceso anterior.
El ultimo escrito registrado con fecha 7/10/2020 contiene del número 16 al 20, ***DOCUMENTOS.1, tratándose de documentos diversos de la reclamante.
Se destaca en el 19, uno de reclamante en el que de 1/07/2019 aval en el que figura la reclamante. En el 20, copia de una transferencia bancaria de la reclamante Bankia, con fecha operación 18/04/2017 con los dígitos completos de la cuenta bancaria de ella.
Como quiera que no se anexaba el DOCUMENTO 18, el archivo comprimido, se pidieron explicaciones por e mail a la DPD, así como a que respondían los documentos 1 a 20 con el nombre de ***DOCUMENTOS.1, que el mismo 21/10/2020, con respondiendo:
"Indicarle que el documento zip que correspondía al doc. 18 no pudo ser enviado de forma protegido debido a que el sistema no permite el envío de documentos en este formato. Este documento se trataba de una carpeta comprimida con 20 documentos.
Por ello, este documento zip que era el n 18 incluía los 20 documentos enviados denominados ***DOCUMENTOS.1, desde el núme.ro <http://núme.ro> 1 al 20; inclusive. "
Ello queda trascrito en diligencia de Instructor ese mismo día.
DÉCIMO SEGUNDO: Con fecha 4/11/2020 se notifica propuesta de resolución con el literal:
"Que por la Directora de la Agencia Española de Protección de Datos se declare la infracción del artículo 6.1 de la LOPD del AYUNTAMIENTO DE ALGEMESÍ, tipificada como grave en el artículo 44.3.b) de la LOPD.
Que por la Directora de la Agencia Española de Protección de Datos se declare la infracción del artículo 9.1 de la LOPD en relación con los artículos del RLOPOD: 92, 97.1 y . 2 y 101, del AYUNTAMIENTO DE ALGEMESÍ, tipificada como grave en el artículo 44.3,.b) de la LOPD."
DÉCIMO TERCERO: Con fecha 17/11/2020 se presenta escrito de SEGURDADES, DPD de la reclamada en que se verifica que no se adjuntan. Se subsana el día 25/11/2020.
En las mismas se reitera lo manifestado, añadiendo:
1) No es aplicable la expectativa de privacidad a unos bienes titularidad pública, del patrimonio de la administración local, que por su "régimen" no pueden dar lugar a que exista esa tolerancia de usos. No es asimilable la aplicación de la doctrina "Barbulescu" a una entidad pública.
El Ayuntamiento como Administración Pública no tiene las facultades que puede tener una empresario de auto organización, dirección control y fijar las condiciones de uso de los medios informáticos asignados a cada trabajador, si bien el Ayuntamiento sí que tiene la obligación de proteger el patrimonio público y velar por que se destine a su finalidad pública, por lo que la obligación de verificar y asegurar que no se utiliza para finalidades particulares es ineludible en el contexto de la administración pública. Considera ,como ha remarcado la sentencia del Tribunal Supremo 594 /2018 de 8/02, en el fundamento jurídico sexto, que "la clara y previa prohibición de utilizar el ordenador de la empresa para cuestiones estrictamente personales nos lleva a afirmar que si no hay derecho a utilizar el ordenador para usos personales, no habrá tampoco derecho para hacerlo en unas condiciones que impongan un respeto a la intimidad o al secreto de las comunicaciones porque al no existir una situación de tolerancia del uso personal, tampoco existe ya una expectativa razonable de intimidad y porque si el uso personal es ilícito, no puede exigirse al empresario que lo soporte y que además se abstenga de controlarlo "
2) Manifiesta su disconformidad con la afirmación de que no existe norma expresa que advierta de que no se puedan utilizar los dispositivos para uso privado, pues existen normas con rango de ley que prevén además un régimen sancionador. Indica que tratar de imponer la creación o aprobación de documentos de seguridad, o códigos de conducta internos o protocolos vulneraría el principio de jerarquía normativa. Añade que una administración que permitiera un uso del ordenador del trabajo aunque fuera muy puntual y en tasadas tareas, sería contrario al propio Estatuto Básico del empleado público y a la normativa disciplinaria, que son normas con rango de ley. Manifiesta que incluso la mera tenencia de la reclamante en su ordenador de documentos particulares referentes a una o varias empresas, aunque sea en guardado, y no acreditara incumplimiento de incompatibilidades, puede suponer en beneficio de la reclamante, supone un uso de medios del Ayuntamiento para almacenar documentos ajenos a la función pública para fines particulares contrarios al Estatuto Básico del Empleado Público y legislación autonómica concordante.
3) Manifiesta que la revisión del ordenador se produjo por un hallazgo casual de la documentación en el escáner y sobre el volcado íntegro del contenido de las carpetas del ordenador de la reclamante en el DVD, su proporcionalidad y necesidad, manifiesta su disconformidad con la afirmación de la AEPD de que la investigación requiere cierta indagación en una dirección, no pudiendo constituir la investigación en un volcado de datos y manifiesta Ayuntamiento que esa fase de averiguación no es ni siquiera una parte del procedimiento incoado por lo que no tiene vocación de generar ni valorar prueba en su sentido procesal y su valoración deberá llevarse a cabo por otro órgano en la correspondiente fase del procedimiento disciplinario. El Ayuntamiento no puede asumir funciones de valoración de la prueba previas a la incoación del expediente y debe aportar la documentación que resulte pertinente, siendo ya posteriormente el instructor y órgano competente quienes delimiten, amplíen o reduzcan el alcance de la actividad probatoria.
4) En relación con la infracción del artículo 9.1 de la LOPD indica que no puede ser de aplicación en consecuencias sancionadoras el régimen de obligaciones de la legislación anterior al RGPD, pues en base al principio de retroactividad de las disposiciones sancionadoras que favorecen al infractor debe de aplicarse el citado RGPD. Indica que las conductas que describe el tipo del artículo 9.1 en el 44.3 h) de la LOPD, en el actual reglamento y normativa concordante, LOPDGDD, en cuanto a la tipificación resulta más favorable porque el actual régimen no está vinculado a la adopción de una lista concreta de medidas, sino que tal como dispone el artículo 73.1.f) se refiere a falta de adopción de medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento en los términos exigidos por el artículo 32.1 del reglamento, sin establecer ahora unas obligaciones concretas en el sentido del ya derogado RLOPD.
"En consecuencia sería aplicable el artículo 26.2 de la ley 40/2015 que indica las disposiciones sancionadoras producirán efecto retroactivo en cuanto favorezcan al presunto infractor o al infractor, tanto en lo referido a la tipificación de la infracción como a la sanción y a sus plazos de prescripción incluso respecto a las sanciones pendientes de cumplimiento al entrar en vigor la nueva disposición". Indica que las nuevas medidas establecidas o que se derivan del artículo 73.f) del RGPD, en relación con el 32.1 del mismo, no vincula el cumplimiento de las obligaciones de seguridad del responsable del tratamiento a unas medidas concretas sino que se originan a través del enfoque de riesgo y que en tal sentido no se ha valorado durante el procedimiento la concurrencia de las previsiones que señala el citado artículo 32 del RGPD como actividad probatoria pertinente para declarar este tipo de infracción.
HECHOS PROBADOS
1) La reclamante prestaba servicios en el Ayuntamiento de Algemesí como funcionaria con habilitación de carácter nacional, como ***PUESTO.1.
2) A la reclamante le es entregado el 27/03/2018 un acuerdo de notificación de solicitud de incoación de expediente disciplinario adoptado por el Pleno el ***FECHA.1 a propuesta de la alcaldía, de 20/03/2018. Entre los hechos relatados, junto a la justificación de asistencia a unas supuestas jornadas de formación por el reclamado, y faltas de justificación horaria, se indica en el punto segundo, qué: "al haber aparecido documentos en el escáner y la impresora que podrían suponer que la reclamante realiza actividades personales o profesionales dentro de la jornada de trabajo que nada tienen que ver con sus funciones de ***PUESTO.1 y que incluso podrían resultar incompatibles, mediante providencia de ***FECHA.3, se ordenó al departamento de informática que investigue los documentos del ordenador personal de trabajo para aclarar esos hechos "De la inspección efectuada se obtuvieron varias carpetas de documentos personales sobre actividades privadas que se grabaron en un CD"
3) En el mismo acuerdo del Pleno de notificación de inicio se remite documentación al órgano competente para la instrucción, la Dirección General de la Administración Local de la Comunidad Valenciana (DGAL), si bien la copia del DVD se presenta en registro por el reclamado el 18/04/2018, manifestando que era la primera copia efectuada, que no iba encriptado, ni portaba elemento alguno que lo identificara como soporte de su contenido.
4) La Providencia de la Alcaldía firmada el ***FECHA.3 indica: "Considerando que se han encontrado documentos-impresora y escáner- de la funcionaria ...sobre actividades que nada tienen que ver con las funciones públicas correspondientes a su puesto de trabajo como ***PUESTO.1 del Ayuntamiento...y que pueden resultar incompatibles con su puesto de trabajo"
DISPONE: "Que por el Departamento de informatica se acceda al ordenador de trabajo de la funcionaria, a fin de comprobar la existencia de documentos que evidencien actividades diferentes a las funciones que como ***PUESTO.1 de este ayuntamiento tiene encomendadas"..."destinando la información que se pueda obtener únicamente a los efectos de los expedientes que a la vista de los documentos obrantes puedan iniciarse."
5) En cuanto al modo en que se hizo el acceso al ordenador de la reclamante el ***FECHA.3, , titularidad del Ayuntamiento, y con el que prestaba sus servicios, según indica el funcionario, ***PUESTO.3 que lo llevó a efecto con clave como administrador del sistema, sin necesidad de acudir físicamente al mismo, manifestando que no vio ni le fueron mostrados los documentos hallados en la impresora y escáner. "Le dijo la ***PUESTO.2 que había que hacer una inspección de documentos" "De la carpeta mis documentos que se encuentra en los servidores, visible solo por cada usuario cogió las carpetas que había en mis documentos "y además, otros documentos del ordenador del escritorio, siendo dos o tres carpetas" "Los seleccionó y los copió en un DVD, conforme a las instrucciones recibidas por la ***PUESTO.2." "El DVD no se encriptó y se lo dio personalmente a la ***PUESTO.2 en el momento en que lo grabó" "No llegó a abrir ningún documento" "Cuando se hizo la intervención del ordenador, no se hacía ninguna advertencia a los funcionarios sobre el contenido de la información que se podía tener en los ordenadores, porque no había entrado en vigor el RGPD y no era necesario" "no se hizo ningún acta de intervención, el declarante estaba solo cuando se hizo y se lo entregó directamente a la ***PUESTO.2, sin tampoco ningún acta de diligencia" ""No entró en el correo electrónico ni en los datos de navegación".
También manifiesta la reclamante que no se hallaba presente en ***FECHA.3 cuando se copian los datos de su ordenador, declarando que se entera cuando recibió el 27/03/2028 la notificación del acuerdo de solicitud de incoación de disciplinario. Los representantes de los trabajadores tampoco fueron advertidos de dicho acceso ni de los documentos aparecidos en el escáner.
6) Los concretos y supuestos documentos aparecidos en el escáner y en la impresora, inicialmente, no son especificados ni figura diligencia que explique el modo en que se llega a saber de esos documentos, donde estaban, quien los encuentra, o en qué fecha. No consta que se enviaran como documentos a la vista del Pleno. Tampoco consta que se entregara o se pusiera a disposición del Pleno el contenido del DVD que contenía los documentos hallados en el ordenador en el que la reclamante prestaba sus servicios para el reclamado. El contenido del DVD, según el reclamado, solo fue mostrado a un miembro de un grupo político que tenía que votar en el Pleno y por esta razón. Además, según declaró el 20/03/200 la jefa encargada de la gestión de personal en el procedimiento penal seguido por a reclamante, los "documentos que aparecieron en el escáner" no formaban parte del expediente administrativo que se elevó a la Dirección General para el inicio del procedimiento.
7) Del contenido que figura en el DVD enviado por el reclamado en pruebas, que plasma los documentos copiados del ordenador usado por la reclamante al ejecutar la providencia de acceso al equipo, de ***FECHA.3, se destaca que se contenían tres carpetas, "mis documentos", y "download" con espacio de 1,71 GB. LA <http://GB.LA> vista de las tres carpetas revela que se contiene tanto información profesional como personal, copia de contrato de seguro de vehículo, declaración de hacienda, datos de contratos de préstamo hipotecario, o pago de bienes inmuebles, claves personales , datos bancarios, y de empresas como la franquicia ***EMPRESA.1, cuenta de resultados ***EMPRESA.2, facturas de empresa de fotografía a nombre de otra persona, listado de cuentas anuales pérdidas y ganancias del ejercicio 2017 de la empresa ***EMPRESA.3 , documentos sobre una sociedad que se dedica al negocio de la óptica denominada ***EMPRESA.4.
8) De la información obtenida en pruebas se verifica que la expresión "documentos aparecidos en el escáner-impresora", refiere, no a el hallazgo casual de documentos en dicho espacio físico, sino al almacenamiento en la memoria interna del escáner que utilizaban los tres empleados del ***DEPARTAMENTO.1, y al modo de configuración en que de dicho medio se encontraba, permitiendo el almacenamiento como fichero, de este tipo de información. El almacenamiento en dicho espacio se produce en formato pdf con un número secuencial que refiere según se deduce, unos cuatro primeros dígitos que revelan el año, los dos siguientes el mes y los dos siguientes el mes, siguiéndole un número secuencial. Finalmente, se levantó diligencia el 7/11/2019 , considerando una providencia del regidor y de conformidad con las instrucciones del servicio de protección de datos. En ella se indica que se accede a una dirección en la que se almacenan los ficheros de ***DEPARTAMENTO.1 . La diligencia expresa que hay 20 documentos, identificados por sus números, sin revelarse el contenido, figurando fechas desde 2017 a 2019. En la diligencia se hace constar que se pasan, copian los mismos, a un CD y se custodian.
En pruebas se obtiene copia de estos documentos, que se envían como archivos pdf con la denominación ***DOCUMENTOS.1 en pdf numerados de 1 al 20. Entre los documentos hallados hay diversos de la FRANQUICIA ***EMPRESA.1 y relacionaos como las nóminas de sus empleados pudiéndose deducir que la reclamante era administradora de esta entidad. También se aprecia que se escaneo por la reclamante un documento relacionado con su salud, el número 15, sobre Resolución de expediente de determinación de la contingencia causante de un proceso de IT en el que figura un informe del Evi conteniendo la patología diagnosticada.
Según indica el reclamado, a las carpetas que figuraban en el escáner del departamento podía acceder cualquiera de los tres empleados de la misma, precisando que uno de los empleados vio los citados documentos, advirtiendo a los responsables.
Preguntado el reclamado sobre si a los empleados se les advirtió de que al usar el escáner quedaban sus documentos y los datos que se contenían almacenados, así como el uso, acceso y derechos sobre los mismos, el reclamado manifestó que no tenía obligación de ello, sobrentendiéndose de las normas generales derivadas del Estatuto básico del empleado público y de la Comunidad autónoma. Según manifestó al reclamada, esa configuración del escáner de acceso múltiple a carpetas del escáner ha sido variada.
9) No consta que el reclamado tuviera, al momento de suceder los hechos, acceso al ordenador usado por la reclamante, el ***FECHA.3, una política y protocolos de uso del equipo informático de los empleados, prohibiciones o tipos de accesos permitidos, con advertencia sobre medios de control y consecuencias del mismo.
I
Es competente para resolver este procedimiento la Directora de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37.g) en relación con el artículo 36 de la LOPD.
II
Por la fecha en que suceden los hechos, febrero 2018, sería de aplicación lo señalado por la disposición transitoria tercera de la Ley Orgánica 3/2018 de 5/12, de protección de datos personales y garantía de los derechos digitales (LOPDGDD) que señala: "Régimen transitorio de los procedimientos":"1. Los procedimientos ya iniciados a la entrada en vigor de esta ley orgánica se regirán por la normativa anterior, salvo que esta ley orgánica contenga disposiciones más favorables para el interesado.
2. Lo dispuesto en el apartado anterior será asimismo de aplicación a los procedimientos respecto de los cuales ya se hubieren iniciado las actuaciones previas a las que se refiere la Sección 2.ª del Capítulo III del Título IX del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13/12, de Protección de Datos de Carácter Personal, aprobado por Real Decreto 1720/2007, de 21/12" .
III
El artículo 1 de la LOPD señala "La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar."
Entre los límites que deben imponerse a la informática, tal y como ordena taxativamente el apartado 4 del art. 18 CE, figura el derecho a la autodeterminación informativa como parte esencial, es un derecho activo de control sobre el conjunto de informaciones relativas a una persona, cuando el art. 18.4 CE establece que la Ley limitará el uso de la informática para garantizar los derechos del art. 18.1 CE, no puede significar más que el otorgamiento a los ciudadanos de una posibilidad de actuación con el propósito de, por un lado, impedir o prohibir cualquier intromisión ilegítima en su intimidad a través del uso de la informática, y, de otro lado, garantizar el ejercicio de las facultades de conocimiento y acceso a las informaciones incorporadas a una base de datos, o corregir o suprimir los datos, así como disponer sobre su transmisión y divulgación. Facetas y facultades del derecho a la autodeterminación informativa, existen también en la ejecución de la prestación laboral, y así reconocen los tribunales que la vinculación con el empleador no supone la inexistencia del derecho a la intimidad.
La prestación de trabajo que se trata de controlar no es ya una realidad que se manifiesta externamente, como sucede con la que captan las técnicas ordinarias de reproducción de la imagen y del sonido, sino que es algo interno, que no se expone al exterior y que no es observable directamente sin entrar en el instrumento productivo que lo contiene.
Las sentencias del Tribunal Supremo de 26/09/2007 (caso «Etiquetas de Galicia»), 8.3.2011 (caso «Font Salem») y 6/10/2011 (caso «Annaligia») establecieron una doctrina que parte de un principio general: "el ordenador es un instrumento de producción del que es titular el empresario, como propietario o por otro título, y, en consecuencia, su utilización por el trabajador queda sometida a los poderes de dirección empresarial, con lo que puede reglamentarse su utilización prohibiendo los usos personales y procediendo al control de su uso.
La STS (Sala Cuarta de lo social) de 26/09/2007, marcó los primeros alineamientos de esta materia en el ámbito laboral. Una revisión técnica por el defectuoso funcionamiento del ordenador de un trabajador desveló antiguas visitas a archivos pornográficos causantes quizás de la ralentización del ordenador. Eso desencadenó su despido.
El Tribunal Supremo recalca "... la existencia de un hábito social generalizado de tolerancia con ciertos usos personales moderados de los medios informáticos y de comunicación facilitados por la empresa a los trabajadores. Esa tolerancia crea una expectativa también general de confidencialidad en esos usos; expectativa que no puede ser desconocida, aunque tampoco convertirse en un impedimento permanente del control empresarial, porque, aunque el trabajador tiene derecho al respeto a su intimidad, no puede imponer ese respeto cuando utiliza un medio proporcionado por la empresa en contra de las instrucciones establecidas por ésta para su uso y al margen de los controles previstos para esa utilización y para garantizar la permanencia del servicio".
El reconocimiento de esa expectativa impone el deber a la empresa de poner en conocimiento del trabajador los mecanismos que el empresario se reserva para hacer realidad ese control. "... Lo que debe hacer la empresa -razona la sentencia- de acuerdo con las exigencias de buena fe es establecer previamente las reglas de uso de esos medios -con aplicación de prohibiciones absolutas o parciales- e informar a los trabajadores de que va existir control y de los medios que han de aplicarse en orden a comprobar la corrección de los usos, así como de las medidas que han de adoptarse en su caso para garantizar la efectiva utilización laboral del medio cuando sea preciso, sin perjuicio de la posible aplicación de otras medidas de carácter preventivo, como la exclusión de determinadas conexiones. De esta manera, si el medio se utiliza para usos privados en contra de estas prohibiciones y con conocimiento de los controles y medidas aplicables, no podrá entenderse que, al realizarse el control, se ha vulnerado "una expectativa razonable de intimidad" en los términos que establecen las sentencias del Tribunal Europeo de Derechos Humanos de 25/06/1997 (caso Halford) y 3/04/2007 (caso Copland) para valorar la existencia de una lesión del artículo 8 del Convenio Europeo para la protección de los derechos humanos ".
La doctrina vuelve a aparecer en la STS de la misma Sala de 6/10/2011. La empresa había enviado a todos los trabajadores una carta, recibida y firmada por quienes luego resultaron despedidos, "... quedaba terminantemente prohibido el uso de medios de la empresa (ordenadores, móviles, internet, etc.) para fines propios tanto dentro como fuera del horario de trabajo". Transcurridos unos meses de la recepción de esa misiva, la empresa decidió hacer una comprobación sobre el uso de sus medios de trabajo para lo que procedió a la motorización de los ordenadores de los trabajadores afectados. Para ello se valió de la instalación de un "software de monitorización" que la sentencia de instancia definía como "... un sistema "pasivo" poco agresivo que no permitía acceder a los archivos del ordenador que están protegidos por contraseñas de cada uno de los usuarios".
El Pleno de la Sala de lo Social -con cinco votos particulares que disentían del criterio mayoritario- declaró la procedencia del despido, confirmando así el criterio de la instancia.
Lo que singularizaba el presente caso -se razona- era que "... existía una prohibición absoluta que válidamente impuso el empresario sobre el uso de medios de la empresa (ordenadores, móviles, internet, etc.) para fines propios, tanto dentro como fuera del horario de trabajo, y no caprichosamente sino entre las sospechas fundadas de que se estaban desobedeciendo las órdenes impartidas al respecto. Y sentada la validez de prohibición tan terminante, que lleva implícita la advertencia sobre la posible instalación de sistemas de control del uso del ordenador, no es posible admitir que surja un derecho del trabajador a que se respete su intimidad en el uso del medio informático puesto a su disposición. Tal entendimiento equivaldría a admitir que el trabajador podría crear, a su voluntad y libre albedrío, un reducto de intimidad, utilizando un medio cuya propiedad no le pertenece y en cuyo uso está sujeto a las instrucciones del empresario".
Las sentencias mencionan «las dificultades prácticas» para una prohibición absoluta del uso personal, pero admiten que la empresa puede establecer tanto prohibiciones absolutas, como relativas.
En la sentencia del caso «Annaligia» , se argumenta que «si no hay derecho a utilizar el ordenador para usos personales no habrá tampoco derecho para hacerlo en unas condiciones que impongan el respeto a la intimidad o el secreto a las comunicaciones», ya que «en estas condiciones el trabajador afectado sabe que su acción de utilizar para fines personales el ordenador no es correcta y sabe también que está utilizando un medio que, al estar lícitamente sometido a la vigilancia de otro, ya no constituye un ámbito protegido para su intimidad». Se han bajado «las barreras de la intimidad». La conclusión no fue pacífica. La sentencia del caso «Etiquetas Galicia» había señalado que la empresa debía «establecer previamente las reglas de uso de esos medios» e «informar a los trabajadores de que va a existir control y de los medios que han de aplicarse». El voto particular de la STS 6.10.2011 sostiene que para que la empresa pueda controlar el uso del ordenador no basta la prohibición de uso personal; es necesario además que haya advertencia de control. En realidad, en el caso «Annaligia» se suscitaba un problema de exceso en el control; el control se aplicó a través de un programa espía que captaba todas las pantallas del ordenador a las que accedía la trabajadora, para su posterior visualización. Pero la sentencia obvia el problema del alcance del control aplicado, centrando su argumentación en la ausencia de una expectativa de confidencialidad. Por el contrario, para el voto particular hubo exceso en el control, pues éste «no se limitaba a controlar genéricamente tiempo y páginas visitadas por la trabajadora, sino que permitía observar lo que la usuaria veía y la captación de pantallas para su posterior visualización».
Esta doctrina se ha reiterado más recientemente en la STS 13.9.2016 (caso «Radio Televisión Gallega»). En ella se considera conforme a Derecho una resolución de la empresa en la que se establece la política de uso de los medios tecnológicos empresariales. La resolución confirmada prohíbe el uso personal del equipamiento informático de la empresa, reservándose ésta el derecho a «monitorizar y comprobar, de forma aleatoria, cualquier sesión de acceso a Internet iniciada por un usuario dentro de la red corporativa». De forma expresa se excluye el uso personal del correo electrónico, advirtiendo también de la facultad de la empresa de «revisar los mensajes de correo electrónico de los usuarios de la red corporativa y los archivos LOG de los servidores, con el fin de comprobar el cumplimiento de esta y otras normativas, así como para prevenir actividades ilícitas que pudiesen afectar a CRTVG (la empresa) como responsable civil subsidiario». La resolución añadía que esta revisión «se realizará, en todo caso, de conformidad con la regulación vigente en cada momento». Para la Sala IV, la resolución empresarial respeta los tres juicios de idoneidad, necesidad y estricta proporcionalidad, puesto que: 1.º) «con ella se cumple el legítimo objetivo propuesto [exclusión del uso netamente privado de los instrumentos informáticos puestos a su disposición por la empresa para desarrollar la actividad laboral]»; 2.º) «no se alcanza a vislumbrar -ni se propone- otra medida más benévola con los derechos que entienden vulnerados» y 3.º) «se nos presenta como equilibrada regulación de los intereses en juego», «siempre y cuando, por supuesto, en el concreto ejercicio del control empresarial se respeten, asimismo, los derechos fundamentales referidos».
Concretamente, en relación con la utilización de ordenadores u otros medios informáticos de titularidad empresarial por parte de los trabajadores, puede afirmarse que la utilización de estas herramientas está generalizada en el mundo laboral, correspondiendo a cada empresario, en el ejercicio de sus facultades de autoorganización, dirección y control fijar las condiciones de uso de los medios informáticos asignados a cada trabajador. En el marco de dichas facultades de dirección y control empresariales no cabe duda de qué es admisible la ordenación y regulación del uso de los medios informáticos de titularidad empresarial por parte del trabajador, así como la facultad empresarial de vigilancia y control del cumplimiento de las obligaciones relativas a la utilización del medio en cuestión, siempre con pleno respeto a los derechos fundamentales.
Las consideraciones precedentes no impiden que se proceda a dotar de una regulación al uso de las herramientas informáticas en la empresa y, en particular, al uso profesional de las mismas, por medio de diferentes instrumentos como órdenes, instrucciones, protocolos o códigos de buenas prácticas, de manera que la empresa no quede privada de sus poderes directivos ni condenada a permitir cualesquiera usos de los instrumentos informáticos sin capacidad alguna de control sobre la utilización efectivamente realizada por el trabajador.
De esta forma, los equilibrios y limitaciones recíprocos que se derivan para ambas partes de la relación suponen que también las facultades organizativas se encuentran limitadas por los derechos fundamentales del trabajador, quedando obligado el empleador a respetar aquéllos. El ejercicio de la potestad de vigilancia o control empresarial sobre tales elementos resulta limitado por la vigencia de los derechos fundamentales, si bien los grados de intensidad o rigidez con que deben ser valoradas las medidas empresariales de vigilancia y control son variables en función de la propia configuración de las condiciones de disposición y uso de las herramientas informáticas y de las instrucciones que hayan podido ser impartidas por el empleador a tal fin.
Partiendo del uso común del ordenador, desde la perspectiva de los derechos fundamentales, es esencial determinar si el acceso a los contenidos de los ordenadores u otros medios informáticos de titularidad del empleador puestos a disposición de los trabajadores, en un supuesto como el que aquí se presenta, vulnera el art. 18.4 CE.
Se considera que el ordenador es un instrumento de producción del que es titular el empresario «como propietario o por otro título» y éste tiene, por tanto, facultades de control de la utilización, que incluyen lógicamente su examen. Por otra parte, con el ordenador se ejecuta la prestación de trabajo y, en consecuencia, el empresario puede verificar en él su correcto cumplimiento. La necesidad del control de esos medios no tiene que justificarse por «la protección del patrimonio empresarial y de los demás trabajadores de la empresa», porque la legitimidad de ese control deriva del carácter de instrumento de producción del objeto sobre el que recae. El empresario puede controlar el uso del ordenador, porque en él se cumple la prestación laboral y, por tanto, ha de comprobar si su uso se ajusta a las finalidades que lo justifican, ya que en otro caso estaría retribuyendo como tiempo de trabajo el dedicado a actividades extralaborales. En este sentido, la alegación de la reclamada de que al ser bienes públicos no procede la expectativa de privacidad, añadir que igual que se señala que sobre el uso de los ordenadores de las empresas privadas, en las que rige el derecho de propiedad (artículo 33 de la Constitución española) no afecta a la titularidad y ejercicio del derecho de sus empleados. En el mismo sentido, el uso de instrumentos puestos a disposición de los funcionarios no entraña una apropiación de los mismos, ni afecta al derecho establecido en el artículo 18.4 de la Constitución española que debe protegerse también en dicha sede.
Asimismo, dentro del ámbito de protección de datos, al responsable del tratamiento le corresponde dentro de la normativa vigente, entre otras, dictar las instrucciones relativas al tratamiento de los datos de los que es responsable. La existencia de normas generales sobre la materia, RGPD, LOPD, o LOPDGDDD no es suficiente para la ejecución de lo dispuesto en tales normativas, es preciso un despliegue proactivo, sea en uso de medios, finalidades, medidas de seguridad, responsable de seguridad, corrección, registro y subsanación de incidencias. El nuevo RGPD lo denomina en términos anglosajones "compliance". Algunas medidas tendentes al cumplimiento ya existían en la LOPD y en el RLOPD, y el RGPD lo instaura como modelo.
Los ordenadores, teléfonos, tabletas móviles son herramientas básicas en muchos puestos de trabajo, pero su uso, no es ilimitado. Los empresarios, pueden establecer controles sobre el uso de esos equipos, y en concreto, sobre las comunicaciones realizadas con ellos.
Las normas genéricas de cumplimiento de obligaciones como el estatuto básico del empleado público, marco general de cumplimiento de los empleados públicos, o la normativa de la Comunitat Valencia, no entran a valorar por su carácter, el balance y los requisitos que supone la puesta en práctica del conflicto que se presenta cuando entra en juego un derecho fundamental como el de protección de datos, ejercitable ante una entidad pública o privada en algunos casos. Así lo ha expresado en reiteradas ocasiones el Tribunal Constitucional, afirmando que «la celebración de un contrato de trabajo no implica en modo alguno la privación para una de las partes, el trabajador, de los derechos que la Constitución le reconoce como ciudadano», porque las organizaciones empresariales no forman «mundos separados y estancos del resto de la sociedad ni la libertad de empresa que establece el art. 38 del texto constitucional legitima que quienes prestan servicios en aquéllas por cuenta y bajo la dependencia de sus titulares deban soportar despojos transitorios o limitaciones injustificadas de sus derechos fundamentales y libertades públicas, que tienen un valor central en el sistema jurídico constitucional». STC 106/1996, 12 junio ".
El RGPD, aunque no aplicable en concreto a los hechos por el tiempo en que suceden, en su artículo 87 : derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral, señala:
"1. Los trabajadores y los empleados públicos tendrán derecho a la protección de su intimidad en el uso de los dispositivos digitales puestos a su disposición por su empleador.
2. El empleador podrá acceder a los contenidos derivados del uso de medios digitales facilitados a los trabajadores a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos.
3. Los empleadores deberán establecer criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente. En su elaboración deberán participar los representantes de los trabajadores.
El acceso por el empleador al contenido de dispositivos digitales respecto de los que haya admitido su uso con fines privados requerirá que se especifiquen de modo preciso los usos autorizados y se establezcan garantías para preservar la intimidad de los trabajadores, tales como, en su caso, la determinación de los períodos en que los dispositivos podrán utilizarse para fines privados.
Los trabajadores deberán ser informados de los criterios de utilización a los que se refiere este apartado."
En cuanto a que el responsable del tratamiento no tiene por qué dictar instrucciones sobre el cumplimiento de sus empleados en cuestiones que tengan relación con protección de datos, que ya figura vigente la normativa legal con las obligaciones expresadas, se debe indicar que el responsable del tratamiento, de acuerdo con la LOPD es "persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento" y sus empleados son los encargados de llevar a cabo las funciones accediendo a datos personales, debiéndose entre otros difundir las medidas de seguridad de tratamientos que ha de tener en cuenta el personal en el manejo de datos, y ser informados de los datos que de sus empleados lleva a cabo, y sobre los que les corresponde a sus titulares sus derechos de acceso entre otros. Otras instrucciones y documentos que ha de disponer son el documento de seguridad, instaurar acciones relacionadas con la seguridad de la información o el acceso a los sistemas, sin que ello suponga una modificación jerárquica de las normas o un incremento injustificado de normas.
La Sentencia del Tribunal Europeo Derechos Humanos (TEDH) de 5/09/2017, "Caso Barbulescu" se aplica a esta situación. En realidad, se trata de dos sentencias, la mencionada y la STEDH 12/01/2016, conocidas como "Barbulescu 1" y "Barbulescu 2".
La sentencia "Barbulescu 2" , establece límites a la capacidad de control del empresario, sobre las comunicaciones del trabajador utilizando, herramientas informáticas laborales. Y lo hace sobre el derecho a la vida privada del artículo 8 de la Carta Europea de Derechos Humanos:
El caso trata de que el demandante, Sr Barbulescu, creó, a solicitud de la empresa, una cuenta "Yahoo Messenger" para atender preguntas de clientes. El Sr. Barbulescu, ya era titular, de otra cuenta personal de este tipo.
La empresa, prohibía el uso personal de los equipos informáticos, política, que era conocida con anterioridad por el Sr. Barbulescu. El Sr. Barbulescu, firmó el reglamento en cuestión el 20/12/2006.
Igualmente, tuvo conocimiento de que la empresa, procedería a verificar, controlar, incluso sancionar, el uso de internet y equipos informáticos. Se le informó el 3 y el 13/07/2007.
Y convocó al Sr. Barbulescu para que explicase porque había hecho uso personal de los equipos de la empresa.
Pero en ese momento, no se informó al Sr. Barbulescu, de que se había accedido al contenido de sus comunicaciones. El Sr. Barbulescu, contestó que solo utilizó las herramientas empresariales con fines profesionales.
En cambio, la mayoría de los mensajes intercambiados por su parte, lo fueron con su novia y hermano. Por esta causa, fue despedido el 1/08/2007.
Lo primero que hay que subrayar como gran avance de esta sentencia, que la misma incorpora el "Test Barbulescu" (relativo al control del uso del ordenador)
El párrafo 120 de la Sentencia, enumera seis factores para tener en cuenta respecto de "Test Barbulescu":
1.º) La existencia o no de información sobre las medidas de control y sobre su puesta en práctica. Para la Gran Sala, el empresario debe advertir a los trabajadores de la posibilidad de que se supervise el uso de los recursos tecnológicos de la empresa y, en especial, de la correspondencia y esta advertencia debe ser «clara en cuanto a la naturaleza de la supervisión» y anterior al establecimiento de las medidas de control.
2.º) El alcance del control empresarial practicado. Es necesario valorar la extensión del control y el grado de intrusión en la vida privada del trabajador. En este sentido, la sentencia señala que no es lo mismo un control sobre el flujo de las comunicaciones que sobre su contenido. Hay que tener en cuenta también si el control ha afectado a la totalidad de las comunicaciones del empleado o se ha producido de forma selectiva únicamente en relación con determinadas comunicaciones. Asimismo, habrá que valorar si el control ha sido o no limitado en el tiempo y el número de personas que han accedido a la información.
3.º) La existencia o no de motivos suficientes para el control. Dado que el acceso al contenido de las comunicaciones es un método de control especialmente «invasivo», este tipo de control requiere de justificaciones más fundamentadas.
4.º) La posibilidad de aplicar medidas alternativas menos «intrusivas». Los tribunales tendrán que valorar, en función de las circunstancias concretas de cada caso, si la finalidad legítima de control perseguida por el empresario podía haberse cumplido a través de otros medios técnicos más respetuosos con la vida privada y las comunicaciones del trabajador.
5.º) La consideración de las consecuencias del control y el uso que el empresario haya hecho de los datos obtenidos, así como la adecuación de ese uso a la finalidad que legitima el control.
6.º) Las garantías ofrecidas al trabajador. La sentencia aclara, en este punto, que, cuando el control implica acceso a las comunicaciones, es necesario que el trabajador haya sido previamente notificado de tal eventualidad.
Sobre la no aplicación de la doctrina señalada al ámbito de la Administración pública, cualquier responsable del tratamiento ha de adoptar medidas en desarrollo de la normativa vigente, ahora el RGPD, antes de esta la LOPD. Estas medidas proactivas suponen una actitud diligente y previsora de los tratamientos que se llevan a cabo, la valoración en cada actuación del cumplimiento de los principios básicos en protección de Datos. La normativa básica aplicable a todas las entidades, tanto públicas como privadas parte del RGPD, antes la LOPD. Solo el ámbito público puede verse afectado en cuanto a que se introducen algunas especialidades propias en la base jurídica del tratamiento. Los principios generales del derecho de protección de datos son aplicables en ambos supuestos, aunque en algunos supuestos la normativa púbica pueda influir en el tratamiento llevado a cabo. Dado que hasta la entrada en vigor del RGPD no existe una norma específica que se refiera al control de los medios puestos a disposición de los empleados, es razonable la extensión de los principios de la sentencia Barbulescu al ámbito que se examina, pues se trata de un principio general aplicable al tratamiento de datos, el de estar informado de los datos propios que se van a tratar, de su uso y su finalidad y alcance, y de que se puede ejercitar frente a esa recogida y uso de datos los derechos que establece la normativa.
En el presente supuesto, no se indica que la reclamante experimentase una reducción sostenida o permanente de su rendimiento o que existían sospechas fundadas, o de alguna otra forma se diera a entender que podría estar dedicando parte de la jornada a su asuntos particulares, siendo el motivo los documentos almacenados en el escáner.
El control empresarial sobre el uso por parte de los trabajadores de los medios informáticos de la empresa se encuentra directamente fundamentado en la potestad empresarial de vigilancia y control, si bien queda sujeto a límites para que resulte lícito: que se hayan establecido previamente las reglas de uso de los medios informáticos puestos a disposición del trabajador -prohibiciones absolutas o parciales-; que se informe a los trabajadores de que va a existir control de dichos medios; y que igualmente se informe a los trabajadores de los medios de control que van a ser usados para fiscalizar el uso de los medios informáticos.
En el presente supuesto en la empresa no existía protocolo ni instrucciones sobre los límites y condiciones de utilización de los ordenadores, ni del escáner, ni tampoco sobre los procedimientos de control de su contenido, ni a nivel profesional laboral, ni a nivel de protección de datos que guardan conexión. En este caso, en cuanto al control del ordenador usado por la reclamante y el sistema de copia escaneada de documentos disponible para los empleados no se dan esos elementos específicos, al no haber sido informada, y se accede de una forma especialmente invasiva escogiendo documentación sin discriminar su contenido, un volcado de carpetas y archivos, razones por las que cabe considerar que las circunstancias en que se llevó a cabo vulneran la normativa de protección de datos.
Si no se regula o instrumenta dicho uso en tales dispositivos, cabe inferir que no está expresamente prohibido, el empleado tiene una expectativa razonable de confidencialidad. Esta expectativa razonable puede ser destruida, cuando se establezca por el empleador la prohibición expresa del uso para fines privados de los dispositivos digitales, facilitados. En todo caso dicha prohibición debe ser debidamente informada.
En cuanto al alcance de la medida practicada por la reclamante, el presente caso, de acuerdo con la notificación de solicitud de incoación de disciplinario, se inician los hechos sobre si la justificación de asistencia de la reclamante el 9/02/2020 a una jornada promovida por el Ayuntamiento de Valencia era real o sirvió para justificar un día de ausencia del trabajo, solicitando el 23/02/2018 información al citado Ayuntamiento, certificándose el 2/03/2018 que la jornada no existió.
Por otro lado, se indica, sin fecha de referencia, que al haber aparecido documentos en el escáner y en la impresora, no se indica cuales, "que podrían suponer que la funcionaria realiza actividades personales o profesionales dentro de la jornada de trabajo que nada tienen que ver con sus funciones como funcionaria y que incluso podrían resultar incompatibles, mediante providencia de la alcaldía de ***FECHA.3 se ordena al departamento de informática que investigue los documentos del ordenador de trabajo de la funcionaria para aclarar tales hechos"
Pudiendo haber incumplido como infracciones muy graves:
- "las normas sobre incompatibilidades cuando dé lugar a una situación de incompatibilidad",
- "La realización dentro de la jornada laboral de manera reiterada o con ánimo de lucro, de otro tipo de actividades personales o profesionales",
y como grave:
- " Emplear o autorizar para usos particulares medios o recursos de carácter oficial o facilitarlos a terceros".
No se conoce si estas supuestas labores realizadas por la reclamante para o en las empresas que aparecen en los documentos hallados, se realizaban dentro o fuera del puesto de trabajo, y cabe indicar que la suposición o sospecha podría ser de la mera guarda de los documentos en el ordenador, no cabiendo interpretar que, por el mero hecho de ser hallados en el escáner, luego en el ordenador, conduzcan por sí mismas, a deducir que las supuestas actividades tenían lugar en el horario y desempeño del puesto de trabajo, utilizando dichos medios o era un simple guardado de documentación. La carga de la prueba corresponde a quien afirma, y en tal sentido la mera copia de los documentos al DVD para acreditar los hechos es un mero inicio, quedando carao que se pueden y se podían haber establecido medios para verificar que en el puesto de trabajo solo se desarrollen funciones y labores del mismo, no particulares, por lo que la medida de acceso al ordenador es discutible.
Por el reclamado, si se considera indicio suficiente para que en base a ese primer hallazgo, que denomina casual, se determine el acceso a través del ordenador usado en el trabajo diario. El funcionario que ejecuta la providencia en la que se dice: "que investigue los documentos del ordenador de trabajo", no tiene documento alguno del escáner para visualizar y saber lo que tiene que buscar para esa investigación o en relación con qué, empresas o compañías que figurasen en el hallazgo del escáner, y acaba copiando todas las carpetas sin ver antes los archivos con el fin de discriminar en función de lo que se buscaba. Una investigación requiere cierta indagación en una dirección, no pudiendo consistir la investigación en un volcado de datos. Podía por ejemplo, haberse buscado en el ordenador por nombres de empresas que figurasen en los documentos del escáner, pero la investigación no es tal , sino un volcado de carpetas y archivos de la reclamante, no discriminando, cuando lo cierto es que el ***PUESTO.3 se hallaba sin la presencia de la reclamante, pudiéndose haber seleccionado las carpetas a copiar, o cuanto menos, descartar las carpetas y archivos claramente alusivos a su persona.
Sobre el hallazgo casual de documentos en el escáner, al inicio del procedimiento se aludía a ello con el termino de que "aparecieron" unos documentos en el escáner. Sin diligencia en el momento y circunstancias en que son hallados, en pruebas se acredita que tal hallazgo no respondía a esa aparición de documentos, dejados en el escáner, sino que se hallaban almacenados en carpetas, en el sistema interno, no del ordenador sino del escáner, configurado con posible acceso indiferenciado de los empleados del ***DEPARTAMENTO.1. De tal configuración y uso de posibilidad de almacenamiento de datos tampoco consta se hubiera informado a los empleados.
Objetivamente, tampoco existía una previa sospecha fundamentada de que la reclamante dedicara su tiempo a funciones particulares, no aparecen motivos en ese sentido, y la investigación llevada a cabo para apuntar a una infracción de incompatibilidades no ha ido en ninguna dirección, tan solo recopilación de carpetas y archivos.
La cuestión es que para controlar ese aspecto, el alcance intrusivo sobre la intimidad de la empleada ha superado la razonabilidad de la intromisión, ya que, contando el reclamado con los medios suficientes para realizar la investigación ajustada a los objetivos, podría haber usado una técnica menos agresiva. Así, se han visto alcanzados archivos, documentos personales privados que nada tienen que ver con los motivos , asuntos de salud, de cursos y titulaciones, que se han recogido globalmente sin descarte alguno, con afectación de su intimidad de forma no necesaria. Los medios para acreditar la realización de trabajos no relacionados con la actividad encomendada no pasan en principio directamente por la intervención del ordenador, conocer si la reclamante es administradora de una sociedad puede consultarse en el Registro Mercantil, existiendo otros medios menos intrusivos para evaluar si se desempeñan trabajos particulares. Los métodos técnicos para aplicar el control de la prestación deberán ser acordes a las comprobaciones que se quieren realizar, y en este caso se ha usado un medio desproporcionado, exhaustivo e intrusivo globalizado sin relación con lo que se buscaba.
IV
La Ley Orgánica 15/1999, de 13/12, de Protección de Datos de Carácter Personal (BOE núm. 298, de 14 de diciembre de 1999, p. 43088) adapta el Derecho español a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24/10/1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos.
Cuando se adoptó en 1995, la Directiva se basó en los primeros instrumentos de protección de datos, incluidos el Convenio 108 y las Directrices de la OCDE. Se contenía un requisito amplio establecido en su artículo 6, apartado 1, letra a), de que los datos personales deben ser tratados «justamente y legalmente», la Directiva añadió un conjunto específico de requisitos adicionales, que aún no están presentes como tales en el Convenio 108 ni en las Directrices de la OCDE: el tratamiento de datos personales deberá basarse en uno de los seis fundamentos jurídicos previstos en el artículo 7.
Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si:
a) el interesado ha dado su consentimiento de forma inequívoca, o
b) es necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado, o
c) es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o
d) es necesario para proteger el interés vital del interesado, o
e) es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos, o
f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.
Se puede hacer una distinción entre el caso en que los datos personales se procesan sobre la base del consentimiento inequívoco del interesado (artículo 7, letras a) y los cinco casos restantes (artículo 7, letras b) a f)). Estos cinco casos -en pocas palabras- describen escenarios en los que el tratamiento puede ser necesario en un contexto específico, como la ejecución de un contrato con el interesado, el cumplimiento de una obligación legal impuesta al responsable del tratamiento, etc.
En otras palabras, el primer motivo, el artículo 7, letra a), se centra en la libre determinación del interesado como fundamento de legitimidad. Todos los demás motivos, en cambio, permiten el tratamiento -con sujeción a salvaguardias y medidas- en situaciones en que, independientemente del consentimiento, sea apropiado y necesario tratar los datos en un determinado contexto en busca de un interés legítimo específico.
En los apartados b), c), d) y e) se especifica un criterio que legitima el tratamiento :
El artículo 3.c) de la LOPD señala: "Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias."
El artículo 6 de la LOPD indica:
"1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.
2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6 , de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado."
La legitimación para el tratamiento consistente en el acceso al equipo informático asignado a la reclamante puede derivar de que dentro de la existencia de la relación laboral o administrativa y para el cumplimiento de la misma, la comprobación del cumplimiento de sus funciones se puede arbitrar en unos casos concretos, proporcionales y predeterminados ese tipo de accesos, que aquí no lo estaban, volcándose todo el contenido de las carpetas, sin realizar investigación sobre los documentos. Si bien, de acuerdo con el art. 6.2 de la LOPD, no se requiere del consentimiento de los empleados para instaurar dicha medida, no existía información previa ni expectativas del uso de los datos para dichos fines
En cuanto al uso de escáner para control laboral, no es muy propio y adecuado esa finalidad, dado que en él no se ejecuta la relación mediante dicho medio, sino que usualmente suele servir para pasar a formato electrónico algo que está en papel. Una baja médica en papel se puede pasar a dicho formato si se precisa enviar a alguna entidad, y puede estar relacionado con el empleo. Si se conocen previamente las instrucciones y que se almacenan los datos y se pueden usar dichos datos con el fin de verificación de labores desempeñadas, se debería haber comunicado a los empleados. Pero en este caso, no cabe duda de que sirvió como instrumento de control sin aviso previo en un doble sentido, almacenándose datos en el escáner sin advertencia de uso para luego justificar el acceso al ordenador, a sus archivos y carpetas sin discriminar datos personales relacionados con los hechos, sin un protocolo en el modo de recolectar la información. Hacer notar que incluso se accedió a documentos con datos de salud de la reclamante, datos especialmente protegidos.
En el presente supuesto se produce un doble tratamiento de datos de carácter personal de la reclamante, relacionados con el control laboral, al haber accedido a datos personales almacenados en carpetas que tenía el escáner puesto a disposición de los empleados, y a través del ordenador con el que prestaba servicios.
El Tribunal Constitucional ha considerado básica y parte esencial del derecho a protección de datos el derecho a ser informado de las finalidades, usos y derechos que conlleva el tratamiento de datos de carácter personal, y su falta constituye una vulneración de la normativa de protección de datos. Así, en este caso, frente al poder de control del empleador para instaurar normas de seguimiento y cumplimiento de la prestación, se exige el derecho de los empleados, titulares de esos datos, a conocer de qué medios y con qué fines se realiza ese control, y el modo de ejercer los derechos, con información previa al momento en que se recojan dichos datos para esas finalidades de control laboral a través de cualquier medio puesto a su disposición por el que se desarrollan las funciones encomendadas. Por ello, si bien la medidas que se puedan implantar para el control de la prestación laboral con los medios puestos a disposición del empleado deben respetar los principios de proporcionalidad, necesidad e idoneidad para los fines, como prerrequisito para su instauración, no cabe la exigencia de la obtención del consentimiento de los empleados, pero si la obligación como parte integrante del derecho, de ser informado de los citados extremos.
La finalidad del control laboral en la modalidad de control de equipos informáticos sin establecer las reglas previas supone que este concreto tratamiento llevado a cabo carecía de la información preceptiva del uso o la finalidad del tratamiento especificado.
Por tanto, no se considera que los hechos realizados por al reclamante con la obtención de datos relacionados con el empleo de la reclamante en el escáner, el posterior volcado de las carpetas del ordenador en un DVD para proponer el inicio de un procedimiento disciplinario, sin haber informado a los empleados adecuada y expresamente de la utilización del ordenador o del escáner , con la advertencia de la existencia de medidas de control sobre las comunicaciones de los empleados se ajuste a los términos del artículo 6.2 de la LOPD que permitirían el citado control.
Al no haberse cumplido los requisitos para dicha modalidad de control, fundamentalmente por la falta de información de los usos y finalidades y advertencias de los dispositivos para control laboral, se considera que en la infracción cometida del artículo 6.1 de la LOPD, influye esa ausencia de información sobre el tratamiento cualificado de control laboral llevado a efecto. Si bien no precisaría el consentimiento en el sentido de corresponder a " las partes de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento", al no concurrir información sobre el uso de los dispositivos y los datos personales en ellos contenidos, no queda amparado por dicha excepción del consentimiento.
Esta infracción del artículo 6.1 de la LOPD se tipifica como grave en el artículo 44.3.b) de la LOPD que indica: "Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo."
V
El artículo 9.1 de la LOPD señala:
"1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberá adoptar las medidas de índole técnica y organizativas necesarias que garantice la seguridad de los datos de carácter personal y evite su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana del medio físico o natural.
2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley."
El Real Decreto 1720/2007, de 21/12 que aprueba el reglamento de desarrollo de la LOPD (RLOPD) indica en su artículo 92:
1. Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y sólo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad.
Se exceptúan estas obligaciones cuando las características físicas del soporte imposibiliten su cumplimiento, quedando constancia motivada de ello en el documento de seguridad.
2. La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad.
3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.
4. Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.
5. La identificación de los soportes que contengan datos de carácter personal que la organización considerase especialmente sensibles se podrá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de las personas."
El artículo 97.1 y 2 del RLOPD indica:
"1. Deberá establecerse un sistema de registro de entrada de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el emisor, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada.
2. Igualmente, se dispondrá de un sistema de registro de salida de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el destinatario, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la entrega que deberá estar debidamente autorizada."
El artículo 101 del RLOPD indica: "Gestión y distribución de soportes"
"1. La identificación de los soportes se deberá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de las personas.
2. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.
Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero.
3. Deberá evitarse el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado. En caso de que sea estrictamente necesario se hará constar motivadamente en el documento de seguridad y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos."
El artículo 2 de la LOPD señala:
"1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado."
El artículo 5.2. ñ) del RLOPD define:
"Soporte: objeto físico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar y recuperar datos."
Manifiesta el reclamado que si bien el DVD es un soporte, al formar parte de un expediente disciplinario, "no constituye un soporte a los efectos de la normativa entonces aplicable, el RLOPD RD 1720/2007." En tal sentido, al formar parte de un expediente como ordenación de actos cronológicamente realizados que contiene datos personales de la reclamante y de terceros, constituirían un tratamiento que se tratan con una finalidad y al que le resulta de aplicación la normativa de protección de datos.
El DVD forma parte del expediente sea electrónico o sea en papel, y ha de estar identificado, así como las copias que se realicen. Ello con vistas a limitar el riesgo de que caso de hallarse una copia del DVD extraviada se pueda llegar a conocer por la trazabilidad del soporte a quien corresponde y quien debe garantizar la custodia. Igualmente, el envío del contenido encriptado es una garantía de seguridad que mitigaría eventuales riesgos que si no se contienen se podrían producir con accesos no autorizados por terceros.
Los datos extraídos del ordenador al DVD contienen datos de carácter personal y datos del desempeño de las funciones profesionales de la reclamante, no contienen las medidas de seguridad mínimas de tratamiento de datos que ha de contener un soporte físico con tal contenido. Como medio que contiene datos, no se registró ni diligenció su contenido en el momento de realizarse la copia, considerando la fecha y hora, no se protegió su información pues cada acceso al mismo, incluso su muestra a personas legitimadas, se debería de haber registrado, se ha enviado una copia a un destinatario, la DGAL, sin identificar el nuevo formato físico DVD 0btenido y enviado, sin cifrar dichos datos o utilizar otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.
CD y DVD, introducidos en 1982 constituyen uno de los muchos tipos de tecnologías de almacenaje confiable y económicamente accesible, el formato sigue siendo popular por muchas razones, entre las cuales destacan su uso fácil y disponibilidad común. En primer lugar hay que referir que dichos soportes deberían poder convertirse y almacenarse en soporte digital pues llegara un momento en que dejara de existir la tecnología capaz de leer esos formatos. En segundo lugar, estos soportes pueden ser copiados y multiplicados pudiendo perder la identificación del originario y dando lugar a proliferación de copias sino se produce algún tipo de identificación del mismo, y de las copias que se realicen. Una modalidad de identificación sería el etiquetado, fecha, información respaldada y disponer de una copia guardada en distinto sitio o espacio de la anterior.
Sobre el cumplimiento de medidas de seguridad en el tratamiento de datos, la jurisprudencia de la Audiencia Nacional, sala de lo contencioso-administrativo, sección 1, entre otras la SAN de 30/04/2010 recurso 29/2009, fundamento jurídico tercero, indica que la "doctrina, por todas, según refiere, SAN 6/05/2009 re 469/2008 impone una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros. En definitiva, la responsable del fichero es, por disposición legal, una deudora de seguridad en materia de datos, por lo que debe dar una explicación adecuada y razonable de cómo los datos personales han ido a parar a un lugar en el que son susceptibles de recuperación por terceros, siendo insuficiente con acreditar que adopta una serie de medidas, pues también es responsable de que las mismas se cumplan y se ejecuten con rigor. En definitiva, toda responsable de un fichero (o encargada de tratamiento) debe asegurarse de que dichas medidas o mecanismos se implementen de manera efectiva en la práctica...""No basta, entonces, con la adopción de cualquier medida, pues deben ser las necesarias para garantizar aquellos objetivos que marca el precepto. Y, por supuesto, no basta con la aprobación formal de las medidas de seguridad, pues resulta exigible que aquéllas se instauren y pongan en práctica de manera efectiva."
La infracción de las medidas de seguridad se tipifica como grave en el artículo 44.3.h) de la LOPD que indica: "Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen."
Sobre la alegación de la reclamada de aplicar en esta infracción el RGPD, se debe indicar que en torno a dicha cuestión, si bien el régimen del RGPD, en medidas de seguridad de tratamientos no establece unas obligaciones o niveles especificados y definidos, ello no quiere decir que no se deba cumplir con la obligación y el principio, que se establece en el artículo 5.1 f) "1. Los datos personales serán:
"tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)", especificando una serie de medidas que menciona el artículo 32.1 del RGPD.
El artículo 9.1 de la LOPD también establecía la adopción de medidas técnicas y organizativas, en el mismo sentido que ahora establece el 32.1. El hecho de no introducir un listado expreso de obligaciones en cuanto a las medidas de seguridad a implementar se correlaciona con el principio de cumplimiento que se desarrollan artículos 5.2 del RGPD.
El RGPD, en vigor desde 25/05/2018, en el momento de presentarse la denuncia, la LOPDGDD no, y los hechos que suceden en febrero 2018 deben someterse al ámbito de aplicación de la norma vigente en ese momento que regula las obligaciones y deberes del responsable del tratamiento en ese tiempo. El RGPD establece distintas obligaciones y acreditaciones de cumplimiento de la normativa diferentes.
Establece el RGPD en su artículo 5.2:" El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 (principios del tratamiento entre los que se encuentra el modo en que han de ser tratados los datos, "de manera lícita, leal y transparente") capaz de demostrarlo («responsabilidad proactiva»). Ello implica que la entidad es la que asume su propia responsabilidad dirigiendo y coordinando la materia en cuanto al personal que le presta servicios. La alegación de la reclamada que "no existe concreción de los deberes de seguridad listados" se desmiente por si sola en ese artículo, y en el 32 del RGPD, "la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;". El reclamado, debe prever que el tratamiento cumple la normativa aplicable, así como coordinar y dirigir política referente a los tratamientos que lleva a cabo, con pprocedimientos de evaluación y valoración de riesgos, y adopción de medidas técnicas y organizativas que permitan eliminar o mitigar los daños que pudieran derivarse para los derechos y libertades de las personas.
Se necesita pues un desenvolvimiento proactivo sobre la protección de los datos y guardar las evidencias de los pasos que se toman para cumplir con el RGPD junto a la circulación y vida de los datos, incluyendo eventuales instrucciones no solo de seguridad de soportes, sino como las que ha dictado para adaptarse al manejo de datos en sistemas de información y acceso del personal a los datos. Así pues, el hecho de que no se establezca expresamente como han de tratarse los soportes de almacenamiento de datos, no significa que no esté tipificado en el RGPD, y que deba reunir unos requisitos, y en ambos casos la conducta infractora acarrearía una infracción de medidas de seguridad en el tratamiento de datos.
Además, ambas normativas, asocian un periodo de prescripción de dos años desde su comisión.
Por tanto no se acredita que se deba aplicar la retroactividad de la disposición al no acreditarse mejor tratamiento que la normativa de la LOPD.
Queda acreditada la comisión de la infracción, por no tener activadas las medidas de seguridad que le eran exigibles para evitar precisamente que el soporte DVD que contiene datos e información asociado a la extracción en disco de datos del ordenador de la reclamante, que sirve como prueba en el procedimiento disciplinario, que forma parte de un expediente, como soporte que contiene datos personales, no se haya cifrado, registrado, diligenciado y descrito su contenido.
VI
El artículo 46 de la LOPD señala:
"1. Cuando las infracciones a que se refiere el artículo 44 fuesen cometidas en ficheros de titularidad pública o en relación con tratamientos cuyos responsables lo serían de ficheros de dicha naturaleza, el órgano sancionador dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera.
2. El órgano sancionador podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones por aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones Públicas.
3. Se deberán comunicar al órgano sancionador las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.
4. El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efectúe y las resoluciones que dicte al amparo de los apartados anteriores."
El artículo 129 del RLOPD indica:
"El procedimiento por el que se declare la existencia de una infracción de la Ley Orgánica 15/1999, de 13/12, cometida por las Administraciones públicas será el establecido en la sección tercera de este capítulo.", referido al procedimiento sancionador.
Vistos los preceptos citados y demás de general aplicación, la Directora de la Agencia Española de Protección de Datos
RESUELVE:
PRIMERO: Declarar que el AYUNTAMIENTO DE ALGEMESí ha infringido:
-el artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.b) de la LOPD, y
-el artículo 9 de la LOPD, en relación con los artículos del RLOPOD: 92, 97.1 y .2 y 101, tipificada como grave en el artículo 44.3,.h) de la LOPD.
SEGUNDO: NOTIFICAR la presente resolución al AYUNTAMIENTO DE ALGEMESí y al DEFENSOR DEL PUEBLO.
TERCERO : Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en los artículos 112 y 123 de la Ley 39/2015, de 1/10, del Procedimiento Administrativo Común de las Administraciones Públicas, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso-administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13/07, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la Ley 39/2015, de 1/10, del Procedimiento Administrativo Común de las Administraciones Públicas, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronica-web/], <https://sedeagpd.gob.es/sede-electronica-web/%5D,> o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1/10. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.