Protección de datos. ¿Es responsable el ayuntamiento de las infracciones cometidas por sus empleados municipales?


TS - 15/02/2021

Se interpuso por un ayuntamiento recurso de casación contra la sentencia del TSJ que confirmó la resolución condenatoria de la Agencia de Protección de Datos por la comisión de una infracción grave en materia de protección de datos, al haberse publicado en la prensa datos relativos a un procedimiento sancionador seguido por el ayuntamiento contra un empleado municipal.

Se pretende precisar la responsabilidad de una administración pública en relación con las infracciones de la Ley de Protección de Datos que pudieran cometer los cargos y empleados públicos de la misma, y si tal responsabilidad puede o no ser atribuida a la administración, con independencia de la identificación del cargo o empleado que materialmente haya cometido la infracción.

El TS comparte el parecer de la Sala de instancia, señalando que la responsabilidad de la administración titular y encargada del fichero no puede excusarse en su actuación diligente, separadamente de la actuación de sus empleados o cargos, sino que es la actuación culpable de éstos, consecuencia de la violación de las mencionadas obligaciones de protección del carácter reservado de los datos personales, la que fundamenta la responsabilidad de la primera en el ámbito sancionador de cuya aplicación se trata; por actos propios de sus empleados o cargos, no de terceros, sin que el ayuntamiento haya proporcionado un principio de prueba que permitiera hacer pensar que la infracción de la norma no le era reprochable.

Y aclara que ello no significa que se proyecte sobre el ayuntamiento recurrente un principio de responsabilidad objetiva, ni que se vulnere el principio de presunción de inocencia, ni que haya una inversión de la carga de la prueba, sino que, estando admitida en nuestro Derecho Administrativo la responsabilidad directa de las personas jurídicas, a las que se reconoce, por tanto, capacidad infractora, el elemento subjetivo de la infracción se plasma en estos casos de manera distinta a como sucede respecto de las personas físicas, de manera que, la reprochabilidad directa deriva del bien jurídico protegido por la norma que se infringe y la necesidad de que dicha protección sea realmente eficaz y por el riesgo que, en consecuencia, debe asumir la persona jurídica que está sujeta al cumplimiento de dicha norma.

Tribunal Supremo , 15-02-2021
, nº 196/2021, rec.1916/2020,  

Pte: Calvo Rojas, Eduardo

ECLI: ES:TS:2021:705

ANTECEDENTES DE HECHO 

La Sección 1ª de la Sala de lo Contencioso-Administrativo del Tribunal Superior de Justicia del País Vasco dictó sentencia de fecha 30 de diciembre de 2019 (apelación nº 968/2019) por la que se estima el recurso de apelación interpuesto en nombre de la Agencia Vasca de Protección de Datos contra la sentencia del Juzgado de lo Contencioso-Administrativo nº 3 de San Sebastián (recurso contencioso-administrativo núm. 48/2019), que se revoca, acordando en su lugar la desestimación del recurso contencioso-administrativo interpuesto por el Ayuntamiento de San Sebastián contra la resolución de la Agencia Vasca de Protección de Datos por la que se declaró que el Ayuntamiento de Donostia cometió una infracción grave en materia de protección de datos (expediente PI 18-010).

Los hechos objeto del procedimiento sancionador -iniciado en virtud de denuncia del interesado- consistieron en la aparición en "El Diario Vasco" de datos relativos a un procedimiento sancionador seguido contra un Agente de Movilidad del Ayuntamiento de San Sebastián, especificando la información publicada la sanción que se había impuesto, las iniciales del nombre y apellido del agente sancionado, la zona delimitada donde éste prestaba servicio así como el detalle de los hechos que motivaron la sanción y del propio expediente sancionador.

La resolución sancionadora de la Agencia Vasca de Protección de Datos consideró que los hechos eran constitutivos de la infracción prevista en el artículo 22.3.f) de la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de titularidad pública y de creación de la Agencia Vasca de Protección de Datos, en relación con el artículo 10 de la entonces vigente Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal.

La sentencia del Juzgado de lo Contencioso-Administrativo nº 3 de San Sebastián estimó el recurso contencioso-administrativo interpuesto por el Ayuntamiento de San Sebastián por considerar, en síntesis, que el Ayuntamiento no sería responsable por la infracción del deber de secreto profesional en la que hubiera podido incurrir un miembro de la Corporación Local al filtrar datos de carácter personal a los que hubiera tenido acceso y le hubieran sido facilitados por el Ayuntamiento para el correcto desarrollo de sus funciones, por lo que la responsabilidad por dicha revelación indebida incumbiría únicamente al concejal que reveló de forma indebida los datos de carácter personal, por lo que no podría imputarse al Ayuntamiento la infracción del deber de secreto en los términos previstos en el artículo 10 de la Ley 15/1999. Añade el Juzgado que el Ayuntamiento únicamente sería responsable de tal infracción si se acreditara que la filtración se produjo a través de un empleado laboral o funcionario público sometido a su autoridad y dependencia organizativa, pues si la filtración hubiera procedido de un miembro de la Corporación local la misma no sería exigible al Ayuntamiento.

La sentencia de la Sala del País Vasco, que revoca la sentencia de instancia, considera que el artículo 10 de la Ley Orgánica 15/1999 no distingue entre empleados al servicio de la Administración Pública y sus autoridades o cargos, ni puede admitirse tal distinción sin dejar impune la vulneración del derecho fundamental a la protección de datos de carácter personal en los supuestos en que no se identificara al responsable directo de la infracción del deber de secreto o tal infracción fuera cometida por un cargo representativo. Añade que tampoco tiene razón de ser tal diferenciación entre empleados y cargos de representación públicos, a efectos de aplicación del régimen de responsabilidad por infracción de la legislación de protección de datos de carácter personal, pues unos y otros se integran en la Administración Pública responsable del fichero. Y, en fin, señala la Sala del Tribunal Superior de Justicia del País Vasco que la responsabilidad de la Administración titular y encargada del fichero no puede excusarse en su actuación diligente, separadamente de la actuación de sus empleados o cargos, sino que es la actuación culpable de éstos, consecuencia de la violación de las mencionadas obligaciones de protección del carácter reservados de los datos personales, la que fundamenta la responsabilidad de la primera en el ámbito sancionador, por actos propios de sus empleados o cargos.

Notificada a las partes la sentencia que resolvió el recurso de apelación, preparó recurso de casación contra ella la representación del Ayuntamiento de San Sebastián, siendo admitido a trámite el recurso por auto de la Sección Primera de esta Sala de 28 de septiembre de 2020 en el que asimismo se acuerda la remisión de las actuaciones a la Sección Tercera, con arreglo a las normas sobre reparto de asuntos.

En la parte dispositiva del auto de admisión del recurso se acuerda, en lo que ahora interesa, lo siguiente:

<< (....) 2°/ Declarar que la cuestión que presenta interés objetivo casacional, a juicio de esta Sección de Admisión, consiste en precisar la responsabilidad de una Administración pública, en el presente caso, un Ayuntamiento, en relación con las infracciones de la Ley de Protección de Datos que pudieran cometer los cargos y empleados públicos de la misma, y si tal responsabilidad puede o no ser atribuida a la Administración, con independencia de la identificación del cargo o empleado que materialmente haya cometido la infracción.

3º/ Identificar como normas jurídicas que, en principio, serán objeto de interpretación: artículos 10 y 12 de la Ley Orgánica 15/1999, de Protección de Datos de carácter personal; y los artículos 77 y 78.1 de la Ley 7/1985, de Bases de Régimen Local , y 16.3 del Real Decreto 2568/1986 , de Reglamento de Organización, Funcionamiento y Régimen Jurídico de las Entidades Locales>>.

La representación del Ayuntamiento de San Sebastián formalizó la interposición de su recurso de casación mediante escrito presentado el 18 de noviembre de 2020 en el que, tras reseñar los antecedentes del caso, expone diversas consideraciones sobre:

- El responsable del tratamiento de datos personales, concepto funcional que tiene significado autónomo en el Derecho europeo.

- La regulación contenida en la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales, en particular lo dispuesto en artículo 77.1 sobre responsabilidad de los grupos políticos de las corporaciones locales.

- El derecho de acceso a la información por parte de los concejales para el ejercicio de sus funciones y su deber de secreto.

- El principio de culpabilidad en el procedimiento sancionador: para sancionar debe existir prueba de cargo suficiente.

Termina el escrito del Ayuntamiento recurrente solicitando que:

1. Se case y anule la Sentencia de Sala de lo Contencioso-Administrativo del Tribunal Superior de Justicia del País Vasco de 30 de diciembre de 2019, dictada en el recurso de apelación nº 968/2019.

2. Se desestime el recurso de apelación nº 968/2019 y se confirme la declaración de nulidad de la Resolución de 8 de noviembre de 2018 de la Agencia Vasca de Protección de Datos por la que se sanciona al Ayuntamiento de San Sebastián como responsable de la infracción del art. 10 LOPD al haberse filtrado a la prensa datos personales contenidos en un expediente disciplinario.

3. Se impongan las costas a la Agencia Vasca de Protección de Datos.

Recibidas las actuaciones en esta Sección Tercera, se dictó providencia con fecha 23 de noviembre de 2020 en la que se tuvo por interpuesto el recurso y se acordó dar traslado a la parte recurrida para que pudiese formular su oposición.

La representación procesal de la Administración de la Comunidad Autónoma del País Vasco formalizó su oposición mediante escrito presentado con fecha 13 de enero de 2021 en el que, negando que la sentencia que resolvió el recurso de apelación haya incurrido en las infracciones que se le reprochan, argumenta sobre las siguientes cuestiones:

- Atribución de la responsabilidad a una Administración Pública en relación con las infracciones de la Ley de Protección de Datos que pudieran cometer los cargos y empleados públicos de la misma, con independencia de la identificación del cargo o empleado que materialmente haya cometido la infracción.

- Vulneración de la normativa de protección de datos.

- Vulneración de la normativa de régimen local.

- Procedimiento administrativo sancionador contra Administraciones en materia de protección de datos de carácter personal.

Termina el escrito solicitando que se desestime íntegramente el recurso de casación, confirmándose íntegramente la sentencia recurrida, condenando en costas a la parte recurrente.

Mediante providencia de 18 de enero de 2021 se acordó no haber lugar a la celebración de vista y quedaron las actuaciones pendientes de señalamiento para votación y fallo; fijándose finalmente al efecto el día 9 de febrero de 2020, fecha en que tuvo lugar la deliberación y votación.

FUNDAMENTOS DE DERECHO 

Objeto del presente recurso.

El presente recurso de casación nº 1916/2019 lo interpone la representación del Ayuntamiento de San Sebastián contra la sentencia nº 383/2019, de 30 de diciembre de 2019, de la Sección 1ª de la Sala de lo Contencioso-Administrativo del Tribunal Superior de Justicia del País Vasco (apelación 968/2019) en la que se estima el recurso de apelación interpuesto por la Agencia Vasca de Protección de Datos contra la sentencia de 2 de septiembre de 2019 del Juzgado de lo Contencioso-Administrativo nº 3 de San Sebastián (recurso contencioso-administrativo nº 48/2019).

La sentencia de la Sala del Tribunal Superior de Justicia del País Vasco revoca la sentencia del Juzgado y en su lugar acuerda la desestimación del recurso contencioso-administrativo que había interpuesto el Ayuntamiento de San Sebastián contra la resolución de la Agencia Vasca de Protección de Datos que sancionó a dicho Ayuntamiento como responsable de la infracción prevista en el artículo 22.3.f) de la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de titularidad pública y de creación de la Agencia Vasca de Protección de Datos, en relación con el artículo 10 de la entonces vigente Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal.

En el antecedente primero hemos dejado señalados, de forma resumida, los hechos que determinaron la incoación del procedimiento sancionador, iniciado en virtud de denuncia del interesado. Tales hechos consistieron en la aparición en "El Diario Vasco" de datos relativos a un procedimiento sancionador seguido contra un Agente de Movilidad del Ayuntamiento de San Sebastián, especificando la información publicada la sanción que se había impuesto, las iniciales del nombre y apellido del agente sancionado, la zona delimitada donde éste prestaba servicio así como el detalle de los hechos que motivaron la sanción y del propio expediente sancionador.

En el antecedente segundo hemos reseñado, también de forma resumida, las razones expuestas por el Juzgado de lo Contencioso-Administrativo nº 3 de San Sebastián y por la Sala del Tribunal Superior de Justicia del País Vasco en sus respectivas sentencias.

Procede entonces que entremos a examinar las cuestiones suscitadas en casación, en particular la señalada en el auto de la Sección Primera de esta Sala de 28 de septiembre de 2020.

Cuestiones a dilucidar.

Como vimos en el antecedente tercero, el citado auto de admisión de 28 de septiembre de 2020 declara que la cuestión planteada en el recurso que presenta interés casacional objetivo para la formación de la jurisprudencia consiste en precisar la responsabilidad de una Administración pública (en este caso, el Ayuntamiento de San Sebastián) en relación con las infracciones de la Ley de Protección de Datos que pudieran cometer los cargos y empleados públicos de la misma, y si tal responsabilidad puede o no ser atribuida a la Administración, con independencia de la identificación del cargo o empleado que materialmente haya cometido la infracción.

Por lo demás, el propio auto de admisión identifica las normas jurídicas que, en principio, serán objeto de interpretación: artículos 10 y 12 de la Ley Orgánica 15/1999, de Protección de Datos de carácter personal; artículos 77 y 78.1 de la Ley 7/1985, de Bases de Régimen Local; y artículo 16.3 del Real Decreto 2568/1986, de Reglamento de Organización, Funcionamiento y Régimen Jurídico de las Entidades Locales.

Dos últimas precisiones sobre el objeto de la presente controversia.

En primer lugar, debemos señalar que no se suscita debate en casación -en realidad, tampoco en el proceso de instancia- sobre los hechos que determinaron la incoación del procedimiento sancionador, ni sobre su tipificación como infracción de la normativa sobre protección de datos de carácter personal, pues la controversia versa únicamente sobre la responsabilidad del Ayuntamiento de San Sebastián por tales hechos.

En segundo lugar, es oportuno destacar que, como pone de manifiesto el auto de admisión del recurso de casación, la norma sobre protección de datos que resulta aplicable al caso es la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal; y si en la fundamentación de esta sentencia haremos alusión al artículo 77.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales -que traspuso a nuestro ordenamiento el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016- es debido a que el citado precepto de Ley Orgánica 15/1999 es expresamente invocado por el Ayuntamiento recurrente.

Sobre el marco jurídico aplicable al caso .

De las definiciones legales que se recogen en el artículo 3 la Ley Orgánica 15/1999 interesa reseñar ahora las que siguen:

<< a) Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.

b) Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

c) Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

d) Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.

(...)

g) Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

(...)>>.

Por otra parte, interesa destacar aquí estos otros preceptos de la Ley Orgánica 15/1999:

Artículo 10. Deber de secreto.

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Artículo 12. Acceso a los datos por cuenta de terceros.

No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

1. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.

2. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

3. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

Artículo 46. Infracciones de las Administraciones públicas.

1. Cuando las infracciones a que se refiere el artículo 44 fuesen cometidas en ficheros de los que sean responsables las Administraciones públicas, el Director de la Agencia de Protección de Datos dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera.

2. El Director de la Agencia podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones públicas.

3. Se deberán comunicar a la Agencia las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.

4. El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efectúe y las resoluciones que dicte al amparo de los apartados anteriores.

Y, en fin, en relación con el deber de secreto al que se refiere el artículo 10 de la Ley Orgánica 15/1999 que antes hemos transcrito, el artículo 22.3.f) de la Ley autonómica 2/2004 tipifica como infracción grave:

<<f) La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales o a Hacienda pública, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo>>.

Doctrina constitucional y jurisprudencia a tomar en consideración.

En cuanto a la doctrina constitucional sobre la responsabilidad en materia sancionadora de las personas jurídicas -en el caso que examinamos, una persona jurídico-pública como es el Ayuntamiento de San Sebastián- debe citarse la STC 246/1991, de 19 de diciembre, de cuyo F.J.2 extraemos el siguiente fragmento:

<< (...) En concreto, sobre la culpa, este Tribunal ha declarado que, en efecto, la Constitución española consagra sin duda el principio de culpabilidad como principio estructural básico del Derecho Penal y ha añadido que, sin embargo, la consagración constitucional de este principio no implica en modo alguno que la Constitución haya convertido en norma un determinado modo de entenderlo ( STC 150/1991 ). Este principio de culpabilidad rige también en materia de infracciones administrativas, pues en la medida en que la sanción de dicha infracción es una de las manifestaciones del ius puniendi del Estado resulta inadmisible en nuestro ordenamiento un régimen de responsabilidad objetiva o sin culpa (STC76/1990 ). Incluso este Tribunal ha calificado de "correcto" el principio de la responsabilidad personal por hechos propios -principio de la personalidad de la pena o sanción- ( STC 219/1988 ). Todo ello, sin embargo, no impide que nuestro Derecho Administrativo admita la responsabilidad directa de las personas jurídicas, reconociéndoles, pues, capacidad infractora . Esto no significa, en absoluto, que para el caso de las infracciones administrativas cometidas por personas jurídicas se haya suprimido el elemento subjetivo de la culpa, sino simplemente que ese principio se ha de aplicar necesariamente de forma distinta a como se hace respecto de las personas físicas. Esta construcción distinta de la imputabilidad de la autoría de la infracción a la persona jurídica nace de la propia naturaleza de ficción jurídica a la que responden estos sujetos. Falta en ellos el elemento volitivo en sentido estricto, pero no la capacidad de infringir las normas a las que están sometidos. Capacidad de infracción y, por ende, reprochabilidad directa que deriva del bien jurídico protegido por la norma que se infringe y la necesidad de que dicha protección sea realmente eficaz (en el presente caso se trata del riguroso cumplimiento de las medidas de seguridad para prevenir la comisión de actos delictivos) y por el riesgo que, en consecuencia, debe asumir la persona jurídica que está sujeta al cumplimiento de dicha norma. Todo lo cual nos lleva a la conclusión de que la Sentencia del Tribunal Supremo que se impugna no ha lesionado el derecho a la presunción de inocencia de la demandante de amparo. En este caso, en efecto, siendo cierta y reconocida la falta de funcionamiento de las instalaciones de alarma por negligencia o comodidad de los empleados de la entidad recurrente, lo que la Sentencia impugnada lleva a cabo es una traslación de la responsabilidad a la entidad bancaria en cuestión razonando su juicio de reprochabilidad en la necesidad "de estimular el riguroso cumplimiento de las medidas de seguridad". Ni ha habido falta de actividad probatoria de unos hechos que nadie discute (por lo que la presunción de inocencia no entra en juego ni ha sido vulnerada), ni la traslación del juicio de reprochabilidad en los términos descritos lesiona ningún otro derecho o principio constitucional>>.

En esa doctrina abunda luego la STC (Sala Segunda) 129/2003, de 30 de junio de 2003, que, citando la anterior STC 246/1991, señala en su F.J. 8:

<< (...) la admisión en nuestro Derecho administrativo sancionador de la responsabilidad directa de las personas jurídicas, reconociéndoles así capacidad infractora, conlleva que la responsabilidad se configure sobre la capacidad de infracción y la responsabilidad, "que deriva del bien jurídico protegido por la norma que se infringe y la necesidad de que dicha protección sea realmente eficaz ... y por el riesgo que, en consecuencia, debe asumir la persona jurídica que está sujeta al cumplimiento de dicha norma" ( STC 246/1991 , FJ 2). En el presente caso, habiendo existido actividad probatoria de cargo sobre los hechos que se le imputaban a la mercantil ahora recurrente, era a ella a quien competía proporcionar a los órganos administrativos que han intervenido en la sustanciación del expediente un principio de prueba, por mínimo que fuera, que permitiera hacerles pensar que la infracción de la norma no le era reprochable. (...)>>.

Puede verse también la sentencia del Pleno del Tribunal Constitucional STC 86/2017, de 4 de julio (F.J. 5, penúltimo párrafo).

En cuanto a la jurisprudencia de esta Sala del Tribunal Supremo, es oportuna la cita que hace la representación de la Administración de la Comunidad Autónoma del País Vasco de la sentencia de la Sección Sexta de 2 de junio de 2010 (casación 1008/2007, F.J. 2º). En dicha sentencia, referida precisamente a una infracción de la Ley Orgánica 15/1999, se declara lo siguiente:

<< (...) Según se deduce del contexto de la sentencia recurrida y de la propia resolución administrativa, la sanción impuesta a la recurrente fue por la negligencia apreciada en la misma que dio lugar a una clara infracción de la Ley Orgánica 15/1999, y que es, evidentemente, atribuible a la recurrente en su condición de persona jurídica, sin que por parte de ésta pueda eludirse su responsabilidad sobre la base de la afirmación de que los hechos de los que se deriva la responsabilidad resultan de que la documentación fue depositada en un contenedor de la vía pública por un tercero, al que, al final, en el motivo casacional se identifica con un administrativo de la propia recurrente, lo que excluye esa calificación de tercero y comporta la atribución de responsabilidad para la actora, sin que pueda, lógicamente y con seriedad, argumentar su falta de conocimiento de los hechos imputados con vulneración del principio de responsabilidad>>.

Parece oportuno recordar que en el caso que examinamos no ha sido cuestionada la existencia de la conducta infractora, consistente en la violación del deber de secreto sobre los datos de carácter personal incorporados al fichero del Ayuntamiento de San Sebastián que contiene datos relativos a la comisión de infracciones administrativas o disciplinarias. Y tampoco se ha suscitado controversia sobre la calificación jurídica de los hechos como constitutivos de infracción grave.

Pues bien, partiendo de la doctrina constitucional y de la jurisprudencia que hemos reseñado en el fundamento jurídico cuarto, compartimos enteramente el parecer de la Sala de instancia cuando señala (F.J. 6º de la sentencia recurrida) que << (...) la responsabilidad de la Administración titular y encargada del fichero [Ayuntamiento de San Sebastíán] no puede excusarse en su actuación diligente, separadamente de la actuación de sus empleados o cargos, sino que es la actuación "culpable" de éstos, consecuencia de la violación de las mencionadas obligaciones de protección del carácter reservado de los datos personales la que fundamenta la responsabilidad de la primera en el ámbito sancionador de cuya aplicación se trata; por actos "propios" de sus empleados o cargos, no de terceros,...>>.

Como sucedía en el caso al que se refiere la STC, Sala Segunda, nº 129/2003, de 30 de junio, que antes hemos citado, bien puede decirse también aquí que, estando acreditada la existencia de la conducta que dio origen al procedimiento sancionador, correspondía al propio Ayuntamiento "...proporcionar a los órganos administrativos que han intervenido en la sustanciación del expediente un principio de prueba, por mínimo que fuera, que permitiera hacerles pensar que la infracción de la norma no le era reprochable". Pero nada de esto ha sucedido en el caso que examinamos.

Lejos de proporcionar en vía administrativa, o en el curso del proceso, alguna información o indicación sobre la forma en que pudo producirse la filtración de los datos, o sobre la persona o personas que, por razón de las funciones que tuviesen encomendadas dentro del organigrama municipal, podrían haber incurrido en vulneración del deber de secreto, contraviniendo con ello las normas y directrices del Ayuntamiento, la Corporación municipal recurrente se ha limitado a articular unos argumentos genéricos y elusivos que aluden, como vimos en el antecedente tercero, al concepto funcional de la noción de responsable del tratamiento de datos personales, y el significado autónomo de esta figura en el Derecho europeo; a la regulación contenida en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, en particular lo dispuesto en su artículo 77.1 sobre responsabilidad de los grupos políticos de las corporaciones locales; al derecho de acceso a la información por parte de los concejales para el ejercicio de sus funciones y su deber de secreto; y, en fin, al principio de culpabilidad en el procedimiento sancionador y al principio de que para sancionar debe existir prueba de cargo suficiente.

Ninguno de esos alegatos que esgrime el Ayuntamiento en su escrito de interposición del recurso de casación constituye una respuesta eficiente al reproche sancionador. Se trata de alegaciones en buena medida especulativas que, al igual que las formuladas en vía administrativa y en el curso del proceso, no proporcionan datos, siquiera indiciarios, o cualquier información con un mínimo grado de concreción que permitiera hacer pensar que la infracción de la norma no era reprochable al Ayuntamiento sino a algún empleado o cargo de la Corporación municipal o a un tercero.

Lo anterior no significa, claro es, que estemos proyectando sobre el Ayuntamiento recurrente un principio de responsabilidad objetiva, ni que se vulnere el principio de presunción de inocencia, ni que demos por buena una suerte de inversión de la carga de la prueba. Sencillamente sucede que, estando admitida en nuestro Derecho Administrativo la responsabilidad directa de las personas jurídicas , a las que se reconoce, por tanto, capacidad infractora, el elemento subjetivo de la infracción se plasma en estos casos de manera distinta a como sucede respecto de las personas físicas, de manera que, como señala la doctrina constitucional que antes hemos reseñado -SsTC STC 246/1991, de 19 de diciembre (F.J. 2) y 129/2003, de 30 de junio (F.J. 8)- la reprochabilidad directa deriva del bien jurídico protegido por la norma que se infringe y la necesidad de que dicha protección sea realmente eficaz y por el riesgo que, en consecuencia, debe asumir la persona jurídica que está sujeta al cumplimiento de dicha norma.

Es indudable que los datos que aparecieron publicados en el Diario Vasco provenían de un fichero de titularidad municipal, por lo que el Ayuntamiento es el responsable de la custodia del fichero y el primer obligado a la observancia del deber de custodia y secreto al que se refiere el artículo 10 de la Ley Orgánica 15/1999. Y siendo incuestionable que tal deber fue vulnerado con aquella publicación, el reproche sancionador ha de recaer sobre el Ayuntamiento al no haber proporcionado éste, como ya hemos visto, ningún dato que siquiera de forma indiciaria venga a romper el nexo causal entre la actividad del Ayuntamiento y el resultado lesivo, y, en definitiva, ninguna información que permita pensar que la infracción de la norma no era reprochable al Ayuntamiento sino a algún empleado o cargo de la Corporación municipal o a un tercero.

En fin, carece de toda virtualidad la invocación que hace el Ayuntamiento recurrente de lo dispuesto en el artículo 77.1.k de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, los artículos 77 y 78.1 de la Ley 7/1985, de 2 de abril, reguladora de las Bases del Régimen Local y el artículo 16.3 del Real Decreto 2568/1986, de 28 de noviembre, por el que se aprueba el Reglamento de Organización, Funcionamiento y Régimen Jurídico de las Entidades Locales.

Del primero de los preceptos citados - artículo 77.1.k de la Ley Orgánica 3/2018- es obligado señalar, ante todo, que se trata de una norma que no resulta aplicable al caso ratione temporis. Pero, aparte de eso, la invocación de preceptos que aluden a la responsabilidad de los grupos políticos de las Corporaciones Locales (el citado artículo 77.1.k de la Ley Orgánica 3/2018), al derecho de todos los miembros de las Corporaciones locales a acceder a los datos o informaciones que obren en poder de los servicios de la Corporación y resulten precisos para el desarrollo de su función ( artículo 77 de la Ley 7/1985 de Bases del Régimen Local), así como a la responsabilidad de tales miembros de las Corporaciones locales por los actos y omisiones realizados en el ejercicio de su cargo ( artículo 78.1 de la Ley 7/1985 de Bases del Régimen Local), y, en fin, al deber de guardar reserva de los miembros de la Corporación en relación con las informaciones que se les faciliten para hacer posible el desarrollo de su función ( artículo 16.3 del Reglamento aprobado por Real Decreto 2568/1986), constituye una línea de argumentación que no guarda relación con las concretas circunstancias del caso y que incluso podría considerarse como una especie de maniobra de distracción.

En efecto, una vez afirmada la responsabilidad del Ayuntamiento de San Sebastián aquí recurrente, y no existiendo ningún dato o indicio que permita dirigir el reproche, o siquiera la sospecha, contra algún Concejal o empleado de la Corporación municipal, resulta gratuita esa secuencia de preceptos que se citan, que no hace sino recordarnos, de manera innecesaria, los deberes que incumben y las responsabilidades a que están sujetos los miembros de las Corporaciones locales.

Conclusión. La cuestión jurídica en la que el auto de admisión del presente recurso apreció la concurrencia de interés casacional queda respondida con las consideraciones que hemos expuesto en el fundamento jurídico quinto.

Y por las razones expuestas en ese fundamento jurídico quinto y en los anteriores apartados de esta sentencia, procede que declaremos no haber lugar al presente recurso de casación.

De conformidad con lo dispuesto en los artículos 93.4, 139.1 y 139.4 de la Ley reguladora de esta Jurisdicción, entendemos que no procede la imposición de las costas derivadas del recurso de casación a ninguna de las partes, abonando cada una las causadas a su instancia y las comunes por mitad. Y en cuanto a las costas del proceso de instancia, debe mantenerse el pronunciamiento que hizo al respecto la Sala del Tribunal Superior de Justicia del País Vasco.

Vistos los preceptos citados, así como los artículos 86 a 95 de la Ley de esta Jurisdicción,

FALLO 

Por todo lo expuesto, en nombre del Rey y por la autoridad que le confiere la Constitución, esta Sala ha decidido

1.- No ha lugar al recurso de casación nº 1916/2020 interpuesto en representación del AYUNTAMIENTO DE SAN SEBASTIÁN contra la sentencia nº 383/2019, de 30 de diciembre de 2019, de la Sección 1ª de la Sala de lo Contencioso-Administrativo del Tribunal Superior de Justicia del País Vasco (apelación 968/2019) en la que se estima el recurso de apelación interpuesto por la Agencia Vasca de Protección de Datos contra la sentencia de 2 de septiembre de 2019 del Juzgado de lo Contencioso-Administrativo nº 3 de San Sebastián (recurso contencioso-administrativo nº 48/2019).

2.- No se imponen las costas derivadas del recurso de casación a ninguna de las partes; manteniéndose, en cuanto a las costas del proceso de instancia, el pronunciamiento de la sentencia recurrida.

Notifíquese esta resolución a las partes e insértese en la colección legislativa.

Así se acuerda y firma.