RESOLUCIÓN: R/00771/2012

Transcripción

1 1/19 Procedimiento Nº PS/00529/2011 RESOLUCIÓN: R/00771/2012 En el procedimiento sancionador PS/00529/2011, instruido por la Agencia Española de Protección de Datos a la Central Sindical Independiente y de Funcionarios (CSI-CSIF), vista la denuncia presentada por cuarenta y tres denunciantes y en base a los siguientes, ANTECEDENTES PRIMERO: Con fechas comprendidas entre el 29 de diciembre de 2010 y el 25 de febrero de 2011, tuvieron entrada en esta Agencia escritos presentados por cuarenta y tres denunciantes (en lo sucesivo los denunciantes) en los que denuncian que el sindicato CSI-CSIF de Andalucía ha colgado en su página web, en abierto y a la vista de cualquiera, un listado de funcionarios del Ayuntamiento de Sevilla en el que consta el nombre y apellidos, DNI, categoría profesional y la fecha de ingreso, dándose la circunstancia de que figuran los datos de varios policías municipales. SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes extremos: 1.- Respecto de la información documentación aportada los denunciantes: a. En fecha 1 de diciembre de 2010 se levanta acta notarial por la que queda constancia de que en la web de CSI-CSIF se ha publicado un listado en formato PDF con el título ELECCIONES SINDICALES 2010 CENSO DE FUNCIONARIOS JUNTA DE PERSONAL. b. Se obtiene por parte del notario impresión de una página en la que se constata que contiene los siguientes datos personales: DNI, apellidos y nombre, fecha de alta, una segunda fecha (ilegible), sexo, categoría profesional, y otra columna más que parece ser el centro de trabajo. La página contiene datos personales de 77 personas, entre las cuales figuran 31 policías de diversas categorías, entre los que figura uno de los denunciantes como GUARDIA POLICIA LOCAL. c. Según relata el notario, realiza posteriormente una búsqueda en Google con el DNI ***NIF.1, correspondiente al denunciante Don A.A.A., comprobando que aparece indexado un documento en formato PDF. Aporta impresión de pantalla que recoge la imagen de una página del documento. Dicha página aparece con el título ELECCIONES SINDICALES 2010 JUNTA DE PERSONAL FUNCIONARIO AYUNTAMIENTO DE SEVILLA. La página mostrada contiene los siguientes datos de carácter personal: DNI, apellidos y nombre, fecha de nacimiento, fecha de antigüedad, sexo,

2 categoría. La página contiene datos de un total de 44 personas, todos ellos de diversas categorías de la policía local. d. No consta que el notario tuviese que utilizar clave alguna para acceder a la documentación publicada en la web del CSI-CSIF. 2. Mediante diligencia de fecha 15/2/2011 se constata que el fichero anteriormente publicado en la web de CSI-SCIF con URL ya no se encuentra disponible. 3. Respecto de la información y documentación aportada por CSI-CSIF: a. El sindicato manifiesta: <<La Sección Sindical de CSIF en el Ayuntamiento de Sevilla, en el transcurso del proceso electoral para las Elecciones Sindícales celebradas el 18 de diciembre de 20110, puso a disposición de los empleados del Ayuntamiento de Sevilla el censo electoral provisional a fin de facilitar su comprobación y en caso necesario la solicitud de rectificación de los posibles errores que contuviera, en cumplimiento de lo dispuesto en los arts. 742 y 743 del Real Decreto Legislativo 1/1995, de 4 de marzo, que aprueba el Texto Refundido de la Ley del Estatuto de los Trabajadores, y en ei art. 6.2 del Real Decreto 1844/1994, de 9 septiembre, que aprueba el Reglamento de Elecciones de Órganos de Representación de Trabajadores en la Empresa. Dicha exposición de los censos electorales a los empleados municipales del Ayuntamiento de Sevilla se realizó por parte del Ayuntamiento en los diferentes tablones de anuncios públicos dispuestos, quedando a disposición de cualquier persona que quisiera consultarlos. De la misma manera, esta Sección Sindical lo puso a disposición de los afiliados y simpatizantes del Ayuntamiento de Sevilla mediante enlaces en la web propia de la Sección Sindical a los censos electorales confeccionados por el Ayuntamiento de Sevilla, en su integridad y sin que mediase manipulación alguna de los archivos remitidos por el Ayuntamiento, ya que se trataba de los documentos expuestos en el propio Portal del Empleado Municipal, en las mismas condiciones. La puesta a disposición de los representantes sindicales de dicho documento es un acto discrecional del Ayuntamiento, como recoge la Sentencia del Tribunal Supremo de 20 de mayo de 2008 La puesta a disposición de los empleados municipales afiliados a CSIF de los Censos Electorales elaborados por el Ayuntamiento de Sevilla a través de la web interna del Sindicato se realizó, pues, siguiendo la normativa que obliga a publicar dichos censos, y en condiciones similares a la publicación realizada por el propio Ayuntamiento a través de su web institucional y de todos los tablones situados tanto en centros de oficinas como en edificios con acceso público a cualquier ciudadano. En todo caso, el acceso habilitado a través de los enlaces situados en la web institucional de CSIF fue a los documentos proporcionados por el Excmo. Ayuntamiento de Sevilla, y se realizó siguiendo las mismas pautas que el propio Ayuntamiento llevó a cabo

3 3/19 para hacerlo público. la documentación es remitida a esta Sección Sindical de CSIF por el Excmo. Ayuntamiento de Sevilla por medio de la Delegación de Recursos Humanos de dicho Ayuntamiento, en soporte informático en varias comunicaciones electrónicas cuya copia adjuntamos La Sección Sindical de CSIF no hizo petición de dichos datos, que fueron remitidos por la Delegación de Recursos Humanos como cumplimiento del acuerdo de las Mesas Centrales Coordinadoras de los procesos electorales.>> b. Aporta correo electrónico emitido en fecha 2/11/2010 emitido desde la cuenta de correo electrónico...1@sevilla.org remitido a una serie de cuentas de correo electrónico, entre ellas "CSI-CSIF" <csif@sevilla.org> y "CSI-CSIF <...2@sevilIa.org> con el asunto Asunto: CENSO LABORALES Y FUNCIONARIO Y CALENDARIO LABORALES Y FUNCIONARIO conteniendo varios ficheros, entre ellos los denominados: - CENSO_FUNCIONARIOS_27_OCT.pdf - CENSO_LABORARES_27_OCT.pdf - RESUMEN ESCALA OBRERA.pdf - RESUMEN MESA ESCALA ADMINISTRATIVA.pdf - RESUMEN MESAS FUNCIONARIOS.pdf En el cuerpo del mensaje figura: << Adjunto el censo de laborales y el de funcionarios... >> c. Aporta escrito del Ayuntamiento de Sevilla con fecha de salida 2/10/2010 y numero de salida 8499 en el que consta: << Por la presente le adjunto el censo de laborales y funcionarios que deberá ser expuesto en los tablones de anuncio del los diferentes Servicios del Ayuntamiento de Sevilla durante los días 3, 4, 5, 6, 7 de noviembre de 2010 para que todos los trabajadores puedan comprobar sus datos>> d. Aporta correo electrónico emitido en fecha 3/11/2010 emitido desde la cuenta de correo electrónico...1@sevilla.org remitido a una serie de cuentas de correo electrónico, entre ellas "CSI-CSIF" <csif@sevilla.org> y "CSI-CSIF <...2@sevilIa.org> con el asunto Asunto: CENSO LABORALES Y FUNCIONARIO Y CALENDARIO LABORALES Y FUNCIONARIO conteniendo varios ficheros, entre ellos los denominados: - CENSO_FUNCIONARIOS_27_OCT.pdf - ESCALA OBRERA.pdf - ESCALA TÉCNICA Y ADMlNiSTRATiVA.pdf En el cuerpo del mensaje figura:

4 <<Ayer se os envió el censo de laborales y funcionarios, el de funcionarios es el mismo que os adjunto en este correo embargo el de laborales no es válido el de ayer, el que se va a publicar en los servicios es el que os adjunto hoy.>> e. Aporta correo electrónico emitido en fecha 9/11/2010 emitido desde la cuenta de correo electrónico...1@sevilla.org remitido a una serie de cuentas de correo electrónico, entre ellas "CSI-CSIF" <csif@sevilla.org> y "CSI-CSIF <...2@sevilIa.org> con el asunto ADJUNTO CENSO DEFINITIVO ELECCIONES SINDICALES 2010 conteniendo dos ficheros denominados: - CENSO LABORALES DEFINITIVO.pdf - CENSO_FUNCIONARIOS DEFINITIVO.pdf En el cuerpo del mensaje figura: <<Habiendo resuelto las alegaciones presentadas al censo para las elecciones sindicales 2010 y en cumplimiento del calendario acordado por la mesa coordinadora central de laborales y funcionarios, sus Presidentes nos ruegan enviemos el censo definitivo para su exposición en todos los Servicios del Ayuntamiento de Sevilla.>> f. Pese a haberle sido solicitada expresamente, el sindicato no ha aportado copia del listado expuesto en su página web. 4. La Inspección de Datos, mediante diligencia de fecha 30/8/2011 incorpora a las presentes actuaciones el listado facilitado por el Ayuntamiento de Sevilla en las actuaciones de inspección de referencia E/00362/2011 denominado ELECCIONES SINDICALES 2010 JUNTA DE PERSONAL FUNCIONARIO AYUNTAMIENTO DE SEVILLA y que según informa el Ayuntamiento fue el censo definitivo facilitado a CSI-CSIF. Se ha comprobado que todos los denunciantes figuran en dicho listado. TERCERO: Con fecha 7 de noviembre de 2011, el Director de la Agencia Española de Protección de Datos acordó iniciar, procedimiento sancionador a la Central Sindical Independiente y de Funcionarios (CSI-CSIF), por presunta infracción de los artículos 9 y 10 de la Ley Orgánica 15/1999, de 13/12, de Protección de Datos de Carácter Personal ( en lo sucesivo LOPD), tipificadas como graves en el artículo 44.3.h) y 44.3.d), de dicha norma, respectivamente, en su redacción aprobada por Ley 2/2011, de 4 de marzo, de Economía Sostenible, pudiendo ser sancionada cada una de ellas con multas de a , de acuerdo con el artículo 45.2 de la citada Ley Orgánica, en su redacción aprobada por la citada Ley 2/2011. CUARTO: Notificado el acuerdo de inicio, la Central Sindical Independiente y de Funcionarios (CSI-CSIF), mediante escrito de fecha 29 de noviembre de 2011, formuló alegaciones significando, básicamente, lo siguiente: - Que la legislación de protección de datos no es aplicable en este caso porque, como derecho fundamental, encuentra sus limitaciones en el cumplimiento de los restantes derechos fundamentales y bienes jurídicos protegidos, como es la aplicación del derecho a la Libertad Sindical, reconocida por la Constitución española. - Que CSI-F se limitó a ejercer dicho derecho mediante la difusión de una información de interés sindical, que era necesaria para que los electores tuvieran conocimiento del censo, sin que se haya producido ningún exceso de información que hubiera vulnerado la normativa de protección de datos.

5 5/19 - Que se ha cumplido la normativa electoral laboral, al amparo de los artículos 20.1.a) y d) y 23 de la Constitución sobre el derecho a la información y a la participación institucional. De esta forma el sindicato CSI-F sólo ha expuesto los datos exigidos en el art 6.3 del RD 1844/1994, que prevé los datos que han de constar en el censo laboral cuando se trate de empresas o centros de trabajo con 5 o más trabajadores. También cumplió con el artículo 6.2 del RD que dice que hará público entre los trabajadores el censo laboral. - Que la información únicamente estuvo colgada un día, cuando el citado artículo 6.2 del RD prevé que se hará pública en los tablones de anuncios durante un tiempo no inferior a 72 horas. - Que debe aplicarse correctamente el Principio de Proporcionalidad, entendiendo que colgar en la web el censo electoral facilitado por el Ayuntamiento de Sevilla, ha sido una medida ponderada y equilibrada de la que se derivan más beneficios que ventajas para el interés de los trabajadores y que no ha producido ningún perjuicio. - Que la norma exige publicar los censos laborales, con obligación de incluir datos personales profesionales como la categoría laboral, sin especificar el medio para hacerlo. - Que la publicación en la web del censo laboral era un fin directamente relacionado con las funciones legítimas del sindicato durante el período electoral y que era necesario para que los electores pudieran comprobar si sus datos eran correctos o detectar cualquier anomalía que pudiera afectar al proceso electoral - Además era una medida proporcionada ya que no todos los trabajadores del Ayuntamiento de Sevilla trabajan en el mismo edificio. - Que el sindicato no ha publicado ningún dato que no haya sido ya publicado en el Boletín Oficial correspondiente, por lo que los datos publicados son públicos. - Que el hecho de que varios de los datos publicados pertenezcan a miembros de la Policía Local no agrava ni disminuye la posible responsabilidad, por lo que, en caso de que se considerase vulnerado el deber de secreto, debería ser calificado como infracción leve. - Que el sindicato no ha cometido ninguna infracción del artículo 9.1 ni del 10 de la LOPD, sino que ha ejercitado su derecho a la libertad sindical y de información sin vulnerar ningún derecho de carácter personal, por lo que debería aplicarse el criterio del concurso medial en el que la comisión de una infracción implica necesariamente la comisión de la otra, por lo que, en caso de declararse la infracción, procede imputar la infracción más grave. - Ausencia de intencionalidad. - Principio de buena fe. En base a todo ello, solicitó que se proceda al archivo de las actuaciones. Asimismo, solicitó que se realizasen las siguientes pruebas: - Que se oficie al Excmo. Ayuntamiento de Sevilla, sobre los siguientes aspectos: Si durante el período electoral sindical de 2010, dicho Ayuntamiento publicó de alguna manera telemática el censo laboral y electoral de las mismas, y en caso afirmativo, qué días y horas estuvieron dichos censos colgados en las vías telemáticas correspondientes. Remita las Actas electorales, así como copia de las candidaturas electorales, a fin de comprobar si los denunciantes aparecen en ellas, como miembros de candidaturas alternativas al sindicato CSI.F, puesto que de la respuesta

6 afirmativa, pudieran derivarse otros intereses que los de protección de datos. Si durante el período electoral sindical de 2010, dicho Ayuntamiento entregó de algún modo telemático o no, los censos electorales a las organizaciones sindicales, incluida CSI.F, así como si los publicó en el tablón de anuncios de las secciones sindicales, la posición física de dicho tablón en el Ayuntamiento y si a dicho tablón tiene acceso el público general. - Por último solicitó audiencia con la Instructora del procedimiento y copia íntegra del expediente sancionador, que le fueron concedidas con fechas 1 y 9 de febrero, respectivamente. QUINTO: Con fecha 10 de enero de 2011, se inició el período de práctica de pruebas, en el que se dieron por reproducidos a efectos probatorios la denuncia interpuesta por cuarenta y tres denunciantes y su documentación, los documentos obtenidos y generados por los Servicios de Inspección ante la Central Sindical Independiente y de Funcionarios (CSI-CSIF), y el Informe de actuaciones previas de Inspección que forman parte del expediente E/00300/2011. Asimismo, se dio por reproducido a efectos probatorios, las alegaciones al acuerdo de inicio PS/00529/2011 presentadas por la Central Sindical Independiente y de Funcionarios (CSI-CSIF), y la documentación que a ellas acompaña. Por otra parte, se acordó desestimar, por improcedentes, las siguientes pruebas propuestas por la Central Sindical Independiente y de Funcionarios (CSI-CSIF): - Que se oficie al Excmo. Ayuntamiento de Sevilla, sobre los siguientes aspectos: o Si durante el período electoral sindical de 2010, dicho Ayuntamiento publicó de alguna manera telemática el censo laboral y electoral de las mismas, y en caso afirmativo, qué días y horas estuvieron dichos censos colgados en las vías telemáticas correspondientes. o Remita las Actas electorales, así como copia de las candidaturas electorales, a fin de comprobar si los denunciantes aparecen en ellas, como miembros de candidaturas alternativas al sindicato CSI.F, puesto que de la respuesta afirmativa, pudieran derivarse otros intereses que los de protección de datos. o Si durante el período electoral sindical de 2010, dicho Ayuntamiento entregó de algún modo telemático o no, los censos electorales a las organizaciones sindicales, incluida CSI.F, así como si los publicó en el tablón de anuncios de las secciones sindicales, la posición física de dicho tablón en el Ayuntamiento y si a dicho tablón tiene acceso el público general. A este respecto se informó que, la información pretendida, relacionada con la publicación telemática del censo laboral y electoral relativo a las elecciones sindicales de 2010 por parte del Ayuntamiento de Sevilla, en los que figurarían los datos personales de los denunciantes y/o los trabajadores de dicho Ayuntamiento no es procedente ni necesaria, por cuanto la infracción que se imputa a CSI-CSIF no guarda relación con las cuestiones a las que se refieren las citadas pruebas y por cuanto el denunciado no justifica cómo puede influir en la resolución del presente procedimiento sancionador las

7 7/19 decisiones que se adopten en las actuaciones a las que se refieren las pruebas solicitadas. Respecto a lo solicitado hay que señalar que el Ayuntamiento de Sevilla estaba obligado a realizar la publicación telemática o no del censo laboral y electoral relativo a las elecciones sindicales de 2010, ya que se limitó a incluir en él los datos legalmente obligatorios. También estaba obligado a exponer en el tablón y a entregar en modo telemático o no, los censos electorales a las organizaciones sindicales, incluida CSI.F. Además, hay que señalar que las pruebas que se pretenden tienen como finalidad determinar la intencionalidad y/o responsabilidad de los denunciantes al presentar los escritos de denuncia. No obstante, hay que señalar que en un procedimiento sancionador el procedimiento se inicia de oficio por la AEPD, que es quien determina la responsabilidad de los hechos denunciados, independientemente de la intencionalidad de los denunciantes al presentar sus escritos de denuncia. En todo caso, la documentación que el sindicato pretende recabar corresponde a actos promovidos a su iniciativa y que, por tanto, pueden ser aportados por el mismo en cualquier momento de la tramitación del procedimiento. En consecuencia, se rechazó la solicitud de pruebas formulada por el sindicato CSI.F, de conformidad con lo dispuesto en el artículo 17 del Reglamento del procedimiento para el ejercicio de la potestad sancionadora, aprobado por Real Decreto 1398/1993, de 4 de agosto. SEXTO: Con fecha 23 de febrero de 2012 se formuló propuesta de resolución, proponiendo la imposición de una sanción de a la Central Sindical Independiente y de Funcionarios (CSI-CSIF), por la comisión de una infracción del artículo 9.1 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha Ley. Con fecha 15 de marzo de 2012, el sindicato CSI-CSIF presentó alegaciones frente a la citada propuesta de resolución en las que manifestó, básicamente, lo siguiente: - Que debería profundizarse en la ponderación de los derechos fundamentales a la protección de datos y el derecho de libertad sindical, debiendo prevalecer éste último puesto que los datos personales difundidos son relevantes desde el punto de vista laboral. - Además del derecho a la libertad sindical, en este caso, está el derecho al voto. El sindicato, ofreciendo la posibilidad de conocer el censo sindical, no hace otra cosa que cumplir con su mandato legal y favorecer la realización efectiva del derecho al voto sindical. - Es cierto que el ámbito teórico referenciado es el centro de trabajo, pero en 1994, cuando se redactó el R.D. de elecciones sindicales, la utilización de Internet era sólo accesible a una minoría. - Entienden que la calificación de tablón de anuncios no puede quedar constreñida a lo que se califica como intranet sino que debería ser normal que el trabajador afiliado pudiera visualizar la información en el mapa web correspondiente a su organización, puesto que nadie no interesado acabaría

8 encontrando dicha información. En base a todo ello, solicitó que se proceda al archivo del procedimiento. HECHOS PROBADOS PRIMERO: Con fechas comprendidas entre el 29 de diciembre de 2010 y el 25 de febrero de 2011, tuvieron entrada en esta Agencia escritos presentados por cuarenta y tres denunciantes en los que denuncian que el sindicato CSI-CSIF de Andalucía ha colgado en su página web, en abierto y a la vista de cualquiera, un listado de funcionarios del Ayuntamiento de Sevilla en el que consta el nombre y apellidos, DNI, categoría profesional y la fecha de ingreso, dándose la circunstancia de que figuran los datos de varios policías municipales. Dicha web resulta de acceso público y la información aparecía en abierto y a la vista de cualquiera (folios 1-564) SEGUNDO: Con fecha 1 de diciembre de 2010, se levanta acta notarial por la que queda constancia de que en la web de CSI-CSIF con URL se ha publicado un listado en formato PDF con el título ELECCIONES SINDICALES 2010 CENSO DE FUNCIONARIOS JUNTA DE PERSONAL (folios 3-11) TERCERO: Se obtiene por parte del notario impresión de una página en la que se constata que contiene los siguientes datos personales: DNI, apellidos y nombre, fecha de alta, una segunda fecha (ilegible), sexo, categoría profesional, y otra columna más que parece ser el centro de trabajo. La página contiene datos personales de 77 personas, entre las cuales figuran 31 policías de diversas categorías, entre los que figura uno de los denunciantes como GUARDIA POLICIA LOCAL (folios 3-11) CUARTO: Según expone el notario, realiza posteriormente una búsqueda en Google con el DNI ***NIF.1, correspondiente al denunciante Don A.A.A., comprobando que aparece indexado un documento en formato PDF. Aporta impresión de pantalla que recoge la imagen de una página del documento. Dicha página aparece con el título ELECCIONES SINDICALES 2010 JUNTA DE PERSONAL FUNCIONARIO AYUNTAMIENTO DE SEVILLA. La página mostrada contiene los siguientes datos de carácter personal: DNI, apellidos y nombre, fecha de nacimiento, fecha de antigüedad, sexo, categoría. La página contiene datos de un total de 44 personas, todos ellos de diversas categorías de la policía local (folios 3-11). QUINTO: No consta que el notario tuviese que utilizar clave alguna para acceder a la documentación publicada en la web del CSI-CSIF. SEXTO: Cada uno de los denunciantes ha acreditado que, mediante una búsqueda en Google con su respectivo número de DNI, se comprueba que aparece indexado un documento en formato PDF con los datos recogidos en el Hecho número 4. Dichas búsquedas constan realizadas los días 6 y 7 de diciembre de 2010 (folios y en concreto 365, 391, 406 y 540, entre otros)

9 9/19 SÉPTIMO: Con fecha 15 de febrero de 2011 se constata que el fichero anteriormente publicado en la web de CSI-SCIF con URL ya no se encuentra disponible (folio ) OCTAVO: No consta acreditado que los denunciantes otorgaran su consentimiento al Sindicato CSI-CSIF para publicar sus datos personales en abierto y a la vista de cualquiera en su página web. FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD. II En primer lugar, se imputa al Sindicato CSI-CSIF el incumplimiento del principio de seguridad de los datos personales que constan en sus ficheros. A este respecto, el artículo 9 de la LOPD, dispone: 1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. 2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. 3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley. El citado artículo 9 de la LOPD establece el principio de seguridad de los datos imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que garanticen dicha seguridad, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el acceso no autorizado por parte de terceros. Para poder delimitar cuáles son los accesos que la LOPD pretende evitar exigiendo las pertinentes medidas de seguridad, es preciso acudir a las definiciones de fichero y tratamiento contenidas en la LOPD. En lo que respecta a los ficheros el artículo 3.a) los define como todo conjunto organizado de datos de carácter personal con independencia de la modalidad de acceso al mismo. Por su parte, la letra c) del mismo artículo 3 permite considerar tratamiento de datos cualquier operación o procedimiento técnico que permita, en lo que se refiere al objeto del presente expediente, la conservación o consulta de los datos personales, tanto si las operaciones o procedimientos de acceso a los datos son automatizados como si no lo son.

10 Para completar el sistema de protección en lo que a la seguridad afecta, el artículo 44.3.h) de la LOPD tipifica como infracción grave el mantener los ficheros...que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen. Sintetizando las previsiones legales puede afirmarse que: a) Las operaciones y procedimientos técnicos automatizados o no, que permitan el acceso la conservación o consulta- de datos personales, es un tratamiento sometido a las exigencias de la LOPD. b) Los ficheros que contengan un conjunto organizado de datos de carácter personal así como el acceso a los mismos, cualquiera que sea la forma o modalidad en que se produzca, están, también, sujetos a la LOPD. c) La LOPD impone al responsable del fichero la adopción de medidas de seguridad, cuyo detalle se refiere a normas reglamentarias, que eviten accesos no autorizados. d) El mantenimiento de ficheros carentes de medidas de seguridad que permitan accesos o tratamientos no autorizados, cualquiera que sea la forma o modalidad de éstos, constituye una infracción tipificada como grave. El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, define en su artículo 5.2 ñ) el Soporte como el objeto físico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar y recuperar datos. Por su parte el artículo 81.1 del mismo Reglamento señala que Todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico. Las medidas de seguridad de nivel básico están reguladas en los artículos 89 a 94, las de nivel medio se regulan en los artículos 95 a 100 y las medidas de seguridad de nivel alto se regulan en los artículos 101 a 104. El artículo 8, en su punto 3, referido al documento de seguridad, establece lo siguiente: El documento deberá contener, como mínimo, los siguientes aspectos: a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos. b) Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento. c) Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros. d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. e) Procedimiento de notificación, gestión y respuesta ante las incidencias. f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.

11 11/19 g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos. Las medidas de seguridad se clasifican en atención a la naturaleza de la información tratada, esto es, en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la misma. El Reglamento citado, distingue entre medidas de seguridad aplicables a ficheros y tratamientos automatizados (Capítulo III Sección 2ª del Título VIII) y las medidas de seguridad aplicables a los ficheros y tratamientos no automatizados (Capítulo IV Sección 2ª del Título VIII). Igualmente el citado Reglamento regula: Artículo 91. Control de acceso. 1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones. 2. El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos. 3. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. 4. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero. 5. En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio. Artículo 92. Gestión de soportes y documentos. 1. Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad. Se exceptúan estas obligaciones cuando las características físicas del soporte imposibiliten su cumplimiento, quedando constancia motivada de ello en el documento de seguridad. 2. La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad. 3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte. 4. Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior. 5. La identificación de los soportes que contengan datos de carácter personal que la

12 organización considerase especialmente sensibles se podrá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas. Así, el Sindicato CSI-CSIF está obligado a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso no autorizado por parte de terceros a los datos personales que constan en sus ficheros. Sin embargo, ha quedado acreditado que la citada entidad incumplió esta obligación, al establecer un sistema de contacto con sus afiliados que no impidió de manera fidedigna que por parte de terceros se pudiera acceder a datos personales de los mismos. Concretamente, ha quedado acreditado que a través de la web de CSI-CSIF con URL se publicó un listado en formato PDF con el título ELECCIONES SINDICALES 2010 CENSO DE FUNCIONARIOS JUNTA DE PERSONAL (folios 3-11) que posibilita el acceso, en abierto y por parte de cualquiera, al censo de funcionarios del Ayuntamiento de Sevilla. Con fecha 1 de diciembre de 2010, el notario tuvo acceso al listado de dicho censo. Los datos personales eran accesibles en Internet, de forma pública y sin restricciones, siendo ello consecuencia de una insuficiente o ineficaz implementación de las medidas de seguridad detalladas. Dado que ha existido vulneración del principio de seguridad de los datos, se considera que el Sindicato CSI-CSIF ha incurrido en la infracción grave descrita. El artículo 44.3.h) de la LOPD, considera infracción grave: III Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen. Dado que ha existido vulneración del principio de seguridad de los datos, recogido en el artículo 9 de la LOPD, se considera que el Sindicato CSI-CSIF ha incurrido en la infracción grave descrita. IV En segundo lugar se imputa al Sindicato CSI-CSIF, una vulneración del deber de secreto establecido en el artículo 10 de la LOPD, que dispone lo siguiente: El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. El deber de confidencialidad obliga no sólo al responsable del fichero sino a todo aquel que intervenga en cualquier fase del tratamiento. Este deber de secreto comporta que el responsable de los datos almacenados no pueda revelar ni dar a conocer su contenido teniendo el deber de guardarlos, obligaciones que subsistirán aún después

13 13/19 de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. Es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la Sentencia del Tribunal Constitucional 292/2000, de 30/11, y por lo que ahora interesa, comporta que los datos tratados no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto. Este deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la Constitución Española. En efecto, este precepto contiene un instituto de garantía de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos (Sentencia del Tribunal Constitucional 292/2000, de 30/11). Este derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino que impida que se produzcan situaciones atentatorias con la dignidad de la persona, es decir, el poder de resguardar su vida privada de una publicidad no querida. En el caso que nos ocupa, ha quedado acreditado que Sindicato CSI-CSIF vulneró este deber de confidencialidad en relación con los datos personales de los funcionarios del Ayuntamiento de Sevilla contenidos en la información publicada en la página web del sindicato objeto de la denuncia. Esta información no puede ser facilitada a terceros, salvo consentimiento de los afectados o que exista una habilitación legal que permita su comunicación, que no concurren en el presente caso. Por tanto, queda acreditado que por parte de dicha entidad, se vulnera el deber de secreto garantizado en el artículo 10 de la LOPD, al haber posibilitado que terceras personas tuviesen acceso a datos personales de los funcionarios afectados. El artículo 44.3.d) de la LOPD considera infracción grave: La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley. V VI Los hechos constatados, consistentes en facilitar a terceros datos personales sin el consentimiento de sus titulares, constituye una base fáctica para fundamentar la imputación al Sindicato CSI-CSIF de las infracciones de los artículos 9 y 10 de la LOPD. No obstante, nos encontramos ante un supuesto de concurso medial, en el que un mismo hecho deriva en dos infracciones, dándose la circunstancia que la comisión de una implica, necesariamente, la comisión de la otra. Esto es, si una información contenida en un fichero del censo electoral de funcionarios sale del ámbito de la entidad

14 responsable de su confidencialidad, se está produciendo un incumplimiento de las medidas de seguridad exigidas a dicho responsable que, a su vez, deriva en una vulneración del deber de secreto profesional. Por lo tanto, aplicando el artículo 4.4 del citado Real Decreto 1398/1993, procede subsumir ambas infracciones en una, procediendo imponer únicamente la sanción correspondiente a la infracción más grave que, en este caso, corresponde a la prevista para la infracción del artículo 9 de la LOPD que, además, se trata de la infracción originaria que ha implicado la comisión de la otra. VII En cuanto al principio de culpabilidad invocado por el Sindicato CSI-CSIF, cabe señalar lo dispuesto en el artículo de la LRJPAC, según el cual... sólo pueden ser sancionadas por hechos constitutivos de infracción administrativa los responsables de los mismos, aún a título de simple inobservancia. Esta simple inobservancia no puede ser entendida como la admisión en el derecho administrativo sancionador de la responsabilidad objetiva, pues la doctrina del Tribunal Constitucional (Sentencias de 26/04/1990, 19/12/1991 y 04/07/1999, entre otras) y la jurisprudencia mayoritaria del Tribunal Supremo (Sentencia de 23/01/1998, entre otras), así como las exigencias inherentes a un Estado de Derecho, exigen que el principio de culpabilidad requiera la existencia de dolo o culpa. El Tribunal Supremo (Sentencias de 16 y 22/04/1991) considera que del elemento culpabilista se desprende... que la acción u omisión, calificada de infracción sancionable administrativamente, ha de ser, en todo caso, imputable a su autor, por dolo o imprudencia, negligencia o ignorancia inexcusable. Por su parte, la Audiencia Nacional, en Sentencia de 29/06/2001, en materia de protección de datos de carácter personal, ha declarado que... basta la simple negligencia o incumplimiento de los deberes que la Ley impone a las personas responsables de ficheros o del tratamiento de datos de extremar la diligencia.... El Tribunal Supremo viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el sujeto infractor no se comporta con la diligencia exigible. Diligencia cuyo grado de exigencia se determinará en atención a las circunstancias concurrentes, tales como el especial valor del bien jurídico protegido, la profesionalidad exigible al infractor, etc. En este sentido la Sentencia de 05/06/1998 exige a los profesionales del sector... un deber de conocer especialmente las normas aplicables. En similares términos se pronuncian las Sentencias de 17/12/1997, 11/03/1998, 02/03 y 17/09/1999. Aplicando la anterior doctrina, la Audiencia Nacional, en varias sentencias, entre otras las de fechas 14/02/ y 20/09/2002 y 13/04/2005, exige a las entidades que operan en el mercado de datos una especial diligencia a la hora de llevar a cabo el uso o tratamiento de tales datos o su cesión a terceros, visto que se trata de la protección de un derecho fundamental de las personas a las que se refieren los datos, por lo que los depositarios de éstos deben ser especialmente diligentes y cuidadosos a la hora de realizar operaciones con los mismos y deben optar siempre por la interpretación más

15 15/19 favorable a la protección de los bienes jurídicos protegidos por la norma. Conforme a esta doctrina jurisprudencial, es evidente la existencia en este caso de una falta de diligencia debida que le era exigible en los hechos denunciados atribuible plenamente al Sindicato CSI-CSIF de acuerdo con las circunstancias antes expresadas. VIII Alega el sindicato imputado que actuó con habilitación legal, de acuerdo con el artículo 6.2 de la LOPD, en ejercicio del derecho fundamental a la libertad sindical. Se plantea en el presente caso una concurrencia entre los derechos fundamentales de protección de datos personales y de libertad sindical. El derecho a la protección de los datos personales está previsto en el artículo 18.4 de la CE, bajo la referencia al uso de la informática, en la ya citada STC 292/2000, de 30 de noviembre, y en el desarrollo legal en la Ley Orgánica 15/1999 ya citada. Uno de los principios esenciales para la salvaguarda de este derecho es que ha de mediar el consentimiento inequívoco del afectado según el artículo 6.1 de la misma Ley. El derecho a la libertad sindical está previsto en el artículo 28.1 de la CE y su desarrollo legal está en la Ley Orgánica 11/1985, de 2 de agosto, de Libertad Sindical, que establece en su artículo 2.1 que la libertad sindical comprende: ( ) d) El derecho a la actividad sindical. Y su artículo 8.1 dice que los trabajadores afiliados a un sindicato podrán, en el ámbito de la empresa o centro de trabajo: ( ) c) recibir la información que le remita su sindicato, que se extiende en el Estatuto de los Trabajadores a cuantos presten servicio en el centro de trabajo. La sentencia de la Audiencia Nacional de 19 de diciembre de 2007 ha manifestado que: Por su parte el derecho a la libertad sindical se encuentra igualmente limitado por el ejercicio legítimo de los demás derechos fundamentales y la protección de bienes de relevancia constitucional. En este sentido, debemos tener en cuenta que el art CE, a pesar de que su tenor literal pudiera inducir a considerar la restricción del contenido de la libertad sindical a una vertiente exclusivamente organizativa o asociativa, sin embargo en este precepto se integra también la vertiente funcional del derecho, es decir, el derecho de los sindicatos a ejercer aquellas actividades dirigidas a la defensa, protección y promoción de los intereses de los trabajadores, en suma, a desplegar los medios de acción necesarios para que puedan cumplir las funciones que constitucionalmente les corresponden (por todas, SSTC 105/1992, de 1 de julio, FFJJ 2 y 5 9; 145/1999, de 22 de julio, FJ 3; 308/2000, de 18 de diciembre, FJ 6, y 213/2002, de 11 de noviembre, FJ 4). De manera que los sindicatos disponen de un ámbito esencial de libertad para organizarse y actuar de la forma que consideren más adecuada a la efectividad de su acción, dentro, claro está, del respeto a la Constitución y a la Ley. En el art CE se integra, pues, el derecho a llevar a cabo una libre acción sindical, comprensiva de todos los medios lícitos y sin indebidas injerencias de terceros (por todas, SSTC 94/1995, de 16 de junio, FJ 2; 107/2000, de 5 de mayo, FJ 6; y 121/2001, de 4 de junio, FJ 2), y, en coherencia con dicho contenido constitucional, la Ley Orgánica 11/1985, de 2 agosto, de Libertad Sindical citada, regulando su ejercicio dentro de la empresa en sus art. 8 a 1, otorgando amplias funciones a los delegados sindicales.

16 Por tanto, como señala esta sentencia, ningún derecho fundamental es ilimitado sino que encuentran sus límites en otros bienes y derechos constitucionalmente protegidos, por lo que no puede afirmarse que para el ejercicio del derecho de libertad sindical, pueda disponerse de manera incondicional de los datos personales de un tercero y éste además, deba soportar que esos datos se utilicen sin limitaciones. De igual modo, habría que decir que estaría fuera del ámbito de protección del derecho a la libertad de expresión y del derecho a la libertad sindical la utilización de datos de carácter personal, si no se cuenta con el consentimiento de los afectados. IX En otro orden de cosas, y en referencia a las alegaciones del sindicato relativas a que el artículo 20 de la CE reconoce el derecho a la información y a la libertad de expresión, hay que precisar que el artículo 20 CE se refiere a la libertad de expresión en el marco de los medios de comunicación o partidos políticos, circunstancias que no concurren en las entidades sindicales, que tienen reconocido el derecho a la libertad sindical como ya se ha desarrollado en el Fundamento de Derecho anterior, en el ámbito de la empresa o centro de trabajo, pero no se le reconoce el derecho a hacer públicos de manera incondicional de los datos personales de un tercero y a que éste además, deba soportar que esos datos se utilicen sin limitaciones. Es por eso que esta alegación, en el sentido de que no es necesario el consentimiento de los denunciantes para el tratamiento de sus datos, debe ser rechazada porque la inclusión de dichos datos no legitima su utilización por terceros, pues sólo los denunciantes, como titular de sus datos personales, está legitimado, en los términos y con las excepciones establecidas en la LOPD, para decidir sobre el destino y uso de sus datos personales. X Por su parte, el artículo 45 de la LOPD, en sus apartados 1 a 5, establece, según la nueva redacción dada por la Ley 2/2011, que: euros. «1. Las infracciones leves serán sancionadas con multa de 900 a euros. 2. Las infracciones graves serán sancionadas con multa de a Las infracciones muy graves serán sancionadas con multa de a euros. 4. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios: a) El carácter continuado de la infracción. b) El volumen de los tratamientos efectuados. c) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal. d) El volumen de negocio o actividad del infractor. e) Los beneficios obtenidos como consecuencia de la comisión de la infracción. f) El grado de intencionalidad. g) La reincidencia por comisión de infracciones de la misma naturaleza. h) La naturaleza de los perjuicios causados a las personas interesadas o a

17 17/19 terceras personas. i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de Ios datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor. j) Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora. 5. El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos: a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo. b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente. c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción. d) Cuando el infractor haya reconocido espontáneamente su culpabilidad. e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente. Por todo ello, procedería imponer una multa cuyo importe se encontrase entre y , en aplicación de lo previsto en el apartado 2 del citado artículo 45, al tener la infracción imputada la consideración de grave. El nuevo apartado 5 del artículo 45 de la LOPD, no obstante, deriva del principio de proporcionalidad de la sanción y permite establecer "la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate", pero para ello es necesario la concurrencia de, o bien una cualificada disminución de la culpabilidad el imputado, o bien de la antijuridicidad del hecho, o bien de alguna otra de las circunstancias que el mismo precepto cita. Sin embargo, teniendo en cuenta que el sindicato actuó en el convencimiento de estar actuando en el marco de la libertad sindical y de información, así como que manifiesta que el censo electoral únicamente estuvo disponible en internet por un corto espacio de tiempo, por lo que se acredita la solución o cesación de la infracción imputada, así como los criterios de graduación de las sanciones previstos en el artículo 45.4 y 5 de la LOPD y, en especial, la falta de intencionalidad, dado que lo hizo en el convencimiento de estar actuando en el marco de la libertad sindical y de información y en aplicación del principio de proporcionalidad, procede proponer que se imponga las sanciones en su cuantía mínima, proponiendo la sanción de por la infracción del artículo 9.1. Por lo tanto, procede imponer una multa en cuantía de por infracción del

18 artículo 9.1 de la LOPD, tipificada como grave en el nuevo artículo 44.3.h) de dicha norma y de conformidad con lo establecido en el citado artículo 45.5.b) y d) de esa misma Ley Orgánica, estos últimos artículos según la redacción dada por la Ley 2/2011 y de aplicación en virtud del artículo de la LRJPAC. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a la entidad Central Sindical Independiente y de Funcionarios (CSI-CSIF), por una infracción del artículo 9.1 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de (tres mil euros), de conformidad con lo establecido en el artículo 44.2., 4 y 5 de la citada Ley Orgánica. SEGUNDO: NOTIFICAR la presente resolución a la entidad Central Sindical Independiente y de Funcionarios (CSI-CSIF). TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº abierta a nombre de la Agencia Española de Protección de Datos en el Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el

19 19/19 plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 26 de marzo de 2012 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: José Luis Rodríguez Álvarez