RESOLUCIÓN: R/00238/2008

Transcripción

1 1/10 Procedimiento Nº PS/00312/2007 RESOLUCIÓN: R/00238/2008 En el procedimiento sancionador PS/00312/2007, instruido por la Agencia Española de Protección de Datos a la entidad RECORDATI ESPAÑA, S.L., vista la denuncia presentada por D. R.R.R. y en base a los siguientes, ANTECEDENTES PRIMERO: Con fecha 17/11/2004, tuvo entrada en esta Agencia un escrito de D. R.R.R. (en lo sucesivo el denunciante) en el que denuncia que Asepeyo, Mutua de Accidentes de Trabajo y Enfermedad Profesional de la Seguridad Social nº... (en lo sucesivo Asepeyo) ha facilitado sus datos de salud a la empresa Recordati España, S.L. para la que trabajaba, y que tales datos han sido utilizados por esta empresa para fundamentar la carta de despedido. Aportó la carta de despido, de fecha 29/9/2004, en la que Recordati España, S.L. le comunica que Las razones que han llevado a la empresa a tomar esta decisión son fundamentalmente el haber tenido conocimiento de su ineptitud sobrevenida para continuar prestando los servicios de G.P. 4 Producción, que requiere fundamentalmente la prestación de esfuerzo y permanecer durante toda la jornada de pie, situación incompatible con la dismetría que presenta en los miembros inferiores y le causa problemas de espalda, provocándole una inhabilidad o carencia de facultades profesionales por pérdida de sus recursos de trabajo. SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes extremos: - Según informó, Recordati España, S.L. la decisión de rescindir el contrato de trabajo del denunciante se adoptó a la vista la información facilitada por el propio denunciante que manifestó verbalmente que padecía una desviación de columna provocada por una dismetría en los pies, lo que le provocaba la imposibilidad de efectuar esfuerzos físicos. - En el informe sanitario de calificación de aptitud laboral del denunciante, elaborado por el Servicio de Prevención de Asepeyo, con fecha 26/7/2005, aportado por Recordati España, S.L. figura el denunciante con la calificación de apto para el puesto de trabajo habitual, sin que conste ninguna información acerca del padecimiento de desviación de columna o dismetría en los miembros inferiores.

2 2/10 - De la documentación aportada por Asepeyo se desprende que ni en los reconocimientos médicos que se han practicado al denunciante en cumplimiento de lo dispuesto en el artículo 22 de la Ley 31/1995, de 8 de noviembre, de prevención de riesgos laborales y en el artículo 37 del Real Decreto 39/1997, de 17 de enero, por el que se aprueba el Reglamento de los Servicios de Prevención, ni en los informes médicos elaborados, en fechas de 2/1/2002, 24/2/2003 y 11/3/2004, con motivo de los citados reconocimientos, ni en la documentación facilitó a Recordati España, S.L. consta ninguna anotación referente a que el afectado padezca dismetría en los miembros inferiores o padecimiento de dolores de espalda. TERCERO: Con fecha 13/09/2007, el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a Recordati España, S.L., por la presunta infracción del artículo 7.3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de los Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como tipificada como muy grave en el artículo 44.4.c) de dicha norma, pudiendo ser sancionada con multa de ,05 a ,10, de acuerdo con el artículo 45.3 de la misma Ley. CUARTO: Notificado el citado acuerdo de inicio del procedimiento sancionador, Recordati España, S.L. formuló alegaciones en las que adujo que no conoció la enfermad del denunciante a través de informes médico sino a través del denunciante, que los datos de salud del denunciante no han sido registrados en ningún fichero, se ha limitado a recoger en el texto de la carta de despido la información relativa al denunciante; que el soporte físico de carta impresa impresa no permite realizar con los datos incorporados operaciones técnicas, como reconoce la Audiencia Nacional en Sentencia de 12/01/2001; que el denunciante de forma expresa y verbal informó a Recordati España, S.L. de la enfermedad que padecía, por lo que facilitó su consentimiento expreso, pudiendo éste ser manifestado de forma verbal tal y como lo ha era el Tribunal Supremo en numerosas ocasiones; que el tratamiento realizado por Recordati España, S.L. se encuentra habilitado por el artículo 52.a) del Estatuto de los Trabajadores que reconoce como causa de despido la ineptitud del trabajador sobrevenida y por el artículo 53.a) que autoriza al empresario a que haga constar la causa de despido en la carta de despido so pena de nulidad. QUINTO: En fecha 26/10/2007, se acordó por la Instructora del procedimiento la apertura del período de práctica de pruebas, cuyos resultados obran en el procedimiento. SEXTO: Mediante diligencia de fecha 19/11/2007, se hizo constar que, de conformidad con lo previsto en el artículo 37 de la Ley 30/1992, de 26 de noviembre, de Régimen jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, queda excluido del examen por Recordati España, S.L. de los exámenes de salud realizados al denunciante por Asepeyo relativos a los años 2002, 2003 y 2004.

3 3/10 SÉPTIMO: Transcurrido el período de práctica de pruebas, se inició el trámite de audiencia, en el que Recordati España, S.L. que consta en el procedimiento que Asepeyo no facilitó a Recordati España, S.L. los datos de salud del denunciante por lo que únicamente pudo obtenerlos del propio denunciante; que el denunciante facilitó sus datos de salud de forma expresa y verbal, autorizando su conocimiento a Recordati España, S.L.; que los datos de salud del denunciante no han sido incorporados a ningún fichero ni a ningún soporte físico que permita realizar operaciones de tratamiento con los datos; y que de acuerdo con el Estatuto de los Trabajadores ha de constar en la carta de despido el motivo del despido, por lo que el tratamiento de los datos del denunciante quedaría habilitado por dicha norma. OCTAVO: Con fecha 18/01/2008, se formuló propuesta de resolución en el sentido de que por el Director de la Agencia Española de Protección de Datos se sancione a Recordati España, S.L. con multa de ,21 (sesenta mil ciento un euros con veintiún céntimos) por la infracción del artículo 7.3 de la LOPD tipificada como muy grave en el artículo 44.4.C) de dicha norma, dándose traslado para alegaciones. NOVENO: Con fecha 26/02/2008, tuvo entrada en esta Agencia escrito de alegaciones de Recordati España, S.L. en el que adujo que no existe pruebas de la comunicación de los datos de salud del denunciante a Recordati España, S.L. por un tercero, Recordati España, S.L. conoció los datos de salud del denunciante con su consentimiento expreso, los datos de salud del denunciante no fueron registrados en ningún fichero, tampoco los registró en soporte físico que permita su tratamiento, la incorporación de los datos de salud como causa de despido está expresamente autorizada por el artículo 53 del Estatuto de los Trabajadores HECHOS PROBADOS PRIMERO: En la carta de despido, de fecha 29/9/2004, en la que Recordati España, S.L. comunicaba a D. R.R.R. su despido se indicó lo siguiente: Las razones que han llevado a la empresa a tomar esta decisión son fundamentalmente el haber tenido conocimiento de su ineptitud sobrevenida para continuar prestando los servicios de G.P. 4 Producción, que requiere fundamentalmente la prestación de esfuerzo y permanecer durante toda la jornada de pie, situación incompatible con la dismetría que presenta en los miembros inferiores y le causa problemas de espalda, provocándole una inhabilidad o carencia de facultades profesionales por pérdida de sus recursos de trabajo (folio 16). SEGUNDO: En el informe sanitario de calificación de aptitud laboral de D. R.R.R., elaborado por el Servicio de Prevención de Asepeyo, con fecha 26/7/2005, figura el denunciante con la calificación de apto para el puesto de trabajo habitual, sin que conste ninguna información acerca del padecimiento de desviación de columna o dismetría en los miembros inferiores (folio 14).

4 4/10 TERCERO: Ni en los reconocimientos médicos que se han practicado al denunciante en cumplimiento de lo dispuesto en el artículo 22 de la Ley 31/1995, de 8 de noviembre, de prevención de riesgos laborales y en el artículo 37 del Real Decreto 39/1997, de 17 de enero, por el que se aprueba el Reglamento de los Servicios de Prevención, ni en los informes médicos elaborados, en fechas de 2/1/2002, 24/2/2003 y 11/3/2004, con motivo de los citados reconocimientos, ni en la documentación facilitó a Recordati España, S.L. consta ninguna anotación referente a que el afectado padezca dismetría en los miembros inferiores o padecimiento de dolores de espalda (folios 53 a 55). CUARTO: El fichero automatizado de Recordati España, S.L. denominado Gestión de Personal para la gestión de los trabajadores de la empresa fue inscrito en el Registro General de Protección de Datos de esta Agencia el 14/07/2005 (folios 6 a 10). FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD. II En orden a precisar el alcance antijurídico de los referidos hechos, procede analizar, en primer lugar, el principio de consentimiento consagrado en el artículo 6 de la LOPD, cuyo apartado 1 dispone: El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa. A este respecto, debe señalarse que el artículo 3.c) de la LOPD define el tratamiento de datos como Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. El tratamiento de datos sin consentimiento de los afectados constituye un límite al derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre (F.J. 7 primer párrafo),...consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporciona a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (...). Son pues elementos característicos del derecho fundamental a la protección de

5 5/10 datos personales, los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. El artículo 7 de la LOPD establece el régimen específicamente protector diseñado por el Legislador para aquellos datos personales que proporcionan una información de esferas más íntimas del individuo, a los que se califica en el citado artículo como Datos especialmente protegidos. Para las diversas categorías de éstos el precepto citado establece específicas medidas para su protección. En el supuesto de los datos de salud, el Legislador español, siguiendo al Consejo de Europa (artículo 6 del Convenio 108/81 del Consejo de Europa, para la protección de las personas con respecto al tratamiento de datos de carácter personal) y al Derecho Comunitario (artículo 8 Directiva 95/46/CEE, de 24 de octubre), los considera como especialmente protegidos y prevé que sólo puedan ser recabados, tratados y cedidos, cuando por razones de interés general así lo disponga una Ley o el afectado consienta expresamente. Ello quiere decir que, solamente en estos supuestos específicos, dichos datos podrán ser tratados. El artículo 7.3 de la LOPD considera dato especialmente protegido el relativo a la salud y determina que los datos de carácter personal que hagan referencia a la salud sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente. En este caso, Recordati España, S.L. incorporó a la carta de despido del denunciante, de fecha 29/9/2004, el dato de salud relativo a que padecía dismetría de los miembros inferiores. A este respecto manifiesta Recordati España, S.L. que dicha información no fue incorporada a ningún fichero ni a ningún soporte físico que permita realizar operaciones de tratamiento con los datos incorporados en la carta de despido. El artículo 1 de la LOPD establece que La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. El artículo 2.1 de la LOPD, al regular el ámbito de aplicación de la Ley, determina que La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado. La disposición adicional primera de la LOPD, bajo la rúbrica Ficheros preexistentes, establece que Los ficheros y tratamientos automatizados, inscritos o no en el Registro General de Protección de Datos deberán adecuarse a la presente Ley Orgánica dentro del plazo de tres años, a contar desde su entrada en vigor. En dicho plazo, los ficheros de titularidad privada deberán ser comunicados a la Agencia de Protección de Datos y las Administraciones Públicas, responsables de ficheros de III

6 6/10 titularidad pública, deberán aprobar la pertinente disposición de regulación del fichero o adaptar la existente. En el supuesto de ficheros y tratamientos no automatizados, su adecuación a la presente Ley Orgánica y la obligación prevista en el párrafo anterior deberá cumplimentarse en el plazo de doce años a contar desde el 24 de octubre de 1995, sin perjuicio del ejercicio de los derechos de acceso, rectificación y cancelación por parte de los afectados. De acuerdo con la disposición transcrita, este plazo de adecuación de doce años se establece para los ficheros y tratamientos no automatizados que ya existieran en la entrada en vigor de la Ley Orgánica. Ahora bien, respecto de los tratamientos no automatizados cabe realizar la siguiente precisión, el artículo 3.1 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre, que transpone la LOPD, estipula que las disposiciones de la presente Directiva se aplicarán al tratamiento total o parcialmente automatizado de los datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. El Considerando 27 de la misma Directiva se refiere a su ámbito de aplicación, en el sentido siguiente: Considerando que la protección de las personas debe aplicarse tanto al tratamiento automático de datos como a su tratamiento manual; que el alcance de esta protección no debe depender, en efecto, de las técnicas utilizadas, pues lo contrario daría lugar a riesgos graves de alusión; que, no obstante, por lo que respecta al tratamiento manual, la presente Directiva sólo abarca los ficheros, y no se aplica a las carpetas que no estén estructuradas; que, en particular, el contenido de un fichero debe estructurarse conforme a criterios específicos relativos a las personas, que permitan acceder fácilmente a los datos personales; que de conformidad con la definición que recoge la letra c) del artículo 2, los distintos criterios que permiten determinar los elementos de un conjunto estructurado de datos de carácter personal y los distintos criterios que regulan el acceso a dicho conjunto de datos pueden ser definidos por cada Estado miembro; que, las carpetas y conjuntos de carpetas, así como sus portadas, que no estén estructuradas conforme a criterios específicos no están comprendidas en ningún caso en el ámbito de aplicación de la presente Directiva (el subrayado es de la Agencia Española de Protección de Datos). Por lo que ha de entenderse que la LOPD no resulta de aplicación a los tratamientos de datos no automatizados que no se conserven en ficheros organizados de los definidos en el artículo 3.d) de la aludida norma, que considera fichero todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Este criterio ha sido mantenido por la Audiencia Nacional, entre otras, en sus Sentencias de 09/11/2005 y 16/02/2006. En esta última Sentencia la Audiencia Nacional indica que <<La Directiva fija en su artículo 3 que sus disposiciones se aplicarán al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

7 7/10 La Ley Orgánica 15/1999, por su parte, describe en su artículo 2 su ámbito de aplicación mediante una descripción general positiva más genérica que la de la Directiva será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado. Es claro para este Tribunal que registro en soporte físico equivale a fichero en los términos de la ley. Basta la lectura completa de este artículo 2 y su comparación con el art. 3 de la Directiva del que trae causa, y que sirve para interpretarlo, para llegar a esa conclusión. Pues bien, para que una actuación manual sobre datos personales (recogida, grabación, conservación, elaboración, modificación, bloqueo...) tenga la consideración de tratamiento de datos sujeto al sistema de protección de la Ley Orgánica 15/1999 es necesario que dichos datos estén contenidos o destinados a ser incluidos en un fichero, esto es, en un conjunto estructurado u organizados de datos con arreglo a criterios determinados. Si no es así, el tratamiento manual de datos personales quedará fuera del ámbito de aplicación de la ley, no será un tratamiento de datos personales según el concepto normativo que la ley proporciona>> (el subrayado es de la Agencia Española de Protección de Datos). Por tanto, de acuerdo con lo señalado, los tratamientos de datos no automatizados o manuales quedan comprendidos en el ámbito de protección de la LOPD en la medida en que los datos de carácter personal se encuentren contenidos en un fichero estructurado. En este caso, Recordati España, S.L. inscribió en el Registro General de Protección de Datos de esta Agencia el fichero automatizado denominado Gestión de Personal cuya finalidad es la gestión de los trabajadores de la empresa el 14/07/2005. Pero tal circunstancia no quiere decir que la LOPD no resulte de aplicación al fichero papel utilizado por la empresa para la gestión de personal existente antes de la creación del fichero automatizado. La carta de despido de un trabajador resulta evidente que pertenece al fichero de personal de la empresa, sea este automatizado o no, por lo que la LOPD resulta de aplicación al supuesto examinado. Asimismo manifiesta Recordati España, S.L. en su defensa que fue el denunciante quien facilitó a la empresa sus datos de salud de forma verbal. El artículo 7.2 de la LOPD, para el tratamiento de datos especialmente protegidos que revelen la ideología, afiliación sindical, religión y creencias, exige el consentimiento expreso y por escrito del afectado. Por su parte, el artículo 7.3 señala para el tratamiento de los datos de salud la exigencia de consentimiento expreso del afectado, pero no la relativa a que deba constar por escrito. Cabe, en consecuencia, admitir la posibilidad de que la manifestación del consentimiento expreso no conste IV

8 8/10 por escrito. Sin embargo, esta posibilidad debe ponerse en relación con los elementos que integran la definición de consentimiento recogida en el artículo 3. h) de la LOPD; a saber, que sea una manifestación de voluntad libre, inequívoca, específica e informada. De ellos resulta particularmente relevante este último extremo que sea informada pues sin él difícilmente concurrirán los otros, en especial que sea inequívoca y específica. La letra a) del artículo 5.1 de la LOPD menciona específicamente que debe informarse de las finalidades de la recogida de los datos, las cuales, según el artículo 4.1 de la misma norma deben ser determinadas, explícitas y legítimas. En consecuencia, la posibilidad de admitir un consentimiento expreso que no conste por escrito para el tratamiento de los datos de salud, se encuentra condicionada a que pueda acreditarse que es una manifestación de voluntad libre, inequívoca y específica, que se presta una vez que se ha tenido conocimiento de una concreta información entre la que, necesariamente, ha de constar la finalidad determinada, explícita y legítima del tratamiento que se va a realizar sobre los datos personales del afectado. Lógicamente, la concurrencia de los extremos expuestos deberá constatarse en cada caso concreto. En el presente caso, Recordati España, S.L. no ha acreditado el consentimiento expreso del denunciante para el tratamiento de sus datos de salud, por lo que debe entenderse conculcado el artículo 7.3 de la LOPD.. El artículo 44.4.c) de la LOPD, establece: Son infracciones muy graves: V c) Recabar y tratar los datos de carácter personal a los que se refiere el apartado 2 del artículo 7 cuando no medie el consentimiento expreso del afectado; recabar y tratar de forma automatizada los datos referidos en el apartado 3 del artículo 7 cuando no lo disponga una Ley o el afectado no haya consentido expresamente o violentar la prohibición contenida en el apartado 4 del artículo 7. En este caso, Recordati España, S.L. ha vulnerado del artículo 7.3 de la LOPD que encuentra su tipificación en el citado artículo 44.4.c), toda vez que trató los datos de salud del denunciante sin su consentimiento para incorporarlos a la carta de despido. VI El artículo 45 apartados 3, 4 y 5 de la LOPD establecen: 3. Las infracciones muy graves serán sancionadas con multa de ,05 a ,1 euros.

9 9/10 4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora. 5. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate. La aplicación con carácter excepcional del citado artículo 45.5 exige la concurrencia de, al menos, uno de los siguientes requisitos: a) Disminución de la culpabilidad del imputado y b) Disminución de la antijuricidad del hecho. En el supuesto examinado, teniendo en cuenta que Recordati España, S.L. sometió a tratamiento los datos de salud del denunciante para fundamentar que el trabajador carecía de facultades profesionales para llevar a cabo las tareas propias de su trabajo habitual, a fin de la catalogación del despido como objetivo, como consecuencia de ineptitud conocida o sobrevenida con posterioridad a su colocación en la empresa, y que los datos de salud del denunciante no fueron obtenidos de Asepeyo, procede proponer la aplicación a este supuesto del artículo 45.5 de la LOPD. En base a los criterios de graduación de las sanciones recogidos en el artículo 45.4 y, en especial, a la ausencia de intencionalidad y de reincidencia acreditada en el presente procedimiento, se impone la sanción relativa a las faltas graves en su cuantía mínima. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a la entidad Recordati España, S.L., por una infracción del artículo 7.3 de la LOPD, tipificada como muy grave en el artículo 44.4.C) de dicha norma, una multa de ,21 (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45..3, 4 y 5 de la citada Ley Orgánica. SEGUNDO: NOTIFICAR la presente resolución a Recordati España, S.L. con domicilio en (C/.), y a D. R.R.R. con domicilio en (C/..) TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº abierta a nombre de la Agencia Española de

10 10/10 Protección de Datos en el Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 5 de marzo de 2008 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte