Comentario a la STS Sala 3ª de 2 diciembre 2011, rec. 2706/2008 -EDJ 2011/298364-.
I. Tensión entre publicidad y secreto en la actuación de los Tribunales
La Constitución Española de 1978 -EDL 1978/3879- proclama como principio de actuación del Poder Judicial el de publicidad, recogiendo lo que fue una conquista del Estado Liberal decimonónico frente a la tradición oscurantista anterior, principio que hoy se encuentra plenamente consolidado en la mayor parte de los sistemas jurídicos modernos.
Sin embargo, el surgimiento del derecho a la protección de datos de carácter personal, como derecho fundamental de tercera generación, obliga a modular en ocasiones este principio en relación con determinadas actuaciones judiciales de suerte que éstas no siempre pueden ni deben ser plenamente transparentes por resultar comprometido el derecho a la privacidad de los ciudadanos afectados por ellas.
La LO 5/1992, de 29 octubre, de regulación del Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD) -EDL 1992/16927- fue la primera que dio respuesta al mandato constitucional contenido en el art. 18,4 -EDL 1978/3879- de que por ley se limitara el uso de la informática para garantizar el honor, la intimidad personal y familiar de los ciudadanos y el legítimo ejercicio de sus derechos. No obstante, diez años antes la LO 1/1982, de 5 mayo, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen ya había previsto en su disposición transitoria primera -EDL 1982/9072- que en tanto no se promulgase la normativa ordenada en el art. 18, apdo. 4, CE, la protección civil del honor y la intimidad personal y familiar frente a las intromisiones ilegítimas derivadas del uso de la informática se regularían por dicha Ley.
Tiempo después, la Directiva 95/46/CE, del Parlamento y del Consejo, de 24 octubre 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos -EDL 1995/16021-, cambia el sesgo de la regulación proporcionándole un sentido positivo, convirtiendo a la protección de datos en un instituto de garantía de derechos y libertades que pueden verse comprometidos o lesionados por el manejo de los datos personales por parte de terceros. El objeto de la nueva regulación no es ya poner límites al uso de la informática sino, como se dice en su artículo primero, conseguir que los Estados miembros garantizaran la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales. Como recuerda elocuentemente el segundo de sus considerandos los sistemas de tratamiento de datos están al servicio del hombre; que deben, cualquiera que sea la nacionalidad o la residencia de las personas físicas, respetar las libertades y derechos fundamentales de las personas físicas y, en particular, la intimidad, y contribuir al progreso económico y social, al desarrollo de los intercambios, así como al bienestar de los individuos. La LO 15/1999, de 13 diciembre, de Protección de Datos de Carácter Personal -EDL 1999/63731-, pese a ser en gran medida continuadora de la LORTAD, incorpora a nuestro ordenamiento jurídico este nuevo acervo comunitario. En el año 2000, con la Carta de Derechos Fundamentales de la Unión Europea -EDL 2000/94313-, la protección de datos personales fue reconocida como derecho fundamental autónomo, contribuyendo de este modo a la «constitucionalización» de la persona, que el Preámbulo de la Carta pone «al centro» de la acción de la Unión Europea. En nuestro ámbito interno, desde la STC 292/2000, de 30 noviembre -EDJ 2000/40918-, se ha reconocido al derecho a la protección de datos de carácter personal como un derecho fundamental autónomo, siguiendo en este punto la estela de la pionera Sentencia del Tribunal Constitucional alemán de 15 diciembre 1983, en la que se elaboró el concepto de autodeterminación informativa (Informationelle Selbsbestimmungsrecht) dentro del marco de la libre personalidad.
El reconocimiento de la protección de datos personales como derecho fundamental de la persona incide en la actuación de los Tribunales de muy diversas maneras. Por un lado, se trata de una materia que interesa a la actividad judicial, máxime si se tiene en cuenta que la legislación española y europea en general contiene una amplísima definición de lo que se entiende por dato personal: cualquier información concerniente a personas físicas identificadas o identificables.
Con una frecuencia que no es preciso ponderar, los datos personales están presentes en las actuaciones judiciales y en otros muchos aspectos de funcionamiento de los Tribunales, formando parte consustancial de la actividad jurisdiccional. De este modo, es posible afirmar que toda actividad de enjuiciamiento lleva implícita la necesidad de tratar ciertos datos personales, bien sean relativos a las partes, delincuentes o víctimas de los delitos -algunas especialmente protegidas como sucede con las víctimas de violencia de género, respecto de las que existe un deber de especial protección por los tribunales y demás instituciones intervinientes , o bien pertenecientes a terceros, como testigos, peritos, abogados u otros colaboradores de la Administración de Justicia.
Además, no pocos de esos datos recaen sobre cuestiones relativas a la ideología, afiliación sindical, religión o creencias, se refieren al origen racial, salud o vida sexual de las personas, o a la comisión por éstas de infracciones penales o administrativas. Son datos, en definitiva, especialmente protegidos, utilizando la terminología de la Ley, que se presentan ante los Tribunales.
Siendo muchos los temas que pueden ser objeto de estudio desde la perspectiva que estamos examinando, nos vamos a referir a uno muy concreto, a propósito de una reciente Sentencia del Tribunal Supremo (STS, Sala 3ª, de 2 diciembre 2011, dictada en el recurso 2706/2008 -EDJ 2011/298364-).
Se abordan en esta resolución -EDJ 2011/298364- las relaciones entre la Autoridad de Control en materia de protección de datos (la Agencia Española de Protección de Datos) y los Tribunales de Justicia, fijándose los límites que, con fundamento en la independencia e inmunidad judicial y su singular sistema de gobierno, existen al ejercicio de sus potestades.
II. Las Autoridades de Control y sus poderes de injerencia
El Convenio 108, de 28 enero 1981, del Consejo de Europa, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal -EDL 1984/7766-, previó que las distintas Partes designaran una autoridad para concederse ayuda mutua. Es esta previsión el germen de la creación de las Autoridades de Control por parte de los distintos Estados europeos y también de la Agencia Española de Protección de Datos.
La Directiva 95/46/CE, del Parlamento y del Consejo, de 24 octubre 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos -EDL 1995/16021-, señala en su considerando 62 que la creación de una Autoridad de Control que ejerza sus funciones con plena independencia en cada uno de los Estados miembros constituye un elemento esencial de la protección de las personas en lo que respecta al tratamiento de datos personales.
Este considerando tiene su desarrollo en el art. 28 de la Directiva -EDL 1995/16021-, dedicado a la Autoridad de Control, en el que se reitera la necesidad de que debe ejercer sus competencias con total independencia y ordena que se le atribuyan poderes de investigación, de intervención y sancionadores.
Esta exigencia de independencia se recoge, asimismo, en la Carta Europea de los Derechos Fundamentales, proclamada en Niza el 8 de diciembre de 2000 -EDL 2000/94313-, y que ha sido incorporada a los Tratados constitutivos de la Comunidad Europea en el Tratado de Lisboa -EDL 2007/376752-.
En definitiva, la función principal de estas Autoridades de Control es la tutela del derecho a la protección de datos personales. Como quiera que los Tribunales tienen atribuida de forma genérica la tutela de los derechos de los ciudadanos es preciso detenerse en el examen de las relaciones entre esta autoridad administrativa y las judiciales, muy especialmente en la capacidad de supervisión de aquella en relación con la actividad de éstas.
En primer lugar, es innegable que los interesados pueden acudir en defensa de sus derechos tanto ante las autoridades judiciales competentes según el tipo de reclamación como ante la autoridad de control conforme a los procedimientos establecidos en la legislación, de suerte que puede afirmarse que existe un sistema de control compartido.
No obstante, los Tribunales gozan de absoluta primacía en cuanto a la interpretación genérica de las normas de protección de datos ya que la potestad de interpretación de la ley les corresponde a ellos en última instancia, sin perjuicio de la labor de supervisión en la aplicación de la normativa vigente que desarrolla la Agencia Española de Protección de Datos.
También corresponde a los Tribunales enjuiciar la actividad que la correspondiente autoridad de control lleva a cabo en materia de protección de datos, así como determinar las indemnizaciones que correspondan a los interesados en caso de que el responsable o encargado del tratamiento incumpla lo dispuesto en la normativa protectora. En este sentido las resoluciones dictadas por el Director de la Agencia Española de Protección de Datos son susceptibles de ser impugnadas ante los tribunales administrativos españoles (Sala de lo Contencioso-Administrativo de la Audiencia Nacional y del Tribunal Supremo).
No obstante, la potestad sancionadora por razón de infracciones en materia de protección de datos de carácter personal le corresponde a la Autoridad de Control, potestad que alcanza en principio a cualquier institución u organismo público, sin que en la Ley 15/1999 -EDL 1999/63731- se exceptúe a la Administración de Justicia. Ello ha dado lugar a que la Agencia Española de Protección de Datos haya realizado en los últimos años diversas intervenciones en el mundo judicial, llegando en alguna ocasión a declarar la infracción de un órgano judicial.
Precisamente este es el caso que abordó la STS de 2 diciembre 2011 -EDJ 2011/298364- que vamos a comentar.
III. La STS de 2 diciembre 2011, Sala 3ª, sec. 6ª, rec. 2706/2008 -EDJ 2011/298364-
El recurrente era un Juez. El asunto que se examinó había sido juzgado previamente en la Sala de lo Contencioso-Administrativo de la Audiencia Nacional -EDJ 2008/18877-. , titular de un Juzgado de lo Contencioso-Administrativo, órgano judicial al que la Agencia Española de Protección de Datos había declarado responsable de una infracción de la normativa de protección de datos por haber facilitado el Juez determinada información personal relativa a la salud de los funcionarios que prestaban servicio en el Juzgado a otros organismos públicos, cesión de información para la que aparentemente no estaba autorizado.
Debemos dejar constancia, para el que desconozca la legislación en materia de protección de datos, que la declaración de infracción de una Administración Pública no conlleva la imposición de una sanción pues el art. 46 LOPD -EDL 1999/63731- refiere que cuando las infracciones del régimen de protección de datos fuesen cometidas en ficheros de los que sean responsables las Administraciones Públicas, el Director de la Agencia Española de Protección de Datos dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción, pudiendo proponer la iniciación de actuaciones disciplinarias, si procedieran, que serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones Públicas, debiéndose comunicar a la Agencia las resoluciones que recaigan en relación con las medidas y actuaciones propuestas.
La Audiencia Nacional rechazó el alegato del Juez, quien en su recurso negaba, entre otros extremos, competencia a la Agencia Española de Protección de Datos para declarar la infracción del Juzgado, y consideró correcta la resolución que había dictado la Autoridad de Control.
Por su parte, el Consejo General del Poder Judicial, conocedor del asunto, se mantuvo al margen.
El Juez en su recurso de casación cuestionó, entre otros motivos de impugnación, la legitimación de la Agencia Española de Protección de Datos no solo para investigar y enjuiciar la conducta de un juez en el legítimo desempeño de sus funciones, sino también para dirigirle intimidaciones o requerimientos de cualquier género a un órgano judicial, incluido por supuesto la declaración de infracción en relación con alguna de sus actividades aunque fueran gubernativas.
Considera la Sentencia de 2 diciembre 2011 -EDJ 2011/298364- que este motivo es central en el recurso y dedica la mayor parte de su fundamentación a analizarlo.
Al efecto, comienza ponderando la importancia de las Autoridades de Control en materia de protección de datos en los términos que antes hemos expresado, así como su reconocimiento en la normativa europea:
«En definitiva, en el sistema jurídico europeo de protección de datos de carácter personal la existencia de la denominada Autoridad de Control cumple una función esencial e indisociable al propio sistema jurídico para la plenitud del reconocimiento y tutela del derecho fundamental, función que se reitera y expresa además con claridad meridiana en el Considerando 2 del Reglamento (CE) nº 45/2001, del Parlamento y del Consejo de 18 diciembre 2000, por el que se crea la figura del Supervisor Europeo de Protección de Datos -EDL 2000/90464- en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios, al señalar que: «Un sistema completo de protección de datos personales no requiere únicamente establecer los derechos de las personas cuyos datos se tratan y las obligaciones de quienes tratan dichos datos personales, sino también unas sanciones apropiadas para los infractores y un organismo supervisor independiente».
El ordenamiento jurídico español, en gran medida tributario del Derecho Comunitario en este campo, comparte plenamente esta concepción incluso desde la LORTAD como ya hemos visto. La vigente Ley 15/1999, de 13 diciembre, de Protección de Datos de Carácter Personal (LOPD) se refiere en su art. 35 -EDL 1999/63731- a la Agencia de Protección de Datos como ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones tuitivas del sistema legal de protección de datos y sancionadoras.
La singularidad de esa función tuitiva, previa a la tutela judicial, como justificante esencial de su propia existencia, ya fue destacada por el Tribunal Constitucional en la STC 290/2000, de 30 noviembre -EDJ 2000/40918-, en el fundamento noveno:
«9. Por último, de lo que se acaba de exponer se desprende un rasgo significativo de la Agencia de Protección de Datos: el carácter básicamente preventivo de sus funciones en orden a la protección de datos personales. Un rasgo caracterizador que es común a las instituciones especializadas existentes en los países de nuestro entorno y al que ha hecho referencia la Exposición de Motivos de la LORTAD -EDL 1999/63731- al afirmar que esta disposición está guiada «por la idea de implantar mecanismos cautelares que prevengan las violaciones» de los derechos fundamentales. En efecto, al dar cumplimiento al mandato contenido en el art. 18,4 CE -EDL 1978/3879-, el legislador, sin excluir en modo alguno el recurso último a los órganos jurisdiccionales para la tutela de los derechos individuales, como se determina en los apdos. 2 a 5 del art. 17 LORTAD, no ha querido sin embargo que la protección de datos personales frente al uso de la informática se lleve a cabo exclusivamente en la vía judicial, esto es, cuando ya se ha producido una lesión del derecho fundamental. Por el contrario, ha querido que dicha protección se lleve a cabo mediante el ejercicio por la Agencia de Protección de Datos, con carácter básicamente preventivo, de las funciones de control de los ficheros tanto de titularidad pública como privada que la LORTAD le atribuye y, en su caso, a través de las reclamaciones de los afectados ante la Agencia de Protección de Datos (art. 17,1), las que provocarán la posterior actuación de este órgano. Por lo que cabe estimar que existe una correspondencia entre las funciones y potestades que la LORTAD ha atribuido a la Agencia de Protección de Datos y el carácter preventivo de sus actuaciones. Pues es este carácter tuitivo o preventivo el que, en última instancia, justifica la atribución de tales funciones y potestades a la Agencia de Protección de Datos para asegurar, mediante su ejercicio, que serán respetados tanto los límites al uso de la informática como la salvaguardia del derecho fundamental a la protección de datos personales en relación con todos los ficheros, ya sea de titularidad pública o privada».
Acción tutelar en la que se incluyen todas aquellas actividades desarrolladas por este organismo público encaminadas a garantizar los derechos reconocidos en la Ley y el buen funcionamiento de todo el sistema legal de protección de datos: amparar el ejercicio de los derechos de información, acceso, rectificación, oposición y cancelación de datos; emitir autorizaciones; atender peticiones y reclamaciones formuladas por las personas afectadas; proporcionar información a las personas acerca de sus derechos en materia de tratamientos de los datos de carácter personal; recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria para el desempeño de sus funciones; velar por la publicidad de la existencia de los ficheros de datos de carácter personal, etc…, acción tutelar que se complementa con el ejercicio de potestades correctoras y sancionadoras.»
Tras este reconocimiento, la Sentencia recuerda que la Agencia Española de Protección de Datos no deja de ser una Administración Pública que se inserta dentro del poder ejecutivo, conclusión que extrae del sistema de nombramiento y separación de su Director contemplado en la Ley Orgánica de Protección de Datos de Carácter Personal -EDL 1999/63731- (nombramiento por el Gobierno, a propuesta del Ministro de Justicia) y del régimen jurídico de sus actos (sujeta su actuación a la Ley 30/1992, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común -EDL 1992/17271-), y que como tal Administración es titular de importantes potestades de intervención: Puede declarar respecto de los ficheros públicos no solo la existencia de una infracción sino también la imposición de correcciones e incluso de promover responsabilidad disciplinaria de los funcionarios públicos que aparezcan como responsables de la infracción; puede inspeccionar los ficheros públicos y recabar cuantas informaciones precise para el cumplimiento de su cometido, pudiendo solicitar al efecto la exhibición o envío de documentos y datos o examinarlos en el lugar en que se encuentran depositados, así como inspeccionar los equipos físicos o logísticos utilizados en el tratamiento de datos, accediendo a los locales donde se hallen instalados. También puede en el ejercicio de esas funciones requerir a los responsables y los encargados del tratamiento la adopción de las medidas que estime necesarias para la adecuación de los tratamientos de datos a las disposiciones de la LOPD y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones (art. 37,1,f) LOPD).
A continuación la Sala se pregunta si esas potestades tuitivas, de intervención y correctoras que la LOPD -EDL 1999/63731- reconoce genéricamente a la Agencia en relación con las Administraciones Públicas, pueden tener como destinatarios los Juzgados y Tribunales, identificando a éstos con una Administración Pública a la que debe controlar.
Su respuesta es la siguiente:
«La Constitución española ha establecido en su artículo 122 -EDL 1978/3879- un órgano -el Consejo General del Poder Judicial- que tiene atribuido entre otros fines la defensa de la posición de independencia de Jueces y Magistrados que aparece proclamada en la propia norma constitucional y en la Ley Orgánica del Poder Judicial -EDL 1985/8754-. Esta garantía presenta dos planos claramente diferenciados. Por un lado, está dirigida a preservar a Jueces y Magistrados de toda interferencia ajena, especialmente las procedentes de otros poderes del Estado, en cuanto titulares de la potestad jurisdiccional, por razón de que el ejercicio de dicha potestad de juzgar y hacer ejecutar lo juzgado solo puede controlarse a través de los recursos establecidos por las leyes. El segundo plano que ofrece se refiere a la actividad no jurisdiccional de Jueces y Magistrados, a aquella que realizan en virtud de una relación de servicio que les sujeta a un determinado estatuto profesional. El control de esta actividad también está reservado con carácter exclusivo al Consejo General del Poder Judicial pues también la Constitución española así lo ha querido en su Título VI al configurar a dicho Consejo como específico órgano de gobierno del Poder Judicial, desapoderando al poder ejecutivo de esta tarea.
La Ley Orgánica del Poder Judicial expresa estos mismos principios constitucionales en su art. 104 -EDL 1985/8754- que señala que: «El Poder Judicial se organiza y ejerce sus funciones con arreglo a los principios de unidad e independencia. El Gobierno del Poder Judicial corresponde al Consejo General del Poder Judicial, que ejerce sus competencias en todo el territorio nacional, de acuerdo con la Constitución -EDL 1978/3879- y lo previsto en la presente ley».
Nótese que estos principios de unidad e independencia no solo se predican del ejercicio de las funciones propias del Poder Judicial, principalmente el ejercicio de la potestad jurisdiccional, sino también de su organización, hasta el punto de que la Ley Orgánica del Poder Judicial -EDL 1985/8754- consagra en su texto la inmunidad judicial como garantía de su independencia (arts. 398 a 400), ordenando específicamente (art. 399,1) a las autoridades civiles y militares que se abstengan de intimar a los Jueces y Magistrados.
Pues bien, estos enunciados forman un marco de referencia en el que hemos de movernos para el desarrollo de nuestro razonamiento sobre la cuestión litigiosa, atendida la nula atención que la LOPD-EDL 1999/63731- dedica a los ficheros judiciales y lo escueto de la referencia contenida en la LOPJ -EDL 1985/8754-.
La Ley Orgánica del Poder Judicial -EDL 1985/8754– dedica fundamentalmente un precepto a la protección de datos de carácter personal. Se trata del art. 230, ubicado en el Título III («De las actuaciones judiciales») del Libro III, que habilita en su apartado primero a Juzgados y Tribunales a utilizar cualesquiera medios técnicos, electrónicos, informáticos y telemáticos, para el desarrollo de su actividad y ejercicio de sus funciones, con sujeción a la normativa de protección de datos. En dicho precepto se establece además el deber de salvaguardar en todo momento la confidencialidad, privacidad y seguridad de los datos de carácter personal contenidos en los ficheros judiciales. Estos deberes jurídicos, cuyos principales destinatarios son los propios Jueces y Magistrados, resultan obligados desde el reconocimiento de la protección de datos personales como derecho fundamental de la persona en la STC 292/2000 -EDJ 2000/40918- e inciden en la actuación de los Tribunales de muy diversas maneras, máxime si se tiene en cuenta que la legislación española y europea en general contiene una amplísima definición de lo que se entiende por dato personal (cualquier información concerniente a personas físicas identificadas o identificables). En definitiva, los datos de carácter personal forman parte consustancial de la actividad jurisdiccional, sirven de base para el funcionamiento de determinados ficheros judiciales y otros registros públicos de uso judicial y permiten llevar a cabo diligencias fundamentales para la investigación criminal, lo que plantea situaciones especialmente complejas, dado que pueden verse afectados otros derechos fundamentales, como sucede por ejemplo, en el acceso a los datos de tráfico en las comunicaciones electrónicas, a ficheros policiales o a la historia clínica. En todos estos supuestos, las posibilidades de actuación judicial en relación con los datos personales son ciertamente amplias, de ahí que tenga especial sentido el mandato de confidencialidad, privacidad y seguridad contenido en el art. 230 LOPJ.
Pero este precepto orgánico no se limita a ser simple recordatorio de los principios que deben regir la actividad de Jueces y Magistrados en virtud del derecho fundamental a la protección de datos. Hace algo más, apodera al Consejo General del Poder Judicial para dictar un Reglamento en el que se determinarán los requisitos y demás condiciones que afectan al establecimiento y gestión de los ficheros automatizados que se encuentren bajo responsabilidad de los órganos judiciales de forma que se asegure el cumplimiento de las garantías y derechos establecidos en la legislación de protección de datos de carácter personal. Este apoderamiento aparece además reiterado en el art. 107,10, inciso segundo, de la LOPJ -EDL 1985/8754-, con la finalidad de asegurar también el cumplimiento de la legislación en materia de protección de datos personales en la elaboración de libros electrónicos de sentencias, recopilación de las mismas, su tratamiento, difusión y certificación, para velar por su integridad, autenticidad y acceso. Serán estas normas jurídicas reglamentarias dictadas por el CGPJ en virtud de los apoderamientos contenidos en el art. 230 y 107,10 LOPJ las que modularán y adaptarán el sistema de protección al ámbito judicial, introduciendo mecanismos de garantía específicos y fijando la extensión y límites de los derechos propios de este sistema jurídico -acceso, rectificación, cancelación, etc…- que la legislación general (LOPD -EDL 1999/63731-) reconoce a los afectados, es decir a todas aquellas persona físicas que sean titulares de los datos que sean objeto de tratamiento en el ámbito de la Administración de Justicia. Es pues el Consejo General del Poder Judicial al que la LOPJ encarga de la función tuitiva en esta materia no solo por razón del apoderamiento reglamentario al que el art. 230 hace referencia, sino también por tener atribuidas con carácter exclusivo las potestades precisas para el necesario control de la observancia de derechos y garantías, pues solo al órgano de gobierno judicial corresponde la inspección de Juzgados y Tribunales (art. 107,3 LOPJ).
Además, en línea con lo que estamos exponiendo, el contenido del art. 230 -EDL 1985/8754- cobra pleno sentido si tenemos en cuenta que cuando fue incorporado el precepto en su redacción actual a la LOPJ por la LO 16/1994, de 8 noviembre -EDL 1994/18180-, la norma que estaba vigente en materia de protección de datos era la LO 5/1992, de 29 octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (vigente hasta el 14 de enero de 2000) -EDL 1992/16927-, norma que excluía directamente en su Disposición Adicional Primera la aplicación de los Títulos dedicados a la Agencia de Protección de Datos y a las Infracciones y Sanciones respecto de los ficheros automatizados de los que eran titulares las Cortes Generales, el Defensor del Pueblo, el Tribunal de Cuentas, el Consejo General del Poder Judicial y el Tribunal Constitucional, exclusión que se justificaba no solo en el hecho de que se trate de órganos constitucionales diferenciados del Gobierno y de la Administración sino también porque, como poderes del Estado, gozan de una garantía constitucional de independencia respecto del poder ejecutivo, poder público en el que, como ya dijimos, se enmarca orgánica y funcionalmente la Agencia Española de Protección de Datos, aunque lo sea con un estatuto de independencia de su Director respecto del Gobierno. Además, por lo que se refiere en concreto al Consejo General del Poder Judicial y a su ámbito de gobierno, la exclusión del poder de decisión de la Agencia se justificaba entonces -y ahora- por una razón añadida a la ya expuesta, aunque nada se diga en la vigente LOPD -EDL 1999/63731-, y es que tiene singularmente reconocida la función tutelar en materia de protección de datos de carácter personal en relación con los ficheros judiciales por formar parte de su ámbito de gobierno interno, función que se justifica en la necesidad de preservar los principios de unidad e independencia de la organización judicial a que se refiere el art. 104 LOPJ y que impide cualquier tipo de intromisión o injerencia por parte de una autoridad administrativa.
La existencia de estas limitaciones a las potestades de la Agencia Española de Protección de Datos por razón de la específica naturaleza de órgano susceptible de supervisión no es incompatible con el sistema europeo de protección recogido en la Directiva 95/46/CE, del Parlamento y del Consejo, de 24 octubre 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos -EDL 1995/16021-, pues ninguno de sus preceptos obliga a la existencia en cada Estado miembro de una sola Autoridad de Control que monopolice o concentre esta función, encargándose la propia LOPD -EDL 1999/63731-, que transpone la Directiva, de desmentir todo pretendido monopolio de la Agencia al prever en su texto (art. 41) la coexistencia de varias de ellas en territorio nacional (la estatal y las autonómicas) para supervisar a las propias Administraciones Públicas.
Sirva de complemento argumental a lo que llevamos dicho hasta ahora el propio sistema europeo de supervisión en materia de protección de datos de carácter personal en las instituciones comunitarias. El Reglamento (CE) nº 45/2001, del Parlamento Europeo y del Consejo por el que se crea el Supervisor Europeo de Protección de Datos, al regular sus funciones, establece en el art. 46 -EDL 2000/90464- que le corresponde supervisar y asegurar la aplicación del Reglamento y de cualquier otro acto comunitario relacionado con la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de una institución u organismo comunitario, con excepción del Tribunal de Justicia de las Comunidades Europeas cuando actúe en el ejercicio de sus funciones jurisdiccionales.
El propio Consejo General del Poder Judicial, con posterioridad a la LOPD -EDL 1999/63731-, ha ratificado su competencia en esta materia en virtud del apoderamiento del art. 230 LOPJ -EDL 1985/8754- al aprobar el Reglamento 1/2005, de 15 septiembre, de los Aspectos Accesorios de las Actuaciones Judiciales -EDL 2005/135677-. Este Reglamento dedica su Título V, en desarrollo del art. 230 LOPJ, a regular el establecimiento y gestión de los ficheros automatizados bajo responsabilidad de los órganos judiciales, comprendiendo tanto los ficheros de datos automatizados de carácter personal dependientes de los Juzgados y Tribunales como los del Consejo General del Poder Judicial, e incluyendo también en su ámbito tanto los ficheros jurisdiccionales (aquellos que incorporan datos de carácter personal que deriven de actuaciones jurisdiccionales), como los ficheros no jurisdiccionales o gubernativos (aquellos que incorporan datos de carácter personal que deriven de los procedimientos gubernativos así como los que, con arreglo a las normas administrativas aplicables, sean definitorios de la relación funcionarial o laboral de las personas destinadas en tales órganos y de las situaciones e incidencias que en ella acontezcan) y a todos ellos sitúa bajo el control del Consejo General del Poder Judicial con sujeción a un régimen específico de tutela ante los órganos de gobierno interno, mediante la articulación del correspondiente sistema de reclamaciones y recursos, en cuanto al ejercicio de los derechos de acceso, rectificación y cancelación. Régimen de protección del que es ajeno la Agencia Española de Protección de Datos, a la que no se reconoce facultades de intervención, correspondiendo éstas a los órganos de gobierno judicial.»
Tras estos razonamientos concluye la Sentencia declarando que las funciones desarrolladas por la Agencia en relación con el Juzgado de lo Contencioso-Administrativo habían sobrepasado los límites establecidos en la Ley Orgánica del Poder Judicial -EDL 1985/8754- para garantizar la inmunidad judicial y asegurar su independencia, por lo que el referido organismo público carecía de competencia para realizar la declaración de infracción.
En definitiva, la supervisión en materia de protección de datos en relación con Juzgados y Tribunales corresponde en exclusiva al Consejo General del Poder Judicial, salvo que la afección del derecho se produzca en una actuación jurisdiccional en cuyo caso solo podrá ser corregida vía de recurso.
Artículo publicado en la «Revista de Jurisprudencia julio 2012.
Autor: Carlos Lesme Serrano. Presidente del Consejo General Poder Judicial y del Tribunal Supremo