Los denunciantes no pueden recurrir las resoluciones de la Agencia Española de Protección de Datos

El Tribunal Supremo ha determinado que los denunciantes carecen de legitimación activa para recurrir en vía jurisdiccional las resoluciones de la Agencia Española de Protección de Datos al carecer de la condición de “interesado” en el procedimiento sancionador, incluso cuando se considere a sí mismo víctima de la infracción denunciada.

Establece el Tribunal Supremo en Sentencia de 6 de octubre de 2009 que: “quien denuncia hechos que considera constitutivos de infracción de la legislación de protección de datos carece de legitimación activa para impugnar en vía jurisdiccional lo que resuelva la Agencia”. Con este pronunciamiento tenemos ya tres en el mismo sentido (Sentencias de 6 de noviembre de 2007 y 10 de diciembre de 2008) por lo que ya podemos hablar técnicamente de jurisprudencia en lo que se refiere a este asunto.

La Sentencia resuelve un recurso de casación planteado por una empresa denunciada en 2003 por posible vulneración de la Ley Orgánica de Protección de Datos. En un primer momento, la Agencia Española de Protección de Datos (AEPD) entendió que no existían motivos suficientes para imponer sanción alguna a la empresa denunciada. Pero sin embargo los denunciantes recurrieron a la Audiencia Nacional y consiguieron un pronunciamiento favorable a sus pretensiones, en el que la Audiencia Nacional ordenaba a la AEPD un nuevo pronunciamiento valorando la culpabilidad de la empresa denunciada.

El Tribunal Supremo sin embargo entiende que el denunciante, en el procedimiento sacionador sobre protección de datos, carece de legitimación activa para promover recurso jurisdiccional alguno (en este caso el recurso que planteó ante la Audiencia Nacional).

La razón es que el denunciante carece de la condición de interesado en el procedimiento sancionador; ni la Ley Orgánica de Protección de Datos ni su Reglamento de desarrollo le reconocen tal condición.
El denunciante, incluso cuando se considere víctima de la infracción denunciada no tiene un derecho subjetivo ni un interés legítimo a que el denunciado sea sancionado. El poder punitivo pertenece únicamente a la Administración que tiene encomendada la correspondiente potestad sancionadora y por tanto sólo dicha Administración tiene un interés tutelado por el ordenamiento jurídico en que el infractor sea sancionado.

Es más, aduce el Tribunal Supremo que:

“aceptar la legitimación activa del denunciante no sólo conduciría a sostener que ostenta un interés que el ordenamiento jurídico no le reconoce ni protege, sino  que llevaría también a transformar a los tribunales contencioso-administrativos en una especie de órganos de apelación en materia sancionadora. Esto último supondría dar por bueno que pueden imponer las sanciones administrativas que no impuso la Administración, lo que chocaría con el llamado “carácter revisor” de la jurisdicción contencioso-administrativo. En otras palabras, los tribunales contencioso-administrativos pueden y deben controlar la legalidad de los actos administrativos en materia sancionadora; pero no pueden sustituirse a la Administración en el ejercicio de las potestades sancionadoras que la ley encomienda a aquélla.

Eso sí, por último, el Tribunal matiza que el denunciante de una infracción de la legislación de protección de datos carece de legitimación activa para impugnar la resolución de la AEPD en lo que concierne al resultado sancionador mismo (imposición de una sanción, cuantía de la misma, etc.); pero, llegado el caso, puede tener legitimación activa con respecto a aspectos de la resolución distintos del específicamente sancionador siempre que, por supuesto, pueda mostrar algún genuino interés digno de tutela.

La Sentencia del Supremo mencionada se puede descargar desde aquí.

15 comentarios en “Los denunciantes no pueden recurrir las resoluciones de la Agencia Española de Protección de Datos”

  1. Hola,

    yo coincido con el sentido de la Sentencia, dado que la Ley deja bien claro que una denuncia no implica para nada un procedimiento iniciado a instancias del interesado, sino de oficio. Otro tema es que queramos retorcer un poco el concepto para intentar englobar actuaciones que la Ley en realidad no permite en el ámbito estrictamente técnico (aunque intenta a veces explicar eso a una persona no lega en la materia jeje)

    Un saludo

    Responder
  2. Entiendo que la jurisprudencia habida resulta coherente. Un ciudadano no puede sre parte en un procedimiento administrativo iniciado de oficio.

    Si el denunciante se considera perjudicado por el denunciado, creo que lo procede es una acción civil en reclamación de daños y perjuicios.

    Responder
  3. Hola:

    La sentencia es coherente, lo que a mí no me gusta es que las lesiones a un derecho queden impunes y que quien lo haya sufrido no pueda ser parte en el procedimiento. En este caso se incia por denuncia del interesado.

    La LOPD podría, al menos en el caso de vulneraciones por parte de adminsitraciones públicas, poner indemnizaciones a los perjudicados, si al final se lesiona un derecho debería existir la posibilidad de que el perjudicado defienda la existencia de la lesión.

    Un saludo.

    Responder
  4. Supongo que si una administración incumple la normativa en materia de protección de datos y de ello se deduce un daño o lesión para el interesado siempre podrá instarse un procedimiento de responsabilidad patrimonial de la administración.

    Por otra parte, si el interesado considera que la Administración que no ha funcionado correctamente es la AEPD, ¿no podría igualmente reclamar esta responsabilidad patrimonial de la admón.?

    Os he descubierto hoy y no pienso abandonaros ya 🙂

    Saludos

    Responder
  5. Estupenda sentencia. Con ella los tribunales se quitan de encima una responsabilidad y a la Agencia le cae la loteria. En adelante podrá considerar parte al interesado o no, y dejar que se persone o no en el sancionador. Por otra parte, se pierde la posibilidad de control del interesado sobre las propias acciones de la Agencia. Lastima por esa parte, mas margen de discrecionalidad para la Agencia.

    Pero, resulta que hasta ahora la Agencia venia investigando únicamente el hecho denunciado, no iba más allá. Con esta sentencia creo que nace la obligación de la Agencia de investigar no solo el hecho denunciado, sino si el hecho constituye práctica habitual, y en que grado, teniendo con ello que ponderar las sanciones en virtud de la frecuencia de la práctica. Y con ello voy a algo mas concreto, por ejemplo las prácticas de spam, ya sea de e-mail o de sms. En adelante la Agencia, en los casos que una sola persona denuncia un caso de smap, debería investigar no solo la licitud del mensaje enviado al denunciante, sino de la totalidad de los mensajes, y sancionar en consecuencia. Veremos que hace la Agencia, pero me temo que no dará ese paso. Lástima.

    Responder
  6. Muy interesante y clarificador, tanto el artículo como todos los comentarios… incluso para alguien no lego, pero interesado, en la materia. 😉
    Gracias.
    Rafael

    Responder
  7. Interesante es la sentencia y de acuerdo estoy con que la AGPD, por si ya no lo era, se convierte en el soberano y dios, con potestad de cambiar vidas y rumbos de particulares, empresas……pero no comparto esa sentencia. Habrá siempre legitimación del denunciante – víctima, en tanto en cuanto podrá reclamar daños y perjuicios (indemnización del Art.19 LOPD) por lo civil, vía LO1/1982 o por resp. de las AAPP. Una resolución de archivo de la AGPD prácticamente te cierra las puertas a dicha reclamación. Dile a un juez de la jurisdicción civil que juzgue si hay o no una vulneración de la LOPD que sea objeto de indemnización con una resolución de archivo……. Ahora bien, los “profesionales de los datosâ€? que chantajean a cambio consentimientos post infracción etc… irán desapareciendo.

    Slds,

    Responder
  8. hola a todos,
    estoy con Borja, pues yo no estoy tan de acuerdo con la sentencia. Para mi los procedimientos iniciados de oficio, son aquellos en los que no existe denuncia. Y creo que todo interesado (denunciante) tiene derecho a reclamar en una instancia superior. Si el denunciante no tiene legitimacion para recurrir, alguien me puede decir quién recurrirá? si la AEPD resuelve en contra del denunciado, está claro que el denunciado recurrirá. Pero si la AEPD resuelve en contra del denunciante…. en mi opinión no es justo, y no hay igualdad de armas. En fin….un saludo, María

    Responder
  9. El denunciante no es siempre afectado. Ejemplo: encuentro una documentación en la basura. Denuncio, pero mis datos no están entre los depositados en la basura, luego no soy parte, pues no soy afectado.

    Responder
  10. Desearia que me informaráis de los pasos que debo seguir para que no salgan los datos de mi marido, ya que sale hasta el nº de telefono en las páginas, cuando él no ha dado a nadie permiso.
    Grácias

    Responder
  11. Que la condición de denunciante no confiere per se legitimación no es nada novedoso. Lo novedoso es reunir alguna cualidad más que permita entender presente la legitimación, como cuando se es afectado. Me permito copiar de un tema particular que terminó en el TS con doctrina contraria a la que aquí se destaca -quizás las concretas circunstancias lleven a tal solución potencialmente contraria al 24 CE-:

    “Por último, la STS de 3 de junio  de 1998, para un caso que guarda cierta analogía con el de autos, sostiene que existe legitimación: “perjudicada por una determinada conducta de una empresa turística, de tal forma que la resolución que se dicte en el expediente le va a afectar, por la repercusíón que pudiera producir en el litigio en el que se ventila una posible responsabilidad civil de dicha empresa, en orden a la constatación o no de la realidad de los hechos que la determinan. Por eso no se le puede considerar como simple denunciante, a los efectos de denegar  su legitimaciónâ€?. Aplicando la precedente doctrina al caso de autos, entendemos que la recurrente está legitimada, pues la actuación del responsable del fichero, pudiera -tal extremo es el que se discute- haber lesionado los derechos cuya protección pretende la Ley Orgánica 5/1982, lo que podría traducirse en la existencia de una reclamación de responsabilidad a la entidad -art 17.3 de la Ley-. De hecho el art. 18 y 19.7 deI RD 428/1993, utiliza el término “afectadoâ€?, claro indicador de que el denunciante en este tipo de procesos es titular de un interés en la medida en que la conducta denunciada supone una afección o lesión de los bienes jurídicos de los que es titular y la Ley protege…

    Responder
  12. HOLA SEÑOR PARRA;
    ME GUSTARÃ?A PODER HACERLE UNA PREGUNTA.
    POR LO QUE HE LEÃ?DO MAS MENOS LA PERSONA EN CUESTIÓN DENUNCIANTE NO SUELE TENER BENEFICIO EN EL TRANSCURSO DE DENUNCIA MEDIANTE LA LEY DE PROTECCIÓN DE DATOS.
    PERO SI SOY GRABADO POR UNA EMPRESA A PIE DE CALLE SIN MI CONSENTIMIENTO Y SE HA VULNERADO MI DERECHO A LA INTIMIDAD?
    QUE DEBO HACER, SERÃ?A COMPENSADO POR TAL ACCIÓN?
    GRACIAS DE ANTEMANO.

    Samuel Parra: Entiendo que la jurisprudencia habida resulta coherente. Un ciudadano no puede sre parte en un procedimiento administrativo iniciado de oficio.

    Si el denunciante se considera perjudicado por el denunciado, creo que lo procede es una acción civil en reclamación de daños y perjuicios

    Samuel Parra: Sí Marisa, la AEPD es una Administración Pública y por tanto se le puede exigir también daños y perjuicios de haberse irrogado alguno.Y bienvenida !!!  

    Responder

Deja un comentario