Seguimos hablando de centros docentes, al hilo del último artículo sobre acoso docente que dejo enlazado aquí.
El caso de hoy fue resuelto por la Audiencia Nacional, Sala de lo Contencioso–Administrativo, Sección 1ª, Sentencia 4463/2023, de 15 de septiembre (Rec. 2190/2021).
El caso
El 17 de mayo de 2021 la madre de un niño de 6 años presenta una reclamación ante la AEPD contra el centro educativo por vulneración de los artículos 5.1.f y 32 del RGPD. En la reclamación refiere que la profesora de su hijo le remitió un correo electrónico en el que se trataban asuntos vinculados con el comportamiento del menor en clase. La profesora, por error, puso en copia a otras 117 direcciones de correo electrónico, figurando el nombre de todos los destinatarios.
Con carácter previo a la admisión a trámite de la reclamación, la AEPD dio traslado de la reclamación al centro para que informara de lo sucedido en el plazo de un mes.
El centro respondió que, a consecuencia de un error humano, se produjo una brecha de seguridad en relación a los datos personales contenidos en el mensaje del correo electrónico, pero que, de forma inmediata, la profesora se puso en contacto por teléfono con los destinatarios que, por error, habían recibido el correo electrónico, pidiendo disculpas, explicando lo sucedido y requiriendo la eliminación del mensaje. La profesora intentó contactar con la madre, en varias ocasiones, por vía telefónica. Ante la imposibilidad de contactar con ella le mandó un correo electrónico pidiéndole disculpas.
Junto con las alegaciones, el centro presentó una copia de la evaluación de impacto en la privacidad de expedientes académicos, el registro de la actividad de gestión de expedientes académicos y de gestión de clientes (padres y titulares de la patria potestad de los alumnos).
Sobre la notificación de la violación de seguridad a la autoridad de control, la evaluación del posible impacto que podría generar en los afectados la brecha de seguridad acaecida arrojó una probabilidad residual y su impacto, de generarse, sería mínimo o muy limitado. En consecuencia, no se notificó el incidente a la AEPD.
Sobre las medidas a adoptar, el centro alega que se revisaron los protocolos y se adoptaron nuevas medidas para minimizar el riesgo de que pueda volver a suceder un caso similar.
La AEPD no admitió a trámite la reclamación de la madre, a pesar de reconocer que el incidente podría tener impacto en la reputación del afectado, si bien, señala que «el hecho de que la información filtrada sea, no solo pública y conocida por todo el entorno del afectado (sus compañeros), sino que el comportamiento que revela sea propio de un niño de esa edad (6 años), disminuyen fehacientemente la posibilidad de que se materialice un daño reputacional con impacto significativo en el afectado».
Recurso ante la Audiencia Nacional
La madre recurrió ante la Audiencia Nacional, argumentando que en el correo electrónico se desveló un dato sensible, concretamente, de salud del menor, asociado al trastorno que padece y que es la causa de su comportamiento. La madre también alegó que, tras el incidente, el menor sufrió daños psicológicos y emocionales y un descenso del rendimiento escolar por la situación de hostigamiento a la que se vio sometido, que provocó un cambio de colegio y la necesidad de asistir a psicólogos. En su demanda solicita que se incoe el correspondiente procedimiento sancionador y que se determinen la compensación por los daños y perjuicios sufridos por el menor.
El Abogado del Estado en defensa de la AEPD se opuso a la demanda, alegando falta de legitimación activa y, en caso admitirse, de manera subsidiaria, se declare que no existió vulneración del RGPD por parte del centro, que también se opuso a la demanda.
Falta de legitimación activa
Espero que no se pierdan con la explicación que viene, a continuación, pero la creo importante para que entiendan que no siempre podemos acudir a los tribunales de justicia.
El artículo 19.1.a) de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso–administrativa dice que: «Están legitimados ante el orden jurisdiccional contencioso-administrativo: las personas físicas o jurídicas que ostenten un derecho o interés legítimo».
En el ámbito de la protección de datos personales, cabe citar la sentencia del Tribunal Supremo, Sala Tercera, de lo Contencioso-administrativo, Sección 6ª, de 6 de octubre de 2009 (rec. 4712/2005) que establece que «quien denuncia hechos que considera constitutivos de infracción de la legislación de protección de datos carece de legitimación activa para impugnar en vía jurisdiccional lo que resuelva la Agencia. Así se desprende de las sentencias de esta Sala de 6 de noviembre de 2007 y, con mayor nitidez aún, de 10 de diciembre de 2008», tras lo cual añade que «el argumento crucial en esta materia es que el denunciante, incluso cuando se considere a sí mismo “víctima” de la infracción denunciada, no tiene un derecho subjetivo ni un interés legítimo a que el denunciado sea sancionado».
El Tribunal Supremo, Sala Tercera, de lo Contencioso-administrativo, Sección 5ª, en la sentencia de 5 de febrero de 2018 (rec. 2029/2016) establece que «la pretensión de la defensa de la legalidad –al margen de su regulación en el ámbito del derecho penal– requiere, en el ámbito que nos ocupa del derecho administrativo, de una específica y concreta habilitación que no se percibe ni se acredita en la materia de la protección de datos de carácter personal, debiendo recordarse que el poder punitivo pertenece únicamente a la Administración, que es quien tiene encomendada la correspondiente potestad sancionadora –en este caso, la AEPD–, y, por consiguiente, sólo la Administración tiene un interés tutelado por el ordenamiento jurídico en que el infractor sea sancionado; lo contrario implicaría sustituir a la Administración en el ejercicio de la potestad sancionadora».
Aceptar la legitimación activa de la ciudadanía implicaría reconocer que ostenta un interés que el ordenamiento jurídico no le reconoce, de forma que los tribunales del orden contencioso-administrativo se convertirían en una especie de órganos de apelación, lo que supondría dar por bueno que pudieran imponer las sanciones administrativas que la autoridad de control no impuso, y es que dicha jurisdicción tiene carácter revisor, o sea, los tribunales se limitan a revisar la legalidad de los actos administrativos, pero no pueden sustituir a la Administración en el ejercicio de las potestades sancionadoras que la ley encomienda a aquella. Espero que se entienda.
Conclusión
Este caso me sirve para explicarles que el reclamante tiene las manos atadas para recurrir ante los tribunales del orden contencioso–administrativo cuando la AEPD decide inadmitir una reclamación en un procedimiento sancionador, aún siendo evidente la infracción.
No se entiende la resolución de la AEPD, más aún cuando se ven afectados los derechos e intereses de un menor y en el mensaje se desvelan un trastorno de salud. La AEPD parece olvidar que ya sancionó con 10.000 € un caso análogo (PS/00322/2020).