Dictamen nº 290/2023
El Consejo Jurídico de la Región de Murcia, en sesión celebrada el día 17 de octubre de 2023, con la asistencia de los señores que al margen se expresa, ha examinado el expediente remitido en petición de consulta por la Ilma. Sra. Secretaria General de la Consejería de Empresa, Economía Social y Autónomos (por delegación de la Excma. Sra. Consejera), mediante oficio registrado el día 17 de abril de 2023 (COMINTER 97439), sobre responsabilidad patrimonial instada por D.ª X, por los daños ocasionados ante la vulneración de sus derechos fundamentales a la protección de datos (exp. 2023_115), aprobando el siguiente Dictamen.
ANTECEDENTES
PRIMERO.- El 15 de noviembre de 2022 tuvo entrada en el registro electrónico del Ministerio de Hacienda y Función Pública, integrado en el sistema SIR, una reclamación de responsabilidad patrimonial presentada por un abogado en nombre y representación de Dª. X, solicitando el resarcimiento de los daños que le había provocado el anormal funcionamiento de la Consejería de Empresa, Empleo, Universidades y Portavocía de la Comunidad Autónoma de la Región de Murcia (CARM), por el tratamiento dado a sus datos personales, recabados para la concesión de una subvención para paliar las pérdidas económicas ocasionadas por la COVID-19.
I. Los hechos por los que reclama tienen su origen en la publicación en el Boletín Oficial de la Región de Murcia (BORM) del día 1 de octubre de 2021, de la Orden de la Consejería de Empresa, Empleo, Universidades y Portavocía (en adelante, la Consejería), de bases reguladoras de subvenciones dirigidas a trabajadores autónomos para paliar las pérdidas económicas ocasionadas por la COVID-19. La interesada se acogió a ellas presentando debidamente cumplimentado el formulario correspondiente a la instancia de acceso a la ayuda, en el que se solicitaba, entre otros datos, el número de cuenta bancaria en la que el beneficiario recibiría la ayuda en caso de serle concedida. Por orden de 29 de diciembre de 2021 le fue concedida una subvención de 2.999 €.
El 12 de enero de 2022 se publicó en la página web de la propia Consejería la citada orden en la que aparecía la interesada en el número 246 de la relación de beneficiarios constitutiva de su anexo II, identificada por su nombre completo, número del expediente, el NIF anonimizado, el importe de la ayuda y el número de cuenta bancaria (IBAN).
Entiende la reclamante que se publicaron datos personales innecesarios y excesivos para la finalidad perseguida, constituyendo esa conducta una vulneración del artículo 5 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD), en relación con el artículo 5 de la Ley Orgánica 2/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPGDP). Centraba esa vulneración en la publicación del código internacional del número de cuenta bancaria (IBAN, según sus siglas en inglés).
La reclamación se extiende a los daños morales producidos por vulneración de sus derechos constitucionales a la protección de datos pues, según la Agencia Española de Protección de Datos (AEPD), basta con que se declare la existencia de la intromisión ilegítima en materia de protección de datos (como en el asunto PS/00384/2020) para que la Administración haya de apreciar la existencia de daño moral.
Consideraba que:
1º. La vulneración de su derecho era imputable a la CARM, única responsable del tratamiento de los datos facilitados, a tenor del artículo 4.7 RGPD y 77 LOPGDP.
2º. Que el número de cuenta bancaria es un dato personal, y así lo había considerado la AEPD (asuntos PS/00123/2021, PS/00126/2021 y PS/00232/2020).
3º. La publicación indebida de datos personales constituye, por sí misma, una lesión, tal como lo ha entendido la propia AEPD, en los casos que mencionaba (PS/00420/2021 y PS/00102/2020), y la Audiencia Nacional en su sentencia 634/2020, de 8 de abril de 2021. De ahí que entienda que “El acceso a los datos de mi reclamante por quién no debe, supone una vulneración de sus derechos incluidos en el artículo 18 CE, agravado por la publicidad del documento y la imposibilidad real de conocer quienes han podido acceder al listado completo de beneficiarios de la ayuda”.
4º. Aunque el artículo 82 RGPD establece el derecho a la indemnización de los daños sufridos por el tratamiento de los datos personales, su cuantía ha de fijarse, según nuestra jurisprudencia, atendiendo a los parámetros de la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen (LODH), concretamente a su artículo 9.3. Y, de acuerdo con la jurisprudencia que cita (STS de 5 de junio de 2014) hay una presunción iuris et de iure, de existencia de perjuicio indemnizable y que, el hecho de que la valoración del daño moral no pueda obtenerse de una prueba objetiva, no excusa ni imposibilita legalmente a los tribunales para fijar su cuantificación.
5º. Concurre la relación de causalidad entre el funcionamiento del servicio y los daños por los que se reclama puesto que el tratamiento de datos personales de la interesada no supera los estándares mínimos de responsabilidad proactiva exigibles a cualquier responsable del tratamiento repercutiendo en sus derechos fundamentales.
6º. La cuantificación de la indemnización ha de hacerse atendiendo a la naturaleza de los daños alegados. “El daño moral -según sentencia de 25-6-1984- es el impacto o sufrimiento psíquico o espiritual producidos en casos como el debatido por agresión directa al acervo extrapatrimonial o de la personalidad, y su reparación no va dirigida a cubrir una pérdida material, sino a producir en la medida de lo humanamente posible una satisfacción como compensación al sufrimiento que se ha causado”. De ahí que haya de cuantificarse atendiendo a los elementos probatorios obrantes en el expediente, tales como:
a) La información expuesta.
b) El número de terceros que han accedido a la información.
c) La cuantía a indemnizar relativa a un dato personal según la jurisprudencia.
Aplicando estos criterios cuantifica la reclamación en 15.000 € más los intereses legales.
II. La presentación de la reclamación fue posterior al pronunciamiento de la AEPD respecto de la que, a su vez, había presentado ante ella el día 21 de marzo de 2022, por la misma causa, dando lugar a la petición de información dirigida a la Consejería por comunicación del 6 de abril siguiente.
El requerimiento fue cumplimentado con un informe de la Dirección General de Economía Social y Trabajo Autónomo, de 29 de abril de 2022. En él se hacía una primera consideración sobre la licitud y pertinencia de los datos publicados, necesarios para la tramitación de las ayudas y, específicamente el del IBAN para hacer efectivo su pago. A ella le seguía una segunda, sobre la adecuación a la LOPD de la forma de identificación de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos, en la que estimaba haber dado cumplimiento a la disposición adicional séptima, aparatado primero, de la LOPGD; se afirmaba no tener constancia de haber producido ninguna consecuencia negativa a las personas afectadas y, finalmente, se reconocía la pertinencia de dar a conocer la cuenta en la que realizar el pago de la subvención para facilitar la información a los beneficiarios, pero conscientes de la necesidad de respetar la protección de d atos exigidos por la LOPGD, se había procedido a la eliminación del dato del IBAN del anuncio que desaparecería íntegramente en cuanto concluyese el procedimiento de reintegro en tramitación.
Recibido el informe, la AEAP comunicó con escrito de 17 de junio de 2023 la inadmisión de la reclamación.
SEGUNDO.- El 12 de enero de 2023 se requirió al abogado para que presentara la reclamación electrónicamente en cumplimiento de lo establecido en el artículo 14.2 de la Ley 39/2015 de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPAC).
En respuesta al mismo, el día 13 siguiente se presentó en el registro electrónico de la CARM la reclamación, acompañada de copia de la escritura de apoderamiento otorgado a favor del abogado (documento no incorporado al expediente remitido)
TERCERO.- El 31 de enero de 2023 se emitió un informe por la Dirección General de Autónomos, Trabajo y Economía Social. Tras la exposición de los antecedentes del asunto se señala en él que, a tenor de lo establecido en las bases 7.3 y 9.3, de las reguladoras de la concesión de ayudas, la resolución de concesión determinaría la cuantía de la subvención, la forma de abono, así como las demás circunstancias exigibles para el cobro de la misma, y otros aspectos. Y que, respecto a la forma de notificación, que la resolución de concesión sería objeto de publicación para general conocimiento en la página web de la Dirección General ((http://www.carm.es/web/pagina?IDCONTENIDO=70047&IDTIPO=100&RASTRO=c818$m22727,66078) en los términos del artículo 45 LPAC, y que la identidad de los beneficiarios, el importe de las ayudas concedidas y de los reintegros solicitados se publicarían en la Base de Datos Nacional de Subvenciones.
Por ello entendía que la publicación efectuada había dado cumplimiento a lo requerido por la normativa aplicable, considerándola lícita y sus datos pertinentes y adecuados a la finalidad pretendida al recabarlos, respetando el artículo 5 RGPD. Se refiere expresamente al dato de la cuenta corriente en los siguientes términos: “La cuenta corriente a la que se hace el ingreso es una “circunstancia exigible para el cobro de la misma” conforme a la convocatoria y bases reguladoras de la subvención. En estos términos, el citado dato es relevante para que el beneficiario conozca el lugar en que se ha hecho efectivo el cobro y detecte posibles incidencias. De hecho de los 1333 abonos realizados, 55 fueron devueltos por bloqueos en cuentas, y 8 por error en la misma, subsanándose de forma correcta”.
Además de lo anterior, se había respetado lo establecido en la disposición adicional séptima de la LOPGDP al disociar los datos y anonimizar el contenido de la resolución de otorgamiento, razones por las que la AEPD había inadmitido la reclamación.
Entendía que no se cumplía el requisito de que el daño fuera efectivo, evaluable económicamente e individualizado respecto de una persona, exigido para apreciar la existencia de responsabilidad patrimonial por el artículo 32 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP), al no haberse acreditado ningún perjuicio, tal como lo entendió la sentencia del Tribunal Supremo de 18 de enero de 2006, de la que reproduce su fundamento jurídico cuarto. Debe tenerse presente, además, que la interesada no comunicó al centro directivo su disconformidad con lo publicado sino que lo hizo ante la AEPD, procediendo a la retirada del anuncio en cuanto ésta se lo comunicó, no constando la existencia de accesos por terceros no legitimados a ninguna de las cuentas corrientes incluidas en la relación publicada.
En conclusión, la Dirección General informa negativamente el inicio del procedimiento de reclamación al no concurrir los requisitos exigidos por el artículo 32.1 LRJSP.
CUARTO.- Remitido el expediente a la Secretaría General de la Consejería, el Servicio Jurídico evacuó un informe el día 8 de febrero de 2023. Se pronuncia en contra de la inadmisibilidad de la reclamación propuesta por la Dirección General en aplicación del criterio restrictivo de tal posibilidad sostenido en diversos Dictámenes del Consejo de Estado y de este Consejo Jurídico, debiendo procederse a tramitar el procedimiento.
QUINTO.- Por orden de 9 de febrero de 2023 se acordó el inicio del procedimiento de responsabilidad patrimonial y se designó instructor. La orden fue notificada electrónicamente el día 13 siguiente.
SEXTO.- El instructor dirigió un escrito a la Dirección General de Autónomos, Trabajo y Economía Social, el día 14 de febrero de 2023, requiriendo se informara de la fecha en que se eliminó el anexo publicado inicialmente en la web y su sustitución por otro en la que se omitía el IBAN.
Al día siguiente se contestó que el mismo día que se recibió en el Centro Directivo el escrito de la AEPD solicitando información sobre la reclamación presentada ante ella por la interesada, 28 de abril de 2022, se dirigió un correo electrónico al Centro de Atención al Usuario (CAU) para que publicara el nuevo anexo II con el IBAN anonimizado, incidencia que fue resuelta ese día, publicándose a las 14:07.
SÉPTIMO.- El día 15 de febrero de 2023 el instructor dirigió un escrito a la AEPD solicitando aclaración sobre las razones por las que inadmitió la reclamación presentada ante ella por la interesada, dado que en la comunicación recibida no se explicitaban pero sí se indicaba que por las razones expuestas en el informe remitido desde la CARM se había acordado no admitirla a trámite.
La contestación se recibió el siguiente día 20. Señalaba que el acuerdo de inadmisión de la AEPD, de 17 de junio de 2022, fue objeto de recurso de reposición posterior, argumentando que las bases de la convocatoria no informaban de la publicación del número de cuenta y que esta no estaba justificada ni debidamente disociada, acarreando riesgos reales para los afectados.
La resolución del recurso señaló que de acuerdo con lo establecido en el artículo 65.5 LOPGDP era determinante para acordar la inadmisión de la reclamación la adopción de medidas realizadas por la reclamada para garantizar la protección de los datos en cuestión, de modo que, como con anterioridad a la misma, ya se había impedido acceder a ningún dato no necesario.
A lo que añadía que no constaba que la reclamante hubiera sufrido consecuencias negativas a raíz de la publicación inicial del IBAN, quedando garantizado su derecho tras la adaptación de la nueva relación, “[…] sin que se pueda considerar que los daños potenciales descritos en el recurso de reposición sean equivalentes a perjuicios efectivos”.
Terminaba afirmando que, si bien de la documentación presentada se deducía una posible discordancia inicial entre la acción o inacción de la parte reclamada y lo dispuesto en la normativa aplicable, la tramitación de la reclamación conforme a lo dispuesto en el artículo 65.4 LOPGDP dio lugar a la solución de las cuestiones planteadas, sin necesidad de depurar responsabilidades administrativas en el marco de un procedimiento sancionador.
OCTAVO.- Con comunicación interior de 22 de febrero de 2023, el instructor solicitó la emisión de informe a la Inspección General de los Servicios, no sobre la existencia o no de responsabilidad patrimonial, sino sobre el alcance de la publicación de los datos de un interesado en la web de la Dirección General, entre los que se incluya el número de IBAN.
En contestación al requerimiento, el Delegado de Protección de Datos de la Inspección General de los Servicios, remitió su informe el día 13 de marzo de 2023.
Tomaba como base lo establecido en el artículo 25 RGPD respecto de las medidas a adoptar por el responsable del tratamiento, en este caso, la Dirección General de Economía Social y Trabajo Autónomo, y los informes de 29 de abril y 31 de enero de 2023 para concluir que del relato de hechos e informe remitidos por el instructor, se desprendía que la publicación del número de cuenta fue excesiva, por lo que se consideraba correcta la medida adoptada por el responsable al seudonimizarlo, coincidiendo en esto con la AEPD que inadmitió la reclamación al no apreciarlo así y considerar que no se hubiera producido perjuicio al afectado y suponer una garantía para su derecho.
NOVENO.- El instructor ordenó la apertura del trámite de audiencia mediante acuerdo de 13 de marzo de 2023, notificado electrónicamente el siguiente día 16.
DÉCIMO.- El 22 de marzo de 2023 tuvo entrada en el registro un escrito del abogado solicitando copia del expediente. Con oficio del día siguiente le fue remitida dicha copia por vía electrónica.
Un escrito de alegaciones fue presentado en el registro el 5 de abril de 2023. Reitera los argumentos expuestos en la reclamación inicial sobre la vulneración de la normativa de protección de datos que representa la publicación excesiva de datos personales; y se ampra en el reconocimiento expreso en el informe del Delegado de Protección de Datos de la inadecuación a la misma de la publicación del número de IBAN, sin que se pueda atender el intento de la Administración de entenderlo justificado porque así lo exigían las bases reguladoras tal como se demuestra a la luz de la propia normativa reguladora de las subvenciones. Por ello concluye con que se había producido una infracción en materia de protección de datos y que no existía justificación para el proceder seguido.
UNDÉCIMO.- El 12 de abril de 2023 el instructor elevó su propuesta de resolución desestimatoria de la reclamación al considerar que no concurren los requisitos determinantes de la responsabilidad patrimonial de la Administración regional, concretamente la prueba del daño moral alegado.
A la vista de los referidos antecedentes procede realizar las siguientes
CONSIDERACIONES
PRIMERA.- Carácter del Dictamen.
El presente Dictamen se emite con carácter preceptivo, dado que versa sobre una propuesta de resolución de un procedimiento de responsabilidad patrimonial tramitado por la Administración regional, de conformidad con lo establecido en los artículos 81.2 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPAC), y 12.9 de la Ley 2/1997, de 19 de mayo, del Consejo Jurídico de la Región de Murcia.
SEGUNDA.- Legitimación y procedimiento seguido.
I. La reclamación se ha presentado por una persona interesada que dice sufrir los daños morales por los que solicita un resarcimiento, gozando por tanto de legitimación activa.
La Administración regional está legitimada pasivamente por dirigirse contra ella la reclamación e imputarse los daños a la gestión de un servicio de su competencia.
II. La reclamación se entiende presentada dentro del plazo de un año establecido en el artículo 67.1 LPAC. Tomando como fecha de inicio del cómputo la de publicación en la web de la Dirección General, 28 de abril de 2022, al ser presentada el 15 de noviembre de ese mismo año ha de considerarse temporánea
III. El examen conjunto de la documentación remitida permite afirmar que, en lo esencial, se han cumplido los trámites legales que integran esta clase de procedimientos.
TERCERA.- Sobre la calificación de la reclamación.
La propuesta de resolución efectúa una consideración específica sobre la fundamentación de la reclamación, dato este fundamental para determinar el procedimiento a seguir. Lo hace a la vista de que solo en una ocasión la reclamante invoca el artículo 82 RGDP según el cual, toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del Reglamento, tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos. Junto con ella sólo hay otra previsión al respecto en el artículo 30.2 LOPGDP para el caso de que tal infracción se produzca, consistente en que los responsables, encargados y representantes responderán solidariamente de los daños y perjuicios causados. Sin embargo, en la reclamación, son reiteradas las llamadas al régimen jurídico propio de los procedimientos de responsabilidad patrimonial de la Administración Pública, propiciando una int erpretación favorable a que esta es la vía elegida realmente para obtener resarcimiento de los daños morales sufridos.
La cuestión no es baladí. Como tiene establecida la doctrina de los distintos órganos consultivos y de la propia jurisprudencia, la responsabilidad patrimonial de las Administraciones Públicas es una vía de resarcimiento de los daños causados a los particulares siempre que no exista otra vía específica para el caso. Así, por ejemplo, entre otras muchas, lo declaró en su fundamento jurídico tercero la Sentencia de la Audiencia Nacional (Sala de lo Contencioso-Administrativo, Sección 1ª) de 8 abril 2014, bien que respecto a la anterior Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (LRJPAC), diciendo “La responsabilidad patrimonial de las Administraciones Públicas, regulada en los articulo 139 y siguientes de la Ley 30/1992 […], constituye una institución jurídica que tiene por objeto garantizar la reparación de los daños y perjuicios causados a los particulares como consecue ncia del funcionamiento normal o anormal de los servicios públicos, siempre que aquellos no dispongan de vías especificas de resarcimiento, al haber tenido lugar tales daños en el desenvolvimiento de cualesquiera relaciones jurídicas que vinculen a la Administración con los perjudicados donde se prevean tales vías, pues en tal caso el resarcimiento ha de tener lugar a través de estos específicos cauces y con arreglo al régimen jurídico previsto al efecto”.
Entendió bien el instructor que, de la lectura detenida de la reclamación se deducía que tomaba como base la existencia de una infracción de la normativa de protección de datos lo que, de suyo, suponía un funcionamiento anormal de la Administración. Pero esa misma normativa no diseñaba una vía propia para exigir su resarcimiento, por lo que, al apoyarse también la reclamante, de manera expresa, en el régimen establecido en la LRJSP y LPAC, podía admitirse que fuera este el aplicable, régimen más benigno para sus propios intereses al amparar su petición de resarcimiento, tanto si el daño había sido originado por un funcionamiento normal como anormal de la Administración.
CUARTA.- Sobre el fondo del asunto.
I. Nos encontramos con una situación en la que se denuncia la publicación de datos personales excediendo de los límites que la legislación aplicable permite. Esa es la primera cuestión que dilucidar en el expediente, cuestión que se ha resuelto con el reconocimiento de la Administración de que así ha sido. De este modo figura en el informe de 13 de marzo de 2023 del Delegado de Protección Datos, que expresamente afirma que la publicación del número de IBAN fue “excesiva”, (Antecedente octavo). A igual conclusión se llega si se lee detenidamente la contestación de la AEPD a la solicitud del instructor para aclaración de los motivos de su acuerdo de inadmisión de la reclamación presentada ante ella. Se dice allí que “En definitiva, si bien de la documentación presentada se deduce una posible discordancia inicial entre la acción o inacción de la parte reclamada y lo dispuesto en la normativa aplicable […]”. Podemos concluir de lo dicho h asta ahora que, efectivamente, se produjo un funcionamiento anormal de la Administración, generador de responsabilidad. Así lo reconoce la propuesta de resolución diciendo “Pues bien, comenzaremos afirmando que, en nuestra opinión, se ha producido un funcionamiento anormal del servicio público […]”.
A lo dicho debemos añadir ahora que no puede entenderse justificada la publicación del número del IBAN en ningún caso, y menos aún, amparándose en las razones esgrimidas por la Dirección General de que lo exigían las bases de la convocatoria. No es cierto. En las bases no hay una expresa exigencia de tal condición. Tampoco puede entenderse incluida en el aserto de que la base 9.3 disponía: “La resolución de concesión determinará la cuantía de la subvención, la forma de abono, y demás circunstancias exigibles para el cobro de la misma, recursos y cualesquiera otras condiciones particulares que deban cumplir los beneficiarios […]”. No se puede entender así porque la expresión “demás circunstancias exigibles para el cobro” ha de ser referida no a la acreditación de la titularidad de una cuenta bancaria a la que hacer el pago, algo evidente y para lo que se exigía la presentación del justificante correspondiente. Disponer de una cuenta bancaria no era un a “circunstancia” exigible para el cobro de la subvención, sino para su pago. De él sí estaba prevista la publicación de su forma, pero no el número de la cuenta en la que abonarla. El artículo 5, f) de la Orden por la que se aprobaron las bases disponía que el beneficiario quedaba sujeto a las obligaciones impuestas por el artículo 14 y siguientes de la Ley 38/2003, de 17 de noviembre, General de Subvenciones (LS) y por el artículo 14 de la Ley 7/2005, de 18 de noviembre, de Subvenciones de la Comunidad Autónoma de la Región de Murcia (LSMU). En ninguna de ellas se exige para el pago la acreditación de la titularidad de una cuenta bancaria, presupuesto, que no requisito, si el pago se prevé por transferencia bancaria. Lo que sí se prevé es que, su pago y, por tanto, su cobro, una vez concedida la subvención, no podrá realizarse en tanto el beneficiario no se halle al corriente en el cumplimiento de sus obligaciones tributarias y frente a la Seguridad Social o sea deudor por resolución de procedencia de reintegro” (Artículo 34.5 LS).
En cualquier caso, el conocimiento del número de cuenta bancaria es imprescindible para que la Administración pueda abonar la subvención, pero nada añade a una gestión de las subvenciones que respete, además del principio de publicidad y transparencia, el resto de principios regulados en el artículo 8 LGS.
II. Una vez admitida la imputabilidad a la CARM de los posibles daños ocasionados por un anormal funcionamiento del servicio, nos encontramos con que el régimen jurídico establecido por el artículo 32 LRJSP exige la concurrencia de otros requisitos. El primero de ellos es que se haya originado una lesión en cualquiera de los bienes o derechos del particular, lesión consistente en un daño efectivo, evaluable económicamente e individualizado con relación a una persona o grupo de personas, que no tengan el deber jurídico de soportarlo.
En relación con ello hay que partir de constatar si el daño por el que se reclama reúne tales requisitos. La propuesta de resolución reconoce la admisibilidad del daño alegado, en su consideración de daño moral, sobre lo que no cabe duda a la luz de la jurisprudencia que, aunque no ha dado una definición del mismo, sí ha ido perfilando la figura de manera paulatina, resolviendo en cada caso lo que tenía o no esa condición. Nada dice de él ni el Código civil ni la Constitución, aunque sí se ocupan de él, el Código penal y algunas otras leyes como la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad y a la propia imagen (LDH), o la Ley de ordenación y supervisión de los seguros privados. Sin embargo, ninguna de ellas lo definen. De ahí que, como decimos, haya sido la jurisprudencia la que la ha configurado a través de múltiples sentencias, de las que la propuesta de resolución cita algunas, que le sirven de base para analizar la alegación formulada por la reclamante de que una vez producido el incumplimiento de la normativa de protección de datos se presume la generación del daño o lesión a su titular, lo que lleva a considerar que la publicación de ese dato realmente pudo producir un daño moral.
Tal afirmación se fundamenta en el artículo 9.3 LDH según el cual “La existencia de perjuicio se presumirá siempre que se acredite la intromisión ilegítima. La indemnización se extenderá al daño moral, que se valorará atendiendo a las circunstancias del caso y a la gravedad de la lesión efectivamente producida, para lo que se tendrá en cuenta, en su caso, la difusión o audiencia del medio a través del que se haya producido”. Es clara la presunción “iuris et de iure”, como sostiene la reclamante, de que existiendo intromisión ilegítima existe perjuicio, dejando sólo para discutir el alcance de la reparación en función de las circunstancias de cada caso. Ahora bien, como señala la propuesta de resolución, el traslado sin más de esa presunción al ámbito propio de la protección de datos no siempre ha sido admitida por la jurisprudencia, en contra de otras ocasiones en las que sí lo ha admitido, como en el caso de la sentencia de 8 de abril de 2021, de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, citada por la reclamante.
Sin embargo, el grupo normativo de aplicación a este caso, constituido por el RGPD y LOPGDP, no contempla esa presunción y, de otro lado, para apreciar la existencia del daño en este ámbito, y con carácter general en el régimen jurídico de la responsabilidad de la Administración, se exige que el daño sea probado, también en el caso de los daños morales. En el caso sometido a Dictamen, cabe admitir que la publicación del número de IBAN pudo generar a su titular malestar o intranquilidad, es cierto, pero no le eximía de acreditarlo. No ha sido así. No ha hecho el más mínimo esfuerzo en tal sentido, incumpliendo su obligación derivada de la previsión del artículo 217 de la Ley de Enjuiciamiento Civil. La propia AEPD echa en falta esa acreditación al decir que “[…] no consta que la parte reclamante haya sufrido consecuencias negativas a raíz de la publicación inicial del número IBAN […]”
Es cierto que el daño moral se encuentra con el problema de su prueba pero ello no excusa de intentarlo, tal como apunta la propuesta de resolución que cita en apoyo de su argumento la Sentencia de 7 de diciembre de 2010, de la Sala de los Contencioso-Administrativo del TSJ de Andalucía según la cual “ansiedad, desasosiego, incertidumbre o conceptos similares, difícilmente valorables, pero que aun así pueden serlo si se hace convenientemente por referencia a padecimientos o realidades materiales afectadas, pero no en forma genérica como ha efectuado el actor y eso en correspondencia con la sentencia del Tribunal Supremo de 27 de abril de 2.002: “La prueba de los daños morales es necesaria para que exista la obligación de indemnizar por parte de la administración (Sentencia del Tribunal Supremo de 23 de diciembre de 2.001)”»
Finalmente, no debe ignorarse la actitud de la reclamante no haciendo uso de su derecho a la supresión del dato reconocido por el artículo 15 LOPGDP y artículo 17 RGPD. De haberlo hecho cabe pensar que habría obtenido el mismo resultado que produjo el conocimiento de la existencia de reclamación ante la AEPD, puesto que la Dirección General actuó sin dilación, tal como exige este último precepto. La comunicación de la AEPD se recibió en la Dirección General el 28 de abril de 2022, procediendo a solicitar al día siguiente la retirada del Anexo II de la resolución y sustitución por uno nuevo en el que ya no aparecía el dato controvertido.
Y, por último, el riesgo a que el dato hubiera propiciado un uso ilegítimo por terceros no ha supuesto daño efectivo en tanto no se ha acreditado tampoco en el expediente.
En atención a todo lo anterior se formula la siguiente
CONCLUSIÓN
ÚNICA.- Se dictamina favorablemente la propuesta de resolución en cuanto es desestimatoria de la reclamación al no haberse acreditado la efectividad de los daños por los que se reclama.
No obstante, V.E. resolverá.
