Página nueva 0

Audiencia Nacional

Sala De Lo Contencioso Administrativo. Sección Cuarta.
Recurso 189/01 Y 222/01, 224/01 Y 226/01 Acumulados.
Registro 2521/01.

SENTENCIA

Ilmos. Sres.

Presidente.
D. Tomás García Gonzalo.

Magistrados.
D. Ernesto Mangas González.
D. Juan Carlos Fernández de Aguirre.
D. José Guerrero Zaplana.
Dña. Ana Isabel Martín Valero.

En la Villa de Madrid, a 24 de marzo de 2.004.

VISTOS por la Sección Cuarta de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, el recurso número 189/01 al que se han acumulado los recursos 222/01 224/01 v 226/01. Promovido por la representación procesal de la Fundación del Movimiento Ciudadano Anti-sida, Asociación Justicia e Sociedade de Galiza, Asociación Colectivo Moucho y Asociación Presos de Galicia, contra la Orden del Ministerio de Sanidad y Consumo de 18 de diciembre de 2.000, sobre creación de fichero de datos de carácter personal, habiendo sido parte la Administración demandada, el Ministerio de Sanidad y Consumo representado por el Abogado del Estado.

Antecedentes de Hecho

PRIMERO.- Interpuesto el recurso se reclamó el expediente a la Administración y, siguiendo los trámites legales, se emplazó a los demandantes para la formalización de sus demandas-, lo que verificaron mediante escritos que obran en Autos, en los que expusieron los hechos y fundamentos de derecho que estimaron de aplicación, terminando suplicando se dictara sentencia, en los siguientes términos: a) La Fundación del Movimiento Ciudadano Anti-sida: se declare no ser ajustada a Derecho la resolución recurrida, dejando a sin efecto la misma, así como la condena al pago de las costas del procedimiento a la Administración del Estado; b) Asociación Justicia e Sociedade de Galiza: se declare nula, por vulnerar el derecho fundamental a la intimidad, la Orden del Ministerio de Sanidad y Consumo de 13 de diciembre de 2.000 por la que se crea un fichero con datos de carácter personal, gestionado por el Ministerio de Sanidad y Consumo, relativo al Sistema de Información sobre Nuevas Infecciones (SINIVIH), con imposición de costas; c) Asociación Colectivo Moucho: con estimación del recurso, se declare la nulidad de la disposición impugnada y d) Asociación Presos de Galiza: declare que la Orden Ministerial impugnada es contraria a Derecho, por vulneración de derechos fundamentales, artículos 13 y 18.4 CE, en relación con los derechos recogidos en el artículo 10 y 14 de la Carta Magna, se declare la vulneración del principio de legalidad, "en relación con el principio de jerarquía normativa, a que alude el artículo 9.3 de la Constitución, y se declare vicio de nulidad establecido en el artículo 62 de la Ley 30/1992, de 26 de noviembre, en relación con el artículo 1.1 de la LRJCA. 29/1398. de 13 de julio".

SEGUNDO.- Emplazado el Abogado del Estado para que contestara a la demanda, así lo hizo en escrito en el que, tras expresar los hechos y fundamentos de derecho que estimó convenientes, terminó suplicando que se dictara una Sentencia desestimatoria del recurso interpuesto y confirmatoria de las resoluciones impugnadas.

TERCERO.- Habiéndose recibido el recurso a prueba se practicó documental y pericial, en los extremos admitidos por la Sala, con el resultado que obra en las actuaciones.

CUARTO.- Conforme a la Ley de la Jurisdicción, se dio traslado a las partes para la presentación de conclusiones sucintas acerca de los hechos alegados, la prueba practicada, en su caso, y les fundamentos jurídicos en que han apoyado sus pretensiones.

QUINTO.- Concluidas las actuaciones quedaron pendientes de señalamiento para votación y fallo, el cual tuvo lugar el día 17 de marzo de 2004, siendo Ponente el Ilmo. Sr. Magistrado D. Juan Carlos Fernández de Aguirre, quien expresa el parecer de la Sala.

SEXTO.- La cuantía del presente recurso es indeterminada.

Fundamentos de Derecho

PRIMERO.- Constituye el objeto del presente recurso contencioso administrativo determinar si es o no conforme a Derecho la Orden del Ministerio de Sanidad y Consumo de 18 de diciembre de 2000 por la que se crea un fichero con datos de carácter personal, gestionado por el Ministerio de Sanidad y Consumo, relativo al Sistema de Información sobre Nuevas Infecciones (SINIVIH).

SEGUNDO.- Los recurrentes plantean en sus demandas, en lo sustancial, las siguientes alegaciones: a) La Orden se ha dictado sin, el previo y preceptivo informe del Consejo Interterritorial del Sistema Nacional de Salud; b) La Orden establece ex novo un fichero para incluir sin distinciones codos los casos de infección, careciendo cobertura legal habilitante; c) La orden es injustificada, desproporcionada y lesiva del derecha a la intimidad de las personas a que afecta, de la libertad informática y del derecho a la protección de datos personales; d) La orden, viola el principio de igualdad ante la ley; e) La existencia de un fichero automatizado sin consentimiento expreso de loa afectados conculca el artículo 18 CE; f) No se respeta el derecho fundamental a no ser discriminado por razón de las circunstancias personales; y g) Inexistencia de medidas de seguridad en relación con los datos a incluir en el fichero creado por la Orden.

TERCERO.- La Orden del Ministerio de Sanidad y Consuno de 18 de diciembre de 2000 justifica en su Preámbulo la necesidad de crear un nuevo fichero de datos de carácter personal que amplíe el contenido de los ficheros de la Orden de 21 de julio de 1994, -que incluye dos anexos, uno con datos de carácter sanitario y otro con datos de carácter administrativo- en la necesidad de prevenir, gestionar y prestar servicios sanitarios a enfermos con infección de VIH y SIDA, de modo que las Administraciones puedan disponer de un marco de referencia que les pérmica promover las adecuadas medidas de seguridad en este ámbito, de acuerdo con la Ley.

Por otro lado, la Orden en cuestión pretende, y así lo expone su dictado, garantizar las necesidades de gestión y organización necesarias para garantizar la confidencialidad, seguridad e integridad de los datos del fichero, así como las conducentes a hacer efectivas las garantías, obligaciones y derechos reconocidos en la Ley Orgánica 15/1999, de 13 de diciembre, reguladora de la Protección de datos de carácter personal. En el Anexo de la Orden se especifica el tipo de fichero -SINIVIH-, los usos y fines, las personas y colectivos afectados, los procedimientos de recogida de datos, la estructura básica del fichero, los datos que éste incluye y las cesiones previstas a organismos, entidades e instituciones.

CUARTO.- En primer término plantean los demandantes -daremos respuesta a sus alegaciones de forma conjunta- que la Orden combatida se ha dictado sin el previo y preceptivo informe del Consejo Interterritorial del Sistema nacional de Salud.

La Sala considera que no se está en el caso de la disposición final primera del Real Decreto 2210/1995, por el que se crea la Red Nacional de vigilancia Epidemiológica, por cuanto esta misma normativa atribuye en los artículos 31 a 36, ambos inclusive, incluidos en el Capítulo IV, bajo la rúbrica "Vigilancia epidemiológica del síndrome de inmunodeficiencia adquirida (SIDA) y de la infección por virus de la inmunodeficiencia humana (VHI)", al Ministerio de Sanidad y Consuno, a nivel estatal -cual es el caso-, la vigilancia epidemiológica ¿el SIDA a través del Registro Nacional, y de la Infección por VHI. Por tanto, el presente caso no implica modificación de la lista de enfermedades recogidas en los anexos del Real Decreto, segur, dispone la referida disposición, como la parte alega, que haría preciso el previo informe del Consejo interterritorial del Sistema Nacional de Salud.

QUINTO.- En. segundo término, alegan los recurrentes que a Orden establece ex novo un fichero para incluir sin distinciones todos los casos de infección, careciendo de cobertura legal habilitante.

La Sala no puede compartir esta alegación, pues como bien pone de manifiesto la Abogacía del Estado, la Orden cuestionada se dicta al amparo del artículo 8.1 de la Ley 14/l986, de 25 de abril, General de Sanidad -inserto en el Capítulo IV, que gira bajo la rúbrica "De la intervención pública en relación con la salud individual y colectiva"-, que contempla como actividad fundamental del sistema sanitario "la realización de los estudios epidemiológicos necesarios para orientar con mayor eficacia la prevención de los riesgos para la salud, así como la planificación y evaluación sanitaria, debiendo tener como base un sistema organizado de información sanitaria, vigilancia y acción epidemiológica"- Por otro lado, la misma Ley dispone en su articule 23, que "Para la consecución de los objetivos que se desarrollan en el presente capítulo, las Administraciones Sanitarias, de acuerdo con sus competencias, crearán los Registros y elaborarán los análisis de información necesarios para el conocimiento de las distintas situaciones de las que puedan derivarse acciones de intervención de la autoridad sanitaria. A estos efectos, el Real Decreto 2210/1995, citado, prevé expresamente la existencia de Registros de SIDA, nacional y autonómicos, con objeto de recoger información sobre casos de infección, fuentes de información, datos individualizados de cada uno de los enfermos, todo ello dentro de las medidas de seguridad necesarias para garantizar la seguridad y confidencialidad de los datos incorporados a los Registros. Por tanto, la Orden cuenta con la correspondiente habilitación y cobertura".

SEXTO.- En tercer lugar, plantean los actores que la existencia de un fichero automatizado sin consentimiento expreso de los afectadla conculca el artículo 18 da la Constitución.

La Sala no comparte esta alegación, pues aunque es cierto que el artículo 7.3 de la Ley Orgánica 15/19S9, de 13 de diciembre, de Protección de datos de carácter personal, establece que los datos de éste carácter "que hagan referencia al origen racial, a la salud y a la vida sexual solo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente", también lo es que el mismo precepto, en su número 6, dispone que "No obstante le dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este articulo, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto".

Por otro lado, precisamente por la naturaleza de las enfermedades de que se trata, el artículo 33 del Real Decreto 2210/1995, de 26 de diciembre por el que se crea la Red Nacional de Vigilancia Epidemiológica, establece la declaración obligatoria, de esta patología, una vez detectada por el profesional correspondiente, así ese precepto establece que los médicos, "tras diagnóstico, procederán a la comunicación inmediata y obligatoria al Registro del SIDA", añadiendo el artículo 34 del mismo Real Decreto, que "Se recogerán los datos individualizados de cada uno de los enfermos diagnosticados mediante protocolo específico". De esta obligación se hace eco más recientemente, como no podía ser de otra manera, el artículo 23 de la Ley básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, a cuyo tenor "Los profesionales sanitarios, además de las obligaciones señaladas en materia de información clínica, tienen el deber de cumplimentar los protocolos, registros, informes, estadísticas y demás documentación asistencial o administrativa, que guarden relación con los procesos clínicos en los que intervienen, y los que requieran los centros o servicios de salud competentes -y las autoridades sanitarias, comprendidos los relacionados con la investigación médica y la información epidemiológica".

SÉPTIMO.- En lo que atañe a la violación, del principio de igualdad anee la Ley -ex. artículo 14 CE- la Sala considera que esta alegación carece de relevancia, pues no se indica en qué consiste esta violación, ni se incorpora a autos un término válido de comparación que permita valorar y contrastar la infracción que se predica.

OCTAVO.- Plantean los recurrentes que la Orden es injustificada, desproporcionada y lesiva del derecho a la intimidad de las personas a que afecta, de la libertad informática y del derecho a la protección de datos personales.

El artículo 18,1 de la Constitución garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. El mismo precepto, en su número 4 establece que "La ley limitará el uso de la informática para garantizar el honor e infinidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos".

En relación con el derecho a la .intimidad personal, el Tribunal Constitucional ha declarado en su Sentencia 218/2002 de 25 noviembre, que "El derecho a la intimidad personal consagrado en el artículo 18.1 aparece configurado cono un derecho fundamental, estrictamente vinculado a la propia personalidad y que deriva, sin duda, de la dignidad de la persona humana que el artículo 10.1 reconoce. Entrañando la intimidad personal constitucionalmente garantizada la existencia de un ámbito propio y reservado frente a la acción y el conocimiento de los demás, necesario según las pautas de nuestra cultura para mantener una calidad mínima de vida humana."

En esta línea de razonamiento, el mismo Tribunal ha declarado en su Sentencia 185/2002, de 14 de octubre, que el derecho de que se trata, tiene por objeto garantizar al individuo un ámbito reservado de su vida, vinculado con el respeto de su dignidad como persona (artículo 10.1 CE), frente a la acción y el conocimiento de los demás, sean éstos poderes públicos o simples particulares. De suerte que el derecho a la intimidad atribuye a su titular el poder de resguardar ese ámbito reservado, no sólo personal sino también familiar (SSTC 231/1968, de 2 de diciembre y 197/1991, de 17 de octubre), frente a la divulgación del mismo por terceros y una publicidad no querida. No garantiza una intimidad determinada sino el derecho poseerla, disponiendo a este fin de un poder jurídico sobre la publicidad de la información relativa al circulo reservado de su persona y su familia, con independencia del contenido de aquello que se desea mantener al abrigo del conocimiento público. Lo que el artículo 18.1 CE garantiza es, pues, el secreto sobre nuestra propia esfera de vida personal y, por tanto, veda que sean los terceros, particulares o poderes públicos, quienes decidan cuales son los contornos de nuestra vida privada. No obstante, señala el Alto Tribunal, "conviene recordar que el derecho fundamental que se denuncia como lesionado, no es ilimitado, como ninguno lo es”.

En este contexto, es preciso determinar si en determinadas situaciones o circunstancias los poderes públicos pueden, establecer medidas encaminadas a proteger la salud publica que, a su vez, puedan colisionar con el derecho fundamental cuya vulneración se denuncia. De ser esto así, es preciso cohonestar estas medidas de protección de los intereses públicos con el "derecho a la intimidad de las personas afectadas y ponderar adecuadamente, y de forma equilibrada, según palabras del Alto Tribunal, de una parte, la gravedad de la intromisión que comporta en la intimidad personal y, de otra parte, si la medida es imprescindible para asegurar la defensa del interés público que se pretende proteger".

El derecho a la intimidad personal entraña, según la teoría de las esferas y entre ceros, un ámbito de la persona "en el que se desenvuelve lo que ésta no quiere dar a conocer a otras", de manera que ha de ponderarse si la injerencia en esa esfera tan personal está justificada y es proporcionada. Conforme se ha señalado por la doctrina y teniendo a la vista el Convenio Europeo para la protección de los Derechos Humanos y de las Libertades Fundamentales de 4 de noviembre de 1950, tres son los límites a que la injerencia debe quedar sujeta: tener una base legal, perseguir un fin legítimo y ser una medida necesaria en una sociedad democrática. Además, deben tenerse en cuenta los siguientes valores: la medida no debe ir más allá de lo estrictamente necesario y debe atender a razones relevantes y convincentes que la justifiquen.

NOVENO.- En atención a las consideraciones que anteceden, es menester examinar si la Orden cuestionada atiene a las parámetros exigidos.

En primer lugar, ya hemos dicho que la Orcen tiene sustento legal adecuado, como 16 es la Ley 14/1586, de 25 de abril, General de Sanidad, y el Real Decreto 2210/L395, por el que se crea la Red Nacional de Vigilancia Epidemiológica, de los que aquélla es desarrollo y expresión concreta.

En segundo termino, no cabe duda de que la Orden tiene una finalidad legítima, como es la prevención, gestión y prestación de servicios sanitarios a enfermos de infección por VIH y SIDA, según reza su Preámbulo, a lo que debe añadirse que también se proyecta en la preservación y promoción de la salud de la población, sobre todo en el caso de enfermedades transmisibles, así como en el control de los procesos de transmisión y otros procesos agudos de interés sanitario, nacional e internacional, según se desprende del Preámbulo del referido Real decreto 2210/1955.

Finalmente, la Orden debe entenderse necesaria en una sociedad democrática, pues no se dicta en función de simples criterios de oportunidad o conveniencia, está justificada en aras al interés general y las razones de su existencia son suficientes, convenientes y convincentes -ex artículo 4.1 de la Ley Orgánica 15/1999.

DÉCIMO.- Descartada la vulneración por la normativa impugnada del derecho a la intimidad personal, hemos de referirnos ahora a la garantía establecida en el artículo 18.4 de la Constitución, cuya vulneración invocan los recurrentes.

A estos efectos, conviene centrar la cuestión en términos de constitucionalidad por lo que hemos de comenzar a traer a colación la doctrina del Tribunal Constitucional que, con relación al artículo 18.4 CE y al uso de la informática, señala que "es cierto que cuando el artículo 16.4 CE dispone que la Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos, y el pleno ejercicio de sus derechos, está incorporando una garantía constitucional como forma de respuesta a una nueva forma de amenaza concreta a la dignidad y a los derechos de la persona (STC 254/1993, de 20 de julio), por lo que un sistema normativo que, autorizando la recogida de datos incluso con fines legítimos, y de contenido aparentemente neutro, no incluyese garantías adecuadas frente a su uso potencialmente invasor de la vida privada del ciudadano, a través de su tratamiento técnico, vulneraría el derecho a la intimidad de la misma manera en que lo harían las intromisiones directas en el contenido nuclear de ésta (STC 143/1394, de 9 de mayo) - STC 197/2003, de 16 de junio".

Como en esta Sentencia se dice, y es menester destacar la relevancia de este pronunciamiento en orden a las alegaciones de los recurrentes, la Orden reguladora del fichero se remite a las garantía previstas en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y al Real Decreto 934/1395, de 11 de junio, con el que se aprueba el Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan datos de carácter personal, por lo que el que dicha normativa omita previsiones expresas de protección, en cuanto a las concretas medidas de seguridad -documento de seguridad, por ejemplo, es de relativo peso, dado que la remisión a dicha normativa no exige que "reproduzca el amplio elenco de garantías y derechos que aquélla (la normativa protectora de los datos) establece".

Por tanto, de lo que ahora se trata es de saber si la orden impugnada establece o contiene instrumentos precisos de protección, es decir, si adopta "las medidas necesarias (técnicas y organizativas) en orden a garantizar la seguridad de los datos de carácter personal para evitar su alteración, pérdida, tratamiento o -acceso no autorizado". Sobre esta cuestión, no cabe duda, el "resultado que arroja la prueba pericial, practicada a instancias de los recurrentes nos orientará en nuestra decisión."

UNDÉCIMO.- La prueba pericial, realizada por un Ingeniero Superior de Telecomunicación y practicada de forma contradictoria con intervención de las partes todas, tiene por objeto exclusivo, según anuncia el perito, el análisis técnico del contenido y de los procedimientos utilizados en el sistema de recogida y protección de datos del fichero. Previamente a la emisión del informe, el perito ha evacuado consultas con los responsables del programa del Centro Nacional de Epidemiología acerca del método o mecanismo de obtención de datos, su introducción y presentación, copias de respaldo y comunicación interna. Del resultado de la pericia, acta de ratificación incluida, interesa destacar los siguientes extremos, que la Sala considera relevantes para la correcta resolución del pleito: a) Tras descripción pormenorizada del procedimiento de seguridad del SINIVIK, en relación con la normativa reguladora -Real Decrete 994/1999, el perito concluye considerando que las especificaciones de seguridad del SINIVIH cumplen con las medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, salvo omisiones de escasa relevancia (falta de un sistema de actualización y revisión del fichero y no constancia del período mínimo -dos años- de conservación de los datos registrados). Por otro lado, los procedimientos del SINIVIH -supervisión del acceso físico, supervisión del acceso al ordenador, supervisión del control de acceso al programa, supervisión del control de soportes informáticos y supervisión del control de copias de respaldo- son los correctos, conforme a las especificaciones previstas en el Real Decreto de referencia.

b) Tras comprobación de los correspondientes documentos, las medidas de seguridad relativas al manejo y acceso del fichero y cesión de información, son las correctas conforme al referido Real Decreto.

c) El método o mecanismo de cesión de datos, que es centralizado -identificación, custodia, seguridad, confidencialidad y control de acceso- es el correcto y garantiza la confidencialidad de la cesión.

Sin embargo, señala el perito, el método o mecanismo empleado para el tratamiento de los datos personales introducidos en el fichero -nombre y apellidos, centro sanitario de diagnóstico, fecha de nacimiento, provincia de residencia, país de residencia, país de origen, datos clínicos y datos de laboratorio- posibilitando, la identificación de una persona con alto nivel de evidencia, pues aunque aisladamente los datos en cuestión no permiten la identificación, la conjunción de varios de estos datos sí lo permiten, dado que pueden ser contrastados con los datos obtenidos en otra fuente -el Registro Civil automatizado, por ejemplo-. Por otro lado, los indicadores personales pueden dar lugar a confusiones, repetición de datos por aproximación familiar, duplicidad de datos en el mismo afectado-, máxime en el caso de nombres y apellidos compuestos. En conclusión, señala el informe pericial, "la ficha dispone de los suficientes datos que permite asociarla a una persona concreta con alto grado de evidencia y, por otro lado, carece de los datos suficientes que permitan -identificar con plena certeza a una persona para su posterior modificación o cancelación". Por el contrario, dice el perito, en lugar que la identificación por las iniciales del nombre y apellidos, la seguridad estaría garantizada mediante el empleo de un código numérico conocido solo por la Administración y el afectado.

De lo expuesto resulta, según valoración de la Sala, que la Orden cuestionada regula el establecimiento de un fichero con datos da carácter personal que no cumple con las medidas de garantía adecuadas para preservar la intimidad de los interesados, supuesto que, y precisamente porque, la estructura informática del fichero permite a terceros, mediante manipulación adecuada e interesada, obtener información que lea está vedada. La estructura del fichero, por tanto, no garantiza la seguridad de los datos de carácter personal que contiene, o, que debe contener y no evita el acceso no autorizado, habida cuenta la naturaleza de los datos almacenados o a almacenar, según exige el artículo 9.1 da la Ley Orgánica 15/1999 citada. Por otro lado, un fichero que contenga datos relativos a la salud debe reunir, además de las medidas de nivel básico y medio, previstas en el Real Decreto 994/1999, de 11 de junio, las pertinentes medidas de seguridad de nivel alto -contempladas también en la norma normativa-, que cifren los datos por medio de mecanismos que garanticen que la información que contiene no sea inteligible al acceso incorrecto. Y como quiera que con los datos de que disponemos, esto no es así, la Orden impugnada debe ser anulada, toda vez que, como ya se dijo con cita expresa de la doctrina constitucional, un sistema normativo que, autorizando la recogida de datos incluso con fines legítimos, y de contenido aparentemente neutro, no incluyese garantías adecuadas frente a su uso potencialmente invasor de la vida privada del ciudadano, a través de su tratamiento técnico, vulneraría el derecho a la intimidad de la misma manera en que lo harían las intromisiones directas en el contenido nuclear de ésta.

DUODÉCIMO.- No procede hacer expresa declaración en materia de costas.

VISTOS los preceptos legales citados y demás de general y pertinente aplicación,

Fallamos

PRIMERO.- Estimar el recurso contencioso administrativo promovido por la representación procesal de Fundación del Movimiento Ciudadano Anti-sida, Asociación Justicia e Sociedade de Galiza. Asociación Colectivo Moucho y Asociación Presos de Galicia contra la Orden del Ministerio de Sanidad y Consumo de 18 de diciembre de 2000, cobre creación de fichero de datos de carácter personal, disposición que anulamos por no ser conforme a Derecho.

SEGUNDO.- No procede hacer expresa declaración en materia de costas.

Así por esta nuestra sentencia, lo pronunciamos; mandamos y firmamos.

Madrid, 22 de abril de 2004.