Encargado del tratamiento.-

servicio o cualquier otro organismo que, solo o conjuntamente con otros,

trate datos personales por cuenta del responsable de tratamiento.

2.- Traslación que de los conceptos básicos antes reseñados se hace en los

ficheros dependientes de los órganos judiciales.

En el Acuerdo de creación de ficheros de carácter personal dependientes

de los órganos judiciales13, el CGPJ distingue los denominados ficheros

jurisdiccionales de los gubernativos. Centrándonos por su relevancia en

ficheros jurisdiccionales en ellos se distingue entre:

11 Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal .

12 Reglamento de Desarrollo de la LO 15/1999 de 13 de diciembre de protección de datos de

carácter personal. BOE 19 Enero 2008.

13 Acuerdo de 20 de Septiembre de 2006 del Pleno del Consejo General del Poder Judicial.

BOE 12 de Octubre de 2006

1..- Ficheros de Asuntos Jurisdiccionales.

En ellos considera como:

1.a.- Responsable del tratamiento.- Será el “órgano judicial”

que conozca del procedimiento, toda vez que al mismo le corresponde

determinar, en el caso concreto, la finalidad, contenido y uso que se da al

tratamiento con sujeción a las normas procesales que resulten de

aplicación, y en todo caso a las funciones y competencias que la LOPJ

atribuye a los Jueces, Tribunales y Secretarios al configurar el diseño de la

Oficina Judicial, “quedando su funcionamiento bajo la dependencia directa

del Secretario Judicial”.

1.1.b.-Encargado del tratamiento.- Las Administraciones

Públicas competentes en la dotación de medios materiales , al ser los

responsables de los centros de tratamiento, locales, equipos, sistemas,

programas, así como del personal técnico que intervienen en el tratamiento.

14

2 – Fichero de Registro de Asuntos.

En ellos considera como

2.a.- Responsable del tratamiento .- El Secretario Judicial

encargado del registro.

2.b.- Encargado del tratamiento.- Las Administraciones

Públicas competentes en la dotación de medios materiales , al ser los

responsables de los centros de tratamiento, locales, equipos, sistemas,

programas, así como del personal técnico que intervienen en el tratamiento.

14 Al intervenir diferentes Administraciones Públicas con competencias transferidas y a

fin de unificar los diferentes esfuerzos a nivel informático y homogeneizar el marco

legal en todo el Estado el CGPJ ha aprobado por el Pleno del Consejo el “Test de

compatibilidad de los sistemas informáticos de Gestión Procesal”, el 8 de Septiembre

de 1999. Se elabora a propuesta de la Comisión de Informática Judicial y presenta las

especificaciones concretas de los distintos objetivos de compatibilidad. Ha sido

revisado mediante Acuerdo de 12 de abril de 2007.

3. Infracciones más frecuentes. Resoluciones de la Agencia de Protección

de Datos por las que se interpreta el alcance de los conceptos contenidos

en el art. 3 LOPD en el ámbito de los ficheros de los Juzgados y

Tribunales.

La AEPD ha tenido la oportunidad de manifestarse en sus

resoluciones en relación a la responsabilidad por las infracciones recogidas

en la LOPD. Las más frecuentes están recogidas en los artículos 9 15 y en

el artículo 10.16 Y hacen referencia a la no adopción de medidas de índole

técnica y organizativas que garanticen la seguridad (predicable del

responsable del fichero y encargado del tratamiento) y a la falta del deber

de secreto (predicable del responsable del fichero y quienes intervengan en

cualquier fase del tratamiento) respectivamente.

En este sentido son varias las resoluciones de la AEPD que en el

ámbito judicial marcan un criterio coincidente y profundizan en la cuestión.

Se trata de actuaciones de inspección ante diferentes órganos judiciales por

la aparición en la vía pública de documentación judicial conteniendo datos

de carácter personal con repercusión en los informativos de un canal de

televisión.

15 Art. 9 “El responsable del fichero y, en su caso, el encargado del tratamiento deberán adoptar

las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los

datos de carácter personal y eviten su alteración, perdida, tratamiento o acceso no autorizado,

habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos

a que están expuestos, ya provengan de la acción humana o del medio físico o natural”.

16 Art. 10 señala que “el responsable del fichero y quienes intervengan en cualquier fase del

tratamiento de los datos de carácter personal están obligados al secreto profesional y al deber

de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el

titular del fichero o en su caso, en el responsable del mismo”.

De estas resoluciones17 se desprenden las siguientes observaciones en

relación a los intervinientes en el ámbito de los ficheros judiciales. Así:

– La AEPD en el ámbito de la protección de datos judiciales reconoce “las

peculiaridades del modelo que se ha venido describiendo a fin de

determinar a quien corresponderá la responsabilidad como consecuencia

del posible incumplimiento de la LOPD…”18

.- En el caso del Fichero de Asuntos Jurisdiccionales la AEPD analiza la

LOPD y el régimen asignado a los Ficheros por el CGPJ. En sus

resoluciones recapitula el régimen de distribución de responsabilidades. Y

señala que:

Responsable del Fichero.- Es el Consejo General del Poder Judicial, como

creador del mismo19. Si bien podría ser en esta cualidad autor de las

infracciones contenidas en los arts. 9 y 10 de la LOPD no ha sido

sancionado por considerar la AEPD que el CGPJ ha sido “particularmente

diligente en orden a concienciar e instruir a los usuarios de los sistemas

informáticos de gestión judicial sobre como cumplir con la LOPD”20.En

este sentido dos son los instrumentos a valorar según la AEPD:

17 – Resolución R/0235/2009 de 11 de Noviembre de 2009 (Procedimiento Nº AP/00015/2009:

Actuaciones de inspección a la entidad Juzgado de Primera Instancia nº 6 de Sevilla por la

aparición en la vía pública de documentación judicial conteniendo datos de carácter personal

con repercusión en informativos Tele-5 . – Resolución R/023420/2009 de 11 de Noviembre.( Procedimiento Nº AP/00027/2009: Actuaciones de inspección a la entidad Audiencia

de 2009

Provincial de La Coruña por la aparición en la vía pública de documentación judicial

conteniendo datos de carácter personal con repercusión en informativos Tele-5) – Resolución(Procedimiento Nº AP/00020/2009: Actuaciones de

R/02338/2009 de 11 de Noviembre de 2009

inspección ante los Juzgados nº 3 y 6 de Alzira (Valencia) en relación a la aparición en vía

pública de documentación judicial conteniendo datos de carácter personal del Juzgado de

Primera Instancia nº 6 de Sevilla, con repercusión en informativos Tele-5. En el curso del

expediente se acuerda iniciar procedimiento de Declaración de Infracción de Administraciones

Públicas a la Consejería de Presidencia, Administraciones y Justicia de la Generalitat

Valenciana.

18 R/023525/2009 Fundamento Derecho X.

19 R/023525/2009 Fundamento Derecho VIII.

Además el propio CGPJ en su Reglamento 1/2005 de 15 de Septiembre, art- 95 “La creación,

modificación y supresión de los ficheros automatizados de datos de carácter personal

dependientes de los Juzgados y Tribunales tendrá lugar mediante acuerdo del CGPJ que se

publicará en el BOE y en los diarios oficiales de las Comunidades Autónomas y se notificará ala

Agencia de Protección de Datos.

20 R/02325/2009 Fundamento de Derecho IX.

1.- Aprobación del “Código de Conducta para usuarios de equipos y

sistemas informáticos al servicio de la Administración de Justicia”.21

remitido por correo a todos los órganos judiciales. En él, el CGPJ

establece pautas de conducta tendentes a concienciar a los usuarios sobre la

seguridad de los equipos informáticos y de las comunicaciones. Define

como “usuario” a todos los profesionales que prestan sus servicios en los

órganos judiciales (Jueces, Magistrados, Secretarios Judiciales, etc…).

2.- Aprobación de los “Criterios Generales de Seguridad en los Sistemas de

Información al servicio de la Administración de Justicia”.22

En él se contienen una serie de medidas que permitan mejorar y/o

homogeneizar el nivel de seguridad existente en los sistemas de gestión

procesal. Esos criterios generales deberán después ser desarrollados e

implantados por las Administraciones Públicas competentes en la dotación

de medios materiales. Y especialmente encomienda a las mismas la

elaboración del denominado Documento de Seguridad.

Por otro lado la AEPD el hecho de que el CGPJ haya instado del

Ministerio de Justicia y CCAA que se facilite a los órganos judiciales “los

medios materiales necesarios para cumplir la LOPD en lo relativo a la

destrucción de los documentos comprensivos de datos personales cuya

confidencialidad debe preservarse”constituye una conducta diligente que

permite exonerarle de responsabilidad. Y así en el caso concreto de que se

produzca una merma en la implantación de las medidas de seguridad, la

21 Instrucción 2/2003 de 26 de Febrero del Pleno del Consejo General del Poder Judicial sobre

Código de Conducta para usuarios de equipos y sistemas informáticas al servicio de la

Administración de Justicia. Remitida por correo a todos los órganos judiciales en 2003. El

objetivo de dicho Código de Conducta es concienciar a los usuarios sobre la seguridad en los

sistemas informáticos y las comunicaciones. Art. 4.1.Establece que las pautas de

comportamientos que establece serán de aplicación a todos los usuarios, sin perjuicio de las

normas reguladoras de su respectivo Estatuto Jurídico. En cuanto a la utilización de los

programas y archivos informáticos establece que todo usuario debe cumplir las medidas de

seguridad diseñadas por la Administración Pública competente, así como las prevenciones que

al efecto establezca el administrador o responsable del Sistema. En relación a los archivos que

contengan datos personales el Art. 6.1.4 señala que los usuarios que tengan acceso a dichos

archivos o documentos deben extremar las precauciones para evitar cualquier salida de

información de los mismos que pueda hacer incurrir en algún tipo de responsabilidad a la

Administración y/o al usuario incurrir en algún tipo de responsabilidad. Asimismo deberán

tenerse en cuenta todas las medidas de seguridad adoptadas en relación con los archivos que

contengan datos personales, tal y como constan en el documento de seguridad.

22 Aprobado mediante Acuerdo del Pleno de 19 de Septiembre de 2007.

misma sólo podría imputarse a quien por ministerio de la ley deba aportar

dichos medios necesarios para lograr dicha implantación. 23

Responsable del tratamiento.- Es el “órgano judicial” que conozca el

procedimiento. En este sentido no es óbice que el Juzgado como tal carezca

de personalidad jurídica para hacerle responsable, ya que esa condición no

se exige como condición en la definición que del responsable hace el art. 3

de la LOPD. El propio CGPJ en su Acuerdo de 20/09/06 establece que el

responsable es el órgano judicial.24. El Acuerdo expresa “quedando su

funcionamiento bajo la dependencia directa del Secretario Judicial”.

Encargado del tratamiento.- La Administración Pública competente en la

dotación de bienes materiales.25.

En este caso la Agencia de Protección de Datos reconoce que lo dispuesto

en la LOPD no tiene fácil traslación al ámbito judicial. El concepto de

encargado del tratamiento en dicha ley y su vinculación con el responsable

del tratamiento tienen unas características muy especiales. En el ámbito

judicial el responsable del tratamiento (órgano judicial) no puede ni

seleccionar al encargado (viene predeterminado por la estructura del Estado

y por quien ejerza la competencia en materia de medios materiales en la

Administración de Justicia), ni darle ninguna indicación, de las previstas en

el artículo 12 LOPD, ya que las mismas están predeterminadas

normativamente26 por el propio CGPJ.

23 R/02338/2009 Fundamento de Derecho XII: En ese caso concreto y como encargada del

tratamiento: “ En relación a la distribución competencial analizada en los fundamentos

anteriores es la Conserjería (de Justicia y AAPP de la Generalitat Valenciana) a quien

corresponde dotar e implementar las medidas de seguridad contempladas en el Reglamento de

desarrollo de la LOPD. Se la considera infractora de falta del artículo 9 tipificada como grave

por el art. 44.3. Entre otras circunstancias queda acreditada la no provisión de destructoras de

papel, pese a haberse solicitado así como desperfectos en las cerraduras de acceso a los

archivos habiéndose comunicado esta circunstancia oportunamente.

24 Acuerdo de 20 de Septiembre del Pleno del Consejo General del Poder Judicial, de creación

de ficheros de carácter personal dependientes de los órganos judiciales. BOE 12 Octubre de

2006 Anexo 1. F)

25 LOPJ. Art. 37 “Corresponde al Ministerio de Justicia o al órgano competente de la

Comunidad Autónoma con competencias en materia de justicia proveer a los Juzgados y

Tribunales de los medios precisos para el desarrollo de su función con independencia y

eficacia”.

26 Vid. Titulo VI Reglamento 1/2005 de los Aspectos Accesorios de las Actuaciones Judiciales

“Del procedimiento de aprobación de los programas, aplicaciones y sistemas informáticos de la

administración de justicia”. Arts. 98 y ss.

La figura del Secretario Judicial aparece mencionada en

relación a los ficheros de datos en dos instrumentos.

1.- En 2005, el Reglamento 1/2005 de los Aspectos accesorios de las

Actuaciones Judiciales, aprobado por Acuerdo de 15 de Septiembre en su

art. 91 señala: “De los ficheros automatizados de los órganos judiciales

unipersonales será responsable el Secretario del Juzgado. De los ficheros

dependientes de Tribunales será responsable el Secretario judicial que se

indique en el acuerdo de creación o modificación”.

2.- Acuerdo ya citado de 20 de Septiembre de 2006 de creación de ficheros

de carácter personal dependientes de los órganos judiciales. Arts 86 a

97.27.

A la luz de lo ya examinado, la mención genérica como

responsable que del Secretario Judicial hace el art. 91 del Rto 1/2005, debe

entenderse modificada por lo que un año más tarde el propio CGPJ matiza

en el Acuerdo 20/9/06.

Como ha quedado expuesto la AEPD ha confirmado esta

apreciación en sus resoluciones significando además que, referido al

Fichero de Asuntos Jurisdiccionales, el responsable es:

Del Fichero.- El propio CGPJ

Del tratamiento del fichero.- El “órgano judicial” quedando su

funcionamiento (se entiende el del fichero) bajo dependencia directa del

Secretario Judicial.

Además la AEPD ha manifestado expresamente que sí el Secretario

Judicial no ejerce sus funciones con la diligencia debida cabrá, en su caso,

depurar las responsabilidades disciplinarias que sean pertinentes. Pero no

entender que el ejercicio de dichas funciones produce como efecto sustituir

al órgano judicial como responsable del tratamiento evitando su condición

de infractor.28

27 BOE 12 Octubre de 2006 Arts 86 a 97.

28 R/02338/2009. Fundamento de Derecho VIII

Asimismo en relación a las infracciones contenidas la APD:

En relación al deber de adoptar de medidas de índole técnica y organizativa

que garanticen la seguridad de los datos del artículo 9, la AEPD ha

declarado infractora a la Administración competente como encargada del

tratamiento.29

En relación al deber de secreto contenido en el art. 10. la AEPD ha

manifestado que alcanza a todos lo que intervienen en cualquier fase del

mismo y no sólo al responsable del fichero o del tratamiento30. Ha

exonerado de la infracción al órgano judicial sí este actúa con diligencia al

solicitar la dotación de los medios materiales necesarios para impedir que

los hechos sucediesen (solicitar destructoras de papel a la Administración

Autonómica que por esta no se proveyeron31).

Por haber faltado al deber de cuidado al haberse encontrado documentación

judicial en contenedores accesibles para terceros ha considerado infractor al

“órgano judicial” en su condición de responsable del tratamiento por su

negligencia.

Como el propio Acuerdo de creación de ficheros reconoce

expresamente, es necesario respetar los respectivos estatutos profesionales

de los intervinientes32. Y sí se reconoce la necesidad de conjugar el

contenido de los ficheros con las “funciones y competencias que la LOPJ

atribuye a Jueces, Tribunales y Secretarios Judiciales al configurar el

diseño de la Oficina Judicial”, habrá que ver cual es el diseño de esta y en

concreto el estatuto jurídico del Secretario Judicial, bajo cuya dependencia

directa sitúa el CGPJ el funcionamiento del fichero.

29 R/02338/2009

30 Instrucción 2/2003 de 26 de Febrero. Art.6.1.4 del Código de Conducta para usuarios de

equipos y sistemas informáticos en el ámbito de la Administración de Justicia.

31 R/02342/2009

32 Exposición de Motivos Acuerdo. Apartado II refiriéndose al fichero de “Asuntos

Jurisdiccionales” señala que en relación al mismo se contempla al “órgano judicial” que

conozca del procedimiento como Responsable del tratamiento toda vez que al mismo le

corresponde determinar en el caso concreto, la finalidad, contenido y uso que se da al

tratamiento con sujeción a las normas procesales que resulten de aplicación y, en todo caso, aquedando su funcionamiento bajo la

las funciones y competencias que la LOPJ atribuye a Jueces, Tribunales y Secretarios

Judiciales al configurar el diseño de la Oficina Judicial,

dependencia directa del Secretario Judicial.”

El estatuto del Secretario Judicial en vigor se encuentra contenido entre

otras normas en la LOPJ 33, Reglamento Orgánico del Cuerpo de

Secretarios Judiciales34, LO 19/2003 de 23 de diciembre de modificación

de la LOPJ35, Ley 13/2009 de 3 de noviembre de reforma de la legislación

procesal para la implantación de la nueva Oficina Judicial36 y Ley 13/2009

de 3 de noviembre de reforma de la legislación procesal para la

implantación de la nueva Oficina Judicial. 37

De la lectura conjunta de sus preceptos resulta que el Secretario

Judicial ostenta en el nuevo modelo de Oficina Judicial, una papel

relevante desde el punto de vista de la dirección técnico procesal que le es

propia y que ahora, se ve aumentada en la medida en que se le atribuye en

determinados ámbitos no sólo las funciones de impulso formal del

procedimiento que tenían hasta ahora, sino también otras funciones que les

permitirán adoptar decisiones en materias colaterales a la función

jurisdiccional pero que resultan indispensables para la misma.38

La Nueva Oficina Judicial diseñada con la legislación que entró

en vigor el 4 de Mayo de 2010, tampoco ha producido en este ámbito una

atribución específica de cometidos concretos al Secretario Judicial. El

nuevo estatuto derivado de esta Ley 13/2009 atribuye al Secretario Judicial

numerosas facultades de índole procesal o de dirección técnica del proceso.

El fichero de Asuntos Jurisdiccionales es un soporte automatizado que

opera al servicio de todos los usuarios y sobre cuyo funcionamiento, como

tal soporte el Secretario Judicial, no tiene ni conocimientos apropiados ni

competencia decisoria, ya que:

– La finalidad del fichero.- Como hemos visto esta es una atribución

exclusiva del CGPJ

– El contenido del fichero.- Se delimita por los sistemas de gestión procesal

diseñados por cada Administración de Justicia (“Libra”, Minerva”

33 LO 6/1985 de 1 de julio del Poder Judicial. Libro VI .Tit. II “De los Secretarios Judiciales”.

34 RD 1608/2005 de 30 de diciembre. BOE 20 de enero de 006

35 BOE 26 Diciembre de 2003

36 BOE 4 de Noviembre de 2009

37 BOE 4 de Noviembre de 2009

38 Preámbulo Ley 13/2009 de 3 de noviembre. Aptdo II.

“Adriano”,etc… que cada vez incorporan más modelos normalizados) y

que deben cumplir el Test de compatibilidad que el CGPJ fija.

– Su uso.- El uso que se debe dar a la información viene prefijado por el

CGPJ en el denominado Código de Conducta para usuarios de equipos y

sistemas informáticos al servicio de la Administración de Justicia”39 que

vincula a todo usuario. El funcionamiento del fichero operará

automáticamente y bajo las prescripciones técnicas de quienes lo han

diseñado. El Secretario Judicial, como usuario del fichero, lo utilizará

ejerciendo las facultades jurídicas que le son propias pero debe

desvinculársele de cualquier dependencia sobre él en la medida en que no

tiene ninguna capacidad operativa, ni de decisión, etc ….sobre cual ha de

ser su funcionamiento.

Sería deseable aprovechar la sinergia que puede generar la reciente

firma, en Mayo de 2010, de un Convenio para reforzar la protección de

datos en la Administración de Justicia entre el CGPJ y la AEPD. Se prevé

39 Instrucción 2/2003 de 26 de Febrero

40 En este sentido y al hilo del nuevo panorama descrito sobre competencias del Secretario

Judicial y Nueva Oficina Judicial, debe superarse el concepto de Secretario Judicial como cajón

de sastre de todo lo que no encuentra fácil acomodo. En este sentido deben superarse

conceptos como el que recoge la Sentencia del TS, Sala Tercera, Sección Séptima, de 19 de

Septiembre de 2006. Dicha resolución se dictó en el Recurso 74/2003 desestimando recurso

contencioso administrativo interpuesto contra la Instrucción 2/03. Considera que las

referencias al Secretario Judicial como responsable:”… no hacen más que asumir su condición

de responsable del buen funcionamiento de la oficina judicial (Art. 8.1. b) del RD. 429/1988,…

se dictan sin perjuicio de su estatuto jurídico y… las consecuencias disciplinarias de la eventual

inobservancia de este Código serán extraídas en su caso, aplicando dicho estatuto jurídico

(apartado 15º de la Instrucción)…”. El buen funcionamiento de la oficina judicial no permite

atribuir genéricamente responsabilidades al mismo en ámbitos que no son acordes al Estatuto

Jurídico del Secretario Judicial, y por tanto es exigible una urgente revisión de este escenario

normativo.

la creación de una comisión de seguimiento entre cuyas funciones este el

fomento de actividades que contribuyan al desarrollo de los derechos de los

ciudadanos y reuniones periódicas por parte de representantes de ambas

instituciones con el objetivo de desarrollar iniciativas que permitan

impulsar la aplicación efectiva de la normativa de protección de datos en el

conjunto de la Administración de Justica. Sería deseable la participación en

dichas iniciativas de representantes del Ministerio de Justicia y de las

Consejerías competentes de las CCAA así como de otras Administraciones

y organizaciones para la consecución de los objetivos del convenio. En este

sentido sería especialmente valiosa la participación de las asociaciones

profesionales del Cuerpo de Secretarios Judiciales en la misma. Fruto de

los trabajos de esa comisión debería surgir un documento unificador que

aclare las pautas para la destrucción de documentos que deben ser

observadas en los órganos judiciales y la dotación imprescindible de

destructoras en todos ellos.

Al amparo de la implantación de la Nueva Oficina Judicial en

este año 2010 y el cambio estructural que ello supone, sería deseable

también que algún aspecto el Código de Conducta para usuarios de

equipos contenido en la Instrucción 2/2003 de 26 de Febrero se revisará y

adaptase también a las nuevas circunstancias tecnológicas que se van a

vivir en cuanto el expediente digital sea una realidad. La información

circulará por las UPAD´s y Servicios Comunes, entrando en contacto con

ella distintos operadores y usuarios por métodos no manuales como hasta

ahora, lo que implica ventajas (identificación de cada usuario en contacto

con la información) y riesgos (errores en los circuitos que deba recorrer la

información).

Los nuevos conceptos que la LPD ha incorporado al

ordenamiento añaden un universo de conceptos, modos de hacer y

responsabilidades al ya sobrecargado trabajo cotidiano en los juzgados

españoles. Sí la seguridad en la información que se dispensa debe ser

estrictamente respetada, también es cierto que los nuevos códigos de

comportamiento ante las NNTT deben ser convenientemente explicados

ante los empleados de los juzgados y tribunales para que conozcan como

deben hacer su trabajo y no cometer ningún error. Las consecuencias de

estos últimos deben estar previstas y exigirán una consecuencia

individualizada a las infracciones que se puedan producir ahora que los

sistemas técnicos reconocen la traza identificadora de cada usuario en el

sistema.