Sentencia ADMINISTRATIVO Audiencia Nacional, Sala de lo Contencioso, Sección 1, Rec 1071/2015 de 28 de Marzo de 2017

Encabezamiento

A U D I E N C I A N A C I O N A L

Sala de lo Contencioso-Administrativo

SECCIÓN PRIMERA

Núm. de Recurso:0001071/2015

Tipo de Recurso:PROCEDIMIENTO ORDINARIO

Núm. Registro General:02259/2015

Demandante:BANCO MARE NOSTRUM, SA

Procurador:D. ADOLFO MORALES HERNÁNDEZ-SAN JUAN

Letrado:D. DANIEL ABELEIRA BLANCO

Demandado:AGENCIA PROTECCIÓN DE DATOS

Abogado Del Estado

Ponente IImo. Sr.:D. EDUARDO MENÉNDEZ REXACH

S E N T E N C I A Nº:

IImo. Sr. Presidente:

D. EDUARDO MENÉNDEZ REXACH

Ilmos. Sres. Magistrados:

Dª. FELISA ATIENZA RODRIGUEZ

Dª. LOURDES SANZ CALVO

D. FERNANDO DE MATEO MENÉNDEZ

Dª. NIEVES BUISAN GARCÍA

Madrid, a veintiocho de marzo de dos mil diecisiete.

Visto el recurso contencioso administrativo que ante esta Sala de lo contencioso administrativo de la Audiencia Nacional ha promovidoBanco Mare Nostrum, SA, representado por el Procurador D. Adolfo Morales Hernández-San Juan,contra la Administración General del Estado, representada por el Abogado del Estado, sobre sanción por infracción grave de la Ley de Protección de Datos. Ha sido Ponente el Presidente de esta Sección Iltmo. Sr. D. EDUARDO MENÉNDEZ REXACH.

Antecedentes

PRIMERO.-El acto impugnado procede del Director de la Agencia Española de Protección de Datos y es la Resolución de 12 de febrero de 2015.

SEGUNDO.-Interpuesto recurso contencioso administrativo ante la Sala de lo Contencioso Administrativo de esta Audiencia Nacional, después de admitido a trámite y reclamado el expediente administrativo, se dio traslado al recurrente para que formalizara la demanda, solicitando en el suplico la estimación del recurso.

TERCERO.-Presentada la demanda, se dio traslado de la misma al Abogado del Estado, con entrega del expediente administrativo para que la contestara y, formalizada dicha contestación, solicitó en el suplico que se desestimaran las pretensiones del recurrente y que se confirmara el acto impugnado por ser conforme a Derecho.

CUARTO.-Contestada la demanda y no habiéndose solicitado recibir el pleito a prueba, una vez finalizada la tramitación, quedaron los autos conclusos para sentencia, señalándose para votación y fallo el día 14 de marzo de 2017 en el que, efectivamente, se votó y falló.

Fundamentos

PRIMERO.- El presente recurso tiene por objeto la Resolución de 12 de febrero de 2015 del Director de la Agencia Española de Protección de Datos (AEPD), por la que se impuso a la demandante una multa de 15.000 euros como responsable de una infracción del artículo 11.1 en relación con el 6.1, tipificada como grave en el artículo 44.3 k), de conformidad con lo establecido en el artículo 45.2, todos de la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de carácter personal (LOPD ).

SEGUNDO.-La recurrente solicita que se anule y se deje sin efecto la Resolución impugnada; subsidiariamente que se reduzca el importe de la sanción con arreglo al principio de proporcionalidad, aplicando la escala relativa a las infracciones leves en su grado mínimo.

En defensa de su pretensión alega que los hechos consisten en una denuncia presentada por Dª Herminia por la recepción de una carta enviada a su hijo Miguel Ángel en la que se le comunicaba la cesión de una deuda por importe de 189,68 euros que mantenía en su condición de titular de una cuenta corriente (libreta infantil) con la entonces Caixa Penedés, hoy BMN, a un tercero (VIENTO 1, S.A.R.L.); la deuda fue requerida por Caixa Penedés en varias ocasiones a la titular, sin recibir respuesta y tenía su origen en un seguro sanitario contratado por la denunciante con FIATC en el que Miguel Ángel figuraba como beneficiario y la denunciante como tomadora que contrató la cuenta, al ser su hijo menor de edad y en nombre de éste.

Fundamenta su pretensión en la inexistencia de responsabilidad, ya que se reclama una deuda cierta, vencida y exigible a su titular y consta en el expediente la existencia de documentos contractuales que acredita el cumplimiento del deber de obtener el consentimiento de la denunciante; añade que la normativa de protección de datos no exige que se recabe copia del DNI y, en el momento de la contratación, el menor tenía 5 años por lo que es probable que no tuviera el DNI y el consentimiento para el tratamiento de los datos fue otorgado por su representante legal, por lo que no cabe hablar de vulneración del artículo 6.1 LOPD ; en cuanto a la cesión de deuda se encuentra amparada por la legislación civil y mercantil y cita dos sentencias de esta Sala en supuestos idénticos favorables a sus pretensiones. Por otra parte considera que no concurre culpabilidad pues la falta de aportación del DNI no le es imputable ya que correspondía a Caixa Penedés, por lo que se infringen los principios de personalidad y culpabilidad. Subsidiariamente, invoca el principio de proporcionalidad, ya que la propia resolución habla de simple inobservancia, al ceder la deuda a VIENTO 1 sin haber podido aportar los documentos justificativos y rechaza la apreciación de la agravante consistente en el importante volumen de negocios de la demandante cuando, según un documento del Banco de España que obra en el expediente, representa un 2,8% de cuota de mercado.

TERCERO.-La representación de la Administración demandada, por su parte, opone que no se ha acreditado la identidad de la contratante de la cuenta ni su consentimiento efectivo en la contratación del seguro y, ante la negativa de la denunciante, la carga de la prueba de la identidad y del consentimiento corresponden a la demandante; en cuanto al artículo 45.5. LOPD ya ha sido aplicado por la Administración, por todo lo cual solicita la desestimación del recurso, con imposición de las costas a la demandante.

CUARTO.-La Resolución impugnada contiene la siguiente relación de Hechos probados:

'PRIMERO: La denunciante manifiesta que ha recibido una carta de la empresa VIENTO 1, fechada el 27 de septiembre de 2013 a nombre de su hijo menor de edad en la que le reclaman una deuda de 189,68 euros y que, según Viento 1, se adeudaba a BANCO MARE NOSTRUM S.A. La denunciante manifiesta que la deuda está a nombre de su hijo menor y que no ha tenido relación con esta entidad. (folios 1-5)

SEGUNDO: Queda acreditada la existencia de un contrato de cesión de una cartera de créditos entre Banco Mare Nostrum S.A y Viento 1 con fecha 28 de junio de 2013.(folios 20 a 90)

TERCERO: Se acredita la aportación por la entidad denunciada BANCO MARE NOSTRUM S.A.. de un contrato de una cuenta libreta joven de fecha 27 de diciembre de 2007 a nombre de la denunciante (madre) como administrador y Miguel Ángel (su hijo menor) como titular. El contrato está firmado en el renglón de administrador donde constan los datos de la madre. El contrato es de Caixa Penedés. (folios 133 a 138)

CUARTO: Se acredita la existencia de un documento de solicitud de seguro salud de la Correduría de Seguros de la Caja de Ahorro del Penedes fechado el 8 de enero de 2008, donde consta como tomador del seguro la denunciante. El documento está firmado por la Correduría y en el espacio del tomador. La cuenta donde se domicilia finaliza en los mismos dígitos que la cuenta nombrada en el hecho probado tercero. (folio 139)

QUINTO: Se acredita la existencia de un cargo del seguro de salud, donde consta como titular del seguro la denunciante (madre) y la reclamación del descubierto se hace a la cuenta detallada en los hechos probados tercero y cuarto donde consta como titular el hijo menor. (folios 140 a 144).'

Con base en los hechos anteriores, la Agencia declara la existencia de una infracción grave prevista en el artículo 11.1 en relación con el 6.1. LOPD , que sanciona la comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en la propia ley; de tal infracción se considera autora a la demandante y se le impone la multa en la cuantía mencionada en aplicación del art. 45.5 LOPD .

QUINTO.-El art. 11.1, dispone que'los datos de carácter personal objeto de tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado'y añade, en su apartado segundo, los supuestos en los que no será preciso dicho consentimiento, entre los que se encuentra el que la cesión esté amparada por una ley ( art.11.2.a), que es invocado en la demanda al amparo del Código Civil ( artículo 1.528) y del Código de comercio (artículo 347).

El art.3 h) de la LOPD define el'consentimiento del interesado'como'toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen'.

Como ha recordado esta Sala en su sentencia de 13 de septiembre de 2013, recurso 65/12 : «[...] El principio del consentimiento expresado conllevará, por tanto, la necesidad del consentimiento inequívoco del afectado para que puedan tratarse sus datos de carácter personal, permitiéndose así a aquel ejercer efectivo control sobre dichos datos y garantizando su poder de disposición sobre los mismos. Dicho consentimiento podrá prestarse de forma expresa, oral o escrita, o de manera tácita, mediante actos reiterados y concluyentes que revelen su existencia [...]»,añadiendo que: «[...] el consentimiento ha de ser necesariamente 'inequívoco'. De modo que ha de aparecer como evidente, o, lo que es lo mismo, que no admite duda o equivocación, pues éste y no otro es el significado del adjetivo utilizado para calificar el consentimiento.

Por otro lado, la carga de acreditar la existencia del 'consentimiento inequívoco', a que hace referencia el art. 6.1 de la LOPD , recae sobre la entidad responsable del fichero o encargada del tratamiento de los datos personales, cuando su existencia sea negada por el titular de tales datos ( Sentencia de esta Sección de 8 noviembre 2012 -recurso nº. 789/2010 -) [...]».

La demandante niega la existencia de responsabilidad con base en que la reclamación tiene por objeto una deuda cierta, vencida y exigible a su titular; con independencia de que estas características se refieren más al principio de calidad de los datos ( art. 4 LOPD ), lo que se pone de manifiesto en la resolución es la ausencia de prueba, por parte de la entidad bancaria, de la identidad de los contratantes,'mediante la documentación acreditativa de su personalidad que se recabase con ocasión de su contratación'(Fundamento de derecho III), a lo que aduce la demandante que la normativa de protección de datos no exige que se recabe copia del DNI, -que en el caso del menor no sería posible dada su corta edad en el momento de la contratación- y, en todo caso, ella no sería responsable pues la aportación de copia del DNI debía haber sido recabada por Caixa Penedés, dado el principio de culpabilidad y de personalidad.

Respecto de lo primero, esta Sala ha declarado reiteradamente (St. de 22 de Septiembre de 2015 R.121/2014, que cita otras anteriores) que la simple copia de los contratos no es suficiente para demostrar que se celebraron con el denunciante, ya que: «[...] la carga de acreditar la existencia del 'consentimiento inequívoco', a que hace referencia el art. 6.1 de la LOPD , recae sobre la entidad responsable del fichero o encargada del tratamiento de los datos personales, cuando su existencia sea negada por el titular de tales datos ( Sentencia de esta Sección de 8 noviembre 2012 -recurso nº. 789/2010 -) [...]».

En cuanto a la infracción del principio de personalidad, también ha declarado reiteradamente esta Sala, con apoyo en la doctrina del Tribunal Supremo, que la sanción impuesta a una entidad por la infracción cometida por otra absorbida por la primera, no infringe el artículo 25 de la Constitución ni el principio de personalidad; así en las sentencias de de 26 de diciembre de 2013, recurso 372/2012 , 24 de octubre de 2014, recurso 6/2014 y 14 de julio de 2015, recurso 265/2014 , cuya doctrina resulta plenamente aplicable al caso que nos ocupa se afirma lo siguiente:

«[...] El Tribunal Supremo ha declarado al respecto en la Sentencia de 20 de septiembre de 1996 -recurso nº. 3.606/1991 - que: "En el Derecho administrativo sancionador las personas jurídicas pueden ser responsables de los ilícitos administrativos -en la actualidad, tal posibilidad tiene el reconocimiento general que otorga el art. 130 de la Ley de Procedimiento Administrativo Común (LRJ y PAC), Ley 30/1992 -, y ello es una singularidad en el Derecho administrativo sancionador del requisito 'nulla poena sine culpa', en cuanto supone un reconocimiento modulado de la 'capacidad de culpabilidad' de las personas jurídica, que ha tenido una amplia y generalizada admisión normativa y jurisprudencial ( SSTS 13 de marzo de 1985 , 30 de junio de 1987 , 30 de noviembre de 1987 y 4 de abril de 1988 , entre otras muchas), sin perjuicio de que, al mismo tiempo, se establezcan, en determinados supuestos, responsabilidades solidarias o subsidiarias de personas físicas, como administradores o en cuanto adoptaron los acuerdos sociales que hicieron posibles las infracciones administrativas.

Ahora bien, en cualquier caso, es distinto el régimen de transmisibilidad de las sanciones administrativas en el supuesto de disolución de la persona jurídica sancionada que cuando se trata de la muerte o fallecimiento de la persona física sancionada. En el primer caso, en el momento de la disolución el haber social responde de las sanciones ( art. 235 C. de Co, 277 LSA , y éstas forman parte del pasivo transmitido a los socios, sin que ello pueda entenderse contrario al principio de responsabilidad personal que se asienta sobre una concepción de la culpabilidad no trasladable a las personas jurídicas, ya que en éstas se produce una modulación del principio derivado de la distinción conceptual entre autoría y responsabilidad, obligadas por exigencias de su propia naturaleza a actuar por medio de personas físicas y en contemplación última de intereses de éstas. Admitida, por tanto, la responsabilidad de las personas jurídicas en el ámbito administrativo sancionador, en términos distintos de los que derivan de las exigencias de la culpabilidad penal según el principio de 'societas delinquere non potest', nada impide la transmisión de dicha responsabilidad a quienes perciben su patrimonio en proporción al mismo y con independencia de su participación en el ilícito. Y también, como ha señalado esta Sala, es acorde con los principios del derecho punitivo, el que el infractor de una norma no pueda por su sola voluntad eludir que se haga efectiva la responsabilidad, como sucedería, por ejemplo, si las personas jurídicas en el ámbito del ejercicio de sus facultades pudieran a través de un proceso de fusión, absorción, sustitución o sucesión voluntaria dejar sin efecto unas determinadas sanciones ( STS de 18 de abril de 1994 ) [...]».

Esta conclusión se deduce, además, del contenido del artículo 45.5 e) LOPD , que al contemplar como atenuante privilegiada a la hora de establecer la cuantía de la sanción el hecho de que'se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente', con lo que se viene a reconocer que la responsabilidad de ésta no queda excluida, pese a no haber sido la autora de la infracción, circunstancia que se aplica en la resolución impugnada al considerar que el tratamiento inconsentido de datos fue realizado por Caixa Penedés.

En cuanto a las sentencias de esta Sala en las que pretende basar ahora un pronunciamiento favorable, no son semejantes al caso aquí enjuiciado pues, aunque en las mismas se trataba de supuestos de contratación por un menor con la intervención de sus representantes legales, en ambos casos no se cuestionaba la intervención de éstos y su identificación en tales contratos, a diferencia del caso actual en que la madre del menor niega rotundamente su participación en el contrato bancario origen y, como antes se ha expuesto, no ha quedado acreditado su consentimiento inequívoco en el tratamiento de datos de su hijo menor lo que, por otra parte pone de manifiesto la falta de diligencia de la recurrente al ceder los datos sin asegurarse de que contaba con tal consentimiento inequívoco, lo que integra el elemento culpabilístico de la infracción.

SEXTO.-En cuanto a la petición subsidiaria, formulada con base en el principio de proporcionalidad, hay que señalar que en el Fundamento de Derecho VI de la resolución se razona la concurrencia de diversas circunstancias del artículo 45.5, entre ellas la citada del apartado e) del artículo 45.5, por lo que se impone la sanción correspondiente a las infracciones leves; sin embargo, se aprecia también, como agravante, la recogida en el artículo 45.4.d) ('El volumen de negocio o actividad del infractor') 'Dado que estamos ante un banco con una importante cuota de mercado, hecho notorio sobre el que no es necesaria prueba' (Fundamento de derecho VI, párrafo penúltimo). Se viene a equiparar así la expresión legal 'volumen de negocio' con 'cuota de mercado', que no son necesariamente equivalentes; además, como se expone en la demanda, en el expediente administrativo figura un documento del Banco de España (folio 190) en el que se asigna a la entidad demandante una cuota de mercado del 2,8%, cifra que no parece excesivamente elevada.

La exclusión de esta circunstancia agravante ha de tener su reflejo en el importe de la multa que se fija en 5.000 euros, cantidad que se estima más acorde con el principio de proporcionalidad.

SÉPTIMO.-Por todas las razones anteriores procede estimar parcialmente el recurso y, en aplicación del art. 139.1. de la Ley de esta Jurisdicción no se imponen las costas a ninguna de las partes.

Fallo

PRIMERO.-Estimar parcialmente el presente recurso nº 1071/2015 interpuesto por el Procurador Sr. Morales Hernández-San Juan, en la representación que ostenta, contra la Resolución de la Agencia Española de Protección de Datos descrita en el primer Fundamento de Derecho, que se anula en el particular de la multa impuesta a la demandante, que queda fijada en 5.000 euros, manteniendo la resolución en todo lo demás.

SEGUNDO.-No hacer una expresa imposición de costas.

La presente sentencia es susceptible de recurso de casación que deberá prepararse ante esta Sala en el plazo de 30 días contados desde el siguiente al de su notificación; en el escrito de preparación del recurso deberá acreditarse el cumplimiento de los requisitos establecidos en el artículo 89.2. de la Ley de la Jurisdicción justificando el interés casacional objetivo que presenta.

Así, por esta nuestra sentencia, testimonio de la cual se remitirá junto con el expediente administrativo a su oficina de origen para su ejecución, lo pronunciamos, mandamos y firmamos.

PUBLICACIÓN.-Dada, leída y publicada fue la anterior sentencia en audiencia pública. Doy fe. En Madrid, a

LA LETRADA DE LA ADMINISTRACIÓN DE JUSTICIA