Sentencia ADMINISTRATIVO Audiencia Nacional, Sala de lo Contencioso, Sección 1, Rec 1181/2018 de 25 de Noviembre de 2021

Encabezamiento

A U D I E N C I A N A C I O N A L

Sala de lo Contencioso-Administrativo

SECCIÓN PRIMERA

Núm. de Recurso:0001181/2018

Tipo de Recurso:PROCEDIMIENTO ORDINARIO

Núm. Registro General:09118/2018

Demandante:ANFI SALES, SL.

Procurador:D. ALEJANDRO VALIDO FARRAY

Letrado:D. JOSÉ PUENTE ORENCH

Demandado:AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Codemandado:CANARIAN LEGAL ALLIANCE, SL

Abogado Del Estado

Ponente IImo. Sr.:D. EDUARDO MENÉNDEZ REXACH

S E N T E N C I A Nº :

IImo. Sr. Presidente:

D. EDUARDO MENÉNDEZ REXACH

Ilmos. Sres. Magistrados:

Dª. FELISA ATIENZA RODRIGUEZ

Dª. LOURDES SANZ CALVO

Madrid, a veinticinco de noviembre de dos mil veintiuno.

Visto el recurso contencioso administrativo que ante esta Sala de lo Contencioso Administrativo de la Audiencia Nacional ha promovido Anfi Sales, SL, representada por el Procurador D. Alejandro Valido Farray,contra la Administración General del Estado, representada por el Abogado del Estado, sobre archivo de denuncia presentada ante la Agencia Española de Protección de Datos; interviniendo como codemandada Canarian Legal Alliance SL, representada por el Procurador D. Francisco Montesdeoca Quesada. Ha sido Ponente el Presidente de esta Sección Iltmo. Sr. D. Eduardo Menéndez Rexach.

Antecedentes

PRIMERO.-El acto impugnado procede de la Directora de la Agencia Española de Protección de Datos y es la Resolución de 28 de marzo de 2018.

SEGUNDO.-Interpuesto recurso contencioso administrativo ante la Sala de lo Contencioso Administrativo de esta Audiencia Nacional, después de admitido a trámite y reclamado el expediente administrativo, se dio traslado al recurrente para que formalizara la demanda, solicitando en el suplico la estimación del recurso.

TERCERO.-Presentada la demanda, se dio traslado de la misma al Abogado del Estado, con entrega del expediente administrativo para que la contestara y, formalizada dicha contestación, solicitó en el suplico que se inadmitiera el recurso o que se desestimara y que se confirmara el acto impugnado por ser conforme a Derecho.

En el mismo trámite la codemandada formuló idéntica petición.

CUARTO.-Contestada la demanda se recibió el pleito a prueba, practicándose la propuesta y admitida a instancia del actor, con el resultado que obra en autos; una vez finalizada la tramitación, quedaron los autos conclusos para sentencia, señalándose para votación y fallo el día 11 de noviembre de 2021 en el que, efectivamente, se votó y falló.

Fundamentos

PRIMERO.- El presente recurso tiene por objeto la Resolución de la Directora de la Agencia Española de Protección de Datos, de 28 de marzo de 2018, por la que se inadmite el acceso a la información solicitada por ANFI SALES SL.

SEGUNDO.-La recurrente solicita que se declare:

(1) La no conformidad a derecho de la Resolución de 28 de marzo de 2018 de la Agencia Española de Protección de Datos.

(2) Decrete el acceso de Anfi Sales S.L. al expediente administrativo de la AEPD y en particular que se le proporcione la información relativa al origen o fuente de los datos personales de los Sres. Damaso, Belarmino, David, Benjamín, Diego, Donato, Borja, Edmundo, Eladio, Carmelo, Eliseo, Enrique, Celestino, Ernesto, Eugenio, Federico, Felipe y Fidel por parte de Canarian Legal Alliance S.L., para poder ver cómo obtuvo esta entidad esos datos personales y a través de qué personas o medios.

En defensa de su pretensión alega que interpuso tres denuncias contra Canarian Alliance ante la Agencia Española de Protección de Datos (AEPD) por utilizar los datos de dieciocho de sus clientes, que dieron lugar a un procedimiento ante la Agencia objeto de la Resolución 01701/2017, en la que se sancionó a la denunciada; esa resolución no le fue notificada y tuvo conocimiento de ella a través de la página web de la Agencia; los denunciantes solicitaron tener acceso al expediente para conocer qué autónomos habían tenido acceso a sus datos y les habían proporcionado los datos personales de forma ilegal a Canarian Alliance; mediante la Resolución impugnada, la Agencia denegó el acceso al expediente por considerar que la información podría afectar al secreto profesional, con base en el artículo 14.1. j) de la Ley 19/2013; previamente y al amparo de esta Ley, la demandante presentó una reclamación ante el Consejo de Transparencia y Buen Gobierno que, por resolución de 3 de agosto de 2018, la estimó parcialmente y ordenó a la AEPD que facilitara determinada información, sin analizar el cumplimiento de la LOPD, por no ser asunto de su competencia; contra esta Resolución interpuso recurso contencioso ante los Juzgados Centrales de lo Contencioso, admitido a trámite por el Juzgado Central nº 3 que, no obstante, entendió que no cabía acumular ambas acciones, debiendo recurrir separadamente la decisión relativa a la protección de datos, lo que hizo mediante el presente recurso.

Fundamenta sus alegaciones en el interés de los denunciantes en el expediente administrativo cuyos datos han sido tratados de forma ilegal, que tienen derecho a conocer quienes tienen sus datos y cómo los han obtenido, ya que Canarian Alliance alegó en su defensa que los había obtenido por medio de terceros con los que había contratado; ANFI también tiene interés como representante y apoderado de los denunciantes pues, como afirma la resolución de la AEPD que sancionó a Canarian Legal Alliance S.L., resulta que hay terceros que tienen los datos personales de los denunciantes y que fueron comunicados de forma ilegal a Canarian Legal Alliance S.L., pero el nombre de dichos terceros, las condiciones de dicha cesión y la forma cómo los terceros pudieron acceder ilícitamente a los datos son desconocidos para los denunciantes. Cita el artículo 5 LOPD, sobre el derecho a la información del titular de los datos, y el artículo 15 de la misma Ley sobre el derecho de acceso, derechos que han sido negados tanto por la AEPD como por el Consejo de Transparencia; cita también el artículo 14 del Reglamento General de Protección de Datos de la Unión Europea, así como el artículo 13 de la Ley 39/2015, sobre el derecho de acceso de los ciudadanos a la información pública, archivos y registros y entiende que la limitación de acceso al expediente administrativo bajo el criterio de que podría afectar al secreto profesional, no es aplicable en este caso, en que únicamente pretende conocer cómo ha obtenido los datos personales Canarian Alliance.

TERCERO.-La representación de la Administración demandada, por su parte, opone que el recurso es extemporáneo ya que el contencioso lo interpuso fuera del plazo de dos meses a contar desde la notificación de la resolución recurrida, que recurrió inicialmente ante el Consejo de Transparencia y Buen Gobierno, y la resolución de éste, de 3 de agosto de 2018, la impugnó ante los Juzgados Centrales de lo Contencioso donde recurría también, por extensión, la Resolución de la Agencia de 28 de marzo de 2018, recurso presentado el 26 de octubre del mismo año, fuera de plazo y, por tanto, inadmisible en aplicación del artículo 69 e) de la Ley de esta Jurisdicción; además, la resolución de la AEPD de 23 de agosto de 2018, dictada en aplicación de lo resuelto por el Consejo de Transparencia, no ha sido recurrida; subsidiariamente, concurre litispendencia pues el asunto objeto de recurso ha sido resuelto por el Juzgado Central de lo Contencioso nº 3 (P.O. 39/2018), cuya sentencia se encuentra apelada ante esta Sala, Sección séptima (Apelación 45/2020); subsidiariamente entiende que la Resolución es conforme a derecho pues el denunciante carece de la condición de interesado en el procedimiento sancionador que se puede incoar a resultas de su denuncia según doctrina reiterada del Tribunal Supremo, por lo que la solicitud de acceso al expediente del ahora recurrente encuentra su fundamento en el artículo 13 d) de la Ley 39/2015, de 1 de octubre, que se lo concede conforme a los principios y normas de la Ley de Transparencia, cuestión ya resuelta; por todo ello solicita la inadmisión del recurso o su desestimación.

La codemandada Canarian Legal Alliance SL, por su parte, solicita igualmente la inadmisión del recurso o su desestimación por los mismos motivos que el Abogado del Estado

CUARTO.-Para un correcto enfoque del presente recurso conviene exponer los hechos más relevantes que son los siguientes:

1) Anfi Sales es una sociedad radicada en Gran Canaria dedicada al sector turístico; en 2016 y 2017 interpuso varias denuncias en nombre de sus clientes, ante la Agencia Española de Protección de Datos, contra Canarian Alliance, por utilización de sus datos personales por parte de ésta.

2) La AEPD tramitó la denuncia y en su resolución declara probado el tratamiento de datos de carácter personal sin consentimiento de los titulares para la realización de envíos publicitarios por medios postales y por correos electrónicos y, al amparo del artículo 45.6 LOPD y 39 bis 2 de la Ley 34/2002, de 11 de julio, apercibe a la denunciada y le insta a cancelar los datos personales y a eliminar las direcciones de correos de los denunciantes.

3) Los denunciantes solicitaron, el 12 de enero de 2018, copia del expediente administrativo como interesados en el procedimiento para conocer qué personas habían accedido a sus datos personales.

4) La AEPD tramitó la petición conforme a la Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno; por resolución de 28 de marzo de 2018, les denegó el acceso al expediente por considerar que contenía información relativa al procedimiento de captación de clientes por parte de la denunciada, así como sus contratos con autónomos, indicando que contra la Resolución cabía interponer recurso ante esta Audiencia o, previa y potestativamente, ante el Consejo de Transparencia y Buen Gobierno.

5) Los demandantes interpusieron el recurso ante dicho Consejo que, por Resolución de 3 de Agosto de 2018, estimó en parte su reclamación decidiendo que la AEPD debía facilitar al reclamante copia del expediente administrativo, eliminando aquella información que a juicio leal y ponderado de la Agencia afecte a los secretos o los intereses comerciales de Canarian Alliance SL.

6) En cumplimiento de esa resolución la AEPD les remite copia del expediente, eliminando determinada información, el 24 de Agosto de 2018.

7) Contra la Resolución del Consejo de Transparencia, de 3 de agosto de 2018, los demandantes interponen recurso contencioso ante los Juzgados Centrales de este orden jurisdiccional que es desestimado por sentencia del Juzgado Central de lo Contencioso nº 3 (P.O. 39/2018) de 18 de diciembre de 2019; recurrida en apelación por Anfi Sales, por sentencia de 8 de febrero de 2021, dictada por la Sección Séptima de esta Sala, se desestima el recurso de apelación.

QUINTO.-Se opone por el Abogado del Estado la inadmisibilidad del recurso, al amparo del artículo 69.e) de la Ley de esta Jurisdicción, por haber sido interpuesto fuera del plazo de dos meses; es cierto que tal Resolución de 3 de agosto fue recurrida ante los Juzgados Centrales en plazo, pretendiendo un pronunciamiento sobre su derecho de acceso al expediente pero también sobre el origen o fuentes de información de los datos personales, lo que es excluido por el Juzgador, de modo que interpone el presente recurso contra la misma resolución de 28 de marzo de 2018, objeto de la resolución del Consejo de Transparencia, el 19 de diciembre de 2018, que está claramente fuera del plazo legal.

No obstante, en una interpretación pro actioney en virtud del principio antiformalista que informa esta Jurisdicción, se podría considerar que es a partir de la notificación de la Providencia, dictada el 5 de noviembre de 2018, en la que el Juzgado Central rechaza tramitar acumuladamente la acción ejercitada con base en la Ley de Transparencia y Buen Gobierno y la articulada conforme a la Ley de Protección de Datos, y le concede a la demandante nuevo plazo para la interposición del recurso contencioso respecto de la acción de protección de datos, cuando ha de situarse eldies a quodel cómputo del plazo, en cuyo caso el presente recurso se habría interpuesto dentro de plazo.

Aún con esa interpretación favorable a la admisión del recurso, éste carece de fundamento. En la sentencia de la Sección Séptima de esta Sala, antes mencionada, sí se aborda la cuestión referente a la aplicación de la Ley de Protección de Datos; en su Fundamento de Derecho Séptimo la sentencia argumenta lo siguiente:

«[...] Tiene razón la parte apelante, en cuanto que la decisión que se tome afecta a la resolución de 28 de marzo de 2018 de la AEPD.

La sentencia de instancia afirma que la demandante interpuso recurso contra dos resoluciones: la resolución del CTBG de 3 de agosto de 2018 y la resolución del AEPD de 28 de marzo de 2018, y que no era posible la acumulación.

La Sentencia entiende que no cabe impugnación de la Resolución de la AEPD.

Pero esto no es así. Contra la resolución de la AEPD cabía interponer directamente recurso contencioso-administrativo ante la Sala de la Audiencia Nacional o reclamación ante el CTBG. La parte actora interpuso reclamación ante el CTBG que resolvió y contra esa resolución, cabe interponer recurso-contencioso ante los Juzgados Centrales de lo Contencioso-Administrativo de la AN ( art. 9.1c) de la LJCA).

Por tanto, la Sentencia afectará a la resolución de la AEPD de 28 de marzo de 2018.

Sobre la falta de aplicación de los arts 5 y 15 de la LOPDy derecho de acceso de los denunciantes a la fuente de los datos personales: la parte apelante afirma que la Sentencia no dedica párrafo alguno a argumentar por qué dichos artículos no resultan de aplicación, pero la Sala III del TS tiene declarado que el principio de congruencia no requiere una correlación literal entre el desarrollo dialéctico de los escritos de las partes y la redacción de la sentencia. El requisito de la congruencia no supone que la sentencia tenga que dar una respuesta explícita y pormenorizada a todos y cada uno de los argumentos de las partes, siempre que exteriorice, tomando en consideración las pretensiones y alegaciones de aquéllas, los razonamientos jurídicos que, en el sentir del Tribunal, justifican el fallo.

Además:

Como alegó la AEPD no resultan de aplicación los arts. 5 y 15 de la LOPD de 1999 ni el articulo 14 del Reglamento UE 2016/19679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 ni el art. 11.3 de la LO 3/2018 de 5 de diciembre. Y ello porque el derecho de informacióna que se refiere el articulo 5 de la LOPD, tiene lugar cuando se produce la recogida de datos personales y el derecho de accesoque recoge el art. 15 de la LOPD se ejercita ·ante el responsable del tratamiento de los datos personales, y no mediante un acceso a la documentación obrante en un expediente administrativo. Lo mismo podemos decir del articulo 14 del Reglamento UE 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, que se refiere al 'responsable del tratamiento' y del articulo 3 de la LO3/2018, de 5 de diciembre, que se refieren al 'responsable'.

La parte demandante defiende que los interesados tienen un derecho subjetivo a conocer el origen de los datos personales que terceros tengan de ellos y ello porque el expediente administrativo tramitado por la AEPD fue incoado a instancia de la parte demandante.

Pues bien, el denunciante carece de la condición de interesado en el procedimiento sancionador que se pueda incoar a resultas de su denuncia, pues ni la LOPD, ni su Reglamento de desarrollo le reconocen esa condición ( asi lo declara la STS 6 de octubre de 2009 dictada en el recurso 4712/2005 y las que en ella se citan) .

Por tanto, su condición de denunciante no le legitima para acceder al expediente administrativo incoado tras la denuncia formulada.

No estamos en el ámbito de la LPD 15/1999 sino Ley 19/2013 de transparencia, acceso a la información pública y buen gobierno. Es por ello, que acertadamente, el CTBG razonó ' A este respecto, es preciso recordar que la función del CTBG no es velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos. Ésta es, literalmente, la función que el legislador ha encomendado a la Agencia Española de Protección de Datos, tal y como nos recuerda el artículo 37.1.a de la ya derogada Ley Orgánica 15/1999 .

Si bien es cierto que el artículo 15 de la Ley de Transparencia hace expresa referencia al modo en el que deben abordarse por el CTBG las cuestiones que puedan surgir en materia de protección de datos, se observa que el legislador ha configurado un régimen de carácter negativo: el CTBG controlará que no se faciliten datos en los supuestos que ahí se indican. Sin embargo, el legislador no ha conferido al CTBG una competencia para sustituir a la AEPD en sus funciones legalmente atribuidas, que es lo que se pretende de contrario.

Así, aún cuando el apelante insiste, con base en la LOPD, en que está solicitando que ' se le facilite el detalle sobre el origen de los datos personales de los denunciantes: cómo se obtuvieron y a través de qué personas', está claramente haciendo referencia a una situación que deberá ser revisada por la AEPD, pero que en ningún caso corresponde al CTBG, cuya resolución ahora se impugna.

En consecuencia, no correspondía al CTBG analizar si, al amparo de la normativa en materia de protección de datos, el recurrente tenía derecho a acceder a la información solicitada. Por tanto, este motivo de impugnación no puede prosperar

El derecho de acceso, que concede al interesado la posibilidad de comprobar si se dispone de información sobre uno mismo y conocer el origen del que procedey la finalidad con que se conserva, se recoge en el art. 15 de la LOPD que dispone '' 1. El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos'y articulo 27 del del Real Decreto 1720/2007, de 21 de diciembre que dispone'

'1. El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.

2. En virtud del derecho de acceso el afectado podrá obtener del responsable del tratamiento información relativa a datos concretos, a datos incluidos en un determinado fichero, o a la totalidad de sus datos sometidos a tratamiento.

No obstante, cuando razones de especial complejidad lo justifiquen, el responsable del fichero podrá solicitar del afectado la especificación de los ficheros respecto de los cuales quiera ejercitar el derecho de acceso, a cuyo efecto deberá facilitarle una relación de todos ellos.

3. El derecho de acceso es independiente del que otorgan a los afectados las leyes especiales y en particular la Ley 30/1992, de 26 de noviembre de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común'.

De conformidad con lo dispuesto en el art. 18 de la LOPD, el interesado al que se deniegue, total o parcialmente, el ejercicio del derecho de acceso podrá ponerlo en conocimiento de la Agencia de Protección de Datos que deberá asegurarse de la procedencia o improcedencia de la denegación a través del procedimiento de tutela de derechos previsto reglamentariamente, que se regula en los arts. 117 a 119 del Real Decreto 1720/2007, de 21 de diciembre, que aprueba el reglamento de la LOPD [...]».

A lo que cabe añadir que el recurrente carece de legitimación para que se acuerde la apertura de expediente sancionador por presunta vulneración de los artículos 43 y 44LOPD, conforme a la doctrina jurisprudencial mencionada, confirmada por la reciente sentencia del Tribunal Supremo de 5 de febrero de 2018 (R.2029/2016), en la que se afirma que: «[...] La pretensión de la defensa de la legalidad ---al margen de su regulación en el ámbito del derecho penal--- requiere, en el ámbito que nos afecta del derecho administrativo, de una específica y concreta habilitación que no se percibe ni se acredita en la materia de la protección de datos de carácter personal, debiendo recordarse que el poder punitivo pertenece únicamente a la Administración que es quien tiene encomendada la correspondiente potestad sancionadora ---en este caso, la Agencia Española de Protección de Datos---, y, por consiguiente, sólo la Administración tiene un interés tutelado por el Ordenamiento jurídico en que el infractor sea sancionado; lo contrario implicaría sustituir a la Administración en el ejercicio de la potestad sancionadora [...]».

SEXTO.-En resumen, los demandantes no tienen la condición de parte interesada en el expediente sancionador tramitado por la Agencia, y si pretendían acceder a sus datos personales y ejercitar los derechos de acceso, cancelación u otros reconocidos en la legislación sectorial, debían proceder en la forma indicada en la sentencia de la Sección séptima, que resuelve el recurso de apelación; la petición de acceso al expediente, realizado al amparo de la legislación de transparencia, fue examinada por el Consejo de Transparencia cuya resolución fue recurrida por los demandantes, a los que era en parte favorable, quienes, sin embargo, no recurrieron la ejecución y entrega parcial del expediente realizada por la Agencia el 24 de agosto de 2018.

SÉPTIMO.-Por todo lo anterior procede desestimar el recurso y, en aplicación del art. 139.1. de la propia Ley, imponer las costas a la parte demandante, cuyas pretensiones han sido totalmente desestimadas.

Fallo

PRIMERO.-Desestimar el presente recurso nº 1181/2018, interpuesto por el Procurador Sr. Valido Farray, en la representación que ostenta, contra la Resolución de la Agencia Española de Protección de Datos descrita en el primer Fundamento de Derecho, que se confirma por ser conforme a derecho.

SEGUNDO.-Imponer al demandante las costas del recurso.

La presente sentencia es susceptible de recurso de casación que deberá prepararse ante esta Sala en el plazo de 30 días contados desde el siguiente al de su notificación; en el escrito de preparación del recurso deberá acreditarse el cumplimiento de los requisitos establecidos en el artículo 89.2. de la Ley de la Jurisdicción justificando el interés casacional objetivo que presenta.

Así, por esta nuestra sentencia, testimonio de la cual se remitirá junto con el expediente administrativo a su oficina de origen para su ejecución, lo pronunciamos, mandamos y firmamos.