Encabezamiento
A U D I E N C I A N A C I O N A L
Sala de lo Contencioso-Administrativo
SECCIÓN PRIMERA
Núm. de Recurso:0000002/2018
Tipo de Recurso:DERECHOS FUNDAMENTALES
Núm. Registro General:03068/2018
Demandante: Fernando
Procurador:JOSÉ ALVARO VILLASANTE ALMEIDA
Letrado:FERNANDO SIMO SEGUI
Demandado:AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Abogado Del Estado
Ponente IImo. Sr.:D. FERNANDO DE MATEO MENÉNDEZ
S E N T E N C I A Nº:
IImo. Sr. Presidente:
D. EDUARDO MENÉNDEZ REXACH
Ilmos. Sres. Magistrados:
Dª. LOURDES SANZ CALVO
D. FERNANDO DE MATEO MENÉNDEZ
Dª. NIEVES BUISAN GARCÍA
Madrid, a catorce de diciembre de dos mil dieciocho.
Vistos por la Sala, constituida por los Sres. Magistrados relacionados al margen, los autos del recurso contencioso-administrativo número 2/18, interpuesto por el procedimiento especial de protección de los derechos fundamentales de la persona, por el Procurador de los Tribunales don José Álvaro Villasante Almeida, en nombre y representación deDON Fernando , contra la resolución de 24 de abril de 2018 de la Directora de la Agencia Española de Protección de Datos, que confirma en reposición la resolución de 8 de marzo de 2018, por la que se le impone una sanción de 600.000 euros por una infracción del art. 37.1.f) de la Ley Orgánica 15/1999 , de 13 de diciembre, tipificada como muy grave en el art. 44.4.c) de la cita norma, y otra de 80.000 euros por la vulneración del art. 40 de la reseñada Ley Orgánica, tipificada como grave en el art. 44.3.j) de la misma. Han sido partesLA ADMINISTRACIÓN DEL ESTADO, representada por el Abogado del Estado, yEL MINISTERIO FISCAL.
Antecedentes
PRIMERO.- Admitido el recurso y previos los oportunos trámites procedimentales se confirió traslado a la parte actora para que, en el término de ocho días formalizara la demanda, lo que llevó a efecto mediante escrito presentado el día 2 de julio de 2018 en el que, tras exponer los hechos y fundamentos de derecho que estimó oportunos, terminó solicitando: 'Que tenga por presentado este escrito, con los documentos que se acompañan, y por formalizado Recurso de Protección de Derechos Fundamentales contra la Resolución n° RR/241/2018, emitida por la Agencia Española de Protección de Datos en el expediente sancionador n° PS/433/2017'.
SEGUNDO.- Formalizada la demanda se dio traslado de la misma al Ministerio Fiscal y al Abogado del Estado para que la contestaran en el plazo de ocho días, lo que realizaron mediante los pertinentes escritos presentados, respectivamente, los días 7 y 13 de septiembre de 2018, alegando los hechos y fundamentos jurídicos que estimaron pertinentes, solicitando la desestimación del recurso, y que se declarara la plena adecuación a derecho del acto administrativo impugnado.
TERCERO.- Mediante Auto de 1 de octubre de 2018 se acordó el recibimiento del recurso a prueba, admitiéndose la prueba documental propuesta por la parte actora. Una vez practicada la prueba admitida, por diligencia de ordenación de 13 de noviembre de 2018, quedaron los autos conclusos para sentencia, señalándose para votación y fallo el día 11 de diciembre del presente año, fecha en que tuvo lugar.
SIENDO PONENTEel Magistrado Ilmo. Sr. Don FERNANDO DE MATEO MENÉNDEZ.
Fundamentos
PRIMERO.- El demandante impugna la resolución de 24 de abril de 2018 de la Directora de la Agencia Española de Protección de Datos, que confirma en reposición la resolución de 8 de marzo de 2018, por la que se le impone una sanción de 600.000 euros por una infracción del art. 37.1.f) de la Ley Orgánica 15/1999 , de 13 de diciembre (en adelante LOPD), tipificada como muy grave en el art. 44.4.c ) de la cita norma, y otra de 80.000 euros por la vulneración del art. 40 de la reseñada Ley Orgánica, tipificada como grave en el art. 44.3.j) de la misma.
Los hechos probados en los que se funda la resolución sancionadora, son los siguientes:PRIMERO:El 23/02/2009 fue dictada resolución R/01398/2009 en el ámbito del procedimiento sancionador PS/0629/2008, en el que se declaró la inmovilización del fichero DOMICILIOS que se explotaba por las entidades SABERLOTODO INTERNET, S.L., TRUMBIC e INFORMACIÓN PRIVILEGIADA y respecto de las que JVLF ha sido administrador, apoderado y representante en distintas actuaciones de esta Agencia.
SEGUNDO:El 28/09/2016 fue dictada resolución R/02314/2016 en el ámbito del procedimiento sancionador PS/00156/2016, en el que se sanciono a MEGAINFORMES ON- LINE S.L. por vulneración del artículo 37.1.0 y a MULTIGESTION IBERIA 2014, S.L.U., por vulneración del artículo 6. Asimismo, se archivó por caducidad de actuaciones previas a IIGC y a JVLF y se ordenaba a la Subdirección de Inspección de Datos la apertura del expediente NUM000 que trae causa el presente procedimiento.
En el citado procedimiento se declararon como hechos probados que tanto MEGAINFORMES como IIGC eran conocedoras de la resolución de inmovilización del fichero DOMICILIOS, de acuerdo con la vinculación de JVLF con las entidades señaladas anteriormente (ex administrador, domicilios de contacto de los servicios de telecomunicaciones coincidente, líneas de teléfono y otros servicios contratados por las citadas empresas).
TERCERO:El Registro Mercantil de Alicante en escrito de 19/12/2017 ha informado que '...en la hoja... abierta en este RegistroaMEGAINFORMES, figura practicada inscripción70,al folio... del tomo...general, por la que se inscribe un determinado poder otorgado a favor de JVLF, en virtud de otorgada en Alicante, el 18 de marzo de 23016, ante su Notario ...'.
CUARTO:Consta acreditado que a través de la página web www.inglobaly.com se ofrece un servicio de consulta de datos personales. La estructura delainformación, la página principal y los menús y submenús de la citada web, coinciden con el servicio ofrecido por TRUMBIC en la explotación del fichero DOMICILIOS.
QUINTO:Resulta acreditado que al menos hasta el 08/08/2016, intentado el acceso a la dirección web www.trumbic.com la navegación es redireccionadaa la dirección web www.inglobaly.com.
SEXTO:En accesoala web www.inglobaly.com figura como responsable la entidad IIGC, con domicilio en Drake Chambers RO. Box 3321 Road Town (Tórtola) 1 British Virgin lslands; dicha sociedad tiene CIF y domicilio fiscal en España. Aparece como teléfono de contacto 902750353 y como dirección electrónica de contacto la dirección web support@inglobaly.com.Según ha informado la operadora el número 902750353 ha sido contratado por IIGC, con domicilio de contacto en C/ Aparisi Guijarro, 9 Esc 1, 2c, 03014- Alicante, coincidente con el domicilio aportado por MEGAINFORMES en la inscripción en el RGPD.
SÉPTIMO:La dirección web www.inglobaly.com informa que los servicios on-line que presta son, entre otros, Localización de viviendas y sus residentes, que coincide exactamente con los datos que recoge el fichero inmovilizado DOMICILIOS, mediante Resolución de 23/02/2009, dictada en el procedimiento sancionador PS/0629/2008.
OCTAVO:En la dirección IP 62.42.232.184 que aloja el servidor web www.inglobaly.com,estuvo alojado anteriormente www.trumbic.com y actualmente también está alojado el servidor web www.megainformes.com ; la citada dirección IP aloja un servicio de hosting dedicado que significa que la información que contiene es únicamente gestionada por el titular del servicio, en este caso MEGAINFORMES.
NOVENO:En el Informe de Actuaciones Previas de Inspección consta que el sitio web www.megainformes.es aparecía redirigido a www.inglobaly.com. Una consulta al DNS arroja como resultado que el titular del dominio megainformes.es es MEGAINFORMES. Posteriormente esta redirección se ha quitado y aparece una web cuyo responsable declarado es MEGAINFORMES.
DÉCIMO:MEGAINFORMES tiene declarado en el RGPD el fichero GUIA ELECTRÓNICA TELEFÓNICA que coincide en cuanto a los datos que tiene y la finalidad, con el que fue inscrito por SABERLOTODO como 'DOMICILIOS' y que fue objeto de inmovilización.
UNDÉCIMO:La entidad MULTIGESTION ha sido sancionada en la resolución R/00537/2014 de fecha 13/03/2014 en relación con el tratamiento de datos procedentes del fichero DOMICILIOS en ejecución se su contrato con TRUMBIC.
DUODÉCIMO:Resulta acreditado que MULTIGESTION contrato el servicio de localización de personas con TRUMBIC, accediendo a dicha información a través de la página web de ésta -www.trumbic.com,cuyas características coinciden con el servicio que presta IIGCatravés de la página web de esta-www.inglobaly.com-aMULTIGESTION IBERIA 2014, S.A.U. en cuanto a estructura de la información, interface, menús, y submenús.
DECIMOTERCERO:MULTIGESTION IBERIA 2014, S.A.0 sucedió en derecho y obligaciones a MULTIGESTION IBERIA S.A.U., (con los mismos administradores, domicilio social y asesoría jurídica) resultando probado que tuvo accesoala web www.inglobaly.com como cliente.
DECIMOCUARTO:En ejecución del contrato de fecha 01/10/2014 entre MULTIGESTION IBERIA 2014, SAU e IIGC (folio 304 y siguientes), aquella accedióa100 registros - nombre, apellidos y DNI- (folio 312).
DECIMOQUINTO:Consta que el 01/12/2016 y el 01/02/2017 se remitió a JAEB, en su condición de socio y administrador único de IIGC, requerimientos de información, e informándoles que de acuerdo con lo establecido por el artículo 44.3.i) de la LOPD , puede ser constitutivo de infracción grave el no atender los requerimientos de la Agencia Española de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidasono proporcionar cuantos documentos o informaciones les sean solicitados, siendo en tal caso aplicable el régimen sancionador previsto en su Título VII.
DECIMOSEXTO:Consta que el 01/12/2016 y el 01/02/2017 se remitió a JVLF, en su condición de socio y administrador único de IIGC, requerimientos de información, e
informándoles que de acuerdo con lo establecido por el artículo 44.3.0 de la LOPD ,
puede ser constitutivo de infracción grave el no atender los requerimientos de la Agencia Española de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas o no proporcionar cuantos documentos o informaciones les sean solicitados, siendo en tal caso aplicable el régimen sancionador previsto en su Título VII.
DECIMOSÉPTIMO:Con fechas 05/01/2017 y 17/2/2017 tienen entrada escritos remitidos por JAEB en que niega mantener relación alguna con IIGC y desconoce la información que se le solicita.
DECIMOCTAVO:Con fecha 13/1/2017 y 16/2/2017 tienen entrada escritos remitidos por JVLF en los que se niega a aportar la información y documentación solicitada.
DECIMONOVENO:CAIXABANK ha aportado Apostilla notarial en la que se señala que En fecha 6 de junio de 2012 se constituyó, según la Ley de Sociedades de las Islas Vírgenes Británicas, la sociedad IIGC, siendo JAEB socio único y administrador único de dicha sociedad.
VIGÉSIMO:TBS en escrito de 21/09/2015 ha aportado Comunicación de Tarjeta Acreditativa del Número de Identificación Fiscal (NIF) de la AEAT de fecha 05/08/2013, dando traslado a la entidad IIGC de la Tarjeta de Identificación Fiscal (NIF) a la dirección en C/ Aparisi Guijarro 9, Planta 1, Puerta B -03014-Alicante (folio 72).
VIGESIMOPRIMERO:El 04/11/2015 la TBS ha informado que los números asociados a las líneas de teléfono 810101424 y 902750353 (teléfono de contacto que aparecía en la web de IIGC) fueron contratados por IIGC y que como datos de contacto, contratación y pago asociados a dicha empresa figura JAEB, C/ Aparisi Guijarro 9, Planta 1, Puerta B, 03014-Alicante, e-mail inglobaly@gmail.com y móvil de contacto 617899068. Aporta también TBS copia del escrito de la AEAT anterior por el que se asignaba NIF a IIGC y certificado de registro de IIGC en el Registro de Sociedades (Registrar of Corporate Affairs) de las Islas Vírgenes Británicas (folios 127 y ss.).
Asimismo, la entidad manifiesta:
- Que las líneas 902750353 y 810101424 se redireccionan a la línea 617899068. Y en relación con el n° 810101424.
- Que la línea 810101424 está contratada por JAEB, con dirección en C/ Aparisi Guijarro 9, Planta 1, Puerta B, 03014-Alicante, e-mail inglobaly@gmail.com y móvil 617899068.
VIGESIMOSEGUNDO:Consta factura emitida el 30/03/2015 por IIGC a Multigestión Iberia S.A.; como cuenta bancaria de pago figura cuenta de la entidad CAIXABANK, quien informa que es de titularidad de IIGC y que la única persona con acceso a la misma es JAEB, con dirección en la C/ Aparisi Guijarro 9, Planta 1, Puerta B, 03014-Alicante".
SEGUNDO.-La infracción por la que ha sido sancionado el actor es por un incumplimiento de la obligación de inmovilización del fichero 'DOMICILIOS', acordada por el Director de la Agencia Española de Protección de Datos conforme a lo dispuesto en el art. 37.1.f) de la LOPD , en relación con el art. 49 de la citada Ley . El art. 37.1.f) establece como funciones de la Agencia Española de Protección de Datos 'requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones'.
Mientras que el art. 49 dispone:'En los supuestos constitutivos de infracción grave o muy grave en que la persistencia en el tratamiento de los datos de carácter personal o su comunicación o transferencia internacional posterior pudiera suponer un grave menoscabo de los derechos fundamentales de los afectados y en particular de su derecho a la protección de datos de carácter personal, el órgano sancionador podrá, además de ejercer la potestad sancionadora, requerir a los responsables de ficheros de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido, el órgano sancionador podrá, mediante resolución motivada, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las personas afectadas'.
El demandante aduce como el primer motivo de derecho fundamental infringido, la vulneración del art. 24.2 de la Constitución , por haberse lesionado el derecho de defensa, al no haber podido defenderse en el procedimiento previo sancionador que impone la obligación de inmovilizar el fichero 'DOMICILIOS', ya que no se le hizo ningún requerimiento previo para que se inmovilizara el fichero tal y como establece el art. 49 de la LOPD , pues solamente se requirió a Saberlotodo Internet, S.L. Se alude a la Sentencia de esta Sala de 15 de marzo de 2013 , dictada en el procedimiento especial de derechos fundamentales n° 2/2011.
TERCERO.-En la Sentencia del Tribunal Constitucional 82/2009, de 23 de marzo , se declara:"Al respecto, conviene recordar que este Tribunal, desde la STC 18/1981, de 8 de junio , FJ 2, ha establecido que al ejercicio de las potestades sancionadoras de la Administración se son de aplicación las garantías procedimentales previstas en el art. 24.2 CE , si bien no mediante su aplicación literal, sino en la medida necesaria para preservar los valores esenciales que se encuentran en la base de dicho precepto y la seguridad jurídica que garantiza el art. 9.3 CE (por todas, SSTC 44/1983, de 24 de mayo, FJ 3 ; 28/1989, de 6 de febrero, FJ 6 ; 3/1999, de 25 de enero, FJ 4 ; 117/2002, de 20 de mayo, FJ 5 ; 205/2003, de 1 de diciembre, FJ 3 ; 35/2006, de 13 de febrero, FJ 3 ; 272/2006, de 25 de septiembre, FJ 2 ; y 70/2008, de 23 de junio , FJ 4). Asimismo hemos advertido que el proceso contencioso-administrativo no puede servir para remediar las posibles lesiones de garantías constitucionales causadas por la Administración en el ejercicio de su potestad sancionadora ( SSTC 125/1983, de 26 de diciembre, FJ 3 ; 89/1995, de 6 de junio, FJ 4 ; 7/1998, de 13 de enero, FJ 6 ; 59/2004, de 19 de abril, FJ 3 ; 243/2007, de 10 de diciembre, FJ 3 ; y 70/2008, de 23 de junio , FJ 7, por todas)".
Por su parte, dicho Tribunal en la Sentencia 92/1996, de 27 de mayo , recogiendo doctrina consolidada, declara que:'entre el haz de garantías que integran el derecho a un proceso justo se incluye el derecho a la defensa y a la asistencia letrada que el art. 24.2 CE reconoce no sólo para el proceso penal sino también para el resto de los procesos, con las salvedades oportunas, y cuya finalidad es la de asegurar la efectiva realización de los principios de igualdad de las partes y de contradicción que imponen a los órganos judiciales el deber positivo de evitar desequilibrios entre la respectiva posición procesal de las partes, o limitaciones en la defensa que puedan inferir a alguna de ellas un resultado de indefensión , prohibido en todo caso en el inciso final del art. 24.1 CE ( STC 47/1987 )'.
Finalmente, en la Sentencia de 3/1999, de 3 de enero se dice:"... este Tribunal ha ido elaborando progresivamente una doctrina que asume la vigencia en el ámbito administrativo sancionador de un conjunto de garantías derivadas del contenido del art. 24 C.E ., de las que, conforme se expuso en la STC 7/1998 , conviene destacar ahora el derecho de defensa, excluyente de la indefensión ( SSTC 4/1982 , 125/1983 , 181/1990 , 93/1992 , 229/1993 , 95/1995 , 143/1995 ). En este sentido, hemos afirmado la exigencia de que el implicado disfrute de una posibilidad de defensa previa a la toma de decisión y, por ende, que la Administración siga un procedimiento en el que el expedientado tenga oportunidad de aportar y proponer las pruebas que estime pertinentes y alegar lo que a su derecho convenga ( SSTC 18/1981 , 2/1987 , 229/1993 , 56/1998 ), la vigencia del derecho a la utilización de los medios pertinentes para la defensa ( SSTC 12/1995 , 212/1995 , 120/1996 , 127/1996 , 83/1997 ), del que se deriva que vulnera el art. 24.2 C.E . la denegación inmotivada de una determinada prueba ( STC 39/1997 ), así como la prohibición de utilizar pruebas obtenidas con vulneración de derechos fundamentales ( STC 127/1996 ). Igualmente, son de aplicación los derechos a ser informado de la acusación, con la ineludible consecuencia de la inalterabilidad de los hechos imputados ( SSTC 31/1986 , 29/1989 , 145/1993 , 297/1993 , 195/1995 , 120/1996 ), y a la presunción de inocencia ( SSTC 76/1990 , 120/1994 , 154/1994 , 23/1995 , 97/1995 , 14/1997 , 45/1997 ), que implica que la carga de la prueba de los hechos constitutivos de la infracción recaiga sobre la Administración ( SSTC 197/1995 , 45/1997 )".
CUARTO.-El procedimiento sancionador en el que se hizo el requerimiento de inmovilización del fichero a la sociedad Saberlotodo Internet, se concluyó por resolución de 23 de febrero de 2009 del Director de la Agencia Española de Protección de Datos, confirmada en reposición por la resolución de 3 de abril de 2009, que acordó la inmovilización del fichero 'DOMICILIOS', del que según se dice era responsable Saberlotodo Internet, S.L., y que obligaba a la misma a cesar en la utilización y cesión de los datos de carácter personal registrados en dicho fichero, así como a adoptar las medidas oportunas para que el acceso a la información que contenía quedara imposibilitado.
Interpuesto recurso contencioso-administrativo contra la citada resolución, fue desestimado por Sentencia de esta Sección de 30 de abril de 2010 -recurso nº. 428/2009 -. En dicha Sentencia se recogían los siguientes datos fácticos relevantes:'Saberlotodo Internet SL es una empresa cuya actividad es la prestación de servicios de acceso a bases de datos por terceros a través de Internet, concretamente a través del sitio web 'Saberlotodo.com'. Para ello formaliza con sus clientes un contrato de suministro de información vía Internet, que permite a éstos, mediante la utilización de una clave de usuario, acceder a la información contenida en los ficheros de tal recurrente, a través del mencionado sitio Web.
A fecha de 30 de julio de 2008 (Acta de inspección que figura en los folios 154 a 289 del expediente) Saberlotodo contaba con un total de 124 clientes, disponiendo cada uno de ellos de varios usuarios. A fecha 21 de octubre de 2008, se encontraban conectados durante el acto de inspección, 335 usuarios.
Según el resultado de las inspecciones realizadas a la empresa actora por la AEPD, referidas en el párrafo anterior, Saberlotodo es titular de un fichero denominado 'DOMICILIOS' que contiene datos personales relativos a más de treinta y siete millones de afectados. Asociados a la mayoría de ellos figuran datos que no constan en fuentes accesibles al público como son los de fecha de nacimiento, el número de DNI y la indicación del piso y puerta de los domicilios respectivos figurando, además, en muchos casos, un domicilio actual y uno anterior.
Según la descripción del fichero recabada de Saberlotodo que figura actualizada a 30 de junio de 2008, el número total de registros es de 36.812.617, disponiendo todos ellos de fecha de nacimiento, y de los que 3.442.902 registros disponen además del dato relativo al DNI.
En la repetida Inspección de 30-7-2008, se realizó una búsqueda de datos personales asociados a diez apellidos seleccionados al azar, obteniéndose determinadas impresiones en pantalla, que figuran en las actuaciones y en las que se verifica que la indicación sobre el piso y la puerta asociados al domicilio consta en ocho de ellas, y la fecha de nacimiento en nueve de ellas.
Realizada la búsqueda de los datos personales de los denunciantes MJ, CCL, JFA y JGC en las páginas blancas de abonados al servicio telefónico, no se encontraron datos relativos a los mismos.
A fecha 27-10-2008, los datos relativos a ocho de las diez personas seleccionadas al azar, cuyos datos personales figuran en el fichero de Saberlotodo, no se encuentran en las páginas blancas accesibles a través de Internet.
Los anteriores hechos determinaron la apertura del procedimiento sancionador PS/629/2008, con fecha de 5/12/2008 (folios 541 y siguientes) en el que, además de la infracción grave del artículo 43.3.d) LOPD , se imputa a Saberlotodo una infracción muy grave del Art. 44.4.b) de la misma, derivada del incumplimiento de lo dispuesto en el Art. 11.1 de dicha Ley 15/1999 .
Acuerdo de inicio de procedimiento sancionador en el que se requería a Saberlotodo para que, en el plazo improrrogable de tres días, cesase en la utilización y cesión ilícita de los datos de carácter personal registrados en el fichero 'Domicilios' y que hubiesen sido obtenidos, según el representante de la entidad, del censo de población, y de los padrones municipales de habitantes, o bien facilitados a dicha actora por la entidad Detectives Lucentum SL, o recabados por el propio representante de Saberlotodo con anterioridad a 1980, en el ejercicio de una actividad privada que no ha justificado y que afectan, según sus manifestaciones, a 22.000 registros.
En el mismo Acuerdo se advertía a Saberlotodo que, en caso de no atender aquel requerimiento, se podría acordar la inmovilización del fichero 'domicilios', a los solos efectos de restaurar los derechos de las personas afectadas, concediéndole un plazo de tres días para que, en relación con el levantamiento de la medida, alegara lo que estimara conveniente.
Examinado el escrito de alegaciones presentado por Saberlotodo en respuesta al indicado requerimiento, y considerando la Administración que en ellas no se desvirtuaban los hechos y fundamentación jurídica que justificaba el Acuerdo, el Director de la AEPD, mediante resolución de 8/01/2008 (folios 704 y siguientes) resolvió no acceder al levantamiento de dicha medida acordada el 5-12-2008, concediéndole un nuevo plazo de diez días para alegaciones y advirtiéndole nuevamente de que, en caso de no cesar en la utilización y cesión ilícita de los datos de carácter personal registrados en el fichero Domicilios, el Director de la AEPD mediante resolución motivada, podría acordar la inmovilización del repetido fichero, a los efectos de restaurar los derechos de las personas afectadas.
Dentro del referido plazo Saberlotodo presenta escrito en la que no hace referencia a medida alguna adoptada y referida al cese en la utilización y cesión de datos acordada'.
El recurso de casación formulado contra la anterior Sentencia, fue desestimado por Sentencia del Tribunal Supremo de 26 de noviembre de 2012 -recurso nº. 4.126/2010 -.
QUINTO.-El recurrente funda la conculcación del art. 24.2 de la Constitución , derecho de defensa, al no ser parte en el procedimiento que se siguió para que se produjera la inmovilización del fichero 'DOMICILIOS', en la Sentencia de esta Sala de 15 de marzo de 2013 , que estimó el recurso contencioso-administrativo interpuesto contra la resolución de 21 de septiembre de 2011 de la Agencia Española de Protección de Datos, PS-00146/2011-, por la que se le impuso una sanción de 600.000 euros por una infracción muy grave del art. 44.4.d) de la Ley Orgánica 15/1999 , de 13 de diciembre. Pero se olvida dicha parte, que el recurso de casación interpuesto por el representante legal de la Administración del Estado contra la citada Sentencia, fue estimado por la Sentencia del Tribunal Supremo de 8 de junio de 2015 -recurso nº. 1.651/2013 -, y desestimó el recurso contencioso-administrativo contra la citada resolución de 21 de septiembre de 2011.
En la reseñada Sentencia del Tribunal Supremo de 8 de junio de 2015 , se dice al respecto:"Pues bien, aquí sucede que don Fernando admitió haber tenido conocimiento de la inmovilización de su fichero 'DOMICILIOS', del cual, además, es el encargado de los tratamientos según consta en el Registro General de Protección de Datos, y no ha desvirtuado las imputaciones de la Agencia Española de Protección de Datos que señalan la continuidad en la actividad de ese fichero pese a la existente orden de inmovilización y su concreta responsabilidad al respecto. Por otro lado, es cierto que, como apunta el Abogado del Estado, esa inmovilización tiene una naturaleza objetiva pues sirve para evitar la vulneración del derecho a la protección de datos constitutiva de infracción grave o muy grave originada por tratamientos contrarios a la Ley Orgánica. Su razón de ser no descansa, pues, en la cualidad de un determinado sujeto, no responde a criterios sentados intuitu personae sino a la continuidad de tratamientos ilícitos y a su carácter lesivo del derecho fundamental. De ahí que consista en la prohibición de que se use el fichero inmovilizado. Estas características de la inmovilización se perciben con absoluta claridad en este caso porque la orden de cese de los tratamientos del fichero 'DOMICILIOS' obedece a que los datos personales obrantes en él se obtuvieron de manera ilegítima.
Establecidas estas premisas, vemos que se ha dado el presupuesto de hecho contemplado por el artículo 44.4 d) de la Ley Orgánica 15/1999 : existía un previo requerimiento de la Agencia Española de Protección de Datos y, sin embargo, no se cesó en el tratamiento de los datos del fichero 'DOMICILIOS'. Y ese requerimiento, aunque no se le hizo personalmente a don Fernando , ni podía ser desconocido por éste --en cuanto Administrador Único de SABERLOTODO, encargado de los tratamientos del fichero y, según destacó en el expediente, propietario del mismo-- ni, de hecho, lo desconoció. Al contrario, era plenamente consciente de él tal como ha admitido...
En estas particulares circunstancias, debemos decir que la resolución recurrida en la instancia no puede considerarse lesiva del derecho de defensa en el procedimiento dirigido a sancionar el incumplimiento de la orden de inmovilización. Don Fernando ha conocido todas las actuaciones de la Agencia Española de Protección de Datos, sabía que el fichero 'DOMICILIOS' estaba inmovilizado, no respetó la prohibición de utilizarlo e, incoado ese procedimiento, se le notificó tal hecho, participó activamente en el expediente, impugnó en él cuanto consideró conveniente a su derecho, se le notificó la propuesta de resolución, alegó contra ella y recurrió en reposición la resolución sancionadora. No se advierte en esta secuencia ningún rasgo de indefensión. Y el único en que se fija la Audiencia Nacional, no habérsele hecho personalmente el requerimiento de cesar en los tratamientos, materialmente no produce el efecto lesivo del artículo 24 de la Constitución https://www3.poderjudicial.es/search/juez/inde x.jspque apreció la sentencia recurrida, pues, al margen de que esa inmovilización, fue confirmada judicialmente, don Fernando la conocía y no pudo no conocer tampoco el proceso judicial en que esa confirmación se produjo.
En efecto, además de lo que consta en el expediente, en la sentencia de la Sección Sexta de esta Sala de 26 de diciembre de 2012 (casación 4126/2010 ) se recoge como 'en fechas 30 de julio de 2008 y 21 de octubre de 2008, los inspectores de la AEPD acudieron a la sede de Saberlotodo Internet, S.L. debidamente autorizados y en presencia del Administrador de la empresa Saberlotodo Internet, S.L., D. Fernando , y con su colaboración, accedieron a través de la web de Saberlotodo al fichero 'Domicilios', para verificar su contenido y efectuar las comprobaciones oportunas. El resultado de dichas inspecciones, efectuadas en el domicilio de la empresa recurrente, obtenido con observancia de las garantías exigibles, constituye la prueba en que se basa la decisión de la AEPD de inmovilización del fichero que ahora se enjuicia'.
Insistimos, pues, en que el sancionado ni desconoció que el fichero estaba inmovilizado ni que su empresa estaba cuestionando la legalidad de tal medida cautelar, ni, en fin, se vio impedido de recurrir contra una decisión que le impedía usar su fichero".
Por tanto, en virtud de lo expuesto, no cabe apreciar que se haya producido indefensión material al demandante, al proceder a la inmovilización del fichero 'DOMICILIOS', debiéndose desestimar el primer motivo de impugnación.
SEXTO.-En segundo lugar, se invoca por el recurrente la vulneración del principionon bis in idem, que se encuentra íntimamente ligado a los principios de legalidad y tipicidad de las infracciones recogidos en el art. 25.1 de la Constitución .
Se argumenta al respecto, que la Agencia Española de Protección de Datos impuso al actor la sanción en el procedimiento sancionador nª. PS/00156/2016, que castigaba al recurrente por idéntica sanción a la que es objeto del presente recurso (PS/00433/2017), es decir, el incumplimiento de la orden o requerimiento de inmovilización del fichero DOMICILIOS, y dicho procedimiento terminó mediante el archivo del mismo por caducidad de las actuaciones previas de inspección, y posteriormente, la Agencia incoó otro procedimiento con idéntico sujeto, objeto y causa, por lo que es palmario que debe de aplicarse al mismo el principionon bis in idem. En este caso, como el procedimiento sancionador ha terminado, archivándose el mismo como consecuencia de la caducidad de las actuaciones previas, deviniendo nulo, y por tanto no puede incoarse un nuevo procedimiento sancionador que traiga causa del anterior por aplicación directa del principionon bis in ídem.
En el procedimiento sancionador PS/00156/2016, se dictó resolución el 28 de septiembre de 2016, acordándose archivar el procedimiento a la entidad IIGC y al aquí recurrente por la caducidad de las actuaciones previas de investigación, de acuerdo con el art. 122.4 del Real Decreto 1.720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la LOPD, si bien se ordenaba a la Subdirección de Inspección de Datos a la apertura del expediente E/ NUM000 , al no haber prescrito las infracciones que se les imputaban.
La Sentencia del Tribunal Constitucional 77/2010, de 19 de octubre , recuerda la doctrina que dicho Tribunal ha desarrollado acerca del citado principionon bis in idem:"a) Ya en la STC 2/1981, de 30 de enero , se situó el principio non bis in idem bajo la órbita del art. 25.1 CE , a pesar de su falta de mención expresa, dada su conexión con las garantías de tipicidad y legalidad de las infracciones, y se delimitó su contenido como la prohibición de duplicidad de sanciones en los casos en que quepa apreciar una triple identidad del sujeto, hecho y fundamento (FJ 4; así como, entre muchas otras, SSTC 2/2003, de 16 de enero, FJ 3 ; 236/2007, de 7 de noviembre , FJ 14). La garantía de no ser sometido a bis in idem se configura, así, como un derecho fundamental ( STC 2/2003 , FJ 3, citando la STC 154/1990, de 15 de octubre , FJ 3; 188/2005, de 4 de julio FJ 2), cuyo alcance en nuestra doctrina se perfila en concordancia con el expreso reconocimiento que del mismo han hecho los convenios internacionales sobre derechos humanos, tales como el Pacto internacional de derechos civiles y políticos de la ONU del 19 de diciembre de 1966, ratificado por España mediante Instrumento publicado en el 'BOE' núm. 103, de 30 de abril de 1977, en su art. 14.7, el Protocolo 7 del Convenio europeo de derechos humanos , ratificado por España mediante Instrumento publicado en el 'BOE' núm. 249, de 15 de octubre de 2009, en su art. 4, o la Carta de los derechos fundamentales de la Unión Europea, que recoge la prohibición de doble sanción en su art. 50 .
Tal como hemos afirmado, la citada triple identidad de sujeto, hecho y fundamento 'constituye el presupuesto de aplicación de la interdicción constitucional de incurrir en bis in idem, sea éste sustantivo o procesal, y delimita el contenido de los derechos fundamentales reconocidos en el art. 25.1 CE , ya que éstos no impiden la concurrencia de cualesquiera sanciones y procedimientos sancionadores, ni siquiera si éstos tienen por objeto los mismos hechos, sino que estos derechos fundamentales consisten precisamente en no padecer una doble sanción y en no ser sometido a un doble procedimiento punitivo, por los mismos hechos y con el mismo fundamento' [ SSTC 2/2003, de 16 de enero, FJ 5 ; y 229/2003, de 18 de diciembre, FJ 3 ; 188/2005, de 4 de julio , FJ 2 c )].
b) En su vertiente material -que es la que ahora nos ocupa-, el citado principio constitucional impide que un mismo sujeto sea sancionado en más de una ocasión con el mismo fundamento y por los mismos hechos, toda vez que ello supondría una reacción punitiva desproporcionada que haría quebrar, además, la garantía del ciudadano de previsibilidad de las sanciones, pues la suma de la pluralidad de las sanciones crea una respuesta punitiva ajena al juicio de proporcionalidad realizado por el legislador y materializa la imposición de una sanción no prevista legalmente [ SSTC 2/2003, de 16 de enero, FJ 3 ; 48/2007, de 12 de marzo, FJ 3 ; 91/2009, de 20 de abril , FJ 6 b)].
c) Por otra parte, aunque este principio ha venido siendo aplicado fundamentalmente para proscribir la duplicidad de sanciones administrativas y penales respecto a unos mismos hechos, esto no significa que sólo incluya la incompatibilidad de sanciones penal y administrativa por un mismo hecho en procedimientos distintos, sino que, en la medida en que el ius puniendi aparece compartido en nuestro país entre los órganos judiciales penales y la Administración, el principio non bis in idem opera también internamente dentro de cada uno de estos ordenamientos en sí mismos considerados, proscribiendo, cuando exista una triple identidad de sujeto, hechos y fundamento, la duplicidad de penas y de procesos penales y la pluralidad de sanciones administrativas y de procedimientos sancionadores, respectivamente [ STC 188/2005, de 4 de julio , FJ 2 b)]".
Así las cosas, no ha existido vulneración del principionon bis in idem, ya que hay doble sanción en el caso de que se haya sancionado dos veces por los mismos hechos, y en el caso de autos, no se ha sancionado más que una vez, pues el procedimiento sancionador anterior, que se siguió en su día, no terminó en sanción alguna, por la obvia razón de que el procedimiento terminó en caducidad. Y dicha la declaración de caducidad del procedimiento no implica la prescripción ni impide el ulterior ejercicio delius puniendien un nuevo procedimiento, como de manera reiterada ha declarado el Tribunal Supremo, como en las Sentencias de 12 de junio de 2006 , de 27 de febrero de 2006 -recurso nº 84/2004 -, o la de 13 de diciembre de 2016 -recurso nº. 2.941/2015 -, entre otras.
En este sentido, en cuanto a la caducidad de las actuaciones previas de investigación, dijimos en la Sentencia de 25 de abril de 2017 -recurso nº. 1.712/2015 -:"Al respecto, el art. 92 de la Ley 30/1992, de 26 de noviembre , vigente a la sazón, -actualmente art. 95 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas -, al que se remite su art. 44.2 al prever la caducidad de los procedimientos en los que la Administración ejercite potestades sancionadoras, entre otros, establece los efectos de la caducidad que, con independencia de provocar el archivo del procedimiento, 'no producirá por si sola la prescripción de las acciones del particular o de la Administración pero los procedimientos caducados no interrumpirán el plazo de prescripción'. Por consiguiente, declarada la caducidad de las actuaciones previas de investigación iniciadas por la Agencia Española de Protección de Datos, tal circunstancia no supone obstáculo alguno para que dicha entidad proceda a iniciar o reiniciar otras actuaciones previas de investigación sobre los mismos hechos, siempre y cuando no hubiere transcurrido el plazo de prescripción de la infracción administrativa objeto de investigación. En este sentido nos hemos pronunciado en nuestras Sentencias de 10 de julio de 2013 - recurso nº. 323/2012-, de 21 de octubre de 2014 - recurso nº. 376/2013 -, y de 27 de octubre de 2015 - recurso nº.343/2014 -".
Por otro lado, como pone de manifiesto el Abogado del Estado en la contestación a la demanda, no existiendo segunda sanción, los efectos de la caducidad del procedimiento sancionador serian una cuestión de mera legalidad y no materia de derechos fundamentales. En este sentido, se pronuncia la Sentencia del Tribunal Supremo de 28 de octubre de 2009 - recurso nº. 5.877/2007 -.
SÉPTIMO.-A tenor del art 139.1 de la Ley de la Jurisdicción procede imponer las costas a la parte recurrente.
VISTOSlos artículos citados, y demás de general y pertinente aplicación.
Fallo
Que procede desestimar el recurso contencioso-administrativo interpuesto por el procedimiento especial de protección de los derechos fundamentales de la persona, por el Procurador de los Tribunales don José Álvaro Villasante Almeida, en nombre y representación deDON Fernando , contra la resolución de 24 de abril de 2018 de la Directora de la Agencia Española de Protección de Datos, que confirma en reposición la resolución de 8 de marzo de 2018, por la que se le impone una sanción de 600.000 euros por una infracción del art. 37.1.f) de la Ley Orgánica 15/1999 , de 13 de diciembre, tipificada como muy grave en el art. 44.4.c) de la cita norma, y otra de 80.000 euros por la vulneración del art. 40 de la reseñada Ley Orgánica, tipificada como grave en el art. 44.3.j) de la misma y, en consecuencia, se declara las citadas resoluciones conformes a derecho en los extremos examinados; con expresa imposición de costas a la parte recurrente.
La presente sentencia es susceptible de recurso de casación, que deberá prepararse ante esta Sala en el plazo de 30 días contados desde el siguiente al de su notificación; en el escrito de preparación del recurso deberá acreditarse el cumplimiento de los requisitos establecidos en el art. 89.2 de la Ley de la Jurisdicción justificando el interés casacional objetivo que presenta.
Así, por esta nuestra Sentencia, lo pronunciamos, mandamos y firmamos.
PUBLICACIÓN.- Dada, leída y publicada fue la anterior Sentencia en Audiencia Pública. Doy fe.
Madrid a
LA LETRADA DE LA ADMINISTRACIÓN DE JUSTICIA
