Sentencia ADMINISTRATIVO Audiencia Nacional, Sala de lo Contencioso, Sección 1, Rec 201/2018 de 22 de Octubre de 2019

Encabezamiento

A U D I E N C I A N A C I O N A L

Sala de lo Contencioso-Administrativo

SECCIÓN PRIMERA

Núm. de Recurso:0000201/2018

Tipo de Recurso:PROCEDIMIENTO ORDINARIO

Núm. Registro General:02050/2018

Demandante:AIQON CAPITAL ESPAÑA, SL

Procurador:D. FRANCISCO ABAJO ABRIL

Letrado:D. EDUARDO CALZADA HERNÁNDEZ

Demandado:AGENCIA PROTECCIÓN DE DATOS

Abogado Del Estado

Ponente IImo. Sr.:D. EDUARDO MENÉNDEZ REXACH

S E N T E N C I A Nº:

IImo. Sr. Presidente:

D. EDUARDO MENÉNDEZ REXACH

Ilmos. Sres. Magistrados:

Dª. LOURDES SANZ CALVO

Dª. NIEVES BUISAN GARCÍA

Madrid, a veintidos de octubre de dos mil diecinueve.

Visto el recurso contencioso administrativo que ante esta Sala de lo Contencioso Administrativo de la Audiencia Nacional ha promovido AIQON Capital España, SL., representada por el Procurador D. Francisco Abajo Abril,contra la Administración General del Estado, representada por el Abogado del Estado, sobre sanción por infracción grave de la Ley de Protección de Datos. Ha sido Ponente el Presidente de esta Sección Iltmo. Sr. D. Eduardo Menéndez Rexach.

Antecedentes

PRIMERO.-El acto impugnado procede del Director de la Agencia Española de Protección de Datos y es la Resolución de 4 de diciembre de 2017.

SEGUNDO.-Interpuesto recurso contencioso administrativo ante la Sala de lo Contencioso Administrativo de esta Audiencia Nacional, después de admitido a trámite y reclamado el expediente administrativo, se dio traslado al recurrente para que formalizara la demanda, solicitando en el suplico la estimación del recurso.

TERCERO.-Presentada la demanda, se dio traslado de la misma al Abogado del Estado, con entrega del expediente administrativo para que la contestara y, formalizada dicha contestación, solicitó en el suplico que se desestimaran las pretensiones del recurrente y que se confirmara el acto impugnado por ser conforme a Derecho.

CUARTO.-Contestada la demanda y no habiéndose solicitado recibir el pleito a prueba, una vez finalizada la tramitación, quedaron los autos conclusos para sentencia, señalándose para votación y fallo el día 8 de octubre de 2019 en el que, efectivamente, se votó y falló.

Fundamentos

PRIMERO.- El presente recurso tiene por objeto la Resolución de 4 de diciembre de 2017, confirmada en reposición por otra de 8 de febrero de 2018, de la Directora de la Agencia Española de Protección de Datos (AEPD), por la que se impuso a la demandante una sanción de 50.000 euros por infracción del art. 6.1 en relación con el 44.3 b) y otra de la misma cantidad, por infracción del artículo 4.3., en relación con el art.44.3 c), de conformidad con el artículo 45.3, todos de la Ley Orgánica de Protección de Datos (LOPD).

SEGUNDO.-La recurrente solicita que se anule la resolución por no ser ajustada a derecho, al adolecer la misma de error en la tipicidad por haber sancionado unos hechos que la demandante no desarrolló, pues únicamente procedió a hacer una novación en el fichero ya existente con los datos del denunciante.

Alega que, según la denuncia de Onesimo ante la Agencia de Protección de Datos, no tenía ninguna deuda con la demandante ni fue informado previamente de la inclusión en el fichero Asnef, pero lo cierto es que la deuda fue transmitida mediante cesión de cartera de crédito por Banco de Santander y procede del impago de la última cuota de un préstamo; el Banco inició un primer procedimiento ante el Juzgado de 1ª Instancia nº 4 de Getafe, que fue archivado y la demandante inició otro juicio en el Juzgado de 1ª Instancia nº 34 de Madrid, en el que el denunciante reconoció la deuda y llegó a un acuerdo con AIQON; en cuanto a la notificación previa a la inclusión en Asnef, la comunicación se hizo a la misma dirección que consta en toda la documentación del contrato; la carta fue devuelta expresando como motivo 'otros', pero es de aplicación lo dispuesto en el artículo 40.5 del Reglamento LOPD.

TERCERO.-La representación de la Administración demandada, por su parte, opone que la resolución es conforme a derecho y que la demandante trató los datos y los cedió a un fichero de solvencia pese a conocer que la carta en la que le comunicaba la cesión del crédito y le requería para su pago había sido devuelta, y no cabe la aplicación analógica del artículo 40.5 del Reglamento pues el requerimiento previo de pago está recogido expresamente en el artículo 38 del propio Reglamento, por todo lo cual solicita la desestimación del recurso.

CUARTO.-En la resolución se aprecia la existencia de dos infracciones: una del artículo 6.1 por falta de notificación de la cesión de la deuda y otra del artículo 4.3 por no constar la notificación del requerimiento de pago previo a la inclusión en el fichero de morosos.

Empezando por esta última, el art. 4.3. LOPD establece que 'Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado'.

Por su parte el art. 44.3.c) de la misma Ley tipifica como infracción grave: 'Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave'.

Como ha declarado esta Sala reiteradamente (por ejemplo, en la sentencia de 11 de enero de 2013, Recurso 285/2011, que cita otras anteriores): «[...]la razón de ser de dicho articulo 4.3 de la LOPD, tal y como esta Sala ha declarado con reiteración (Sentencia de1-10-09 -recurso nº.38/2009-) y en relación con los principios de proporcionalidad y finalidad, que igualmente se contemplan en el mismo precepto, es la de garantizar y proteger la calidad de la información sometida a tratamiento (exacta y puesta al día) por la que debe velar quien recoge y trata datos de carácter personal.

Requisito s de exactitud y veracidad, establecidos en la repetida LOPD, que son exigibles al titular del fichero o tratamiento, según deriva del propio artículo 4.3, no sólo en lo que atañe a la conservación de los datos personales en los propios ficheros, o a su comunicación a un fichero de solvencia patrimonial o crédito, sino también en cualquiera de las diversas fases o modos en los que puede manifestarse el tratamiento de los datos personales, teniendo en cuenta el concepto amplio que de tratamiento deriva del artículo 3.c) de la LOPD, que comprende no solo la recogida, grabación o conservación de los datos, sino también la elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias, y en cualquiera de dichas manifestaciones, se requiere la exactitud y veracidad de los datos personales por parte del responsable del fichero o tratamiento [...]».

En el presente caso hay que mencionar, además, el art. 29 de la citada Ley, que regula de forma específica la prestación de servicios de información sobre solvencia patrimonial y crédito, y que distingue dentro de ellos dos supuestos uno de los cuales es el relativo a los ficheros de solvencia patrimonial, en los que se tratan datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés, que se regulan en el apartado 2.

Estos ficheros se caracterizan porque no necesitan del consentimiento del afectado para la obtención y tratamiento de sus datos, lo que supone una excepción a los principios rectores de la LOPD (entre ellos el del consentimiento del afectado en el tratamiento y cesión de sus datos de carácter personal). No obstante, frente a esta excepción, la propia norma articula una serie de contrapesos, como es su limitación a un caso concreto (cumplimiento o incumplimiento de obligaciones dinerarias), y la obligación de notificar a los afectados el hecho de que se han registrado sus datos de carácter personal.

Por otra parte, el art. 38 del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (en lo sucesivo RDLOPD), fija los 'requisitos para la inclusión de los datos' en esos ficheros, precepto que ha sido impugnado en algunos de sus apartados ante el Tribunal Supremo, habiéndose dictado la Sentencia del Tribunal Supremo de 15 de julio 2010 -recurso nº. 23/2008- que anula, entre otros apartados, por disconformes a derecho, el último inciso del art. 38.1.a) y el apartado 2 del citado art. 38 del RDLOPD.

La redacción del art. 38 del RDLOPD, tras la aplicación de la citada Sentencia de 15 de julio de 2010, es la siguiente:

'1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:

a) Existencia previa de una deuda cierta, vencida, exigible que haya resultado impagada.

b) Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación.

c) Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.

2. El acreedor o quien actué por su cuenta o interés estará obligado a conservar a disposición del responsable del fichero común y de la Agencia Española de Protección de Datos documentación suficiente que acredite el cumplimiento de los requisitos establecidos en este artículo y del requerimiento previo a que se refiere el artículo siguiente'.

Y el art. 39 del citado RDLOPD, a su vez, dispone: 'El acreedor deberá informar al deudor, en el momento en que se celebre el contrato y, en todo caso, al tiempo de efectuar el requerimiento al que se refiere la letra c) del apartado 1 del artículo anterior, que en caso de no producirse el pago en el término prevenido para ello y cumplirse los requisitos previstos en el citado artículo, los datos relativos al impago podrán ser comunicados a ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias'.

Es decir, para la inclusión de los datos en ficheros de información sobre solvencia patrimonial y crédito, se requiere que la deuda sea cierta y que haya sido previamente requerida de pago. En el caso que nos ocupa, se sanciona a la parte actora porque incluyó los datos del denunciante en el fichero de solvencia patrimonial y crédito ASNEF sin que haya justificado cumplidamente la realización del requerimiento previo de pago con anterioridad a dicha inclusión.

Entiende la recurrente, que no cuestiona propiamente los hechos probados de la resolución, que la notificación realizada en el domicilio del denunciante, que figura en toda la documentación del contrato, es perfectamente válida y el sistema que tiene establecido para los envíos es perfectamente auditable para comprobar la realidad del envío de las comunicaciones y poder acreditarlo.

Sobre esta materia, viene reiterando la Sala (Sentencias de 9 mayo 2003, R. 1067/1999; 8 de marzo de 2006, R. 319/2004; 18 de julio de 2007, R. 17/2006; 28 de mayo de 2008, R. 107/2007; 17 de febrero 2011, R. 177/2010; 20 de septiembre de 2012, R. 127/2011 y de 14 de marzo 2014, Rec. 197/2013, entre otras muchas) que cuando el destinatario niega la recepción del requerimiento, recae sobre el responsable del fichero la carga de acreditar el cumplimiento de dicha obligación, siendo insuficiente los registros informáticos de la propia entidad que nada acreditan sobre la efectiva realización o cumplimiento de la citada obligación.

En este caso, consta en el expediente que una carta, fechada el 26 de junio de 2015, comunicando la cesión del crédito del banco a la demandante y requiriéndole el pago de la deuda, fue enviada por correo ordinario a la dirección que figura en el contrato de cesión del crédito y fue devuelta el 27 de agosto de 2015 figurando 'otros' como motivo de la devolución, lo que demuestra que la carta no llegó a ser entregada, sin que se especifiquen las razones de ello; en estas circunstancias no es posible concluir que la demandante actuó conforme a los preceptos antes mencionados ya que, pese a tener constancia de tal devolución, procedió a incluir los datos del denunciante en el fichero de solvencia el 27 de noviembre de 2015.

La normativa no exige, ciertamente, que el requerimiento se lleve a cabo de una determinada forma o que se efectué por correo certificado con acuse de recibo, pero lo que si exige es que quien informa los datos a un fichero de morosidad deberá asegurarse que concurren todos los requisitos exigidos legal y reglamentariamente a tal fin, lo que implica que deberá estar en condiciones, caso de ser necesario, de poder acreditar la concurrencia de dichos requisitos ( Sentencia de 25 de marzo 2010, R. 407/2009, por todas).

Así, ha quedado acreditado que la demandante, sin asegurarse de que la carta poniendo en conocimiento del denunciante la cesión del crédito y el requerimiento de pago previo a la inclusión en el fichero de morosos había llegado a su destinatario, incluyó en el fichero los datos, en la fecha indicada, lo que integra la infracción grave del artículo 4.3. en relación con el 44.3 c) LOPD.

En conclusión, y frente a la pretensión principal, resulta acreditada la infracción del artículo 44.3. c) LOPD, de la que es responsable la demandante que debió desplegar una mayor diligencia para el cumplimiento de la obligación que le incumbía.

QUINTO.-Distinta consideración merece la infracción del artículo 6.1 LOPD que la resolución fundamenta en que AIQON ' al no haber notificado la cesión de deuda al denunciante [...] está infringiendo desde el momento de dicha cesión de deuda -16/06/2015- que conlleva la cesión de datos del denunciante, el artículo 6.1 de la Ley'(Fundamento de derecho II).

Sin embargo, la obligación de realizar tal notificación no corresponde al cesionario del crédito, sino al cedente, como claramente se deduce del artículo 347 del Código de Comercio: ' Los créditos mercantiles no endosables ni al portador, se podrán transferir por el acreedor sin necesidad del consentimiento del deudor, bastando poner en su conocimiento la transferencia.

El deudor quedará obligado para con el nuevo acreedor en virtud de la notificación, y desde que tenga lugar no se reputará pago legítimo sino el que hiciera a éste&q uot;. Por tanto, quien está obligado a solicitar el consentimiento del titular de los datos para cederlos es el acreedor inicial que transmite el crédito a otro.

El artículo 6.1 LOPD dispone que ' el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa'; en el caso presente, lo que se sanciona es la falta de notificación de la cesión de créditos'que conlleva la cesión de datos del denunciante'que, como se acaba de explicar, no correspondía a la demandante; esta acción encuentra más bien su encaje y tipificación como infracción en el artículo 11.1 ('Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado')en relación con el 44.3.k) ('La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave)y así lo ha considerado correctamente la Agencia en otras ocasiones, por lo que no concurriría en la acción imputada ahora a la demandante el elemento del tipo del artículo 6.1 en relación con el 44.3. b), que califica como infracción grave el tratamiento de datos personales sin recabar el consentimiento de las personas afectadas cuando el mismo sea necesario.

SEXTO.-Po r todas las razones anteriores procede estimar en parte el recurso y, en aplicación del art. 139.1. de la Ley de esta Jurisdicción, no hacer una expresa imposición de costas.

Fallo

PRIMERO.-Estimar en parte el presente recurso nº 201/2018, interpuesto por el Procurador Sr. Abajo Abril, en la representación que ostenta, contra la Resolución de la Agencia Española de Protección de Datos descrita en el primer Fundamento de Derecho, que se anula en cuanto impone a la demandante una multa de 50.000 euros, que se deja sin efecto, por la infracción del artículo 6 en relación con el 44.3.b), ambos de la LOPD, por ser contraria a derecho, manteniendo la resolución en todo lo demás.

SEGUNDO.-No hacer una expresa imposición de costas.

La presente sentencia es susceptible de recurso de casación que deberá prepararse ante esta Sala en el plazo de 30 días contados desde el siguiente al de su notificación; en el escrito de preparación del recurso deberá acreditarse el cumplimiento de los requisitos establecidos en el artículo 89.2. de la Ley de la Jurisdicción justificando el interés casacional objetivo que presenta.

Así, por esta nuestra sentencia, testimonio de la cual se remitirá junto con el expediente administrativo a su oficina de origen para su ejecución, lo pronunciamos, mandamos y firmamos.

PUBLICACIÓN.-Da da, leída y publicada fue la anterior sentencia en audiencia pública. Doy fe. En Madrid, a

EL LETRADO DE LA ADMINISTRACIÓN DE JUSTICIA