Sentencia ADMINISTRATIVO Audiencia Nacional, Sala de lo Contencioso, Sección 1, Rec 281/2016 de 10 de Mayo de 2018

Encabezamiento

A U D I E N C I A N A C I O N A L

Sala de lo Contencioso-Administrativo

SECCIÓN PRIMERA

Núm. de Recurso:0000281/2016

Tipo de Recurso:PROCEDIMIENTO ORDINARIO

Núm. Registro General:01690/2016

Demandante:BANCO POPULAR ESPAÑOL, SA.

Procurador:Dª MARÍA JOSÉ BUENO RAMÍREZ

Letrado:D.ALEJANDRO NEGRO SALA

Demandado:AGENCIA PROTECCIÓN DE DATOS

Abogado Del Estado

Ponente IImo. Sr.:D. EDUARDO MENÉNDEZ REXACH

S E N T E N C I A Nº:

IImo. Sr. Presidente:

D. EDUARDO MENÉNDEZ REXACH

Ilmos. Sres. Magistrados:

Dª. FELISA ATIENZA RODRIGUEZ

Dª. LOURDES SANZ CALVO

D. FERNANDO DE MATEO MENÉNDEZ

Dª. NIEVES BUISAN GARCÍA

Madrid, a diez de mayo de dos mil dieciocho.

Visto el recurso contencioso administrativo que ante esta Sala de lo contencioso administrativo de la Audiencia Nacional ha promovidoBanco Popular Español, SA, representado por la Procuradora Dª Mª José Bueno Ramírez,contra la Administración General del Estado, representada por el Abogado del Estado, sobre sanción por infracción grave de la Ley de Protección de Datos. Ha sido Ponente el Presidente de esta Sección Iltmo. Sr. D. EDUARDO MENÉNDEZ REXACH.

Antecedentes

PRIMERO.-El acto impugnado procede del Director de la Agencia Española de Protección de Datos y es la Resolución de 23 de febrero de 2016.

SEGUNDO.-Interpuesto recurso contencioso administrativo ante la Sala de lo Contencioso Administrativo de esta Audiencia Nacional, después de admitido a trámite y reclamado el expediente administrativo, se dio traslado al recurrente para que formalizara la demanda, solicitando en el suplico la estimación del recurso.

TERCERO.-Presentada la demanda, se dio traslado de la misma al Abogado del Estado, con entrega del expediente administrativo para que la contestara y, formalizada dicha contestación, solicitó en el suplico que se desestimaran las pretensiones del recurrente y que se confirmara el acto impugnado por ser conforme a Derecho.

CUARTO.-Contestada la demanda se recibió el pleito a prueba, practicándose la propuesta y admitida a instancia de la actora; tras la presentación de conclusiones por las partes y una vez finalizada la tramitación, quedaron los autos conclusos para sentencia, señalándose para votación y fallo el día 24 de abril de 2018 en el que, efectivamente, se votó y falló.

Fundamentos

PRIMERO.- El presente recurso tiene por objeto la Resolución de 23 de febrero de 2016, del Director de la Agencia Española de Protección de Datos (AEPD), por la que se impuso a la demandante una multa de 50.000 euros como responsable de una infracción del art. 4.3. en relación con el 29.4 de la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de carácter personal (LOPD ), así con los artículos 38 y 39 del Reglamento de la citada ley .

SEGUNDO.-La recurrente solicita que se anule y declare no conforme a derecho la Resolución.

En defensa de su pretensión alega que con motivo de la suscripción de un préstamo, por el denunciante ante la Agencia, y ante el incumplimiento de sus obligaciones de pago desde febrero de 2013, le requirió por vía postal y telefónica y le informó de que en caso de impago podía incluir sus datos en ficheros relativos al incumplimiento de obligaciones dinerarias y, al mantenerse el incumplimiento, incluyó sus datos en fichero BADEXCUG; para la notificación del requerimiento de pago se enviaron al interesado 62 cartas personalizadas, tres de ellas certificadas; en el procedimiento administrativo aportó justificante del envío del correo certificado, de 14 de mayo de 2013, que no constaba como devuelto y todos los envíos se remitieron a los domicilios facilitados por el interesado; cuando la Agencia le notificó el inicio del procedimiento el propio denunciante comunicó, el 13 de octubre de 2015, su deseo de retirar la denuncia por haberse acreditado el cumplimiento de la normativa de protección de datos, pero la Agencia ignoró esta declaración; consta también esa confirmación en el acta notarial de 21 de abril de 2016, en que aportó la carta de 14 de mayo de 2013.

Por todo lo anterior concluye que ha cumplido lo dispuesto en los artículos 29.4 LOPD y 38 y 39 de su Reglamento, por lo que no cabe imputarle la infracción del artículo 4.3. LOPD .

TERCERO.-La representación de la Administración demandada, por su parte, con cita de la sentencia de esta Sala de 6 de mayo de 2010 , se remite a los hechos probados y a los fundamentos de la Resolución, y añade que la demandante no ha acreditado debidamente la realización del requerimiento previo, sin que el escrito del denunciante, de 14 de octubre de 2105, sea bastante a estos efectos pues el denunciante no tiene poder de disposición sobre el expediente sancionador y su deseo de retirar la denuncia es indiferente; por todo ello solicita la desestimación del recurso, con imposición de las costas a la demandante.

CUARTO.-Co n base en los hechos que declara probados, la Agencia declara la existencia de una infracción grave prevista en el artículo 4.3. LOPD que ampara el principio de calidad de los datos, de la que se considera autora a la demandante y se le impone la multa en la cuantía mencionada; destaca el Hecho tercero en el que se dice que la demandante no ha aportado la documentación que acredite que llevara a cabo el requerimiento de pago al denunciante por esa deuda y con carácter previo a la inclusión de sus datos de carácter personal en el fichero.

El art. 4.3. LOPD establece que'Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual'.

Como ha declarado esta Sala reiteradamente (por ejemplo en la sentencia de 11 de enero de 2013, Recurso 285/2011 , que cita otras anteriores): '[...] la razón de ser de dicho articulo 4.3 de la LOPD , tal y como esta Sala ha declarado con reiteración (Sentencia de1-10-09 -recurso nº.38/2009 -) y en relación con los principios de proporcionalidad y finalidad, que igualmente se contemplan en el mismo precepto, es la de garantizar y proteger la calidad de la información sometida a tratamiento (exacta y puesta al día) por la que debe velar quien recoge y trata datos de carácter personal.

Requisito s de exactitud y veracidad, establecidos en la repetida LOPD, que son exigibles al titular del fichero o tratamiento, según deriva del propio artículo 4.3 , no sólo en lo que atañe a la conservación de los datos personales en los propios ficheros, o a su comunicación a un fichero de solvencia patrimonial o crédito, sino también en cualquiera de las diversas fases o modos en los que puede manifestarse el tratamiento de los datos personales, teniendo en cuenta el concepto amplio que de tratamiento deriva del artículo 3.c) de la LOPD , que comprende no solo la recogida, grabación o conservación de los datos, sino también la elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias, y en cualquiera de dichas manifestaciones, se requiere la exactitud y veracidad de los datos personales por parte del responsable del fichero o tratamiento [...]'.

Precepto que hay que conectar, en el caso de autos, con el art. 29 de la citada Ley , que regula de forma específica la prestación de servicios de información sobre solvencia patrimonial y crédito y distingue dentro de ellos dos supuestos, uno de los cuales es el relativo a los ficheros de solvencia patrimonial en los que se tratan datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés, que se regulan en el apartado 2.

Como ha declarado esta Sala en la reciente sentencia de 24 de noviembre de 2017 (R. 542/2016 ), reiterada en la de 6 de febrero de 2018 (R. 391/2016 ): '[...] estos ficheros se caracterizan porque no necesitan del consentimiento del afectado para la obtención y tratamiento de sus datos, lo que supone una excepción a los principios rectores de la LOPD (entre ellos el del consentimiento del afectado en el tratamiento y cesión de sus datos de carácter personal). No obstante, frente a esta excepción, la propia norma articula una serie de contrapesos, como es su limitación a un caso concreto (cumplimiento o incumplimiento de obligaciones dinerarias), y la obligación de notificar a los afectados el hecho de que se han registrado sus datos de carácter personal.

Por otra parte, el art. 38 del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (en lo sucesivo RDLOPD), fija los 'requisitos para la inclusión de los datos' en esos ficheros, precepto que ha sido impugnado en algunos de sus apartados ante el Tribunal Supremo, habiéndose dictado la Sentencia del Tribunal Supremo de 15 de julio 2010 -recurso nº. 23/2008 - que anula entre otros apartados, por disconformes a derecho, el último inciso del art. 38.1.a) y el apartado 2 del citado art. 38 del RDLOPD.

La redacción del art. 38 del RDLOPD, tras la aplicación de la citada Sentencia de 15 de julio de 2010 , es la siguiente:'1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:

a) Existencia previa de una deuda cierta, vencida, exigible que haya resultado impagada.

b) Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación.

c) Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.

2. El acreedor o quien actué por su cuenta o interés estará obligado a conservar a disposición del responsable del fichero común y de la Agencia Española de Protección de Datos documentación suficiente que acredite el cumplimiento de los requisitos establecidos en este artículo y del requerimiento previo a que se refiere el artículo siguiente'.

Y el art. 39 del citado RDLOPD, a su vez, dispone:'El acreedor deberá informar al deudor, en el momento en que se celebre el contrato y, en todo caso, al tiempo de efectuar el requerimiento al que se refiere la letra c) del apartado 1 del artículo anterior, que en caso de no producirse el pago en el término prevenido para ello y cumplirse los requisitos previstos en el citado artículo, los datos relativos al impago podrán ser comunicados a ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias'.

Es decir, para la inclusión de los datos en ficheros de información sobre solvencia patrimonial y crédito, se requiere que la deuda sea cierta, y que haya sido previamente requerida de pago [...]'.

En la Resolución impugnada la declaración realizada por el denunciante en el procedimiento ante la Agencia, el 13 de octubre de 2015, en el sentido de que se le había acreditado el cumplimiento de la normativa de protección de datos por parte del banco y por ello retiraba la denuncia y pedía el archivo de las actuaciones, se considera que no tiene efectos sobre el procedimiento sancionador dada la claridad de la denuncia inicial en la que manifestaba que se habían incluido sus datos en el fichero sin notificarle en ningún momento la inclusión; en la contestación a la demanda se dice que el denunciante no tiene poder de disposición sobre el procedimiento iniciado, lo que es cierto, y se cita la sentencia de esta Sala que así lo afirma en un caso similar; el supuesto analizado por la sentencia de referencia, sin embargo, no es idéntico pues en él el denunciante comunicó a la Agencia que 'quita la denuncia', sin mayores precisiones; en el caso ahora enjuiciado, por el contrario, el denunciante además de su deseo de retirar de la denuncia, manifiesta que se le ha acreditado el cumplimiento de la normativa de protección de datos, sin precisar que el banco le requirió previamente de pago y le advirtió de la posibilidad de incluir sus datos en el fichero en caso de que no pagara.

Esta precisión se contiene en el acta de manifestaciones realizada por el denunciante ante Notario, aportada con la demanda, en la que se incluye la carta que le remitió el banco el 14 de mayo de 2013; en ella consta la deuda, cuya certeza también confirma, el requerimiento para su pago y que, de no atenderlo, la entidad podría comunicar sus datos a ficheros relativos al cumplimiento de obligaciones dinerarias. La prueba del requerimiento, afirmada por el Banco y confirmada por el denunciante inicial, excluye la infracción sancionada y determina la estimación del recurso.

QUINTO .- En aplicación del art. 139.1. de la Ley de esta Jurisdicción procede imponer las costas a la parte demandada.

Fallo

PRIMERO.-Estimar el presente recurso nº 0000281/2016 interpuesto por la Procuradora Sra. Bueno Ramírez, en la representación que ostenta, contra la Resolución de la Agencia Española de Protección de Datos descrita en el primer Fundamento de Derecho, que se anula por ser contraria a derecho.

SEGUNDO.-Imponer a la demandada las costas del recurso.

La presente sentencia es susceptible de recurso de casación que deberá prepararse ante esta Sala en el plazo de 30 días contados desde el siguiente al de su notificación; en el escrito de preparación del recurso deberá acreditarse el cumplimiento de los requisitos establecidos en el artículo 89.2. de la Ley de la Jurisdicción justificando el interés casacional objetivo que presenta.

Así, por esta nuestra sentencia, testimonio de la cual se remitirá junto con el expediente administrativo a su oficina de origen para su ejecución, lo pronunciamos, mandamos y firmamos.

PUBLICACIÓN.-Dada, leída y publicada fue la anterior sentencia en audiencia pública. Doy fe. En Madrid, a

LA LETRADA DE LA ADMINISTRACIÓN DE JUSTICIA