Encabezamiento
A U D I E N C I A N A C I O N A L
Sala de lo Contencioso-Administrativo
SECCIÓN PRIMERA
Núm. de Recurso:0000342/2017
Tipo de Recurso:PROCEDIMIENTO ORDINARIO
Núm. Registro General:03439/2017
Demandante:PRIMROSE PARTNERS LTD
Procurador:ESTHER PEREZ-CABEZOS GALLEGO
Letrado:JAVIER PUYOL MONTERO
Demandado:AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Abogado Del Estado
Ponente IImo. Sr.:D. FERNANDO DE MATEO MENÉNDEZ
S E N T E N C I A Nº:
IImo. Sr. Presidente:
D. EDUARDO MENÉNDEZ REXACH
Ilmos. Sres. Magistrados:
Dª. LOURDES SANZ CALVO
D. FERNANDO DE MATEO MENÉNDEZ
Dª. NIEVES BUISAN GARCÍA
Madrid, a veintiuno de junio de dos mil diecinueve.
Vistos por la Sala, constituida por los Sres. Magistrados relacionados al margen, los autos del recurso contencioso-administrativo número 342/17, interpuesto por la Procuradora de los Tribunales doña Esther Pérez-Cabezos y Gallego, en nombre y representación dePRIMROSE PARTNERS, LTD., contra la resolución de 12 abril de 2017 de la Directora de la Agencia Española de Protección de Datos, recaída en el procedimiento sancionador PS/00460/2016, por la que se le impone una sanción de 50.000 euros por la infracción del art. 4.3, en relación con el art. 29.4 ambos de la Ley Orgánica 15/1999, de 13 de diciembre , tipificada como grave del art. 44.3.c) de la citada norma . Ha sido parteLA ADMINISTRACIÓN DEL ESTADO, representada por el Abogado del Estado. La cuantía del recurso quedó fijada en 50.000 euros.
Antecedentes
PRIMERO.- Admitido el recurso y previos los oportunos trámites procedimentales, se confirió traslado a la parte actora para que, en el término de veinte días formalizara la demanda, lo que llevó a efecto mediante escrito presentado el día 18 de septiembre de 2018 en el que, tras exponer los hechos y fundamentos de derecho que estimó oportunos, terminó solicitando que se dictara sentencia por la que estimando el recurso se declarara:
a). 'La nulidad de la Resolución R/00844/2017, dictada en el procedimiento sancionador PS/000460/2016 por no ser conforme competente para el conocimiento del presente asunto con relación a mi representada, la AGENCIA ESPAÑOLA DE PROTECCION DE DATOS, y por ende conforme a derecho, y consecuentemente con ello, que se condene a la Administración demandada a estar y pasar por este pronunciamiento, y que se dicte la resolución procedente en la que acuerde sin más trámite el archivo definitivo del presente expediente sancionador contra mi representada PRIMROSE PARTNERS LTD, así como que se imponga el pago de las costas procesales causadas en el presente procedimiento a la Administración demandada.
b). Subsidiariamente, dado que se ha demostrado que las comunicaciones remitidas por PRIMROSE PARTNERS, LTD. a la denunciante cumplen con los requisitos previstos en la normativa de protección de datos, declare la inexistencia de la infracción prevista en el artículo 44.3º.c) de la LOPD y, por tanto, procederse al archivo de referido procedimiento sancionador seguido contra PRIMROSE PARTNERS LTD, así como que se imponga el pago de las costas procesales causadas en el presente procedimiento a la Administración demandada.
c). Subsidiariamente, aplique al presente procedimiento lo previsto en el artículo 45.6º de la LOPD , apercibiendo a PRIMROSE PARTNERS, LTD. y acordando el archivo del procedimiento sancionador; y en su defecto, que se aplique al presente asunto lo dispuesto en el artículo 45.5º del mismo texto legal , estableciendo la cuantía de la sanción aplicando la escala relativa a las infracciones leves'.
Asimismo, se solicita el planteamiento de cuestión prejudicial ante el Tribunal de Justicia de la Unión Europea, a los efectos de delimitar, entre otros conceptos, los siguientes:'a). El concepto de 'establecimiento permanente' en lo que atañe al régimen jurídico de la protección de datos de carácter personal, sobre todo en supuestos transnacionales comunitarias, como el que nos ocupa en el presente procedimiento.
b). Teniendo en cuenta que:
(i) El responsable del tratamiento ostenta una nacionalidad comunitaria diferente a la del Estado cuyo Organismo Regulador de protección de datos trata de ejercer sus potestades de control sobre dicho responsable del tratamiento, y aplicarle dentro de su ámbito de eficacia la Ley nacional de trasposición de la Directiva 95/46/CE.
(ii) El ámbito territorial o la ubicación del 'establecimiento permanente' o la sede de dicho responsable del tratamiento, se encuentra en un país comunitario diferente a la del Estado cuyo Organismo Regulador de protección de datos trata de ejercer sus potestades de control sobre dicho responsable del tratamiento, y aplicarle dentro de su ámbito de eficacia la Ley nacional de trasposición de la Directiva 95/46/CE.
c). Por otra parte, debe determinarse el régimen jurídico aplicable cuando el establecimiento se encuentre fuera de España, pero exista un encargado del tratamiento ubicado en España, serán de aplicación al mismo las normas contenidas en el Título VIII del Reglamento LOPD', determinando tal efecto le eficacia, el alcance, y la aplicación, en lo demás, de la Ley nacional del establecimiento del responsable'.
SEGUNDO.- Formalizada la demanda se dio traslado de la misma a la parte demandada para que la contestara en el plazo de veinte días, lo que realizó mediante el pertinente escrito, alegando los hechos y fundamentos jurídicos que estimó pertinentes, solicitando la desestimación del recurso, con expresa imposición de costas a la parte recurrente.
TERCERO.- Mediante Auto de 18 de enero de 2018, se acordó el recibimiento del recurso a prueba, admitiéndose las pruebas documentales propuestas por la parte actora. Una vez concluido el periodo probatorio, por diligencia de ordenación de 13 de marzo de 2018, quedaron los autos conclusos para sentencia, señalándose para votación y fallo el día 18 de junio del presente año, fecha en que tuvo lugar.
SIENDO PONENTEel Magistrado Ilmo. Sr. Don FERNANDO DE MATEO MENÉNDEZ.
Fundamentos
PRIMERO.- La parte demandante impugna la resolución de 12 abril de 2017 de la Directora de la Agencia Española de Protección de Datos, recaída en el procedimiento sancionador PS/00460/2016, por la que se le impone una sanción de 50.000 euros por la infracción del art. 4.3, en relación con el art. 29.4 ambos de la Ley Orgánica 15/1999, de 13 de diciembre (en adelante LOPD), tipificada como grave del art. 44.3.c) de la citada norma .
Los hechos en los que se funda la resolución sancionadora, son por haber incluido los datos de carácter personal de la denunciante en el fichero de solvencia patrimonial Asnef, sin haber realizado el requerimiento previo, de unas deudas derivadas de un préstamo.
SEGUNDO.- Se alega por la parte actora que, la empresa PRIMROSE carece de establecimiento en España. Su única oficina está en el Reino Unido, en Lots Road, en Londres, y el 16 de octubre de 2013 contrató los servicios de una empresa especializada en telemarketing y recobros, 'Soluciones Digitales CRX, S.L.U.' (anteriormente, y hasta enero de 2016, se denominaba 'Dispon Servicios Financieros, S.L.), teniendo a consideración de encargada de tratamiento.
Se aduce en primer término, que a la entidad recurrente no le es de aplicación la LOPD ni que la Agencia Española de Protección de Datos puede ejercer control administrativo sobre ella. No resulta aplicable ninguno de los supuestos contemplados en el art. 3.1 del Real Decreto 1720/2007, de 21 de diciembre . La dirección de la calle Ponzano nº. 39-41, 1º-F, 28003 de Madrid, corresponde a las oficinas de Soluciones Digitales CREX, S.L., que según el contrato de prestación de servicios (art. 7.3.g), es una dirección postal a efectos exclusivamente de notificaciones.
Se añade que, el citado contrato de servicios contiene una estipulación análoga (Novena) a la prevista en el art. 12 de la LOPD , pero conforme a la normativa propia y exclusiva en materia de protección de datos del Reino Unido, aplicable a la parte recurrente. Cuando un encargado de tratamiento ubicado en España, trate datos de carácter personal, para un responsable del tratamiento situado fuera del territorio español, dentro de la Unión Europea, en este caso, en el Reino Unido de la Gran Bretaña, es única y exclusivamente aplicable la ley del responsable del tratamiento, en el presente supuesto la británica, con la única excepción, de las medidas de seguridad a imponer en el tratamiento, y ello, se justifica para no llevar a cabo una interpretación antijurídica del art. 2.1.a) de la LOPD en relación con el art. 4 de la Directiva 95/46/CE .
El hecho de que la incorporación de datos personales a ficheros comunes se lleve a cabo por Soluciones Digitales CRX S.L.U., o se delegue en ella la recepción de las solicitudes de ejercicio de los Derechos ARCO (tal como se establece en el aviso legal de la web propiedad de esta Compañía, al amparo del art 26 del RLOPD), no determina responsabilidad o actuación alguna de PRIMROSE, y menos en territorio español, teniendo en cuenta el carácter de sociedad independiente de Soluciones Digitales CRX S.L.U., o la posibilidad de que por parte de la misma se presten cualquier clase de servicios a terceros.
Lo que se ha contratado es el servicio, no el espacio físico que justificaría el concepto de establecimiento.
TERCERO.-El art. 2.1.a) de la LOPD , vigente al supuesto que nos ocupa, sobre el ámbito de aplicación, dispone: '1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.
Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:
a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento'.
Mientras que el art. 3 . 1 del Real Decreto 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la LOPD (en lo sucesivo RDLOPD), también aplicable al presente supuesto, refiere:'1. Se regirá por el presente reglamento todo tratamiento de datos de carácter personal:
a) Cuando el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento, siempre que dicho establecimiento se encuentre ubicado en territorio español.
Cuando no resulte de aplicación lo dispuesto en el párrafo anterior, pero exista un encargado del tratamiento ubicado en España, serán de aplicación al mismo las normas contenidas en el título VIII del presente reglamento.
b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española, según las normas de Derecho internacional público.
c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.
En este supuesto, el responsable del tratamiento deberá designar un representante establecido en territorio español'.
Por su parte, el art. 4.1.a de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, igualmente aplicable, establece:'Los Estados miembros aplicarán las disposiciones nacionales que haya aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando:
a) el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable'.
CUARTO.-En relación con la interpretación del anteriormente reseñado art. 4.1.a) de la Directiva 95/46/CE , en la Sentencia del Tribunal Supremo de 5 de febrero de 2019 - recurso nº. 627/2018 -, se dice:"L a sentencia de la Sala de lo Contencioso-Administrativo del Tribunal Supremo de 27 de junio de 2016 (RC 642/2015 ) sostiene, con base en la jurisprudencia del Tribunal de Justicia de la Unión Europea formulada en relación con la interpretación del artículo 4 de la Directiva 95/46/CE , que el establecimiento en el territorio de un Estado miembro implica el ejercicio efectivo y real de una actividad mediante una instalación estable y, no es un factor determinante que la forma jurídica de dicho establecimiento sea una simple sucursal o una empresa filial con personalidad jurídica.
En la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014 (Asunto C-131/12 ) se realiza una interpretación del artículo 4.1.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos, en el sentido de que el tratamiento de datos personales realizado en orden al funcionamiento de un motor de búsqueda, gestionado por una empresa que tiene su domicilio social en un Estado tercero pero que dispone de un establecimiento en un Estado miembro, se efectúa 'en el marco de las actividades' de dicho establecimiento si éste está destinado a la promoción y venta en dicho Estado miembro de los espacios publicitarios del motor de búsqueda, que sirven para rentabilizar el servicio propuesto por el motor.
No obstante, tras el pronunciamiento de esta directriz, el Tribunal de Justicia matiza que el artículo 4, apartado 1, letra a), de la Directiva 95/46 no exige que el tratamiento de datos personales controvertido sea efectuado 'por' el propio establecimiento en cuestión, sino que se realice 'en el marco de las actividades' de éste, pues hay que tener en cuenta que además, visto el objetivo de la Directiva 95/46 de garantizar una protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales, ésta expresión no puede ser objeto de una interpretación restrictiva (véase, por analogía, la sentencia L'Oréal y otros, C-324/09 , EU:C:2011:474 , apartados 62 y 63). En este marco -concluye la sentencia- cabe señalar que se desprende, concretamente de los considerandos 18 a 20 y del artículo 4 de la Directiva 95/46 , que el legislador de la Unión pretendió evitar que una persona se viera excluida de la protección garantizada por ella y que se eludiera esta protección, estableciendo un ámbito de aplicación territorial particularmente extenso.
En la sentencia del Tribunal de Justicia de la Unión Europea de 1 de octubre de 2015 (asunto C-230/14 ) se afirma que a tenor del artículo 4, apartado 1, letra a), de la Directiva 95/46, los Estados miembros aplicarán las disposiciones nacionales que hayan aprobado para la aplicación de esta Directiva a todo tratamiento de datos personales cuando el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Visto el objetivo perseguido por la Directiva 95/46, consistente en garantizar una protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas, concretamente del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales, la expresión 'en el marco de las actividades de un establecimiento 'no puede ser objeto de interpretación restrictiva (véase, en este sentido, la sentencia Google Spain y Google, C-131/12 , EU:C:2014:317 , apartado 53).
En la ulterior sentencia del Tribunal Superior de Justicia de la Unión Europea de 28 de junio de 2016 (Asunto C-191/15 ) se resuelve la cuestión prejudicial planteada por el Tribunal Supremo de Austria en el sentido de que el artículo 4, apartado 1, letra a), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse en el sentido de que el tratamiento de datos personales efectuado por una empresa de comercio electrónico se rige por el Derecho del Estado miembro al que dicha empresa dirige sus actividades si esa empresa efectúa el tratamiento de los datos en cuestión en el marco de las actividades de un establecimiento situado en un Estado miembro. Corresponde al órgano jurisdiccional nacional determinar si ése es el caso.
Y en la sentencia del Tribunal de Justicia de la Unión Europea de 3 de junio de 2018 (asunto C-210/16 ) se refiere que el artículo 4, apartado 1, letra a), y el artículo 28, apartados 3 y 6, de la Directiva 95/46 deben interpretarse en el sentido de que, cuando la autoridad de control de un Estado miembro pretende ejercer frente a una entidad establecida en el territorio de ese Estado miembro los poderes de intervención contemplados en el artículo 28, apartado 3, de la referida Directiva debido a infracciones de las normas relativas a la protección de datos personales cometidas por un tercero responsable del tratamiento de esos datos que tiene su domicilio en otro Estado miembro, dicha autoridad de control es competente para apreciar, de manera autónoma respecto de la autoridad de control de este último Estado miembro, la legalidad del referido tratamiento de datos y puede ejercer sus poderes de intervención frente a la entidad establecida en su territorio sin instar previamente la intervención de la autoridad de control del otro Estado miembro".
&nbs p;
Pues bien, la citada Sentencia del Tribunal Supremo de 5 de febrero de 2019 , estima el recurso de casación formulado contra la Sentencia de esta Sección de 25 de octubre de 2017 -recurso nº. 99/2016 -, que fue aportada por la parte actora. Y llega a la conclusión que, resulta aplicable la LOPD, a una empresa domiciliada en un tercer Estado miembro de la Unión Europea, en concreto, en Luxemburgo, y que a los efectos de considerar que el tratamiento de datos se efectúa en el marco de las actividades de un establecimiento que se encuentre ubicado en territorio español, solo contaba para realizar su actividad en España con la utilización de un apartado de correos y la titularidad de una cuenta corriente, ya que había que tener en cuenta que la citada empresa'dirigía de forma regular actividades y operaciones a través de medios instrumentales radicados en España, adoptando decisiones relativas a los fines y medios del tratamiento de datos, al haberse acreditado que era la responsable de impartir las órdenes para que se incluyeran los datos personales del afectado en el fichero de solvencia patrimonial BADEXCUG'.
Se añade que:'En este sentido, estimamos que la sentencia de instancia desconsidera la interpretación que del artículo 4.1.a) de la Directiva 45/96 ha efectuado el Tribunal de Justicia de la Unión Europea en la sentencia de 1 de octubre de 2015 (asunto C-230/14 ), en que se formula la directriz de que el concepto de establecimiento, a que se refiere dicha disposición, no puede entenderse en todo caso equivalente al de la sede social donde este registrada la sociedad responsable del tratamiento de datos, debiendo valorarse para la determinación de esta noción el grado de estabilidad de la instalación así como el grado de efectividad del desarrollo de la actividad y la naturaleza específica de las actividades económicas y de las prestaciones de servicios de que se trate.
Según se desprende de la mencionada sentencia del Tribunal de Justicia de la Unión Europea, cabe integrar en el concepto de establecimiento, desde una perspectiva funcional, las actividades que realice la empresa responsable del tratamiento de datos a través de un representante que disponga de los medios necesarios para la prestación de los servicios concretos de que se trate en el Estado miembro...'.
Y llega el Tribunal Supremo en la reseñada Sentencia a la siguiente interpretación del concepto de establecimiento del art. 2.1.a) de la LOPD :'A los efectos de considerar si es aplicable la normativa de protección de datos de carácter personal, de un Estado miembro de la Unión Europea a una empresa responsable del tratamiento de datos personales, en aquellos supuestos en que la sede principal esté ubicada en el territorio de otro Estado miembro de la Unión Europea, pero que realice actividades en otros Estados miembros, el concepto de establecimiento a que se refiere el artículo 2.1.a) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , así como el artículo 3.1.a) del Real Decreto 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, en consonancia con lo dispuesto en el artículo 4.1.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse de forma flexible y antiformalista, en el sentido de que resultan comprendidos el tratamiento de datos personales que se realiza en el marco o en el contexto de la actuación desarrollada en un Estado miembro de la Unión Europea (distinto a donde tiene la sede o administración principal) a través de la utilización de medios instrumentales que se revelen idóneos y eficaces en el tratamiento de datos personales'.
La sociedad recurrente es una entidad de concesión de préstamos, que presta sus servicios a través de varias plataformas, entre ellas Dispon.es. Soluciones Digitales CRX, S.L, antes Dispon Servicios Financieros, S.L. La concesión de préstamos es a través del dominio web www.dispon.es, propiedad de la parte actora, y lo realiza dicha empresa, como también, la inclusión en ficheros de morosidad de los clientes que no abonan sus préstamos, como ha sucedido en el supuesto de los datos de la denunciante en el caso que nos ocupa. Y finalmente, tal y como consta en el Boletín Oficial del Registro Mercantil de 19 de abril de 2012, Dispon Servicios Financieros, S.L., tenía como socio único a dicha fecha a la sociedad aquí recurrente, siendo administrador solidario don Luis Francisco , representante legal de la sociedad demandante.
Las actividades que realiza la parte actora responsable del tratamiento de datos a través de una empresa en virtud de un contrato para la gestión integral de servicios de 4 de octubre de 2013, que dispone de los medios necesarios para la prestación de los servicios concretos de que se trate en España, con un domicilio en Madrid diferente al fiscal, para recibir las notificaciones de la parte actora, así como para ejercitar los derechos de acceso, rectificación, cancelación y oposición además de prestar a la parte actora los servicios de atención a clientes, verificación y servicio de cobro de deudas tanto en vía amistosa, como cuando procediera, en vía administrativa.
Cabe añadir, para completar el examen de la situación, que el Reglamento Europeo de Protección de Datos, que entró en vigor el 25 de mayo de 2018, incluye entre las definiciones de su art. 4 , la correspondiente a'establecimiento principal', que en lo que se refiere a un responsable del tratamiento con establecimientos en más de un Estado miembro, es el 'lugar de su administración central en la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga el poder de hacer aplicar tales decisiones'. El alcance de este concepto se explica en el considerando 36, según el cual, el establecimiento principal de un responsable en la Unión debe determinarse en función de criterios objetivos y debe implicar el ejercicio efectivo y real de las actividades de gestión que determinan las principales decisiones en cuanto a los fines y medios del tratamiento a través de modalidades estables. Se trata de un concepto de carácter funcional, en cuanto supone el ejercicio y desempeño efectivo de las atribuciones determinantes del tratamiento de datos, fijación de los fines y medios.
Y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que entró en vigor el 7 de diciembre de 2018, establece en el art. 2 el ámbito de aplicación territorial de la citada norma , en los siguientes términos:'1. Lo dispuesto en los Títulos I a IX y en los artículos 89 a 94 de la presente ley orgánica se aplica a cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
2. Esta ley orgánica no será de aplicación:
a) A los tratamientos excluidos del ámbito de aplicación del Reglamento general de protección de datos por su artículo 2.2, sin perjuicio de lo dispuesto en los apartados 3 y 4 de este artículo.
b) A los tratamientos de datos de personas fallecidas, sin perjuicio de lo establecido en el artículo 3.
c) A los tratamientos sometidos a la normativa sobre protección de materias clasificadas.
3. Los tratamientos a los que no sea directamente aplicable el Reglamento (UE) 2016/679 por afectar a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea, se regirán por lo dispuesto en su legislación específica si la hubiere y supletoriamente por lo establecido en el citado reglamento y en la presente ley orgánica. Se encuentran en esta situación, entre otros, los tratamientos realizados al amparo de la legislación orgánica del régimen electoral general, los tratamientos realizados en el ámbito de instituciones penitenciarias y los tratamientos derivados del Registro Civil, los Registros de la Propiedad y Mercantiles.
4. El tratamiento de datos llevado a cabo con ocasión de la tramitación por los órganos judiciales de los procesos de los que sean competentes, así como el realizado dentro de la gestión de la Oficina Judicial, se regirán por lo dispuesto en el Reglamento (UE) 2016/679 y la presente ley orgánica, sin perjuicio de las disposiciones de la Ley Orgánica 6/1985, de 1 julio, del Poder Judicial, que le sean aplicables'.
Por tanto, a tenor de lo expuesto, la parte actora dirigía de forma regular actividades y operaciones a través de medios instrumentales radicados en España, adoptando decisiones relativas a los fines y medios del tratamiento de datos, entrando dentro del concepto legal de establecimiento del art. 2.1.a) de la LOPD en relación con el art. 4.1.a) de la Directiva 95/46/CE , aplicables al presente supuesto.
Finalmente, no se aprecia la necesidad de plantear cuestión prejudicial ante el Tribunal de Justicia de la Unión Europea, a tenor de los razonamientos efectuados, que asimismo se pretende en la demanda, en cuanto al concepto de 'establecimiento permanente' y la determinación del régimen jurídico aplicable cuando el establecimiento se encuentre fuera de España, pero exista un encargado del tratamiento ubicado en España, sin que se considere necesario. En efecto, en primer lugar, hay que poner de relieve que, siendo la presente sentencia susceptible de ser recurrida en casación ante el Tribunal Supremo, esta Sala de la Audiencia Nacional no estaría obligada a plantear cuestión de prejudicialidad ante el Tribunal de Justicia de la Unión Europea, según el art. 267 del Tratado de Funcionamiento de la Unión Europea , lo que bastaría para contestar a la solicitud formulada de planteamiento de las cuestiones prejudiciales. Pero, además, no se considera que existan en el caso concreto motivos para plantear las cuestiones prejudiciales, pues no se aprecia ningún aspecto que se oponga a la normativa comunitaria.
En conclusión, la Agencia Española de Protección de Datos tiene competencia para controlar las actividades de la sociedad recurrente, en la medida que resultaba aplicable la obligación contenida en el art. 4.3 de la LOPD .
QUINTO.-Seguidamente, pasamos a analizar la sanción impuesta a la sociedad recurrente. El art. 44.3.c) de la LOPD aplicado por la resolución recurrida, tipifica como infracción grave:'Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave'.
Y el art. 4.3 de la LOPD establece, dentro del principio de calidad de datos, la exigencia de la exactitud y veracidad de los datos:'Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado'.
Precepto que hay que conectar en el caso de autos, con el art. 29 de la citada Ley , que regula de forma específica la prestación de servicios de información sobre solvencia patrimonial y crédito, distingue dentro de ellos dos supuestos. Uno de los cuales es el relativo a los ficheros de solvencia patrimonial en los que se tratan datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés, que se regulan en el apartado 2.
Estos ficheros se caracterizan porque no necesitan del consentimiento del afectado para la obtención y tratamiento de sus datos, lo que supone una excepción a los principios rectores de la LOPD (entre ellos el del consentimiento del afectado en el tratamiento y cesión de sus datos de carácter personal). No obstante, frente a esta excepción, la propia norma articula una serie de contrapesos, como es su limitación a un caso concreto (cumplimiento o incumplimiento de obligaciones dinerarias) y la obligación de notificar a los afectados el hecho de que se han registrado sus datos de carácter personal.
Por otra parte, el art. 38 del RDLOPD fija los 'requisitos para la inclusión de los datos' en esos ficheros, precepto que ha sido impugnado en algunos de sus apartados ante el Tribunal Supremo, habiéndose dictado la Sentencia del Tribunal Supremo de 15 de julio 2010 -recurso nº. 23/2008 - que anula entre otros apartados, por disconformes a derecho, el último inciso del art. 38.1.a) y el apartado 2 del citado art. 38 del RDLOPD.
La redacción del art. 38 del RDLOPD, tras la aplicación de la citada Sentencia de 15 de julio de 2010 , es la siguiente:'1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:
a) Existencia previa de una deuda cierta, vencida, exigible que haya resultado impagada.
b) Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación.
c) Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.
2. El acreedor o quien actué por su cuenta o interés estará obligado a conservar a disposición del responsable del fichero común y de la Agencia Española de Protección de Datos documentación suficiente que acredite el cumplimiento de los requisitos establecidos en este artículo y del requerimiento previo a que se refiere el artículo siguiente'.
Y el art. 39 del citado RLOPD, a su vez, dispone:'El acreedor deberá informar al deudor, en el momento en que se celebre el contrato y, en todo caso, al tiempo de efectuar el requerimiento al que se refiere la letra c) del apartado 1 del artículo anterior, que en caso de no producirse el pago en el término prevenido para ello y cumplirse los requisitos previstos en el citado artículo, los datos relativos al impago podrán ser comunicados a ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias'.
Es decir, para la inclusión de los datos en ficheros de información sobre solvencia patrimonial y crédito, se requiere que la deuda sea cierta (al inicio del apartado 1.a) del art. 38, y que haya sido previamente requerida de pago. En el caso que nos ocupa, se sanciona a la parte actora al no haber efectuado el requerimiento previo, ello con independencia de que se trate de una deuda cierta, vencida y exigible.
SEXTO.-La parte actora aduce que, tal como se ha acreditado documentalmente en el expediente administrativo, en todo momento la denunciante se tuvo conocimiento puntual e información suficiente del desenvolvimiento de las relaciones jurídicas mantenidas con la parte actora representada, y las consecuencias que la incursión en mora llevaba consigo, inclusive la fecha concreta del alta en la cual se va a producir la incorporación de sus datos de carácter personal, y ello, a través de los correos electrónicos, medio de comunicación mutuamente aceptado entre la denunciante y la parte demandante.
En cuanto a la acreditación del requerimiento, esta Sala de manera reiterada ha puesto de manifiesto, de la que es un ejemplo lo que se dice en la Sentencia de 22 de octubre de 2015 -recurso nº. 240/2014 -'que cuando el afectado niega la existencia de dicho requerimiento, recae sobre el responsable del fichero o tratamiento, la carga de acreditar el cumplimiento de dicha obligación, siendo insuficiente a tal fin los registros informáticos de la propia entidad que nada acreditan sobre la efectiva realización o cumplimiento de la citada obligación.
La normativa no exige ciertamente, como se alega en la demanda, que el requerimiento se lleve a cabo de una determinada forma, pero lo que si exige es que quien informa los datos a un fichero de morosidad deberá asegurarse que concurren todos los requisitos exigidos legal y reglamentariamente a tal fin, lo que implica que deberá estar en condiciones, caso de ser necesario, de poder acreditar la concurrencia de dichos requisitos ( SAN de 3 de marzo 2010, Rec. 407/2009 , por todas)'.
Por otro lado, esta Sala ha declarado que el requerimiento podrá efectuarse por cualquier medio de prueba y también a través de indicios. Para la parte actora se ha acreditado el requerimiento por medio de los correos electrónicos. Debemos partir que ha quedado demostrado en el expediente que, la comunicación por medio de la dirección de correo electrónico, que fue aportado por la denunciante, era el medio de comunicación aceptado entre la parte actora y aquélla.
En la resolución recurrida se viene a reconocer lo expuesto, al señalarse que:'Los documentos aportados muestran el envío de mensajes por email, tanto en los días posteriores al microcrédito hasta el vencimiento, como en los días y meses sucesivos. Donde se alternan las gestiones de recobro con las peticiones de pago, los ofrecimientos de pagos aplazados, comoel incremento de la deuda pendiente por el paso de los días, como los ingresos de cantidades y promesas de pago, como advertencias de inclusión en ASNEF y cartas de inicio de demanda judicial'.
Así las cosas, en el correo electrónico de 18 de noviembre de 2013 se le comunicó a la denunciante que, llevaba 23 días en mora y que a los 30 el sistema procedería a darla de alta en el registro de morosos de Asnef, si no se realizaba el pago, a lo que contestó la denunciante que:'No ha podido hacerlo estoy intentado solucionarlo'. En el correo enviado el 23 de noviembre de 2013 se comunicó a la denunciante que iba a ser incluida en el registro de morosos Asnef, concediéndola un plazo de 48 horas para cancelar la deuda. En el correo enviado por la denunciante el 23 de enero de 2014 consta que ésta tenía conocimiento de la inclusión de sus datos en el fichero Asnef. En los correos enviados el 1 de febrero de 2014 y 10 de noviembre de 2016 se le comunicó a la denunciante que la deuda que iba ser incluida en el registro de morosos Asnef.
Por tanto, con la reseñada prueba ha acreditado que se hubiese efectuado el requerimiento de pago previo a la inclusión en el fichero Asnef de los datos personales de la denunciante, teniendo ésta perfecto conocimiento de su inclusión, a través del medio de comunicación aceptado, que era el correo electrónico.
En consecuencia, no cabe apreciar la infracción del art. 4.3 de la LOPD , debiéndose estimar el recurso contencioso-administrativo.
SÉPTIMO.-A tenor del art. 139.1 de la Ley de la Jurisdicción , procede hacer expresa imposición de las costas procesales a la parte demandada.
VISTOSlos artículos citados, y demás de general y pertinente aplicación.
Fallo
Que estimando el recurso contencioso-administrativo interpuesto por la Procuradora de los Tribunales doña Esther Pérez-Cabezos y Gallego, en nombre y representación dePRIMROSE PARTNERS, LTD., contra la resolución de 12 abril de 2017 de la Directora de la Agencia Española de Protección de Datos, recaída en el procedimiento sancionador PS/00460/2016, por la que se le impone una sanción de 50.000 euros por la infracción del art. 4.3, en relación con el art. 29.4 ambos de la Ley Orgánica 15/1999, de 13 de diciembre , tipificada como grave del art. 44.3.c) de la citada norma , declaramos la nulidad de la citada resolución por no ser conforme a derecho; con expresa imposición de las costas procesales a la parte demandada.
La presente sentencia es susceptible de recurso de casación, que deberá prepararse ante esta Sala en el plazo de 30 días contados desde el siguiente al de su notificación; en el escrito de preparación del recurso deberá acreditarse el cumplimiento de los requisitos establecidos en el art. 89.2 de la Ley de la Jurisdicción justificando el interés casacional objetivo que presenta.
Así, por esta nuestra Sentencia, lo pronunciamos, mandamos y firmamos.
PUBLICACIÓN.- Dada, leída y publicada fue la anterior Sentencia en Audiencia Pública. Doy fe.
Madrid a
LA LETRADA DE LA ADMINISTRACIÓN DE JUSTICIA
