Sentencia ADMINISTRATIVO Audiencia Nacional, Sala de lo Contencioso, Sección 1, Rec 428/2017 de 19 de Marzo de 2019

Encabezamiento

A U D I E N C I A N A C I O N A L

Sala de lo Contencioso-Administrativo

SECCIÓN PRIMERA

Núm. de Recurso:0000428/2017

Tipo de Recurso:PROCEDIMIENTO ORDINARIO

Núm. Registro General:04298/2017

Demandante:INTRUM JUSTITIA DEBT FINANCE AG

Procurador:MANUEL DÍAZ ALFONSO

Demandado:AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Abogado Del Estado

Ponente IIma. Sra.:Dª. FELISA ATIENZA RODRIGUEZ

S E N T E N C I A Nº:

IImo. Sr. Presidente:

D. EDUARDO MENÉNDEZ REXACH

Ilmos. Sres. Magistrados:

Dª. FELISA ATIENZA RODRIGUEZ

Dª. LOURDES SANZ CALVO

D. FERNANDO DE MATEO MENÉNDEZ

Dª. NIEVES BUISAN GARCÍA

Madrid, a diecinueve de marzo de dos mil diecinueve.

Vistos los autos del recurso contencioso-administrativo Núm. 428/2017 que ante esta Sala de lo Contencioso-Administrativo de la Audiencia Nacional, ha promovido el Procurador D. Manuel Díaz Alfonso en nombre y representación de INTRUM JUSTITIA DEBT FINANCE frente a la Administración General del Estado, representada por el Abogado del Estado, contra la Resolución de fecha 28 de junio de 2017, desestimatoria del recurso de reposición promovido contra resolución de 16 de marzo de 2017, dictada por la Directora General de la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS en el procedimiento sancionador PS/00407/2016 (que después se describirá en el primer Fundamento de Derecho), siendo Ponente la Ilma. Sra. Magistrado Dña FELISA ATIENZA RODRIGUEZ.

Antecedentes

PRIMERO.-Por la parte recurrente se interpuso recurso contencioso-administrativo mediante escrito presentado el 24 de julio de 2017, acordándose mediante decreto su tramitación de conformidad con las normas establecidas para el procedimiento ordinario y la reclamación del expediente administrativo.

SEGUNDO.-En el momento procesal oportuno la parte actora formalizó la demanda mediante escrito presentado el 16 de enero de 2018, en el que, tras alegar los hechos y fundamentos de derecho que estimó procedentes, terminó suplicando se dictara sentencia estimatoria de su pretensión y se declare la nulidad del acto recurrido.

TERCERO.-El Sr. Abogado del Estado contestó a la demanda mediante escrito presentado el 19 de marzo de 2018, en el que, tras alegar los hechos y los fundamentos de derecho que estimó oportunos, terminó suplicando se dictara sentencia desestimatoria del recurso contencioso-administrativo, confirmándose el acto administrativo impugnado, con condena en costas a la recurrente.

CUARTO.-Mediante Auto de 16 de abril de 2018, se admitió y declaró pertinente la prueba documental propuesta por la parte actora y seguidamente se dio traslado a las partes, por su orden, para que formularan conclusiones, quienes las evacuaron mediante la presentación de sendos escritos en los que concretaron y reiteraron sus respectivos pedimentos.

QUINTO.-Conclusas las actuaciones, se señaló para votación y fallo de este recurso el día 5 de marzo de 2019, fecha en que tuvo lugar la deliberación y votación, habiendo sido ponente la Ilma Sra Magistrada Dª FELISA ATIENZA RODRIGUEZ, quien expresa el parecer de la Sala.

Fundamentos

PRIMERO.-Se impugna en el presente recurso contencioso-administrativo por la representación procesal de la mercantil INTRUM JUSTITIA DEBT FINANCE (INTRUM), la resolución de fecha 28 de junio de 2017, dictada por la Directora General de la Agencia Española de Protección de Datos en el procedimiento sancionador PS/00407/2016, por la que se desestima el recurso de reposición interpuesto contra la resolución del mismo órgano de 16 de marzo de 2017, en la que se le impone una multa de 50.000 euros, por la comisión de una infracción tipificada como grave en el artículo 44.3. c) en relación con el artículo 4.3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal en relación con el 29.4 de la misma ley , y con los arts 38 y 43 del Reglamento de desarrollo de la LOPD .

SEGUNDO.- Del examen del expediente administrativo y los documentos obrantes en autos, se desprende que la hoy recurrente, compró a Orange España S.A.U. ( entonces France Telecom) el 25 de enero de 2013, una cartera de créditos entre los que se incluía la deuda asociada al denunciante por importe de 177 euros.

El denunciante, D. Julio , había denunciado ante la Agencia Española de Protección de Datos, el 23 de octubre de 2015, que se había producido la inclusión de sus datos personales en ficheros de solvencia patrimonial y crédito de forma indebida por parte de las entidades Orange Espagne S.A.U. y Intrum Justitita, pese a tratarse de una deuda incierta. Manifestaba que Intrum había informado en Badexcug e Infodeuda, una deuda improcedente de 177 euros que le había sido reclamada anteriormente por Orange y que por discrepancias con dicha deuda había interpuesto reclamación ante la Secretaria de Estado para las Telecomunicaciones y la Sociedad de Información (SETSI), el 25 de noviembre de 2010, declarando Orange por escrito el 10 de diciembre de 2010, en el seno de dicho procedimiento, que el denunciante se encontraba al corriente de pago. No obstante, en fecha 2 de enero de 2011, Orange informó la deuda en Badexcug, siendo dada de baja definitiva el 24 de febrero de 2013. Y posteriormente Intrum incluyó de nuevo la deuda en Badexcug e Infodeuda el 8 de marzo de 2015, siendo dada de baja el 8 de junio de 2015, por falta de respuesta por parte de la entidad informante al ejercicio del derecho de cancelación por el denunciante. Nuevamente el 12 de julio de 2015, se produjo una nueva alta por parte de Intrum Justitia con posterior baja el 17 de diciembre de 2015.

La Directora de la AEPD el 30 de septiembre de 2016, acordó el inicio del procedimiento sancionador correspondiente, recayendo resolución el 16 de marzo de 2017, que imponía a la hoy recurrente la sanción de 50.000 euros por la infracción del art. 4.3 de la LOPD .

La resolución impugnada sanciona a la entidad demandante por la comisión de una infracción administrativa en materia de protección de datos de carácter personal, consistente en el tratamiento de datos de carácter personal inexactos, de forma que no corresponden con veracidad con la situación actual del denunciante, y haber comunicado los datos personales del denunciante a los ficheros de solvencia, habida cuenta de que la impugnación de una deuda cuestionando su certeza ante órganos administrativos, arbitrales o judiciales competentes, impide que pueda hablarse de una deuda cierta hasta que recaiga resolución firme.

Se afirma en la resolución combatida que figura en el expediente cómo Orange manifestó por escrito el 10 de diciembre de 2010 ante la SETSI que se había procedido a la devolución al denunciante del importe facturado de 177 euros, quedando por tanto al corriente de pago. Orange también manifestó a la AEPD que pese a la reclamación ante la SETSI, se produjo un error puntual de carácter involuntario al no realizarse correctamente el ajuste en el registro de la deuda imputada.

Por ello se estima que la entidad imputada por la resolución objeto del presente recurso, ha sido responsable del tratamiento de datos de la persona denunciante y que dicho tratamiento no responde a los principios de calidad de datos recogidos en el art. 4.3 de la LOPD (exigencia que los datos sean exactos y respondan a la situación actual de los afectados). Y es evidente que los datos incluidos en los ficheros Badexcug e Infodeuda no respondían a la situación actual del denunciante, sobre todo en la segunda de las inclusiones, pues la deuda era incierta, dado que Orange así lo había manifestado a la SETSI y el denunciante lo había comunicado debidamente en el ejercicio del derecho de cancelación al fichero de morosidad, que actuó con diligencia al dar de baja de forma cautelar la primera inclusión.

TERCERO.-Alega la parte demandante la inexistencia de la infracción del principio de calidad de los datos del denunciante sobre la base de que por su parte se extremó la diligencia pues desde que comunicó al denunciante la cesión de la deuda que mantenía con Orange, el 13 de febrero de 2013, no recibió de éste respuesta alguna y no se puso en contacto con Intrum para informar sobre la improcedencia de la deuda o aclarar su situación. Manifiesta que después de dos años, confirmaron nuevamente los datos facilitados por Orange y enviaron un requerimiento de pago a través del servicio de la propia Experiam y ante la falta de contestación a dicho requerimiento por el denunciante, incluyó el 18 de marzo de 2015, sus datos en los ficheros de morosos. Relata que el 8 de junio de 2015, fue dado de baja por parte de Experiam como consecuencia del ejercicio de cancelación del afectado y aunque efectuaron gestiones sobre la existencia de la deuda, volvieron a incluirle de nuevo el 12 de julio de 2015, siendo dado de baja finalmente el 17 de diciembre de 2015, al ser informados a través de Orange de la existencia de un posible conflicto.

Añade que existen otros procedimientos sancionadores iniciados por la AEPD en los que el error por parte del cedente en la venta de la cartera de créditos no ha sido estimado como infracción alguna.

De forma subsidiaria solicita se proceda a disminuir la sanción que considera desproporcionada a la luz de las circunstancias concurrentes, considerando que debe reducirse al importe correspondiente a las infracciones leves en su grado minimo o en todo caso al mínimo legal previsto para las sanciones graves en el art. 45.2 de la LOPD , que seria el importe de 40.001 euros, el importe menor de la infracción grave, de conformidad con el principio de proporcionalidad.

CUARTO.- El artículo 44.3. c) LOPD dispone que son infracciones graves: 'c) Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave'.

En este sentido, establece el artículo 4.3 LOPD , que recoge el principio de calidad de los datos, lo siguiente:'Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado'.

En relación con este último precepto, prevé el artículo 29.4 LOPD lo siguiente:'1.Quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y el crédito sólo podrán tratar datos de carácter personal obtenidos de los registros y las fuentes accesibles al público establecidos al efecto o procedentes de informaciones facilitadas por el interesado o con su consentimiento. 2.Podrán tratarse también datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley. 3.En los supuestos a que se refieren los dos apartados anteriores, cuando el interesado lo solicite, el responsable del tratamiento le comunicará los datos, así como las evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y el nombre y dirección de la persona o entidad a quien se hayan revelado los datos. 4.Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquéllos'.

A su vez el Reglamento de desarrollo de la LOPD, aprobado por RD 1720/2007, de 21 de diciembre, establece en su artículo 37.1 y 3 lo siguiente:

'1. El tratamientodedatos de carácter personal sobre solvencia patrimonial y crédito, previsto en el apartado 1 del artículo 29 de la Ley Orgánica 1511999, de 13 de diciembre, se someterá a lo establecido, con carácter general, en dicha ley orgánica y en el presente reglamento.

(...)

3. De conformidad con el apartado 2 del artículo 29 de la Ley Orgánica 1511999,de13 de diciembre, también podrán tratar-se los datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés.

Estos datos deberán conservarse en ficheros creadosconla exclusiva finalidad de facilitar información crediticia del afectado y su tratamiento se regirá por lo dispuesto en el presente reglamento y, en particular, por las previsiones contenidas en la sección segunda de este capítulo'.

También prevé el citado reglamento en su artículo 38.1 los requisitos para la inclusión de datos en los ficheros de carácter personal, determinantes para enjuiciar la solvencia económica del afectado, entre los que prevé los siguientes: a) la existencia de una deuda cierta, vencida y exigible, que haya resultado impagada; b) que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquélla fuera de vencimiento periódico, y c) requerimiento previo al pago a quien corresponda el cumplimiento de la obligación.

El acreedor o quien actúe por su cuenta o interés, tal y como exige el artículo 38.3 del Reglamento, estará obligado a conservar a disposición del responsable del fichero común y de la Agencia Española de Protección de Datos documentación suficiente que acredite el cumplimiento de los requisitos establecidos en este articulo y del requerimiento previo al que se refiere el artículo 39.

Por otro lado, el artículo 39 del reglamento de la LOPD , establece en relación con la información previa a la inclusión de datos personales en los ficheros de solvencia que'El acreedor deberá informar al deudor,en elmomento en que se celebre el contrato y, en todo caso, al tiempo de efectuarelrequerimiento al que se refiere la letra c) del apartado 1delartículo anterior, que encasode no producirse el pago en el término previsto para ello y cumplirse los requisitos previstos en el citado artículo, los datos relativos al impago podrán ser comunicados a ficheros relativos al cumplimiento o incumplimientodeobligaciones dinerarias'.

Por último, según dispone el artículo 43 del Reglamento de la LOPD corresponde al acreedor o quien actúe por su cuenta o interés asegurarse que concurren los requisitos previstos en los artículos 38 y 39 en el momento de notificar los datos al responsable del fichero común, siendo por ello los responsables de la inexistencia o inexactitud de los datos facilitados.

Tal y como esta Sala ha reiterado, la redacción del citado artículo 38.1.a del RDLOPD, tanto con anterioridad como con posterioridad a la sentencia del Tribunal Supremo de 15 de julio 2010 (recurso contencioso-administrativo 26/2008 ) que anuló parte de su contenido, conlleva que en supuestos como el presente, en la que se cuestiona y dirime la existencia o cuantía de una deuda, no concurre el requisito de deuda 'cierta' exigido por el citado artículo 38.1.a) para la inclusión de los datos en los ficheros de solvencia patrimonial y crédito. Es decir, la existencia de una reclamación ante una Junta Arbitral, veda que pueda hablarse de deuda 'cierta' e impide su inclusión en los ficheros de solvencia patrimonial y crédito, con los perjuicios negativos que ello conlleva para el afectado (por todas, sentencia de 24 de mayo de 2013, rec 567/2011 , de 30 de noviembre de 2012, rec. 265/2011 , y de 22 de octubre de 2012, rec. 301/2011 ).

Con mayor razón, en el supuesto enjuiciado, en que la propia Orange reconoce la existencia de un error, a lo que ha de añadirse que la hoy recurrente ya había procedido a dar de baja en el fichero los datos del denunciante después de la primera inclusión, ante la cancelación ejercitada por éste, y, sin embargo, al poco tiempo los incluyó otra vez, sin cerciorarse debidamente ante la cedente del crédito, la entidad Orange, si la deuda en aquellos momentos era o no correcta.

Por ello, resulta evidente que la entidad recurrente ha incurrido en el tratamiento de datos de carácter personal del denunciante con infracción del principio de calidad del dato, previsto en el artículo 4.3 en relación con el artículo 29.4, ambos de la LOPD , cometiendo, por ello, la infracción tipificada en el artículo 44.3.c) LOPD , pues llevó a cabo el tratamiento de datos de carácter personal inexactos, pues no correspondían con veracidad a la situación actual del denunciante, y haber comunicado y mantenido los datos personales del denunciante en los ficheros de solvencia de Experiam, asociados a una supuesta deuda impagada que no reunía el requisito de 'certeza', condición necesaria para que los datos personales pudieran estar en un fichero de morosidad.

Como esta Sala ha reiterado, es la entidad sancionada, en su condición de supuesta acreedora, la responsable de que los datos proporcionados a las entidades encargadas de los ficheros de datos de solvencia económica, sean exactos y veraces, siendo de su responsabilidad tanto su inclusión como la cancelación de los mismos, pues solo ella cuenta con el conocimiento de la existencia y exigibilidad de la deuda, cuyo impago está en la causa de la inclusión de los datos en estos ficheros. Por tanto, resulta responsable de la veracidad y calidad de los datos que hallándose en sus ficheros suministra para que se incluyan y mantengan en ficheros de solvencia.

En definitiva, la compañía sancionada facilitó a la entidad encargada del fichero de solvencia una información relativa a datos personales de denunciante, infringiendo el principio de calidad de los datos, pues lo hizo pese a no ser 'cierta' la deuda en el importe en que fue anotada. El incumplimiento del requisito de certeza de la deuda, necesario para posibilitar la inclusión de los datos en los ficheros se solvencia, determina la imputación del tratamiento de datos con infracción del principio de calidad mencionado.

La negligente actuación de la entidad sancionada en el tratamiento de los datos personales del denunciante determina su culpabilidad en la comisión de la infracción del principio de calidad del dato por cuya autoría ha sido sancionada.

QUINTO.-Alega, por último, la parte demandante que procede la aplicación del artículo 45.5 LOPD , disminuyéndose en un grado la sanción aplicable, y subsidiariamente en el caso de que no se le aplique dicho articulo, que se proceda a disminuir la multa al mínimo de 40.001 euros.

Esta Sala tiene establecido en multitud de sentencias en relación a 45.5 LOPD, en su redacción anterior a la hoy vigente, que no es sino una manifestación del llamado principio de proporcionalidad ( art. 131.1 de la Ley 30/1992 ), incluido en el mas general de prohibición de exceso, y reconocido por la jurisprudencia como principio general del derecho. Ha añadido la Sala que dicha regla debe aplicarse con exquisita ponderación y solo en los casos en los que la culpabilidad y la antijuridicidad resulten sustancialmente atenuadas, atendidas las circunstancias del caso concreto. Lo cual, insistimos, puede darse, por excepción, en casos muy extremos (de aquí la expresión 'especialmente cualificada') y concretos (por todas SAN, Sec. 1ª, de 24 de septiembre de 2010 (Rec 245/2009 )).

De modo que la posibilidad prevista en el artículo 45.5 LOPD , en su redacción originaria, no es sino consecuencia del valor justicia que informa nuestro ordenamiento jurídico - art. 1 CE , en relación con las STC 50/1995 y 173/1995 -, siendo plasmación de tal principio en casos de cualificada disminución de la culpa o de la antijuridicidad.

Con fundamento en dicha doctrina estima la Sala que su aplicación debe ser individualizada, en atención a las circunstancias concretas que resulten de cada caso, correspondiendo al sancionado la carga de acreditar las circunstancias de las que resulte una disminución 'especialmente cualificada' de la culpabilidad o de la antijuridicidad. En consecuencia, pues, no es posible establecer criterios generales para la aplicación del citado artículo 45.5 de la LOPD .

El citado artículo 45.5 LOPD , en la redacción que le dio la reforma operada por la Ley 2/2011, de 4 de marzo, de Economía Sostenible, dispone que el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en una serie de supuestos que cita.

Pues bien, resultando aplicable en este supuesto la doctrina de esta Sala antes expresada, establecida en relación con la redacción originaria del artículo 45.5 LOPD , y atendidas las concretas circunstancias del caso que nos ocupa, la Sala, compartiendo los argumentos de la resolución de la AEPD combatida, no aprecia la concurrencia significativa de circunstancias que permitan aplicar la citada atenuación privilegiada.

Así, por lo que respecta a las circunstancias del artículo 45.4 LOPD , debe señalarse que las circunstancias consistentes en la vinculación de la actividad del infractor con la realización de tratamiento de datos de carácter personal apreciadas por la resolución recurrida, operan como circunstancias agravantes, como es natural, al conllevar la primera un mayor deber de diligencia en el tratamiento de datos de carácter personal y suponer la segunda mayor reproche social a la conducta infractora.

Por otro lado, entiende la Sala que la sanción impuesta, en cuantía muy próxima a la mínima, resulta ponderada y acorde con la gravedad de la infracción cometida, sin que se aprecien razones que justifiquen su minoración.

Por todo lo expuesto, procede la desestimación del presente recurso contencioso administrativo.

SEXTO.-De conformidad con lo dispuesto en el artículo 139.1 de la Ley Jurisdiccional , procede imponer las costas causadas en este procedimiento a la parte que ha visto rechazadas todas sus pretensiones, al no apreciarse que el caso presentara serias dudas de hecho o de derecho.

En atención a lo expuesto y en nombre de Su Majestad el rey, la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, ha decidido:

Fallo

DESESTIMARel recurso contencioso-administrativo interpuesto por el Procurador don Manuel Diaz Alfonso, en nombre y representación de INTRUM JUSTITIA DEBT FINANCE, contra la resolución de fecha 28 de junio de 2017, desestimatoria del recurso de reposición promovido contra resolución de 16 de marzo de 2017, dictada por la Directora General de la Agencia Española de Protección de Datos en el procedimiento sancionador PS/00407/2016, que se confirma por ser ajustada a Derecho.

Se condena al pago de las costas causadas a la parte demandante.

La presente sentencia es susceptible de recurso de casación que deberá prepararse ante esta Sala en el plazo de 30 días contados desde el siguiente al de su notificación; en el escrito de preparación del recurso deberá acreditarse el cumplimiento de los requisitos establecidos en el articulo 89.2 de la Ley de la Jurisdicción justificando el interés casacional objetivo que presenta.

Así por esta nuestra sentencia, lo pronunciamos, mandamos y firmamos.

PUBLICACIÓN.- Dada, leída y publicada fue la anterior Sentencia en Audiencia Pública. Doy fe.

Madrid a

LA LETRADA DE LA ADMINISTRACIÓN DE JUSTICIA