Sentencia ADMINISTRATIVO Audiencia Nacional, Sala de lo Contencioso, Sección 1, Rec 46/2017 de 22 de Enero de 2019

Encabezamiento

A U D I E N C I A N A C I O N A L

Sala de lo Contencioso-Administrativo

SECCIÓN PRIMERA

Núm. de Recurso:0000046/2017

Tipo de Recurso:PROCEDIMIENTO ORDINARIO

Núm. Registro General:00303/2017

Demandante:ORANGE ESPAGNE SAU

Procurador:IGNACIO MARÍA CUADRADO RUESCAS

Demandado:AGENCIA PROTECCIÓN DE DATOS

Codemandado: Cesar

Abogado Del Estado

Ponente IIma. Sra.:Dª. NIEVES BUISAN GARCÍA

S E N T E N C I A Nº:

IImo. Sr. Presidente:

D. EDUARDO MENÉNDEZ REXACH

Ilmos. Sres. Magistrados:

Dª. FELISA ATIENZA RODRIGUEZ

D. FERNANDO DE MATEO MENÉNDEZ

Dª. NIEVES BUISAN GARCÍA

Madrid, a veintidos de enero de dos mil diecinueve.

Vistos por la Sala, constituida por los Sres. Magistrados reseñados al margen, los autos del recurso contencioso-administrativo número 46/2017 interpuesto por el Procurador de los Tribunales don Ignacio María Cuadrado Ruescas, en nombre y representación de Orange Espagne SAU, contra la resolución de la Directora de la AEPD de 14 de diciembre de 2016 que desestima el recurso de reposición frente a la anterior Resolución de 13 de septiembre de 2016 ( PS/157/2016) Ha sido parte demandada LA ADMINISTRACIÓN DEL ESTADO, representada por el Abogado del Estado. La cuantía del recurso se fijó en 60.000.- euros.

Antecedentes

PRIMERO. -Por la entidad recurrente se interpuso recurso contencioso administrativo, mediante escrito presentado el 18 de enero de 2017, del que se acordó su tramitación de conformidad con las normas establecidas en la Ley 29/1998, y la reclamación del expediente administrativo.

SEGUNDO.-En el momento procesal oportuno tal entidad actora formalizó la demanda mediante escrito presentado el 2 de junio de 2017 en el que, tras alegar los hechos y fundamentos de derecho que estimó procedentes, terminó suplicando se dictara sentencia por la que se anule la resolución recurrida.

TERCERO. -El Sr. Abogado del Estado contestó la demanda mediante escrito presentado el 28 de noviembre de 2017 en el que, tras alegar los hechos y los fundamentos jurídicos que estimó aplicables, terminó suplicando se dictara sentencia en la que se desestimara el recurso, confirmando íntegramente la resolución impugnada, por ser conforme a Derecho.

Contestó asimismo a la demanda la representación de Don Cesar , mediante escrito de 2 de enero de 2018 en la que solicitó la confirmación de la resolución administrativa impugnada, por ser conforme a derecho, con imposición de costas a la parte actora.

CUARTO. - Habiéndose solicitado el recibimiento del pleito a prueba, se practicó la documental propuesta y admitida, con el resultado que figura en las actuaciones.

No considerándose necesaria la celebración de vista pública, se dio el trámite de conclusiones a las partes, trámite que evacuaron por su orden, primero la defensa de la entidad actora y después el Abogado del Estado y el codemandado, mediante escritos en los que concretaron y reiteraron sus respectivos pedimentos.

QUINTO.-Conclusas las actuaciones, quedaron pendientes de señalamiento para votación y fallo, señalándose al efecto el día 8 de enero de 2019, fecha en la que tuvo lugar la deliberación y votación, habiendo sido ponente la Ilma. Magistrada doña NIEVES BUISAN GARCÍA, quien expresa el parecer de la Sala.

Fundamentos

PRIMERO.Se interpone el presente recurso contencioso administrativo por Orange Espagne SAU frente a la Resolución de la Directora de la AEPD de 14 de diciembre de 2016 que desestima el recurso de reposición frente a la anterior Resolución de 13 de septiembre de 2016 ( PS/157/2016) que acuerda imponer a dicha entidad (antes JazzTelecom SAU) una multa de 30.000 euros por una infracción del artículo 6.1 de la LOPD ; tipificada como grave en el artículo 44.3.b) de dicha Ley Orgánica, de conformidad con el artículo 45 de la misma; así como otra multa de 30.000 euros por una infracción del artículo 4.3 de la LOPD en relación con el artículo 29.4 de la misma, tipificada como grave en el artículo 44.3.c) de dicha Ley Orgánica, de conformidad con el artículo 45 de tal LOPD .

Resolución sancionadora que se sustenta en los siguientes hechos probados más trascendentes:

1º. El 14 de abril de 2015 D. Cesar presenta denuncia ante la AEPD porque Jazztel había incluido sus datos en los ficheros Asnef y Badexcug asociados a su número de DNI, con un nombre parecido al suyo, con otro domicilio, relacionados con deudas de 63,74 euros y 2.045,05 euros.

2º. Cesar había interpuesto denuncia ante la Comisaria de Policía de Gijón, con fecha de 12/01/2015, por usurpación de identidad para contratar con Vodafone las líneas NUM000 , NUM001 y la adquisición de dos terminales de alta gama.

3º. En los sistemas de información de Jazztel se encuentra registrado el nombre Cesar , con el NIF del denunciante y domicilio en Valencia (el denunciante tiene su domicilio en Gijón) y datos de cuenta bancaria en La Caixa.

4º. Los productos contratados son: - El 11/01/2013 Alta ADSL 20 Megas numeración NUM002 ; - El 14/01/20133 Alta Móvil con portabilidad NUM000 , NUM001 y NUM003 .

5º. Todas las facturas resultaron impagadas, generándose una deuda por importe de 1.778,94 euros.

6º. La contratación de las cuatro líneas se efectuó por teléfono. Orange adjunta grabaciones en las que los datos de nombre y apellidos las dice el telefonista, mientras que el número de NIF, la dirección donde va a prestarse el servicio y la dirección de correo electrónico los facilita el contratante.

7º. Con fecha de 20 de enero de 2015 los datos asociados al DNI del denunciante fueron incluidos en los ficheros Asnef, informados por Jazztel, por un saldo deudor de 1.778,94 euros. Asnef procedió a la baja de la deuda reclamada el 20 de marzo de 2015.

8º. Los datos del denunciante asociados a su DNI fueron informados al fichero Badexcug por Jazztel, con fecha de alta el 30/11/2014, que el siguiente 8 de marzo de 2015 continuaba activa.

SEGUNDO.La parte actora sustenta su demanda, en síntesis, en las siguientes consideraciones:

Existen grabaciones de las verificaciones por tercero de las contrataciones de las líneas telefónicas discutidas, perfectamente válidas y conformes con la normativa vigente, que acreditan suficientemente el consentimiento del denunciante para dicha contratación. La entidad independiente que realizó dichas verificaciones fue Tria Global Service SL en virtud de contrato suscrito con Orange que se adjunta como documento número uno.

Es la utilización de los datos completos del denunciante por un tercero de mala fe, en perjuicio de aquél y de Orange, lo que excluye el elemento subjetivo de la culpabilidad en la actuación de Orange. Entidad actora que actuó con la creencia de estar contratando con el verdadero titular, cuya identidad fue suplantada por tercero, que conocía su número de DNI, nombre y apellidos y los facilitó a tal entidad actora, que no tiene forma de conocer en el momento de la contratación (telefónica) si se está produciendo un alta fraudulenta.

Se cumplen en el supuesto todos los requisitos, plazos y condiciones de la Circular 1/2009. La copia del contrato es la propia verificación por tercero de la contratación, sin necesidad de adjuntar ni DNI ni firma de contrato en papel, por lo que la compañía cumplió, escrupulosamente, todos y cada uno de los requisitos. Formato y método, el de las grabaciones telefónicas verificadas por tercero, que la AEPD ha admitido durante años como válido, habiendo decidido la AEPD, sin razón ni explicación ninguna, cambiar su propia doctrina.

En cuanto al contenido del cuestionario de verificación, el mismo cumple asimismo los requisitos establecidos en la Circular. Se cita a tal efecto la doctrina de la AEPD y de esta Sala de la Audiencia Nacional de las SSAN de 10/03/2015 (Rec. 248/13 ) y de 24/10/2014 (Rec. 27/14 ).

No obstante lo argumentado por la AEPD, la Circular recoge la posibilidad de que el contratante aporte sus datos personales al agente verificador o simplemente los confirme a éste, dado que ya han sido facilitados previamente en el momento de la oferta comercial. Sostiene la AEPD que mi representada no efectuó identificación alguna del titular de los datos, obviando el hechos de que la contratación se realizó mediante consentimiento verbal.

Respecto de la inexistente infracción del articulo 4.3 LOPD , que también se imputa en la resolución impugnada, ha quedado acreditada la existencia de una contratación válida tras la que se contrajo una deuda de 1.778,94 euros por impago de 7 facturas, por lo que existía, en el momento de la inclusión una deuda cierta, vencida y exigible que había resultado impagada, y había sido previamente requerida de pago.

TERCERO. Se imputa a Orange Espagne SAU, en primer término, una infracción grave del artículo 44.3.b) de la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal , que tipifica como tal:'Tratar los datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo'.Precepto que ha de relacionarse con el artículo 6.1 de dicha LOPD , que requiere el consentimiento inequívoco del afectado para tratar sus datos de carácter personal 'salvo que la ley disponga otra cosa.'

Consentimiento que se define en la letra h) del Art. 3 LOPD como 'toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de los datos personales que le concierne'.

Constituye doctrina reiterada y consolidada de esta Sala que la LOPD no exige que dicho consentimiento inequívoco se manifieste de forma expresa ni por escrito ( SSAN 25/06/2009 Rec. 638/2008 y 15/10/2013, Rec. 398/2012 , entre otras muchas), dado que tal consentimiento se puede producir de forma expresa, oral o escrita, o por actos reiterados del afectado que revelen que, efectivamente, ha dado ese consentimiento. En el mismo sentido esta Sala, incidiendo en la exigencia de que el consentimiento sea inequívoco, ha indicado con reiteración que 'cualquiera que sea la forma que revista el procedimiento, éste ha de aparecer como evidente, inequívoco (que no admite duda o equivocación) pues éste, y no otro, es el significado del adjetivo utilizado para calificar el consentimiento'. Habiendo asimismo declarado con reiteración que la carga de acreditar la existencia del 'consentimiento inequívoco' recae sobre la entidad responsable del fichero o encargada del tratamiento, cuando su existencia sea negada por el titular de tales datos.

En el presente supuesto tal articulo 6.1 LOPD ha de relacionarse con el contenido de la Circular 1/2009, de la Comisión del Mercado de las Telecomunicaciones, aludida en la demanda, por la que se introduce el consentimiento verbal con verificación por tercero en la contratación de servicios mayoristas regulados de comunicaciones fijas y en las solicitudes de conservación de numeración, cuyo objeto es implementar la tramitación de solicitudes de contratación de tales servicios mayoristas, así como de portabilidad, a partir de la manifestación de un consentimiento verbal por parte del abonado. Circular que resulta de aplicación a la solicitud de contratación de la línea fija y de portabilidad de las tres líneas móviles que nos ocupa.

Circular que habilita otra posibilidad de consentimiento, añadida a la vigente (solicitud de consentimiento escrito del abonado), que aportará más agilidad a la tramitación, debido a la inmediatez que se deriva de utilizar un consentimiento verbal entre ausentes (contratantes a distancia). No obstante, y a fin de garantizar el cumplimiento de la normativa de protección de datos, se trasladan a la misma los requisitos de identidad recogidos hasta ahora para la tramitación de solicitudes previo consentimiento escrito del abonado y, además, se añade la presencia de un tercero independiente que verificará de forma objetiva la existencia de tal consentimiento en las condiciones requeridas.

La Circular impone tal verificación por un tercero de la prestación del consentimiento. De modo que para que el operador beneficiario pueda iniciar la tramitación de una solicitud con consentimiento del abonado, se deberá acreditar la existencia de dicho consentimiento verbal por una entidad independiente verificadora. Asimismo, y por lo que respecta a las exigencias formales de la repetida prestación verbal del consentimiento, exige el Anexo I que, en la tramitación de solicitudes de portabilidad se cumplan, entre otros, los siguientes requisitos:

1. Se informará al cliente de que la conversación se está grabando y se le preguntará si está de acuerdo con que la conversación sea grabada.

2. El verificador indicará la fecha (día, mes, año y hora) en que tiene lugar la conversación.

3. El verificador informará al abonado del código identificativo de la solicitud.

4. Se solicitará al cliente que aporte o confirme la siguiente información: nombre del titular de la línea o denominación de la entidad titular y nombre del apoderado, si es el titular de la línea o el apoderado de la empresa (la respuesta tiene que ser afirmativa, de otro modo la verificación es negativa), NIF, dirección/domicilio social, numeración a portar, operador beneficiario, operador donante, y momento deseado para portar (día, mes y año en el que el abonado desea se lleve a cabo la portabilidad).

En definitiva, la diligencia exigible a la entidad demandante en la recogida del consentimiento del titular de los datos personales, comprende el deber de cumplir con las exigencias impuestas en la normativa sobre protección de datos de carácter personal, que no hacen sino garantizar la existencia del referido consentimiento en relación con la citada portabilidad ( SSAN de 5/02/2014 -Rec. 543/2012 - y de 10/04/2015 -Rec. 85/2014 ).

CUARTO.Orange Espagne SAU a fin de acreditar el consentimiento del afectado en relación con la contratación de la línea fija NUM002 y el alta Móvil con portabilidad de las líneas NUM000 , NUM001 y NUM003 , aporta grabaciones de la contratación de los citados números.

De la audición de los CDs aportados como anexo del expediente resulta que si bien aparentemente se cumplen los requisitos exigidos por el cuestionario de verificación derivados de la repetida Circular 1/2009, sin embargo son equivocados el domicilio, que se sitúa en Valencia (cuando el denunciante tiene su domicilio en Gijón), así como la dirección de correo electrónico y el número de cuenta corriente (que tampoco corresponden a dicho denunciante )y, lo que resulta de gran trascendencia, el nombre y apellidos no coinciden con los del titular de las líneas a portar, pues siendo dicho titular ( denunciante) don Cesar , el verificador le pregunta, equivocadamente, si se llama Cesar , y el contratante asiente.

En definitiva el consentimiento en el que se basa Orange para el tratamiento de los datos personales en discusión no fue otorgado por don Cesar , sino por una tercera persona, que contrató desde otra ciudad, con otro domicilio, una dirección de correo electrónico y número de cuenta corriente diferentes y ( esto es esencial) con un nombre distinto , ya que a pesar de dijo llamarse Ambrosio , y no Cesar ( que era el verdadero titular del DNI utilizado para dicha contratación telefónica), el verificador no advirtió y/o subsanó el error. Es más, fue el propio verificador quien le preguntó, equivocadamente, si su nombre era Ambrosio y el contratante asintió.

Nos hallamos en el presente caso, a diferencia de otros supuestos de que ha conocido esta misma Sala y Sección, ante la ausencia de datos relevantes en dicha grabación, exigidos por la Circular 1/2009, lo que pone de manifiesto que el operador no adoptó las cautelas exigibles para comprobar la identidad del cliente y asegurarse de contar con su consentimiento para el tratamiento de sus datos personales.

Resulta notoria, por todo lo anterior, la existencia de antijuridicidad y culpabilidad en la conducta infractora de Orange quien, como responsable del fichero y tratamiento datos personales, que decide sobre la finalidad, contenido y uso de los datos personales incluidos en sus ficheros, tenía la obligación de obrar con mayor diligencia a la hora de incorporar nuevos datos a sus ficheros, mantenerlos en los mismos y girar facturas contra su titular, asegurándose de contar con su consentimiento, a fin de no incurrir en el tratamiento inconsentido de sus datos personales.

QUINTO.Por lo que respecta a la segunda infracción imputada a Orange Espagne SAU dispone el artículo 44.3. c) LOPD que son infracciones graves: 'c) Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave'.

En este sentido, establece el artículo 4.3 LOPD , que recoge el principio de calidad de los datos, que'Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado'.

Añadiendo el artículo 29.4 LOPD lo siguiente:'1.Quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y el crédito sólo podrán tratar datos de carácter personal obtenidos de los registros y las fuentes accesibles al público establecidos al efecto o procedentes de informaciones facilitadas por el interesado o con su consentimiento. 2.Podrán tratarse también datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley.(...). 4.Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquéllos'.

A su vez el Reglamento de desarrollo de la LOPD, aprobado por RD 1720/2007, de 21 de diciembre, establece en su artículo 38 los requisitos para la inclusión de datos en los ficheros de carácter personal, determinantes para enjuiciar la solvencia económica del afectado, entre los que prevé los siguientes: 1.- la existencia de una deuda cierta, vencida y exigible, y 2.- requerimiento previo al pago a quien corresponda el cumplimiento de la obligación.

Pues bien, con independencia de la infracción examinada en el fundamento jurídico anterior, Orange ha incurrido también en el tratamiento de datos de carácter personal del denunciante con infracción del principio de calidad del dato, pues el tratamiento no correspondía con veracidad con la situación actual del denunciante, emitiendo facturas asociadas a servicios que éste no había contratado y, ante su impago, comunicando tales datos a los ficheros de solvencia Asnef y Badexcug, quedando asociados a una deuda que no correspondía a tal Sr. Cesar .

La entidad sancionada, en su condición de supuesto acreedor, es la responsable de que los datos proporcionados a las entidades encargadas de los ficheros de datos de solvencia económica sean exactos y veraces, siendo de su responsabilidad tanto su inclusión como la cancelación de los mismos, pues solo ella cuenta con el conocimiento de la existencia y exigibilidad de la deuda, cuyo impago está en la causa de la inclusión de los datos en estos ficheros. Por tanto, resulta responsable de la veracidad y calidad de los datos que hallándose en sus ficheros suministra para que se incluyan y mantengan en ficheros de solvencia.

En tales circunstancias, el tratamiento por la compañía demandante de los datos personales del denunciante, mediante su incorporación a sus ficheros, asociados a facturas por servicios no contratados por él, que posteriormente fueron comunicados para su inclusión en los ficheros de solvencia patrimonial y crédito, constituye la infracción expresada, cuya comisión por la entidad demandante resulta plenamente acreditada. Las consideraciones realizadas en el fundamento de derecho anterior sobre la falta de diligencia de Orange, por último, asimismo ponen de manifiesto también su falta de diligencia en el tratamiento de los datos acorde al principio de calidad del dato.

SEXTO.-De conformidad con lo dispuesto en el artículo 139.1 de la Ley Jurisdiccional , procede la imposición de las costas procesales a la parte actora.

Fallo

DESESTIMAR el recurso contencioso-administrativo interpuesto por la representación procesal de Orange Espagne SAU frente a la Resolución de la Directora de la Agencia Española de Protección de Datos de 14 de diciembre de 2016 que desestima el recurso de reposición frente a la anterior Resolución de 13 de septiembre de 2016 (PS/157/2016), resolución que se confirma por ser ajustada a Derecho, con imposición de costas a la entidad actora.

Así por esta nuestra sentencia, lo pronunciamos, mandamos y firmamos.

Notifíquese a las partes con indicación de que cabe contra ella RECURSO DE CASACIÓN.

PUBLICACIÓN.- Dada, leída y publicada fue la anterior Sentencia en audiencia pública. Doy fe. Madrid a.

LA LETRADA DE LA ADMINISTRACIÓN DE JUSTICIA.