Encabezamiento
A U D I E N C I A N A C I O N A L
Sala de lo Contencioso-Administrativo
SECCIÓN PRIMERA
Núm. de Recurso:0000046/2020
Tipo de Recurso:PROCEDIMIENTO ORDINARIO
Núm. Registro General:00498/2020
Demandante:PRIMROSE PARTNERS LTD
Procurador:RAQUEL NIETO BOLAÑO
Demandado:AGENCIA PROTECCIÓN DE DATOS
Abogado Del Estado
Ponente IIma. Sra.:Dª. NIEVES BUISAN GARCÍA
S E N T E N C I A Nº :
IIma. Sra. Presidente:
Dª. LOURDES SANZ CALVO
Ilmos. Sres. Magistrados:
D. FERNANDO DE MATEO MENÉNDEZ
Dª. NIEVES BUISAN GARCÍA
Madrid, a uno de abril de dos mil veintidós.
Vistos por la Sala, constituida por los Sres. Magistrados reseñados al margen, los autos del recurso contencioso-administrativo número 46/2020, interpuesto por PRIMROSE PARTNERS LTD.representada por la Procuradora de los Tribunales Sra. Nieto Bolaño, frente a la Resolución de la Directora de la Agencia Española de Protección de Datos de 28 de octubre de 2019. Ha sido parte demandada LA ADMINISTRACIÓN DEL ESTADO, representada por el Abogado del Estado. La cuantía del recurso se fijó en 55.000 euros.
Antecedentes
PRIMERO. -Por la entidad recurrente se interpuso recurso contencioso administrativo mediante escrito presentado el 16 de enero de 2020, acordándose su tramitación de conformidad con las normas establecidas en la Ley 29/1998, y la reclamación del expediente administrativo.
SEGUNDO. -En el momento procesal oportuno Primrose Partners Ltd. formalizó la demanda mediante escrito presentado el 2 de noviembre de 2020 en el que, tras alegar los hechos y fundamentos de derecho que estimó procedentes, terminó suplicando se dictara sentencia, en la que se declarara:
A) La nulidad de la Resolución dictada en el procedimiento sancionador PS/00053/2018 por no ser competente para el conocimiento del presente asunto la Agencia Española de Protección de Datos, y (...) se dicte resolución en la que se acuerde el archivo definitivo del presente expediente sancionador contra mi representada.
B) Subsidiariamente, la nulidad de la Resolución por si existir por parte de Primrose notificación fehaciente previa a la inclusión de las deudas del cliente en el expediente de morosidad de Asnef.
C) Subsidiariamente, se declare que al aplicarse un régimen sancionador que no era el vigente y que entraba en contradicción con el Reglamento General de Protección de Datos en vigor durante el curso del procedimiento sancionador, el procedimiento había caducado de acuerdo con la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
Por medio de OTROSÍ se solicita además el planteamiento de cuestión prejudicial ante el Tribunal de Justicia de la Unión Europea, formulando las siguientes cuestiones:
PRIMERA. - Habiendo establecido el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos) un régimen sancionador determinado en el articulado del mismo, ¿puede un Estado, una vez en vigor el mismo, establecer otro régimen sancionador diferente?
SEGUNDA. - ¿Puede una Agencia de Protección de Datos Estatal aplicar otro régimen sancionador que no sea el de tal Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y aplicar sanciones por aquellas infracciones que no están comprendidas en el nuevo Reglamento?
TERCERO. -El Sr. Abogado del Estado contestó la demanda mediante escrito presentado el 26 de marzo de 2021 en el que, tras alegar los hechos y los fundamentos jurídicos que estimó aplicables, terminó suplicando se dictara sentencia en la que se desestimara el recurso, confirmando el acto administrativo impugnado, con expresa condena en costas a la parte actora.
CUARTO. - Habiéndose solicitado el recibimiento del pleito a prueba, se acordó el mismo mediante Auto de 9 de abril de 2021, confirmado en reposición por el Auto de 22 de julio de 2021, practicándose la prueba documental propuesta y admitida, con el resultado que figura en las actuaciones.
No considerándose necesaria la celebración de vista pública, se dio trámite de conclusiones a las aptes, trámite que evacuaron por su orden, primero la defensa de la entidad recurrente y después el Abogado del Estado, mediante escritos en los que concretaron y reiteraron sus respectivos pedimentos.
QUINTO. - Conclusas las actuaciones, se señaló para votación y fallo de este recurso el día 29 de marzo de 2022, fecha en la que tuvo lugar la deliberación y votación, habiendo sido ponente la Ilma. Magistrada doña Nieves Buisán García, quien expresa el parecer de la Sala.
Fundamentos
PRIMERO. -Se interpone el presente recurso contencioso-administrativo por PRIMROSE PARTNERS LTD frente a la Resolución de la Directora de la Agencia Española de Protección de Datos de 28 de octubre de 2019 que impone a dicha entidad una sanción próxima al mínimo establecido en la escala de 'graves' de 55.000 euros, por la infracción del artículo 4.3) de la LOPD, de conformidad con lo establecido en el artículo 45 de la citada LOPD.
Se basa dicha Resolución, esencialmente, en cuanto al fondo de la controversia, en que la entidad reclamada incluye en 4 ocasiones los datos personales del reclamante en el fichero de solvencia patrimonial y crédito sin haber acreditado la notificación al denunciante del requerimiento de pago previo a la inclusión, indicándole el importe a pagar, el plazo, la forma y el lugar, advirtiéndole que, en caso contrario, podía ser incluido en el fichero de morosos. Los documentos aportados muestran el envío de mensajes por email donde se alternan las gestiones de recobro con las peticiones de pago, los ofrecimientos de pago aplazados, el incremento de la deuda con el paso d ellos días, los ingresos de cantidades (...) en el intercambio de mensajes queda acreditado que el reclamante no ha recibido la comunicación de requerimiento de pago previo a la inclusión en Asnef.
Actuaciones que derivan de la denuncia presentada por el Sr. Bienvenido con fecha de 23 de diciembre de 2015, por incluir sus datos en el fichero de solvencia patrimonial y crédito ASNEF sin previo requerimiento de pago.
Tras la tramitación de un primer expediente administrativo, el mismo concluyó mediante Resolución de la Directora de la AEPD de 25 de abril de 2017 que impuso a Primrose Partners LTD una sanción de 55.000 euros por infracción del artículo 4.3) de la LOPD.
Presentado recurso contencioso-administrativo contra la anterior, esta misma Sala y Sección de la Audiencia Nacional dictó sentencia con fecha 19 de marzo de 2019, parcialmente estimatoria de la demanda, a fin de que por la AEPD se procediera retrotraer el expediente al momento de las alegaciones efectuadas por el recurrente a la propuesta de resolución, y resolver a continuación lo que se considera procedente en derecho (por falta de motivación).
SEGUNDO. -Dadas las alegaciones de la entidad recurrente en la demanda ha de ser resuelta, en primer término, la invocada falta de competencia de la AEPD, por tratarse de una supuesta infracción cometida por una empresa inglesa sometida a la normativa británica, cuestión que ya ha sido planteada por la misma entidad recurrente a esta misma Sala y Sección, que ha dictado sentencias con fecha de 21 de junio de 2019 (Recurso 342/2017) y de 13 de julio de 2021 ( Rec.1233/19), entre otras, en las que hemos razonado lo siguiente:
(...) la Sentencia del Tribunal Supremo de 5 de febrero de 2019 , estima el recurso de casación formulado contra la Sentencia de esta Sección de 25 de octubre de 2017 -recurso 99/2016 -. Y llega a la conclusión que, resulta aplicable la LOPD, a una empresa domiciliada en un tercer Estado miembro de la Unión Europea, en concreto, en Luxemburgo, y que a los efectos de considerar que el tratamiento de datos se efectúa en el marco de las actividades de un establecimiento que se encuentre ubicado en territorio español, solo contaba para realizar su actividad en España con la utilización de un apartado de correos y la titularidad de una cuenta corriente, ya que había que tener en cuenta que la citada empresa 'dirigía de forma regular actividades y operaciones a través de medios instrumentales radicados en España, adoptando decisiones relativas a los fines y medios del tratamiento de datos, al haberse acreditado que era la responsable de impartir las órdenes para que se incluyeran los datos personales del afectado en el fichero de solvencia patrimonial BADEXCUG'.
Se añade que: 'En este sentido, estimamos que la sentencia de instancia desconsidera la interpretación que del artículo 4.1.a) de la Directiva 45/96 ha efectuado el Tribunal de Justicia de la Unión Europea en la sentencia de 1 de octubre de 2015 (asunto C-230/14 ), en que se formula la directriz de que el concepto de establecimiento, a que se refiere dicha disposición, no puede entenderse en todo caso equivalente al de la sede social donde este registrada la sociedad responsable del tratamiento de datos, debiendo valorarse para la determinación de esta noción el grado de estabilidad de la instalación así como el grado de efectividad del desarrollo de la actividad y la naturaleza específica de las actividades económicas y de las prestaciones de servicios de que se trate.
Según se desprende de la mencionada sentencia del Tribunal de Justicia de la Unión Europea, cabe integrar en el concepto de establecimiento, desde una perspectiva funcional, las actividades que realice la empresa responsable del tratamiento de datos a través de un representante que disponga de los medios necesarios para la prestación de los servicios concretos de que se trate en el Estado miembro...'.
Y llega el Tribunal Supremo a la siguiente interpretación del concepto de establecimiento del art. 2.1.a) de la LOPD: 'A los efectos de considerar si es aplicable la normativa de protección de datos de carácter personal, de un Estado miembro de la Unión Europea a una empresa responsable del tratamiento de datos personales, en aquellos supuestos en que la sede principal esté ubicada en el territorio de otro Estado miembro de la Unión Europea, pero que realice actividades en otros Estados miembros, el concepto de establecimiento a que se refiere el artículo 2.1.a) de la Ley Orgánica 15/1999 (...) debe interpretarse de forma flexible y antiformalista, en el sentido de que resultan comprendidos el tratamiento de datos personales que se realiza en el marco o en el contexto de la actuación desarrollada en un Estado miembro de la Unión Europea (distinto a donde tiene la sede o administración principal) a través de la utilización de medios instrumentales que se revelen idóneos y eficaces en el tratamiento de datos personales'.
De donde resulta que tal excepción de incompetencia de la Agencia Española de Protección de Datos ha de ser desestimada.
TERCERO. -Se denuncia asimismo por la entidad recurrente que la resolución de la AEPD no aplica la normativa ni el régimen sancionador vigente. Se pretende la aplicación del Reglamento Europeo de Protección de Datos al supuesto debatido, por considerar que el mismo había entrado en vigor con fecha de 25 de mayo de 2016, pretensión que ha de ser igualmente desestimada, bastando para ello traer a colación el contenido del artículo 99.2 de tal Reglamento (UE) 2016/679, de 27 de abril, según el cual 'será aplicable a partir del 25 de mayo de 2018'.
Fue con fecha de 19 de diciembre de 2016 cuando la Directora de la Agencia Española de Protección de Datos acordó iniciar el procedimiento sancionador, por lo que resulta de aplicación al supuesto la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal y su Reglamento General de Desarrollo aprobado por RD 1720/2007, de 21 de diciembre.
Normativa que, por tanto, resulta también aplicable al plazo de caducidad del procedimiento ante la AEPD, que a tenor de lo previsto en el artículo 48.3 de la Ley Orgánica de Protección de Datos (en relación con el artículo 128 del Reglamento), es de seis meses, por lo que tampoco resulta de aplicación, contrariamente a lo mantenido en la demanda, el plazo de tres meses contemplado en el artículo 21 de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas.
Plazo de caducidad de seis meses en los procedimientos sancionadores ante la AEPD que se computa, conforme esta Sala ha declarado con reiteración (SSAN 20-9-2006, Rec. 538/2004 y 12-3-2008 Rec. 378/2006, entre otras muchas) no desde la fecha en que se notifica el Acuerdo de inicio del procedimiento sancionador, sino desde la fecha en que se dicta dicho Acuerdo (dies a quo), y hasta la fecha que se notifica la resolución sancionadora (dies ad quem). Fechas que en el presente supuesto son las de 19 de diciembre de 2016 y 10 de mayo de 2017, según expresamente se reconoce en la demanda (pag.12) por lo que tampoco es apreciable tal excepción de caducidad.
Sin que tampoco sea apreciable, y por los mismos motivos, la excepción de prescripción que asimismo se invoca en la demanda, más sin ni siquiera razonar su concurrencia y de conformidad con lo preceptuado en el repetido Reglamento (UE) 2016/679, de 27 de abril, General de Protección de Datos que, como se ha referido, no resulta de aplicación al supuesto. Excepción de prescripción que en ningún caso puede estimarse tomando en consideración los efectos interruptivos derivados del primer recurso contencioso-administrativo que, en base a los mismos hechos, fue planteado por la misma entidad actora.
CUARTO. -Se sanciona a PRIMROSE PARTNERS LTD por la comisión de una infracción del artículo 44.3.c) de la LOPD consistente en: ' Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave'.
Infracción que por tanto ha de relacionarse con el principio recogido en el artículo 4 apartado 3 de la misma LOPD, a cuyo tenor: Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado, y también con el artículo 29 de la LOPD, que regula la prestación de servicios de información sobre solvencia patrimonial y crédito, cuyo apartado 2 se refiere a los ficheros de solvencia patrimonial en que se tratan datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés.
Fijando el artículo 38 del RLOPD los 'requisitos para la inclusión de los datos' en esos ficheros, del siguiente modo:
1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:
a) Existencia previa de una deuda cierta, vencida, exigible que haya resultado impagada.
b) Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación.
c) Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.
(...)3. El acreedor o quien actué por su cuenta o interés estará obligado a conservar a disposición del responsable del fichero común y de la Agencia Española de Protección de Datos documentación suficiente que acredite el cumplimiento de los requisitos establecidos en este artículo y del requerimiento previo a que se refiere el artículo siguiente.
A fin de acreditar el cumplimiento del requisito de 'previo requerimiento de pago' que es aquel cuyo incumplimiento se sanciona por la AEPD, la entidad actora indica que en el préstamo anterior existe una notificación previa a la inclusión con respuesta fehaciente del cliente, figurando en las páginas 972 y 974 del expediente consta que la parte aportó como documentos 4 y 5 emails enviados al demandante que demostraban este extremo.
Analizados dichos folios y demás documentación, esta Sala necesariamente ha de confirmar el criterio de la Administración en el sentido de que los documentos aportados muestran el envío de mensajes de email, donde se alternan gestiones de recobro con peticiones de pago, ofrecimientos de pagos aplazados, incremento de la deuda pendiente con el paso de los días y cartas de inicio de demanda judicial. Más sin que prueben la notificación del requerimiento de pago previo a la inclusión de los datos del denunciante en el fichero de morosidad, con indicación del importe a pagar, plazo, forma y lugar y advertencia correspondiente, tal y como resulta obligado a tenor del referido artículo 38 del RLOPD en relación con los articulo 4.3 y 29 de la LOPD y según ha declarado esta Sala conforme a una reiterada y consolidada doctrina.
De donde se desprende que la anotación de los datos personales del Sr. Bienvenido, en el fichero de solvencia patrimonial, en cuatro ocasiones, por parte de Primrose Partners, supone una vulneración de tal principio de calidad de datos. Infracción del artículo 4.3LOPD de la que tal entidad actora debe responder, en cuanto responsable de la veracidad y calidad de los datos personales que suministra para su inclusión en ficheros de solvencia patrimonial y crédito. Por lo que tal vulneración del principio de calidad de datos ha de ser confirmada por la Sala.
QUINTO. -Hay que dar respuesta, por último, a la solicitud formulada por la parte recurrente, mediante otrosí, de planteamiento de cuestión prejudicial ante el Tribunal de Justicia de la Unión Europea.
A tal efecto se ha de tomar en consideración, de un lado, que el planteamiento de la cuestión se refiere al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, Reglamento que, como se ha razonado en el anterior fundamento de derecho quinto, por razones temporales, no resulta aplicable al presente recurso, por lo que el cauce empleado por la recurrente es a todas luces erróneo
Y en cualquier caso hay que señalar que, siendo la presente sentencia susceptible de ser recurrida en casación ante el Tribunal Supremo, esta Sala de la Audiencia Nacional no estaría obligada a plantear cuestión de prejudicialidad ante el Tribunal de Justicia de la Unión Europea, según el artículo 267 del Tratado Fundacional de la Unión Europea (TFUE), lo que basta para desestimar tal solicitud de planteamiento de cuestión prejudicial.
De todo lo cual se concluye que no existe en el caso concreto motivo alguno para plantear una cuestión prejudicial.
SEXTO. - De conformidad con lo dispuesto en el artículo 139.1 de la Ley Jurisdiccional, al desestimarse íntegramente la pretensión de la demanda, procedente resulta la imposición de costas procesales a la entidad actora.
Vistos los artículos citados y demás de pertinente y general aplicación
Fallo
DESESTIMAR el recurso contencioso-administrativo interpuesto por la representación de PRIMROSE PARTNERS LTD frente a la Resolución de la Directora de la Agencia Española de Protección de Datos de 28 de octubre de 2019, resolución que se confirma, dada su conformidad a Derecho, con imposición de costas procesales a tal parte actora.
La presente sentencia es susceptible de recurso de casación, que deberá prepararse ante esta Sala en el plazo de 30 días contados desde el siguiente al de su notificación; en el escrito de preparación del recurso deberá acreditarse el cumplimiento de los requisitos establecidos en el art. 89.2 de la Ley de la Jurisdicción justificando el interés casacional objetivo que presenta.
Así por esta nuestra Sentencia, lo pronunciamos, mandamos y firmamos
PUBLICACIÓN.- Dada, leída y publicada fue la anterior Sentencia en audiencia pública. Doy fe. Madrid a.
LA LETRADA DE LA ADMINISTRACIÓN DE JUSTICIA.
