Sentencia ADMINISTRATIVO Audiencia Nacional, Sala de lo Contencioso, Sección 1, Rec 501/2017 de 25 de Septiembre de 2019

Encabezamiento

A U D I E N C I A N A C I O N A L

Sala de lo Contencioso-Administrativo

SECCIÓN PRIMERA

Núm. de Recurso:0000501/2017

Tipo de Recurso:PROCEDIMIENTO ORDINARIO

Núm. Registro General:05370/2017

Demandante:WIZINK BANK, SA.

Procurador:D. ANTONIO BARRERIO-MEIRO BARBERO

Letrado:D. ALEJANDRO NEGRO SALA

Demandado:AGENCIA PROTECCIÓN DE DATOS

Abogado Del Estado

Ponente IImo. Sr.:D. EDUARDO MENÉNDEZ REXACH

S E N T E N C I A Nº:

IImo. Sr. Presidente:

D. EDUARDO MENÉNDEZ REXACH

Ilmos. Sres. Magistrados:

Dª. LOURDES SANZ CALVO

D. FERNANDO DE MATEO MENÉNDEZ Dª. NIEVES BUISAN GARCÍA

Madrid, a veinticinco de septiembre de dos mil diecinueve.

Visto el recurso contencioso administrativo que ante esta Sala de lo Contencioso Administrativo de la Audiencia Nacional ha promovido Wizink Bank, SA, representada por el Procurador D. Antonio Barreiro-Meiro Barbero,contra la Administración General del Estado, representada por el Abogado del Estado, sobre sanción por infracción grave de la Ley de Protección de Datos. Ha sido Ponente el Presidente de esta Sección Iltmo. Sr. D. Eduardo Menéndez Rexach.

Antecedentes

PRIMERO.-El acto impugnado procede del Director de la Agencia Española de Protección de Datos y es la Resolución de 15 de junio de 2017.

SEGUNDO.-Interpuesto recurso contencioso administrativo ante la Sala de lo Contencioso Administrativo de esta Audiencia Nacional, después de admitido a trámite y reclamado el expediente administrativo, se dio traslado al recurrente para que formalizara la demanda, solicitando en el suplico la estimación del recurso.

TERCERO.-Presentada la demanda, se dio traslado de la misma al Abogado del Estado, con entrega del expediente administrativo para que la contestara y, formalizada dicha contestación, solicitó en el suplico que se desestimaran las pretensiones del recurrente y que se confirmara el acto impugnado por ser conforme a Derecho.

CUARTO.-Contestada la demanda y no habiéndose solicitado recibir el pleito a prueba, una vez finalizada la tramitación, quedaron los autos conclusos para sentencia, señalándose para votación y fallo el día 10 de septiembre de 2019 en el que, efectivamente, se votó y falló.

Fundamentos

PRIMERO.- El presente recurso tiene por objeto la Resolución de 15 de junio de 2017, confirmada en reposición por otra de 18 de julio del mismo año, de la Directora de la Agencia Española de Protección de Datos (AEPD), por la que se impuso a la demandante una sanción de 24.000 euros por infracción del art. 4.3., tipificada como grave en el art. 43.3.c), de conformidad con el art. 45.5, todos de la LOPD.

SEGUNDO.-La recurrente solicita que se anule la resolución y, subsidiariamente, que atendiendo a criterios de proporcionalidad se reduzca el importe de la sanción al correspondiente a las infracciones leves en su grado mínimo.

Alega que, el 4 de enero de 2007, Dª Milagrosa contrató una tarjeta de crédito de Citibank España, SA; ante el incumplimiento de los pagos, el banco le informó en los extractos remitidos cada mes y, el 19 de agosto de 2011, la requirió de pago, advirtiéndole que si no pagaba incluiría sus datos en los registros de morosidad Asnef y Badexcug; el 18 de octubre de 2011 le realizó un nuevo requerimiento, incluyendo finalmente sus datos en los ficheros de Asnef (20 de octubre) y Badexcug (23 de octubre); el 22 de septiembre de 2014 Wizink adquirió el negocio de banca de consumo de Citibank, convirtiéndose en titular del crédito que anteriormente ostentaba Citibank, informando Banco Popular -E (denominación antigua de Wizink) a los clientes provenientes de la cesión, entre ellos a Dª Milagrosa, que desde hacía tres años conocía que su deuda figuraba en los ficheros, de modo que Wizink no la incluyó, pudiendo provenir la confusión de la información facilitada por los dos ficheros que mencionan a Banco Popular -E como informante; añade que a la fecha del procedimiento administrativo no se exigía como medio de prueba la copia del albarán de correos; además, la infracción habría prescrito por el transcurso de más de dos años desde que la denunciante tuvo conocimiento de la inclusión (octubre de 2011) hasta la notificación de apertura del expediente sancionador (22-12-2016).

Fundamenta su pretensión en que no existe infracción del art. 4.3 LOPD pues ha cumplido debidamente las obligaciones del artículo 29.4 de la Ley y 38 y 39 de su Reglamento ya que, por un lado, no se discute la existencia de una deuda cierta, vencida y exigible, que había resultado impagada y que no habían transcurrido seis años desde su impago y, por otro lado, que Citibank realizó el requerimiento previo de pago y la subrogación del demandante en las obligaciones de aquélla no le obliga a reiterar el requerimiento. En todo caso, si se estimase la existencia de la infracción, la sanción debería reducirse al mínimo en aplicación del artículo 45.5, al concurrir las circunstancias previstas en los apartados e), f) y h) del art. 45.4.

TERCERO.-La representación de la Administración demandada, por su parte, opone que la resolución es conforme a derecho y que la demandante ha infringido el principio de calidad del dato y no consta acreditado la notificación del requerimiento previo ni cabe alegar que en la fecha del requerimiento no fuera obligatorio la presentación del albarán de correos; tampoco es aplicable la prescripción, al tratarse de una infracción continuada; en cuanto a la proporcionalidad de la sanción, remite a los fundamentos de la resolución en la que se aprecia la concurrencia de circunstancias atenuantes y agravantes; por todo ello, solicita la desestimación del recurso.

CUARTO.-El art. 4.3. LOPD establece que 'Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado'.

Por su parte el art. 44.3.c) de la misma Ley tipifica como infracción grave: 'Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave'.

Como ha declarado esta Sala reiteradamente (por ejemplo en la sentencia de 11 de enero de 2013, Recurso 285/2011, que cita otras anteriores): «[...]la razón de ser de dicho articulo 4.3 de la LOPD, tal y como esta Sala ha declarado con reiteración (Sentencia de1-10-09 -recurso nº.38/2009-) y en relación con los principios de proporcionalidad y finalidad, que igualmente se contemplan en el mismo precepto, es la de garantizar y proteger la calidad de la información sometida a tratamiento (exacta y puesta al día) por la que debe velar quien recoge y trata datos de carácter personal.

Requisito s de exactitud y veracidad, establecidos en la repetida LOPD, que son exigibles al titular del fichero o tratamiento, según deriva del propio artículo 4.3, no sólo en lo que atañe a la conservación de los datos personales en los propios ficheros, o a su comunicación a un fichero de solvencia patrimonial o crédito, sino también en cualquiera de las diversas fases o modos en los que puede manifestarse el tratamiento de los datos personales, teniendo en cuenta el concepto amplio que de tratamiento deriva del artículo 3.c) de la LOPD, que comprende no solo la recogida, grabación o conservación de los datos, sino también la elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias, y en cualquiera de dichas manifestaciones, se requiere la exactitud y veracidad de los datos personales por parte del responsable del fichero o tratamiento [...]».

En el presente caso hay que mencionar, además, el art. 29 de la citada Ley, que regula de forma específica la prestación de servicios de información sobre solvencia patrimonial y crédito, y que distingue dentro de ellos dos supuestos uno de los cuales es el relativo a los ficheros de solvencia patrimonial, en los que se tratan datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés, que se regulan en el apartado 2.

Estos ficheros se caracterizan porque no necesitan del consentimiento del afectado para la obtención y tratamiento de sus datos, lo que supone una excepción a los principios rectores de la LOPD (entre ellos el del consentimiento del afectado en el tratamiento y cesión de sus datos de carácter personal). No obstante, frente a esta excepción, la propia norma articula una serie de contrapesos, como es su limitación a un caso concreto (cumplimiento o incumplimiento de obligaciones dinerarias), y la obligación de notificar a los afectados el hecho de que se han registrado sus datos de carácter personal.

Por otra parte, el art. 38 del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (en lo sucesivo RDLOPD), fija los ' requisitos para la inclusión de los datos' en esos ficheros, precepto que ha sido impugnado en algunos de sus apartados ante el Tribunal Supremo, habiéndose dictado la Sentencia del Tribunal Supremo de 15 de julio 2010 -recurso nº. 23/2008- que anula, entre otros apartados, por disconformes a derecho, el último inciso del art. 38.1.a) y el apartado 2 del citado art. 38 del RDLOPD.

La redacción del art. 38 del RDLOPD, tras la aplicación de la citada Sentencia de 15 de julio de 2010, es la siguiente:

'1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:

a) Existencia previa de una deuda cierta, vencida, exigible que haya resultado impagada.

b) Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación.

c) Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.

2. El acreedor o quien actué por su cuenta o interés estará obligado a conservar a disposición del responsable del fichero común y de la Agencia Española de Protección de Datos documentación suficiente que acredite el cumplimiento de los requisitos establecidos en este artículo y del requerimiento previo a que se refiere el artículo siguiente'.

Y el art. 39 del citado RDLOPD, a su vez, dispone: 'El acreedor deberá informar al deudor, en el momento en que se celebre el contrato y, en todo caso, al tiempo de efectuar el requerimiento al que se refiere la letra c) del apartado 1 del artículo anterior, que en caso de no producirse el pago en el término prevenido para ello y cumplirse los requisitos previstos en el citado artículo, los datos relativos al impago podrán ser comunicados a ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias'.

Es decir, para la inclusión de los datos en ficheros de información sobre solvencia patrimonial y crédito, se requiere que la deuda sea cierta y que haya sido previamente requerida de pago. En el caso que nos ocupa, se sanciona a la parte actora porque incluyó los datos de la denunciante en los ficheros de solvencia patrimonial y crédito ASNEF y BADEXCUG sin que haya justificado cumplidamente la realización del requerimiento previo de pago con anterioridad a dicha inclusión.

Así, la cuestión que se suscita a título principal consiste en dilucidar si consta acreditada o no, la realización del citado requerimiento, en los términos exigidos por el citado artículo 39 RLOPD.

En supuestos muy similares al presente, en recursos interpuestos por la misma entidad demandante contra Resoluciones de la Agencia Española de Protección de Datos que imponen sanciones por infracción del mismo precepto, y circunstancias de hecho en todo parecidas, la Sala ha estimado los recursos con base en los razonamientos que a continuación se exponen.

Así en la sentencia de 9 de febrero de 2018 (R. 972/2016) y en la de 3 de marzo del mismo año (R. 973/2016) consideró que: «[...] para la inclusión de los datos en ficheros de información sobre solvencia patrimonial y crédito, se requiere que la deuda sea cierta, y que haya sido previamente requerida de pago. En el caso que nos ocupa, se sanciona a la parte actora porque en el fichero Asnef figuraron los datos personales del denunciante desde el 20 de junio de 2013 al 14 de agosto de 2015, por una deuda de 3.190,02 euros, a instancia de aquella.

Tenemos que partir que el BancoPopular-E, actualmente Wizink, se subrogó en la posición de Citibank frente al interesado según la escritura de cesión de 22 de septiembre de 2014, habiendo incluido los datos personales del denunciante en el fichero de solvencia patrimonial, Citibank el 20 de junio de 2013.

Debemos recordar que la infracción imputada a la entidad recurrente consiste, según se ha expuesto, en la vulneración del principio de calidad de datos por instar la inclusión de los datos personales del denunciante en el fichero de morosidad Asnef, sin haber llevado a cabo el requerimiento de pago de la deuda con carácter previo a su inclusión en el citado fichero, no cuestionándose la existencia y certeza de la deuda.

Al respecto interesa destacar, que el 22 de septiembre de 2014 cuando el BancoPopular-E adquirió la cartera de créditos impagados del Citibank, entre los que se encontraba la deuda del denunciante por importe de 3.190,02 euros, los datos del denunciante ya habían sido dados de alta en el fichero Asnef por la citada entidad Citibank con fecha 20 de junio de 2013. Dicha inclusión que fue comunicada por el responsable del citado fichero (Equifax) en junio de 2013 al afectado, en cumplimiento de la obligación que al respecto les impone el art. 29.2 de la LOPD, según consta en la documentación aportada por Equifax en vía administrativa (folio 414).

En cualquier caso, cabe subrayar que la resolución recurrida no cuestiona esa inclusión efectuada en 2013 en el fichero Asnef, sino que se sustenta en que el BancoPopular-E comunicó una deuda adquirida en una cartera de créditos de dicho banco, al reseñado fichero de morosidad sin el preceptivo requerimiento previo de pago con advertencia efectiva de la posibilidad de inclusión en caso de impago.

Así las cosas, el requerimiento previo de pago tiene por objeto conceder al afectado la posibilidad de hacer frente a la deuda antes de sufrir las consecuencias de que sus datos sean inscritos en dicho fichero ( Sentencias de esta Sección de 3 de noviembre de 2011 -recurso nº. 611/2010- y 25 de febrero 2013 -recurso nº. 617/2011-, ya que como dijimos en nuestra sentencia de 20 de abril de 2006 '... aquel que utiliza un medio extraordinario de cobro como es el de la anotación de la deuda en un registro de morosos, debe garantizar el cumplimiento de todos los requisitos materiales (exactitud el dato) y formales (requerimiento previo) que permitan el empleo de este modo accesorio para conseguir el cobro de la deuda'.

Sin embargo, en el caso de autos, concurre como singularidad que los datos del denunciante estaban ya dados de alta o registrados en el fichero de morosidad cuando el BancoPopular-E adquirió la deuda.

Por tanto, esa inclusión previa de los datos del denunciante en el citado fichero Asnef cobra especial relevancia en el caso de autos, porque en las circunstancias expuestas, no cuestionándose la existencia y certeza de la deuda que ha permanecido inalterable a lo largo de todo el tiempo, no se produce una 'inclusión' en los términos establecidos en el art. 29.2 de la LOPD, como así se viene a reconocer en el Informe Jurídico 449/2013 de la propia Agencia, al que se alude en la demanda.

Pues bien, como dijimos en un supuesto similar al que nos ocupa, en la Sentencia de 28 de noviembre de 2017 -recurso nº. 357/2016-: "Así las cosas, estableciéndose en los artículos 38 y 39 del RLOPD el requerimiento de pago con carácter 'previo' a la comunicación o inscripción de los datos en los ficheros de solvencia patrimonial y de crédito, lo que resulta acorde con la finalidad de dicho requerimiento a la que más arriba se ha hecho referencia, y estando inscrita ya la deuda en el citado fichero, no cabe exigir a la entidad recurrente el cumplimiento de dicho requisito que está pensado para supuestos distintos del que aquí nos ocupa, siendo esa falta de requerimiento previo lo que reprocha la resolución recurrida y a la que debe circunscribirse nuestro análisis.

Cabe recordar, que en materia sancionadora, el Tribunal Constitucional ha establecido como uno de los pilares básicos para la interpretación del derecho Administrativo sancionador que los principios y garantías básicas presentes en el ámbito del derecho penal son aplicables, con ciertos matices, en el ejercicio de cualquier potestad sancionadora de la Administración Pública ( SSTC 76/1990, 120/1994, 154/1994, 23/1995, 97/1995, 147/1995, 45/1997de 26 de abril, entre otras muchas).

El artículo 25.1 de la CE se refiere al principio de legalidad en materia penal. En una interpretación amplia este precepto implicaría no solo la exigencia de ley habilitante o de reserva de ley, sino también la traslación a la actividad administrativa sancionadora del principio de tipicidad.

La Ley 30/1992 ha recogido esta doctrina al establecer la reserva de ley y la tipicidad para las infracciones en el artículo 129.1 y 2 ( artículo 25 y 27 La Ley 40/2015, de 1 de octubre), al tiempo que permite la regulación complementaria por reglamentos, artículo 129.3 ( artículo 27.3 de la Ley 40/2015).

Por su parte, el Tribunal Constitucional, ha sostenido que el principio de tipicidad consiste en la necesidad de predeterminación normativa de las conductas infractoras y de las sanciones correspondientes ( SSTC 61/1990, 116/1993, 151/1997, 124/2000, 113/2002, 129/2003, 297/2005, 129/2006 etc).

La exigencia de taxatividad en la predeterminación comporta que el legislador conforme los preceptos legales de tal manera que de ellos se desprenda con la máxima claridad posible cuál es la conducta prohibida ( STC 62/1982 y 297/2005) para garantizar la seguridad jurídica, es decir, para que los ciudadanos puedan conocer de antemano el ámbito de lo prohibido y prever así las consecuencias de sus acciones ( SSTC 151/1997)".

En consecuencia, la aplicación de la doctrina del Tribunal Constitucional expuesta sobre las exigencias del principio de tipicidad al caso examinado, permite concluir que los hechos expuestos no son subsumibles en la infracción apreciada por la resolución sancionadora [...]».

La aplicación del anterior criterio determina igualmente la estimación del presente recurso. Partiendo de que la inclusión de la deuda, cuya existencia y certeza no se discute, en los ficheros Asnef y Badexcug se produjo en fecha muy anterior a la cesión de créditos (octubre de 2011) por parte de Citibank a la demandante, que tuvo lugar el 22 de septiembre de 2014, y de que estas entidades notificaron la inclusión conforme a la normativa de protección de datos, como se reconoce en la Resolución impugnada (Fundamento de derecho II, in fine),en el mismo domicilio que figura en la denuncia presentada ante la Agencia de Protección de Datos, no cabe exigir un segundo requerimiento, al estar la deuda ya inscrita, por lo que al consistir la infracción en instar la inclusión de los datos personales del denunciante en los ficheros de morosidad, sin haber llevado a cabo el requerimiento de pago de la deuda con carácter previo a su inclusión en el citado fichero, no concurre el requisito de tipicidad al no ser exigible esa segunda inclusión.

QUINTO.-Po r todas las razones anteriores procede estimar el recurso y, en aplicación del art. 139.1. de la Ley de esta Jurisdicción, imponer las costas a la Administración demandada.

Fallo

PRIMERO.-Estimar el presente recurso nº 501/2017, interpuesto por el Procurador Sr. Barreiro-Meiro Barbero, en la representación que ostenta, contra la Resolución de la Agencia Española de Protección de Datos descrita en el primer Fundamento de Derecho, que se anula, por ser contraria a derecho.

SEGUNDO.-Imponer a la Administración demandada las costas del recurso.

La presente sentencia es susceptible de recurso de casación que deberá prepararse ante esta Sala en el plazo de 30 días contados desde el siguiente al de su notificación; en el escrito de preparación del recurso deberá acreditarse el cumplimiento de los requisitos establecidos en el artículo 89.2. de la Ley de la Jurisdicción justificando el interés casacional objetivo que presenta.

Así, por esta nuestra sentencia, testimonio de la cual se remitirá junto con el expediente administrativo a su oficina de origen para su ejecución, lo pronunciamos, mandamos y firmamos.

PUBLICACIÓN.-Da da, leída y publicada fue la anterior sentencia en audiencia pública. Doy fe. En Madrid, a

EL LETRADO DE LA ADMINISTRACIÓN DE JUSTICIA