Encabezamiento
A U D I E N C I A N A C I O N A L
Sala de lo Contencioso-Administrativo
SECCIÓN PRIMERA
Núm. de Recurso:0000513/2018
Tipo de Recurso:PROCEDIMIENTO ORDINARIO
Núm. Registro General:04029/2018
Demandante: Rubén
Procurador:JOSÉ ALVARO VILLASANTE ALMEIDA
Letrado:ALBERTO ALFREDO GARCÍA PÉREZ
Demandado:AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Abogado Del Estado
Ponente IIma. Sra.:Dª. NIEVES BUISAN GARCÍA
S E N T E N C I A Nº:
IImo. Sr. Presidente:
D. EDUARDO MENÉNDEZ REXACH Ilmos. Sres. Magistrados:
Dª. LOURDES SANZ CALVO
D. FERNANDO DE MATEO MENÉNDEZ
Dª. NIEVES BUISAN GARCÍA
Madrid, a catorce de noviembre de dos mil diecinueve.
Vistos por la Sala, constituida por los Sres. Magistrados reseñados al margen, los autos del recurso contencioso-administrativo número 513/2018, interpuesto por el Procurador de los Tribunales don José Alvaro Villasante Almeida, en nombre y representación de D. Rubén, contra la Resolución de 24 de abril de 2018 de la Agencia Española de Protección de Datos que confirma en reposición la anterior Resolución de 8 de marzo de 2018 que acuerda imponerle una sanción de 600.000 euros por una infracción del art. 37.1.f) de la Ley Orgánica 15/1999, de 13 de diciembre (LOPD), tipificada como muy grave en el art. 44.4.c) de la citada norma, y otra sanción de 80.000 euros por la vulneración del art. 40 de dicha LOPD, tipificada como grave en el art. 44.3.j) de la misma. Ha sido parte demandada LA ADMINISTRACIÓN DEL ESTADO, representada por el Abogado del Estado. La cuantía del recurso se en 680.000 euros.
Antecedentes
PRIMERO. -Por el recurrente se interpuso recurso contencioso administrativo ante esta Sala mediante escrito presentado el 6 de julio de 2018, del que se acordó su tramitación de conformidad con las normas establecidas en la Ley 29/1998, y la reclamación del expediente administrativo.
SEGUNDO. -En el momento procesal oportuno tal actor formalizó la demanda mediante escrito presentado el 15 de marzo de 2019 en el que, tras alegar los hechos y fundamentos de derecho que estimó procedentes, terminó suplicando se tuviera por interpuesto el recurso, dictándose sentencia en la que se anulara el procedimiento administrativo sancionador, revocándose las sanciones impuestas al actor por no quedar acreditados los extremos expuestos en la resolución de la AEPD impugnada, y subsidiariamente, que en aplicación del artículo 83 del Reglamento UE 2016/679, del Parlamento Europeo y del Consejo de 27 de abril de 2016, se reduzcan las sanciones impuestas a un 2% del volumen de negocio que tuvo mi representada en 2017.
TERCERO. -El Sr. Abogado del Estado contestó la demanda mediante escrito presentado el 11 de junio de 2019 en el que, tras alegar los hechos y los fundamentos jurídicos que estimó aplicables, terminó suplicando se dictara sentencia en la que se desestimara el recurso, confirmando el acto administrativo impugnado, con expresa condena en costas a la parte actora.
CUARTO. - No habiéndose solicitado el recibimiento del pleito a prueba y tampoco trámite de conclusiones a las partes, quedaron las actuaciones conclusas, pendientes de señalamiento para votación y fallo.
QUINTO. -Se fijó al efecto el día 5 de noviembre de 2018, fecha en que ha tenido lugar la deliberación y votación, habiendo sido ponente la Ilma. Magistrada doña NIEVES BUISAN GARCÍA, quien expresa el parecer de la Sala.
Fundamentos
PRIMERO.-Se interpone el presente recurso contencioso-administrativo por D. Rubén frente a la resolución de la Directora de la Agencia Española de Protección de Datos de 24 de abril de 2018, que confirma en reposición la anterior resolución de 8 de marzo de 2018, que le impone una sanción de 600.000 euros por una infracción del art. 37.1.f) de la Ley Orgánica 15/1999, de 13 de diciembre (LOPD), tipificada como muy grave en el art. 44.4.c) de la cita norma, y otra sanción de 80.000 euros por la vulneración del art. 40 de dicha LOPD, tipificada como grave en el art. 44.3.j) de la misma.
Resoluciones que se sustentan en los siguientes hechos probados:
PRIMERO:El 23/02/2009 fue dictada resolución R/01398/2009 en el ámbito del procedimiento sancionador PS/0629/2008, en el que se declaró la inmovilización del fichero DOMICILIOS que se explotaba por las entidades SABERLOTODO INTERNET, S.L., TRUMBIC e INFORMACIÓN PRIVILEGIADA y respecto de las que JVLF ha sido administrador, apoderado y representante en distintas actuaciones de esta Agencia.
SEGUNDO:El 28/09/2016 fue dictada resolución R/02314/2016 en el ámbito del procedimiento sancionador PS/00156/2016, en el que se sanciono a MEGAINFORMES ON- LINE S.L. por vulneración del artículo 37.1.0 y a MULTIGESTION IBERIA 2014, S.L.U., por vulneración del artículo 6. Asimismo, se archivó por caducidad de actuaciones previas a IIGC y a JVLF y se ordenaba a la Subdirección de Inspección de Datos la apertura del expediente NUM000 que trae causa el presente procedimiento.
En el citado procedimiento se declararon como hechos probados que tanto MEGAINFORMES como IIGC eran conocedoras de la resolución de inmovilización del fichero DOMICILIOS, de acuerdo con la vinculación de JVLF con las entidades señaladas anteriormente (ex administrador, domicilios de contacto de los servicios de telecomunicaciones coincidente, líneas de teléfono y otros servicios contratados por las citadas empresas).
TERCERO:El Registro Mercantil de Alicante en escrito de 19/12/2017 ha informado que '...en la hoja... abierta en este Registroa MEGAINFORMES, figura practicada inscripción70, al folio... del tomo...general, por la que se inscribe un determinado poder otorgado a favor de JVLF, en virtud de otorgada en Alicante, el 18 de marzo de 23016, ante su Notario ...'.
CUARTO:Consta acreditado que a través de la página web www.inglobaly.com se ofrece un servicio de consulta de datos personales. La estructura dela información, la página principal y los menús y submenús de la citada web, coinciden con el servicio ofrecido por TRUMBIC en la explotación del fichero DOMICILIOS.
QUINTO:Resulta acreditado que al menos hasta el 08/08/2016, intentado el acceso a la dirección web www.trumbic.com la navegación es redireccionadaa la dirección web www.inglobaly.com.
SEXTO:En accesoa la web www.inglobaly.com figura como responsable la entidad IIGC, con domicilio en Drake Chambers RO. Box 3321 Road Town (Tórtola) 1 British Virgin lslands; dicha sociedad tiene CIF y domicilio fiscal en España. Aparece como teléfono de contacto NUM001 y como dirección electrónica de contacto la dirección web support@inglobaly.com. Según ha informado la operadora el número NUM001 ha sido contratado por IIGC, con domicilio de contacto en C/ Aparisi Guijarro, 9 Esc 1, 2c, 03014- Alicante, coincidente con el domicilio aportado por MEGAINFORMES en la inscripción en el RGPD.
SÉPTIMO:La dirección web www.inglobaly.com informa que los servicios on-line que presta son, entre otros, Localización de viviendas y sus residentes, que coincide exactamente con los datos que recoge el fichero inmovilizado DOMICILIOS, mediante Resolución de 23/02/2009, dictada en el procedimiento sancionador PS/0629/2008.
OCTAVO:En la dirección IP NUM002 que aloja el servidor web www.inglobaly.com,estuvo alojado anteriormente www.trumbic.com y actualmente también está alojado el servidor web www.megainformes.com; la citada dirección IP aloja un servicio de hosting dedicado que significa que la información que contiene es únicamente gestionada por el titular del servicio, en este caso MEGAINFORMES.
NOVENO:En el Informe de Actuaciones Previas de Inspección consta que el sitio web www.megainformes.es aparecía redirigido a www.inglobaly.com. Una consulta al DNS arroja como resultado que el titular del dominio megainformes.es es MEGAINFORMES. Posteriormente esta redirección se ha quitado y aparece una web cuyo responsable declarado es MEGAINFORMES.
DÉCIMO:MEGAINFORMES tiene declarado en el RGPD el fichero GUIA ELECTRÓNICA TELEFÓNICA que coincide en cuanto a los datos que tiene y la finalidad, con el que fue inscrito por SABERLOTODO como 'DOMICILIOS' y que fue objeto de inmovilización.
UNDÉCIMO:La entidad MULTIGESTION ha sido sancionada en la resolución R/00537/2014 de fecha 13/03/2014 en relación con el tratamiento de datos procedentes del fichero DOMICILIOS en ejecución se su contrato con TRUMBIC.
DUODÉCIMO:Resulta acreditado que MULTIGESTION contrato el servicio de localización de personas con TRUMBIC, accediendo a dicha información a través de la página web de ésta -www.trumbic.com,cuyas características coinciden con el servicio que presta IIGCa través de la página web de esta -www.inglobaly.com-a MULTIGESTION IBERIA 2014, S.A.U. en cuanto a estructura de la información, interface, menús, y submenús.
DECIMOTERCERO:MULTIGESTION IBERIA 2014, S.A.0 sucedió en derecho y obligaciones a MULTIGESTION IBERIA S.A.U., (con los mismos administradores, domicilio social y asesoría jurídica) resultando probado que tuvo accesoa la web www.inglobaly.com como cliente.
DECIMOCUARTO:En ejecución del contrato de fecha 01/10/2014 entre MULTIGESTION IBERIA 2014, SAU e IIGC (folio 304 y siguientes), aquella accedióa 100 registros - nombre, apellidos y DNI.
DECIMOQUINTO:Consta que el 01/12/2016 y el 01/02/2017 se remitió a JAEB, en su condición de socio y administrador único de IIGC, requerimientos de información, e informándoles que de acuerdo con lo establecido por el artículo 44.3.i) de la LOPD , puede ser constitutivo de infracción grave el no atender los requerimientos de la Agencia Española de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidaso no proporcionar cuantos documentos o informaciones les sean solicitados, siendo en tal caso aplicable el régimen sancionador previsto en su Título VII.
DECIMOSEXTO:Consta que el 01/12/2016 y el 01/02/2017 se remitió a JVLF, en su condición de socio y administrador único de IIGC, requerimientos de información, e
informándoles que de acuerdo con lo establecido por el artículo 44.3.0 de la LOPD ,
puede ser constitutivo de infracción grave el no atender los requerimientos de la Agencia Española de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas o no proporcionar cuantos documentos o informaciones les sean solicitados, siendo en tal caso aplicable el régimen sancionador previsto en su Título VII.
DECIMOSÉPTIMO:Con fechas 05/01/2017 y 17/2/2017 tienen entrada escritos remitidos por JAEB en que niega mantener relación alguna con IIGC y desconoce la información que se le solicita.
DECIMOCTAVO:Con fecha 13/1/2017 y 16/2/2017 tienen entrada escritos remitidos por JVLF en los que se niega a aportar la información y documentación solicitada.
DECIMONOVENO:CAIXABANK ha aportado Apostilla notarial en la que se señala que En fecha 6 de junio de 2012 se constituyó, según la Ley de Sociedades de las Islas Vírgenes Británicas, la sociedad IIGC, siendo JAEB socio único y administrador único de dicha sociedad.
VIGÉSIMO:TBS en escrito de 21/09/2015 ha aportado Comunicación de Tarjeta Acreditativa del Número de Identificación Fiscal (NIF) de la AEAT de fecha 05/08/2013, dando traslado a la entidad IIGC de la Tarjeta de Identificación Fiscal (NIF) a la dirección en C/ Aparisi Guijarro 9, Planta 1, Puerta B -03014-Alicante (folio 72).
VIGESIMOPRIMERO:El 04/11/2015 la TBS ha informado que los números asociados a las líneas de teléfono NUM003 y NUM001 (teléfono de contacto que aparecía en la web de IIGC) fueron contratados por IIGC y que como datos de contacto, contratación y pago asociados a dicha empresa figura JAEB, C/ Aparisi Guijarro 9, Planta 1, Puerta B, 03014-Alicante, e-mail inglobaly@gmail.com y móvil de contacto NUM004. Aporta también TBS copia del escrito de la AEAT anterior por el que se asignaba NIF a IIGC y certificado de registro de IIGC en el Registro de Sociedades (Registrar of Corporate Affairs) de las Islas Vírgenes Británicas (folios 127 y ss.).
VIGESIMOSEGUNDO: Consta factura emitida el 30/03/2015 por IIGC a Multigestión Iberia S.A.; como cuenta bancaria de pago figura cuenta de la entidad CAIXABANK, quien informa que es de titularidad de IIGC y que la única persona con acceso a la misma es JAEB, con dirección en la C/ Aparisi Guijarro 9, Planta 1, Puerta B, 03014- Alicante".
SEGUNDO. -La primera de las infracciones por las que ha sido sancionado el recurrente es la del artículo 37.1.f) de la LOPD, en relación con el art. 49 de la citada Ley Orgánica.
Artículo 37.1.f) que establece como funciones de la Agencia Española de Protección de Datos 'requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones'. Disponiendo por su parte el artículo 49 de la misma LOPD que : 'En los supuestos constitutivos de infracción grave o muy grave en que la persistencia en el tratamiento de los datos de carácter personal o su comunicación o transferencia internacional posterior pudiera suponer un grave menoscabo de los derechos fundamentales de los afectados y en particular de su derecho a la protección de datos de carácter personal, el órgano sancionador podrá, además de ejercer la potestad sancionadora, requerir a los responsables de ficheros de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido, el órgano sancionador podrá, mediante resolución motivada, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las personas afectadas'.
A tal efecto la demanda invoca, como primer motivo del recurso, la vulneración del derecho de defensa del art. 24.2 de la Constitución, al no haber podido defenderse en el procedimiento previo sancionador que impone la obligación de inmovilizar el fichero 'DOMICILIOS', ya que no se le hizo ningún requerimiento previo para que se inmovilizara el fichero, a pesar de lo que establece el art. 49 de la LOPD, sino que solamente se requirió a la entidad Saberlotodo Internet, S.L., invocándose a tal efecto a la SAN, de esta misma Sección, de 15 de marzo de 2013 ( PDF n° 2/2011).
Cuestión suscitada que resulta sustancialmente idéntica a la planteada por el mismo Rubén en el anterior Recurso de Derechos Fundamentales nº 2/2018, interpuesto contra la misma Resolución sancionadora de la AEPD y en el que se ha dictado sentencia con fecha de 14 de diciembre de 2018, en la que razonamos lo siguiente:
El procedimiento sancionador en el que se hizo el requerimiento de inmovilización del fichero a la sociedad Saberlotodo Internet, se concluyó por resolución de 23 de febrero de 2009 del Director de la Agencia Española de Protección de Datos, confirmada en reposición por la resolución de 3 de abril de 2009, que acordó la inmovilización del fichero 'DOMICILIOS', del que según se dice era responsable Saberlotodo Internet, S.L., y que obligaba a la misma a cesar en la utilización y cesión de los datos de carácter personal registrados en dicho fichero, así como a adoptar las medidas oportunas para que el acceso a la información que contenía quedara imposibilitado.
Interpuesto recurso contencioso-administrativo contra la citada resolución, fue desestimado por Sentencia de esta Sección de 30 de abril de 2010 -recurso nº. 428/2009 -. En dicha Sentencia se recogían los siguientes datos fácticos relevantes:'Saberlotodo Internet SL es una empresa cuya actividad es la prestación de servicios de acceso a bases de datos por terceros a través de Internet, concretamente a través del sitio web 'Saberlotodo.com'. Para ello formaliza con sus clientes un contrato de suministro de información vía Internet, que permite a éstos, mediante la utilización de una clave de usuario, acceder a la información contenida en los ficheros de tal recurrente, a través del mencionado sitio Web.
A fecha de 30 de julio de 2008 (Acta de inspección que figura en los folios 154 a 289 del expediente) Saberlotodo contaba con un total de 124 clientes, disponiendo cada uno de ellos de varios usuarios. A fecha 21 de octubre de 2008, se encontraban conectados durante el acto de inspección, 335 usuarios.
Según el resultado de las inspecciones realizadas a la empresa actora por la AEPD, referidas en el párrafo anterior, Saberlotodo es titular de un fichero denominado 'DOMICILIOS' que contiene datos personales relativos a más de treinta y siete millones de afectados. Asociados a la mayoría de ellos figuran datos que no constan en fuentes accesibles al público como son los de fecha de nacimiento, el número de DNI y la indicación del piso y puerta de los domicilios respectivos figurando, además, en muchos casos, un domicilio actual y uno anterior.
Según la descripción del fichero recabada de Saberlotodo que figura actualizada a 30 de junio de 2008, el número total de registros es de 36.812.617, disponiendo todos ellos de fecha de nacimiento, y de los que 3.442.902 registros disponen además del dato relativo al DNI.
En la repetida Inspección de 30-7-2008, se realizó una búsqueda de datos personales asociados a diez apellidos seleccionados al azar, obteniéndose determinadas impresiones en pantalla, que figuran en las actuaciones y en las que se verifica que la indicación sobre el piso y la puerta asociados al domicilio consta en ocho de ellas, y la fecha de nacimiento en nueve de ellas.
Realizada la búsqueda de los datos personales de los denunciantes MJ, CCL, JFA y JGC en las páginas blancas de abonados al servicio telefónico, no se encontraron datos relativos a los mismos.
A fecha 27-10-2008, los datos relativos a ocho de las diez personas seleccionadas al azar, cuyos datos personales figuran en el fichero de Saberlotodo, no se encuentran en las páginas blancas accesibles a través de Internet.
Los anteriores hechos determinaron la apertura del procedimiento sancionador PS/629/2008, con fecha de 5/12/2008 (folios 541 y siguientes) en el que, además de la infracción grave del artículo 43.3.d) LOPD , se imputa a Saberlotodo una infracción muy grave del Art. 44.4.b) de la misma, derivada del incumplimiento de lo dispuesto en el Art. 11.1 de dicha Ley 15/1999 .
Acuerdo de inicio de procedimiento sancionador en el que se requería a Saberlotodo para que, en el plazo improrrogable de tres días, cesase en la utilización y cesión ilícita de los datos de carácter personal registrados en el fichero 'Domicilios' y que hubiesen sido obtenidos, según el representante de la entidad, del censo de población, y de los padrones municipales de habitantes, o bien facilitados a dicha actora por la entidad Detectives Lucentum SL, o recabados por el propio representante de Saberlotodo con anterioridad a 1980, en el ejercicio de una actividad privada que no ha justificado y que afectan, según sus manifestaciones, a 22.000 registros.
En el mismo Acuerdo se advertía a Saberlotodo que, en caso de no atender aquel requerimiento, se podría acordar la inmovilización del fichero 'domicilios', a los solos efectos de restaurar los derechos de las personas afectadas, concediéndole un plazo de tres días para que, en relación con el levantamiento de la medida, alegara lo que estimara conveniente.
Examinado el escrito de alegaciones presentado por Saberlotodo en respuesta al indicado requerimiento, y considerando la Administración que en ellas no se desvirtuaban los hechos y fundamentación jurídica que justificaba el Acuerdo, el Director de la AEPD, mediante resolución de 8/01/2008 (folios 704 y siguientes) resolvió no acceder al levantamiento de dicha medida acordada el 5-12-2008, concediéndole un nuevo plazo de diez días para alegaciones y advirtiéndole nuevamente de que, en caso de no cesar en la utilización y cesión ilícita de los datos de carácter personal registrados en el fichero Domicilios, el Director de la AEPD mediante resolución motivada, podría acordar la inmovilización del repetido fichero, a los efectos de restaurar los derechos de las personas afectadas.
Dentro del referido plazo Saberlotodo presenta escrito en la que no hace referencia a medida alguna adoptada y referida al cese en la utilización y cesión de datos acordada'.
El recurso de casación formulado contra la anterior Sentencia, fue desestimado por Sentencia del Tribunal Supremo de 26 de noviembre de 2012 -recurso nº. 4.126/2010 .
TERCERO. -El recurrente funda la conculcación del art. 24.2 de la Constitución (continua la SAN de 14 de diciembre de 2018, RDF 2/2018) al no ser parte en el procedimiento que se siguió para que se produjera la inmovilización del fichero 'DOMICILIOS', en la Sentencia de esta Sala de 15 de marzo de 2013 , que estimó el recurso contencioso- administrativo interpuesto contra la resolución de 21 de septiembre de 2011 de la Agencia Española de Protección de Datos, PS-00146/2011-, por la que se le impuso una sanción de 600.000 euros por una infracción muy grave del art. 44.4.d) de la Ley Orgánica 15/1999, de 13 de diciembre . Pero se olvida dicha parte, que el recurso de casación interpuesto por el representante legal de la Administración del Estado contra la citada Sentencia, fue estimado por la Sentencia del Tribunal Supremo de 8 de junio de 2015 - recurso nº. 1.651/2013 -, y desestimó el recurso contencioso-administrativo contra la resolución de 21 de septiembre de 2011.
En la reseñada Sentencia del Tribunal Supremo de 8 de junio de 2015 , se dice al respecto: "Pues bien, aquí sucede que don Rubén admitió haber tenido conocimiento de la inmovilización de su fichero 'DOMICILIOS', del cual, además, es el encargado de los tratamientos según consta en el Registro General de Protección de Datos, y no ha desvirtuado las imputaciones de la Agencia Española de Protección de Datos que señalan la continuidad en la actividad de ese fichero pese a la existente orden de inmovilización y su concreta responsabilidad al respecto. Por otro lado, es cierto que, como apunta el Abogado del Estado, esa inmovilización tiene una naturaleza objetiva pues sirve para evitar la vulneración del derecho a la protección de datos constitutiva de infracción grave o muy grave originada por tratamientos contrarios a la Ley Orgánica. Su razón de ser no descansa, pues, en la cualidad de un determinado sujeto, no responde a criterios sentados intuitu personae sino a la continuidad de tratamientos ilícitos y a su carácter lesivo del derecho fundamental. De ahí que consista en la prohibición de que se use el fichero inmovilizado. Estas características de la inmovilización se perciben con absoluta claridad en este caso porque la orden de cese de los tratamientos del fichero 'DOMICILIOS' obedece a que los datos personales obrantes en él se obtuvieron de manera ilegítima.
Establecidas estas premisas, vemos que se ha dado el presupuesto de hecho contemplado por el artículo 44.4 d) de la Ley Orgánica 15/1999 : existía un previo requerimiento de la Agencia Española de Protección de Datos y, sin embargo, no se cesó en el tratamiento de los datos del fichero 'DOMICILIOS'. Y ese requerimiento, aunque no se le hizo personalmente a don Rubén, ni podía ser desconocido por éste --en cuanto Administrador Único de SABERLOTODO, encargado de los tratamientos del fichero y, según destacó en el expediente, propietario del mismo-- ni, de hecho, lo desconoció. Al contrario, era plenamente consciente de él tal como ha admitido...
En estas particulares circunstancias, debemos decir que la resolución recurrida en la instancia no puede considerarse lesiva del derecho de defensa en el procedimiento dirigido a sancionar el incumplimiento de la orden de inmovilización. Don Rubén ha conocido todas las actuaciones de la Agencia Española de Protección de Datos, sabía que el fichero 'DOMICILIOS' estaba inmovilizado, no respetó la prohibición de utilizarlo e, incoado ese procedimiento, se le notificó tal hecho, participó activamente en el expediente, impugnó en él cuanto consideró conveniente a su derecho, se le notificó la propuesta de resolución, alegó contra ella y recurrió en reposición la resolución sancionadora. No se advierte en esta secuencia ningún rasgo de indefensión. Y el único en que se fija la Audiencia Nacional, no habérsele hecho personalmente el requerimiento de cesar en los tratamientos, materialmente no produce el efecto lesivo del artículo 24 de la Constitución , que apreció la sentencia recurrida, pues, al margen de que esa inmovilización, fue confirmada judicialmente, don Rubén la conocía y no pudo no conocer tampoco el proceso judicial en que esa confirmación se produjo.
En efecto, además de lo que consta en el expediente, en la sentencia de la Sección Sexta de esta Sala de 26 de diciembre de 2012 (casación 4126/2010 ) se recoge como 'en fechas 30 de julio de 2008 y 21 de octubre de 2008, los inspectores de la AEPD acudieron a la sede de Saberlotodo Internet, S.L. debidamente autorizados y en presencia del Administrador de la empresa Saberlotodo Internet, S.L., D. Rubén, y con su colaboración, accedieron a través de la web de Saberlotodo al fichero 'Domicilios', para verificar su contenido y efectuar las comprobaciones oportunas. El resultado de dichas inspecciones, efectuadas en el domicilio de la empresa recurrente, obtenido con observancia de las garantías exigibles, constituye la prueba en que se basa la decisión de la AEPD de inmovilización del fichero que ahora se enjuicia'.
Insistimos, pues, en que el sancionado ni desconoció que el fichero estaba inmovilizado ni que su empresa estaba cuestionando la legalidad de tal medida cautelar, ni, en fin, se vio impedido de recurrir contra una decisión que le impedía usar su fichero".
Razonamientos a cuyo tenor tampoco cabe apreciar aquí que se haya producido indefensión material al demandante, al proceder a la inmovilización del fichero 'DOMICILIOS', debiéndose desestimar tal motivo de impugnación.
CUARTO. -Se invoca asimismo por el actor, al igual que en el RDF 2/2018, la vulneración del principio non bis in ídem,en base a que el procedimiento sancionador seguido ante la AEPD con el numero PS/156/2016 trató los mismos hechos aquí enjuiciados, archivándose por caducidad de las actuaciones previas de inspección.
Cuestión igualmente resuelta por la repetida SAN de 14 de diciembre de 2018, en la que se expone lo siguiente:
En el procedimiento sancionador PS/00156/2016, se dictó resolución el 28 de septiembre de 2016, acordándose archivar el procedimiento a la entidad IIGC y al aquí recurrente por la caducidad de las actuaciones previas de investigación, de acuerdo con el art. 122.4 del Real Decreto 1.720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la LOPD, si bien se ordenaba a la Subdirección de Inspección de Datos a la apertura del expediente NUM000, al no haber prescrito las infracciones que se les imputaban.
La Sentencia del Tribunal Constitucional 77/2010, de 19 de octubre , recuerda la doctrina que dicho Tribunal ha desarrollado acerca del citado principio non bis in idem: "a) Ya en la STC 2/1981, de 30 de enero , se situó el principio non bis in idem bajo la órbita del art. 25.1 CE , a pesar de su falta de mención expresa, dada su conexión con las garantías de tipicidad y legalidad de las infracciones, y se delimitó su contenido como la prohibición de duplicidad de sanciones en los casos en que quepa apreciar una triple identidad del sujeto, hecho y fundamento (FJ 4; así como, entre muchas otras, SSTC 2/2003, de 16 de enero, FJ 3 ; 236/2007, de 7 de noviembre , FJ 14). La garantía de no ser sometido a bis in idem se configura, así, como un derecho fundamental ( STC 2/2003 , FJ 3, citando la STC 154/1990, de 15 de octubre , FJ 3; 188/2005, de 4 de julio FJ 2), cuyo alcance en nuestra doctrina se perfila en concordancia con el expreso reconocimiento que del mismo han hecho los convenios internacionales sobre derechos humanos, tales como el Pacto internacional de derechos civiles y políticos de la ONU del 19 de diciembre de 1966, ratificado por España mediante Instrumento publicado en el 'BOE' núm. 103, de 30 de abril de 1977, en su art. 14.7, el Protocolo 7 del Convenio europeo de derechos humanos , ratificado por España mediante Instrumento publicado en el 'BOE' núm. 249, de 15 de octubre de 2009, en su art. 4, o la Carta de los derechos fundamentales de la Unión Europea , que recoge la prohibición de doble sanción en su art. 50 .
Tal como hemos afirmado, la citada triple identidad de sujeto, hecho y fundamento 'constituye el presupuesto de aplicación de la interdicción constitucional de incurrir en bis in idem, sea éste sustantivo o procesal, y delimita el contenido de los derechos fundamentales reconocidos en el art. 25.1 CE , ya que éstos no impiden la concurrencia de cualesquiera sanciones y procedimientos sancionadores, ni siquiera si éstos tienen por objeto los mismos hechos, sino que estos derechos fundamentales consisten precisamente en no padecer una doble sanción y en no ser sometido a un doble procedimiento punitivo, por los mismos hechos y con el mismo fundamento' [ SSTC 2/2003, de 16 de enero, FJ 5 ; y 229/2003, de 18 de diciembre, FJ 3 ; 188/2005, de 4 de julio , FJ 2 c)].
b) En su vertiente material -que es la que ahora nos ocupa-, el citado principio constitucional impide que un mismo sujeto sea sancionado en más de una ocasión con el mismo fundamento y por los mismos hechos, toda vez que ello supondría una reacción punitiva desproporcionada que haría quebrar, además, la garantía del ciudadano de previsibilidad de las sanciones, pues la suma de la pluralidad de las sanciones crea una respuesta punitiva ajena al juicio de proporcionalidad realizado por el legislador y materializa la imposición de una sanción no prevista legalmente [ SSTC 2/2003, de 16 de enero, FJ 3 ; 48/2007, de 12 de marzo, FJ 3 ; 91/2009, de 20 de abril , FJ 6 b)].
c) Por otra parte, aunque este principio ha venido siendo aplicado fundamentalmente para proscribir la duplicidad de sanciones administrativas y penales respecto a unos mismos hechos, esto no significa que sólo incluya la incompatibilidad de sanciones penal y administrativa por un mismo hecho en procedimientos distintos, sino que, en la medida en que el ius puniendi aparece compartido en nuestro país entre los órganos judiciales penales y la Administración, el principio non bis in idem opera también internamente dentro de cada uno de estos ordenamientos en sí mismos considerados, proscribiendo, cuando exista una triple identidad de sujeto, hechos y fundamento, la duplicidad de penas y de procesos penales y la pluralidad de sanciones administrativas y de procedimientos sancionadores, respectivamente [ STC 188/2005, de 4 de julio , FJ 2 b)]".
Así las cosas, no ha existido vulneración del principio non bis in idem, ya que hay doble sanción en el caso de que se haya sancionado dos veces por los mismos hechos, y en el caso de autos, no se ha sancionado más que una vez, pues el procedimiento sancionador anterior, que se siguió en su día, no terminó en sanción alguna, por la obvia razón de que el procedimiento terminó en caducidad. Y dicha la declaración de caducidad del procedimiento no implica la prescripción ni impide el ulterior ejercicio del ius puniendi en un nuevo procedimiento, como de manera reiterada ha declarado el Tribunal Supremo, como en las Sentencias de 12 de junio de 2006 , de 27 de febrero de 2006 -recurso nº 84/2004 -, o la de 13 de diciembre de 2016 -recurso nº. 2.941/2015 -, entre otras.
QUINTO. -Se opone asimismo la parte actora a la comisión de la infracción del articulo 40 LOPD, en relación con el artículo 44.3.j) de dicha Ley Orgánica, por la que también se le sanciona en las resoluciones impugnadas, argumentando que el recurrente sí contestó a todos y cada uno de los requerimientos efectuados por la Agencia, y que dicha AEPD no ha demostrado que, tras no aportar documentación, existiera ningún ánimo de entorpecer.
Artículo 44.3.j) de la LOPD, que tipifica como infracción grave 'La obstrucción al ejercicio de la función inspectora'.
Obstruir, según el Diccionario de la Real Academia Española, equivale a ' impedir la operación de un agente, sea en lo físico, sea en lo inmaterial',o a ' impedir la acción'. E impedir según el mismo Diccionario de la RAE es 'Estorbar o imposibilitar la ejecución de algo'.
Por lo que será necesario imposibilitar, poner obstáculos o no colaborar activamente para que pueda estimarse la conducta recogida en el artículo 44.3.j), y ello sin perjuicio, y al margen, de que se llegue o no al conocimiento de los datos o de la actividad investigada, pues lo que se sanciona no es un resultado sino una conducta que obstruye la tarea inspectora.
Aunque son escasos los pronunciamientos de la Sala respecto de tal tipo infractor, en la SAN de 11 de abril de 2007, Rec, 272/2005, se consideró producida una clara obstrucción a la labor inspectora dado que se imposibilitó la misma practica de tal inspección y ello dado que en las varias ocasiones en que se trató de conseguir el domicilio de la empresa recurrente fu imposible conseguirlo, no siendo facilitado por ninguno de los responsables de la empresa. En la SAN de 22 de abril de 2009, Rec. 432/2008, consideramos que la actitud consistente en no enviar documentos o información sí constituía una obstrucción artículo 44.3.j) de la LOPD, más se trataba de un supuesto en el que se produjeron cuatro requerimientos por la Inspección de la AEPD: dos por correo, uno telefónico y otro por fax ( y estos dos últimos, además, a la persona expresamente designada por la recurrente) ninguno de los cuales fue atendido por la entidad actora que ni efectuó respuesta alguna ni aportó la información solicitada.
. En el presente supuesto constan los requerimientos de la AEPD al Sr. Rubén que figuran en el hecho probado decimosexto, a los que dicho actor contestó mediante escritos de 5 de enero y 17 de febrero de 2017 negando mantener relación alguna con la empresa IIGC (a pesar de constar probado en las actuaciones que era socio único y Administrador Único de dicha sociedad), remitiendo con posterioridad escritos a la misma Agencia con fechas de 13 de enero y 16 de febrero de 2017, en los que tal actor se negaba a aportar la información y documentación solicitadas.
La obstrucción tipificada como infracción grave en la LOPD, por tanto, y según deriva de los razonamientos anteriores implica una actitud activa, y no solo pasiva del infractor, tendente a impedir la inspección. Obstaculización y actitud impeditiva que ha de considerarse causada por el recurrente en el presente supuesto, tal y como se desprende de la relación de hechos probados que se acaba de exponer, que no ha sido desvirtuada mediante prueba alguna en contrario de dicho actor.
Razones, las anteriores, que conllevan que la infracción grave del artículo 44.3.j) LOPD haya de considerarse cometida en el caso, con confirmación de la sanción impuesta.
Sin que tampoco resulte de aplicación al supuesto la cuantificación de las sanciones administrativas conforme a un 2% o a un 4% del volumen de negocio total anual global del ejercicio financiero anterior de la empresa sancionada, que se contiene en el artículo 83 del Reglamento UE 2016/679, del Parlamento Europeo y del Consejo de 27 de abril, tomando en consideración, de un lado, que dicho Reglamento General de Protección de Datos resulta aplicable a partir del 25 de mayo de 2018, según deriva de su artículo 99.2, y sin que el recurrente, en cualquier caso, haya invocado ni tampoco acreditado, en lo más mínimo, que la aplicación de dichos nuevos parámetros de cuantificación de las sanciones impuestas resulten más favorables para el mismo.
SEXTO. -Razones, las anteriores, que conducen a la íntegra desestimación del presente recurso, con imposición al actor de las costas causadas en el proceso, de conformidad con el Art. 139 de la LJCA.
Fallo
Que desestimando el recurso contencioso administrativo interpuesto por la representación procesal de D. Rubén frente a la resolución de la Agencia Española de Protección de Datos de 24 de abril de 2018, que confirma en reposición la anterior resolución de 8 de marzo de 2018, que acuerda imponer a dicho actor dos multas por importes respectivos de 600.000 euros y 80.000 euros, confirmamos dicha resolución y sanciones, dada su conformidad a Derecho, con imposición de las costas procesales a tal parte actora.
La presente sentencia es susceptible de recurso de casación, que deberá prepararse ante esta Sala en el plazo de 30 días contados desde el siguiente al de su notificación; en el escrito de preparación del recurso deberá acreditarse el cumplimiento de los requisitos establecidos en el art. 89.2 de la Ley de la Jurisdicción justificando el interés casacional objetivo que presenta.
Así por esta nuestra Sentencia, lo pronunciamos, mandamos y firmamos.
PUBLICACIÓN.- Dada, leída y publicada fue la anterior Sentencia en Audiencia Pública. Doy fe.
Madrid a
EL LETRADO DE LA ADMINISTRACIÓN DE JUSTICIA
