Sentencia ADMINISTRATIVO Audiencia Nacional, Sala de lo Contencioso, Sección 1, Rec 542/2017 de 31 de Enero de 2019

Encabezamiento

A U D I E N C I A N A C I O N A L

Sala de lo Contencioso-Administrativo

SECCIÓN PRIMERA

Núm. de Recurso:0000542/2017

Tipo de Recurso:PROCEDIMIENTO ORDINARIO

Núm. Registro General:05822/2017

Demandante:QDQ MEDIA SAU

Procurador:MARÍA BEATRIZ MARTÍNEZ MARTÍNEZ

Letrado:ANA ISOLINA CRESPO IBOR

Demandado:AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Abogado Del Estado

Ponente IImo. Sr.:D. FERNANDO DE MATEO MENÉNDEZ

S E N T E N C I A Nº:

IImo. Sr. Presidente:

D. EDUARDO MENÉNDEZ REXACH

Ilmos. Sres. Magistrados:

Dª. FELISA ATIENZA RODRIGUEZ

Dª. LOURDES SANZ CALVO

D. FERNANDO DE MATEO MENÉNDEZ

Dª. NIEVES BUISAN GARCÍA

Madrid, a treinta y uno de enero de dos mil diecinueve.

Vistos por la Sala, constituida por los Sres. Magistrados relacionados al margen, los autos del recurso contencioso-administrativo número 542/17, interpuesto por la Procuradora de los Tribunales doña Beatriz Martínez Martínez, en nombre y representación deQDQ MEDIA, S.A.U., contra la resolución de 14 de agosto de 2017 de la Directora de la Agencia Española de Protección de Datos, por la que se estima en parte el recurso de reposición formulado contra la resolución de 26 de junio de 2017, recaída en el procedimiento sancionador PS/00568/2016, por una infracción del art. 4.3 de la Ley Orgánica 15/1999 , de 13 de diciembre, tipificada como grave en el art. 44.3.c) de dicha norma , reduciendo la sanción a 20.000 euros. Ha sido parteLA ADMINISTRACIÓN DEL ESTADO, representada por el Abogado del Estado. La cuantía del recurso quedó fijada en 20.000 euros.

Antecedentes

PRIMERO.- Admitido el recurso y previos los oportunos trámites procedimentales, se confirió traslado a la parte actora para que, en el término de veinte días formalizara la demanda, lo que llevó a efecto mediante escrito presentado el día 30 de enero de 2018 en el que, tras exponer los hechos y fundamentos de derecho que estimó oportunos, terminó solicitando que se dictara sentencia por la que se anulara la resolución impugnada, con imposición de costas a la Administración demandada.

SEGUNDO.- Formalizada la demanda se dio traslado de la misma a la parte demandada para que la contestara en el plazo de veinte días, lo que realizó mediante el pertinente escrito, alegando los hechos y fundamentos jurídicos que estimó pertinentes, solicitando la desestimación del recurso, con expresa imposición de costas a la parte recurrente.

TERCERO.- Mediante Auto de 8 de mayo de 2018, se acordó el recibimiento del recurso a prueba, admitiéndose la prueba documental propuesta por la parte actora, y no habiendo más pruebas que practicar, se concedió el plazo de diez días a las partes para la formulación de conclusiones. Una vez presentados los correspondientes escritos, quedaron los autos conclusos para sentencia, señalándose para votación y fallo el día 29 de enero del presente año, fecha en que tuvo lugar.

SIENDO PONENTEel Magistrado Ilmo. Sr. Don FERNANDO DE MATEO MENÉNDEZ.

Fundamentos

PRIMERO.- La parte demandante impugna la resolución de 14 de agosto de 2017 de la Directora de la Agencia Española de Protección de Datos, por la que se estima en parte el recurso de reposición formulado contra la resolución de 26 de junio de 2017, recaída en el procedimiento sancionador PS/00568/2016, por una infracción del art. 4.3 de la Ley Orgánica 15/1999 , de 13 de diciembre (en adelante LOPD), tipificada como grave en el art. 44.3.c) de dicha norma , reduciendo la sanción a 20.000 euros.

Los hechos en los que se funda la resolución sancionadora, son por haber incluido los datos de carácter personal del denunciante en el fichero de solvencia patrimonial Asnef, sin haber realizado el requerimiento previo, de una deuda de 235,85 euros, procedente de un contrato de prestación de servicios de consultoría y marketing digital.

SEGUNDO.- La primera cuestión que se suscita por la parte actora es la vulneración de los arts. 9.1 y 3 , 25.1 y 103 de la Constitución y de los arts. 25 y 27 de la Ley 40/2015, de 1 de octubre , ya que la normativa de protección de datos no es aplicable a personas físicas cuando actúan en relación a su condición de empresario, en virtud del art. 2.3 del Real Decreto 1720/2007, de 21 de diciembre (en lo sucesivo RDLOPD). En el caso que nos ocupa, los datos incluidos en el fichero de morosos de Asnef, con motivo de un contrato de consultoría y marketing digital, suscrito por el denunciante, don Arsenio , y la parte actora, se incluyen entre los casos excluidos del ámbito de aplicación de la normativa de protección de datos.

Debemos partir que, tal y como se recoge en nuestra Sentencia de 4 de octubre de 2013, recurso contencioso-administrativo 2/2013 , que, fue posteriormente reiterada, y corroborada por la Sentencia del Tribunal Supremo de 24 de noviembre de 2014 -recurso nº. 3.763/2013 -, nos encontramos ante un derecho fundamental, la protección de datos de carácter personal, que difiere de los garantizados en el art. 18.1 de la Constitución , y del que solo son titulares las personas físicas, es decir, a los seres humanos, tal y como se reconoce tanto en la LOPD como en la citada Directiva 95/46, así como en Convenios Internacionales suscritos por España anteriormente aludidos.

Cabe añadir que en el derecho a la protección de datos de carácter personal quedan incluidos datos de los profesionales individuales, como se deriva del art. 2 del Real Decreto 1.720/2007, de 21 de diciembre , y así se puso de manifiesto por el Tribunal Supremo en la Sentencia de 20 de febrero de 2007 -recurso nº. 732/2003 -.

Como decíamos al respecto en nuestra Sentencia de 12 de mayo de 2011 -recurso nº. 31/2010 -, se trata del problema de la aplicación o no de la normativa sobre protección de datos a aquellos supuestos en que los datos se refieran a personas físicas, pero que lleven a cabo una actividad mercantil o profesional. Se añadía que: " Para ello es imprescindible recordar algunas de las consideraciones de la STC 292/2000, de 30 de noviembre , que establece que (FJ 6º) el objeto de protección del derecho fundamental a la protección de datos no se reduce solo a los datos íntimos de la persona sino a cualquier tipo de datos personales, sean o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está el art. 18.1 CE (6), sino los datos de carácter personal. Por consiguiente, también alcanza a aquellos datos personales públicos, que por el hecho de serlo, de ser accesibles al conocimiento de cualquiera, no escapan al poder de disposición del afectado, porque así lo garantiza su derecho a la protección de datos (pues) los datos amparados son todos aquellos que identifiquen o permitan la identificación de la persona pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias constituye una amenaza para el individuo.

No puede concluirse, por tanto, que los empresarios individuales y profesionales estén en su conjunto excluidos del ámbito de protección de la LOPD, sino que se hace necesario diferenciar (y la línea divisoria es confusa y difusa) cuando un dato del empresario o profesional, se refiere a la vida privada de la persona y cuando a la empresa o profesión, pues solo en el primer caso cabe aplicar la protección de la LO 15/1999. Labor de diferenciación que puede basarse en dos criterios distintos y complementarios:

Uno, el criterio objetivo de la clase y la naturaleza de los datos tratados, según estén en conexión y se refieran a una esfera (la íntima y personal) o a otra (la profesional) de la actividad. Otro, el de la finalidad del tratamiento y circunstancias en que éste se desarrolla, criterio éste que operaría en aquellos casos en que alguno de los datos profesionales coincida con los particulares (por ej. coincidencia de domicilio privado con el de la empresa, o cuando no se pueda acreditar si una deuda es de la empresa o si es personal del interesado)".

Acorde con lo expuesto, y haciendo hincapié en que la LOPD tiene por objeto garantizar y proteger los datos personales entendiendo por tales, art. 3.a) de dicha Ley 'cualquier información concerniente a persona física identificadas o identificables',esta Sala ha considerado, en ocasiones anteriores en que se ha planteado la misma controversia, que bajo determinadas circunstancias dicha Ley sí ampara los datos personales de los profesionales en tanto que no dejaban por ello de ser personas físicas. Así, ha ocurrido en nuestra Sentencia de 21 de noviembre de 2002 -recurso nº. 881/2000 -, en relación datos personales de arquitectos en el mercado de la construcción; en la Sentencia de 25 de junio de 2003 -recurso nº. 1.099/2000 -, en relación con datos personales de promotores en la construcción de su propia vivienda, y en la Sentencia de 11 de febrero de 2004 - recurso nº.119/2002 -, y ya bajo la vigencia de la actual LOPD, hemos entendido que el dato del afectado, aunque se refería al lugar de ejercicio de su profesión, concretamente un despacho de abogados, era un dato de una persona física con una actividad profesional cuya protección caía en la órbita de la Ley Orgánica 15/1999.

En el mismo sentido, tal y como nos recuerda la Sentencia de 9 de junio de 2011 -recurso nº. 147/2010 -,precisábamos en nuestra Sentencia de 14 de febrero de 2007 -recurso nº. 186/2005 -, que: 'Si cualquier persona física tiene derecho a la protección de los datos personales, no parece que puedan ser excluidos de tal protección los datos personales de todas aquellas personas físicas que, obviamente conservando tal condición, también tengan la condición de profesionales, pues la adicción de esta circunstancia no les priva de sus derechos como ciudadanos, salvo que estos profesionales organicen su actividad bajo fórmulas mercantiles y que se acredite que los datos eran ajenos a su esfera privada y ostentaban una clara vinculación con la actividad mercantil'.

En esta línea en nuestra Sentencia de 8 de mayo 2009 -recurso nº. 514/2007 -, nos pronunciamos sobre la no aplicabilidad de la LOPD a un supuesto en que se identificaba el nombre de una persona con el de sus sociedades y se refería a deudas de las citadas sociedades vinculadas a dicha persona. Criterio que ha sido reiterado posteriormente en la Sentencia de 16 de julio 2009 -recurso nº. 504/2008 -.

Finalmente, hemos reiterado la doctrina expuesta en las de Sentencias de 15 de julio de 2016 - recurso nº. 225/2014-, de 19 de junio de 2104 - recurso nº. 253/2013 -, y de 25 de octubre de 2013 - recurso nº. 145/2012 -, en la que se cita como precedentes, entre otros, nuestras Sentencias de 12 de mayo de 2011 - recurso nº. 31/2010-, de 10 de septiembre de 2009 - recurso nº. 89/2008 -, y de 29 de marzo de 2006 - recurso nº. 348/2004 -.

Así las cosas, en el supuesto que nos ocupa, sin perjuicio de que el denunciante realice una actividad empresarial, lo cierto es que los datos personales recogidos se refieren a la persona del denunciante, como es el nombre y su D.N.I., no de una empresa en particular, por lo que nos encontramos dentro del ámbito de aplicación de la normativa de protección de datos, debiéndose desestimar este primer motivo de impugnación.

TERCERO.-El art. 44.3.c) de la LOPD aplicado por la resolución recurrida, tipifica como infracción grave:'Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave'.

Y el art. 4.3 de la LOPD establece, dentro del principio de calidad de datos, la exigencia de la exactitud y veracidad de los datos:'Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado'.

Precepto que hay que conectar en el caso de autos, con el art. 29 de la citada Ley , que regula de forma específica la prestación de servicios de información sobre solvencia patrimonial y crédito, distingue dentro de ellos dos supuestos. Uno de los cuales es el relativo a los ficheros de solvencia patrimonial en los que se tratan datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés, que se regulan en el apartado 2.

Estos ficheros se caracterizan porque no necesitan del consentimiento del afectado para la obtención y tratamiento de sus datos, lo que supone una excepción a los principios rectores de la LOPD (entre ellos el del consentimiento del afectado en el tratamiento y cesión de sus datos de carácter personal). No obstante, frente a esta excepción, la propia norma articula una serie de contrapesos, como es su limitación a un caso concreto (cumplimiento o incumplimiento de obligaciones dinerarias) y la obligación de notificar a los afectados el hecho de que se han registrado sus datos de carácter personal.

Por otra parte, el art. 38 del RDLOPD fija los 'requisitos para la inclusión de los datos' en esos ficheros, precepto que ha sido impugnado en algunos de sus apartados ante el Tribunal Supremo, habiéndose dictado la Sentencia del Tribunal Supremo de 15 de julio 2010 -recurso nº. 23/2008 - que anula entre otros apartados, por disconformes a derecho, el último inciso del art. 38.1.a) y el apartado 2 del citado art. 38 del RDLOPD.

La redacción del art. 38 del RDLOPD, tras la aplicación de la citada Sentencia de 15 de julio de 2010 , es la siguiente:'1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:

a) Existencia previa de una deuda cierta, vencida, exigible que haya resultado impagada.

b) Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación.

c) Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.

2. El acreedor o quien actué por su cuenta o interés estará obligado a conservar a disposición del responsable del fichero común y de la Agencia Española de Protección de Datos documentación suficiente que acredite el cumplimiento de los requisitos establecidos en este artículo y del requerimiento previo a que se refiere el artículo siguiente'.

Y el art. 39 del citado RDLOPD, a su vez, dispone:'El acreedor deberá informar al deudor, en el momento en que se celebre el contrato y, en todo caso, al tiempo de efectuar el requerimiento al que se refiere la letra c) del apartado 1 del artículo anterior, que en caso de no producirse el pago en el término prevenido para ello y cumplirse los requisitos previstos en el citado artículo, los datos relativos al impago podrán ser comunicados a ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias'.

Es decir, para la inclusión de los datos en ficheros de información sobre solvencia patrimonial y crédito, se requiere que la deuda sea cierta (al inicio del apartado 1.a) del art. 38, y que haya sido previamente requerida de pago. En el caso que nos ocupa, se sanciona a la parte actora al no haber efectuado el requerimiento previo, ello con independencia de que se trate de una deuda cierta, vencida y exigible.

CUARTO.-La parte actora aduce la vulneración del principio de legalidad en relación con el principio de culpabilidad, y con el principio de tipicidad, en virtud del art. 25.1 de la Constitución , y los arts. 27 y 28 de la Ley 40/2015, de 1 de octubre , ya que la propia Agencia reconoce que la parte actora actuó con diligencia, aplicando una atenuante por disminución de la culpabilidad. También se considera por la parte actora, que se ha conculcado el derecho a la presunción de inocencia contenida en el art. 24.2 de la Constitución , pues no se ha probado la infracción que se le atribuye a aquella. Aunque se considerase que es de aplicación la normativa de protección de datos, la parte demandante ha cumplido la exigencia legal del art. 38.3 del RDLOPD, pues el certificado emitido por la empresa Lleidanetworks es documentación suficiente para acreditar el cumplimiento del requisito del requerimiento previo de pago, tal como la propia Agencia Española de Protección de Datos reconoce en un expediente anterior al que nos ocupa, con la referencia NUM000 .

El derecho a la presunción de inocencia, incluso en el ámbito del derecho administrativo sancionador ( SS.TC. 45/1997, de 11 de marzo , y 237/2002, de 9 de diciembre ), no se opone a que la convicción del órgano sancionador se logre través de la denominada prueba indiciaria, declaración parecida a la efectuada por el Tribunal Europeo de Derecho Humanos, que también ha sostenido que no se opone al contenido del art. 6.2 del Convenio la utilización de la denominada prueba de indicios ( STEDH de 25 de septiembre de 1992, caso Phan Hoang c. Francia , § 33; de 20 de marzo de 2001, caso Telfner c. Austria , §5). Mas cuando se trata de la denominada prueba de indicios la exigencia de razonabilidad del engarce entre lo acreditado y lo que se presume cobra una especial trascendencia, pues en estos casos es imprescindible acreditar, no sólo que el hecho base o indicio ha resultado probado, sino que el razonamiento, en virtud del cual, partiendo de los indicios probados, se ha llegado a la conclusión de que el imputado realizó la conducta infractora, es coherente, lógico y racional. En suma, ha de estar asentado en las reglas del criterio humano o en las reglas de la experiencia común. Es ésa, como hemos dicho, la única manera de distinguir la verdadera prueba de indicios de las meras sospechas o conjeturas, debiendo estar asentado el engarce lógico en una 'comprensión razonable de la realidad normalmente vivida y apreciada conforme a los criterios colectivos vigentes' ( SS.TC. 45/1997, de 11 de marzo, F.5 ; 237/2002, de 9 de diciembre, F. 2 , y 135/2003, de 30 de junio , F. 2, por todas).

En definitiva, la existencia de un acervo probatorio suficiente, cuyas piezas particulares han de ser obtenidas sin el deterioro de los derechos fundamentales del inculpado y de su libre valoración por el Juez, son las ideas básicas para salvaguardar esa presunción constitucional. En este sentido, se pronuncia también nuestra jurisprudencia, como ponen de relieve las Sentencias del Tribunal Supremo de 27 de noviembre de 2012 -recurso nº. 2.515/2009 -, y de 1 de abril de 2008 -recurso nº. 3.324/2005 -.

En cuanto a la acreditación del requerimiento, esta Sala de manera reiterada ha declarado, de la que es un ejemplo lo que se dice en la Sentencia de 22 de octubre de 2015 - recurso nº. 240/2014 -'que cuando el afectado niega la existencia de dicho requerimiento, recae sobre el responsable del fichero o tratamiento, la carga de acreditar el cumplimiento de dicha obligación, siendo insuficiente a tal fin los registros informáticos de la propia entidad que nada acreditan sobre la efectiva realización o cumplimiento de la citada obligación.

La normativa no exige ciertamente, como se alega en la demanda, que el requerimiento se lleve a cabo de una determinada forma, pero lo que si exige es que quien informa los datos a un fichero de morosidad deberá asegurarse que concurren todos los requisitos exigidos legal y reglamentariamente a tal fin, lo que implica que deberá estar en condiciones, caso de ser necesario, de poder acreditar la concurrencia de dichos requisitos ( SAN de 35 de marzo 2010, Rec. 407/2009 , por todas)'.

Por otro lado, esta Sala ha declarado que el requerimiento podrá efectuarse por cualquier medio de prueba y también a través de indicios. Para la parte actora se ha acreditado el requerimiento efectuado por un correo electrónico a la dirección tienda@todoabrodo.es, de conformidad con el certificado de la empresa Lleidanetwoks Serveis Telematics, S.A.

La parte actora y Lleidanetworks Serveis Telematics, S.A., suscribieron el 5 de febrero de 2014 un contrato, cuyas condiciones generales incluyen entre los servicios objeto del mismo, el 'servicio de E-mail certificado' que se define como, el'servicio por el cual Lleida. net en su calidad de operadora de comunicaciones y tercero de confianza, recibe, reencamina y entrega un correo electrónico de un usuario emisor a uno o varios usuarios receptores, generando un certificado firmado digitalmente que acredita dirección de correo electrónico emisora, direcciones de correo electrónico receptoras, contenido del mensaje y entrega en el buzón de correo electrónico receptor'.

En relación con que el email de requerimiento de pago enviado a través de Lleida.net, que según la actora acredita que se efectuó el requerimiento, pero tal y como consta en las actuaciones, con el citado correo electrónico solo se ha probado el envío de un email por la parte actora, través de Lleida.Net, desde el servidor emisor al servidor de destino, que fue entregado al servidor encargado de las cuentas de correo electrónico del dominio todobordado.es., pero lo que no se acredita es que el servidor de destino llegara a entregar el mensaje de correo electrónico al buzón tienda@todobordado.es., teniendo en cuanto que existen supuestos, señalados en la resolución sancionadora, en los que la comunicación pudo no ser recibida, y al mismo tiempo no se registró un error en el servidor de origen. Así, como se pone de manifiesto en la resolución impugnada, que el protocolo SMTP no exige a los servidores que lo implementan la obligación de responder a las solicitudes con mensajes de error en el caso que estos ocurran, descartado como spam, existencia de un error interno o en la entrega o la existencia de un doble error, como la posibilidad de que ocurriese un error pero que la comunicación de dicho error el servidor remitente fallase o que se produjera un nuevo error, en el propio registro del mensaje de error recibido.

Por tanto, con la reseñada prueba no se ha acreditado que se hubiesen efectuado el requerimiento previo a la inclusión en el fichero Asnef de los datos personales del denunciante, habida cuenta la exigencia del citado requerimiento tiene como objeto que el 'deudor' o la persona obligada, conozca la existencia de la deuda vencida y exigible y la posibilidad de ser incluido en un fichero de morosos en el supuesto de no hacerla efectiva, ya que como se ha dicho, no se necesita el consentimiento del afectado para su inclusión en esta clase de ficheros, tratando así de salvaguardar la veracidad y exactitud de los datos que se van a incluir en dichos ficheros. Y, en el caso que nos ocupa, con lo aportado por la parte actora no se acredita que el denunciante haya podido tener conocimiento del requerimiento. A esta misma conclusión, llegó esta Sala en un supuesto semejante, en la Sentencia de 4 de noviembre de 2016 -recurso nº. 1.432/2015 -.

Hay que tener en cuenta, que una vez comprobado por la Agencia la existencia de la inscripción de una deuda en un registro solvencia patrimonial, corresponde al que utiliza tal medio acreditar la concurrencia de los requisitos anteriormente mencionados. Como ya dijimos en nuestra Sentencia de 20 de abril de 2006 '... aquel que utiliza un medio extraordinario de cobro como es el de la anotación de la deuda en un registro de morosos, debe garantizar el cumplimiento de todos los requisitos materiales (exactitud el dato) y formales (requerimiento previo) que permitan el empleo de este modo accesorio para conseguir el cobro de la deuda. No aplicar esta exigencia supondría, por lo contrario, utilizar este medio de presión al recurrente sin el suficiente aseguramiento de las mínimas garantías para los titulares de los datos que son anotados en los registros de morosos'.

Por tanto, el incumplimiento de tal obligación, previa a la inclusión de los datos en los ficheros de solvencia, determina la imputación del tratamiento de datos con infracción del principio de calidad mencionada. De este modo resulta enervado el derecho a la presunción de inocencia de la parte demandante.

Por otro lado, es sabido que se puede incurrir en responsabilidad por la infracción que estamos examinando tanto de manera intencionada o dolosa como por descuido, negligencia o aún a título de simple inobservancia ( art. 28 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público ). Y procede ahora recordar que, como señala el Tribunal Supremo en la Sentencia de 23 de enero de 1998 ,'aunque la culpabilidad de la conducta debe también ser objeto de prueba, debe considerarse en orden a la asunción de la correspondiente carga que ordinariamente los elementos volitivos y cognoscitivos necesarios para apreciar aquélla forman parte de la conducta típica probada, y que su exclusión requiere que se acredite la ausencia de tales elementos, o en su vertiente normativa, que se ha empleado la diligencia que era exigible por quien aduce su inexistencia; no basta, en suma, para la exculpación frente a un comportamiento típicamente antijurídico la invocación de la ausencia de culpa'.

Ninguna de las circunstancias concurrentes en el caso que nos ocupa permite excluir este elemento subjetivo de la infracción, y menos aún afirmar que la entidad sancionada prestase la debida diligencia.

Siendo una cuestión diferente, el hecho de que por la Agencia se haya apreciado la concurrencia de los criterios f) y j) del art. 45.4 de la LPOD, para aplicar la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella la que nos ocupa, al considerar que la parte actora obró diligentemente y con el propósito de cumplir la normativa de protección de datos, y de efectuar correctamente los requerimientos de pago a sus clientes deudores previos a la inclusión de sus datos en ficheros de solvencia patrimonial, al suscribir con la empresa Lleidanetworks Serveis Telematics, S.A., un contrato que tenia por objeto la prestación del servicio de emails certificados, que según el contrato, permitían acreditar la entrega en el buzón del correo electrónico receptor. Pues una cosa, es la disminución de la culpabilidad, y otra, la exoneración completa, cuando hemos analizado que la culpabilidad de la parte actora no puede considerarse excluida por el hecho de que tenga implantados los mecanismos necesarios en orden al cumplimiento de lo dispuesto en los arts. 38 y 39 del RDLOPD, pues, como a quedado reflejado, dichos mecanismos no han resultados eficaces.

QUINTO.-Finalmente se aduce por la parte actora, la vulneración de los principios de seguridad jurídica en relación con el de protección a la confianza legítima y buena fe, así como el principio de interdicción de la arbitrariedad del art. 9.3 de la Constitución , y de los arts. 3.1 de la Ley 40/205, de 1 de octubre , y 35.1.c) de la Ley 39/2015, de 1 de octubre .

Se aduce al respecto por la parte recurrente, que con anterioridad al caso que nos ocupa, aquella fue parte de un expediente de la Agencia, en el que una persona, cliente de la parte recurrente, denunciaba no conocer que sus datos estaban incluidos en el fichero de Asnef. Dicho expediente, con número NUM000 , finalizó con la resolución de archivo de 17 de mayo de 2016, en la que la Agencia determina, en el Fundamento de Derecho VII, que QDQ Media había realizado correctamente el requerimiento de pago, realizado por correo electrónico certificado, otorgando plena fuerza probatoria de este hecho al certificado emitido por la empresa Lleidanetworks Serveis Telematics S.A.

En relación con la doctrina de los actos propios resultan de interés lo declarado en las Sentencias del Tribunal Supremo de 28 de diciembre 2012 -recurso nº. 273/2009 - y 3 julio 2013 -recurso nº. 2.511/2011 -, entre otras, que tratan sobre la infracción del principio de vinculación por actos propios, doctrina, surgida originariamente en el ámbito del derecho privado, que significa la vinculación del autor de una declaración de voluntad al sentido objetivo de la misma y la imposibilidad de adoptar después un comportamiento contradictorio, estando la misma doctrina estrechamente ligada al principio de buena fe y de protección de la confianza legítima, estando recogidos en el art. 3.1 de la Ley 30/1992, de 26 de noviembre , vigente a la sazón -actualmente art. 3.1.e) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público -, y que ha sido acogida igualmente por la jurisprudencia del Tribunal Supremo ( SS.TS. de 1 de febrero de 1990 ; 13 de febrero y 4 de junio de 1992 ; 28 de julio de 1997 ). En consecuencia, tal doctrina, indican las citadas Sentencias, supone que la actuación de las Administraciones Públicas no puede ser alterada arbitrariamente, y añaden: < esta Sala de 26 de febrero de 2001, RC 5453/1995 dijimos que 'Tanto la doctrina del Tribunal Constitucional como la Jurisprudencia de este Alto Tribunal (STS de 1 de febrero de 1999 ) considera que el principio de buena fe protege la confianza que fundadamente se puede haber depositado en el comportamiento ajeno e impone el deber de coherencia en el comportamiento propio. Lo que es tanto como decir que dicho principio implica la exigencia de un deber de comportamiento que consiste en la necesidad de observar de cara al futuro la conducta que los actos anteriores hacían prever y aceptar las consecuencias vinculantes que se desprenden de los propios actos, constituyendo un supuesto de lesión a la confianza legítima de las partes 'venire contra factum propium'. Ahora bien, este principio no puede invocarse para crear, mantener o extender, en el ámbito del Derecho público, situaciones contrarias al ordenamiento jurídico, o cuando del acto precedente resulta una contradicción con el fin o interés tutelado por una norma jurídica que, por su naturaleza, no es susceptible de amparar una conducta discrecional por la Administración que suponga el reconocimiento de unos derechos y/u obligaciones que dimanen de actos propios de la misma. O, dicho en otros términos, la doctrina invocada de los 'actos propios' sin la limitación que acaba de exponerse podría introducir en el ámbito de las relaciones de Derecho público el principio de la autonomía de la voluntad como método ordenador de materias reguladas por normas de naturaleza imperativa, en las que prevalece el interés público salvaguardado por el principio de legalidad; principio que resultaría conculcado si se diera validez a una actuación de la Administración contraria al ordenamiento jurídico por el solo hecho de que así se ha decidido por la Administración o porque responde a un precedente de ésta".

Con la alegación de la parte actora, de la existencia del reseñado precedente administrativo, lo que se pretende es extender, en el ámbito del Derecho público, situaciones contrarias al ordenamiento jurídico, pues, en el caso que nos ocupa, como hemos analizado, cabe apreciar en la conducta de la parte actora la infracción del art. 4.3 de la LOPD , siendo indiferente al respecto que en el E/195178/2015, la Agencia Española de Protección de Datos, no haya sancionado a la sociedad aquí actora, archivando al denuncia. Además, como se dice en la resolución recurrida, en dicho procedimiento'el núcleo de la denuncia no era la falta de requerimiento de pago y tal vez por ese motivo pudo adolecer de falta de rigor la valoración de la documentación aportada en el curso de ese expediten'. Y en efecto, en la resolución de archivo se analizaba la existencia de una posible infracción del art. 6.1 de la LOPD , el tratamiento de datos de carácter personal sin consentimiento del titular. Por tanto, no se han conculcado los principios anteriormente reseñados, ni el principio de interdicción de la arbitrariedad de los poderes públicos

En consecuencia, procede desestimar este último motivo de impugnación, y, por consiguiente, el presente recurso contencioso-administrativo.

SEXTO.-A tenor del artículo 139.1 de la Ley de la Jurisdicción procede hacer expresa imposición de las costas procesales a la parte actora.

VISTOSlos artículos citados, y demás de general y pertinente aplicación.

Fallo

Que desestimando el recurso contencioso-administrativo interpuesto por la Procuradora de los Tribunales doña Beatriz Martínez Martínez, en nombre y representación deQDQ MEDIA, S.A.U., contra la resolución de 14 de agosto de 2017 de la Directora de la Agencia Española de Protección de Datos, por la que se estima en parte el recurso de reposición formulado contra la resolución de 26 de junio de 2017, recaída en el procedimiento sancionador PS/00568/2016, por una infracción del art. 4.3 de la Ley Orgánica 15/1999 , de 13 de diciembre, tipificada como grave en el art. 44.3.c) de dicha norma , reduciendo la sanción a 20.000 euros, declaramos las citadas resoluciones conformes a derecho; con expresa imposición de las costas procesales a la parte actora.

La presente sentencia es susceptible de recurso de casación, que deberá prepararse ante esta Sala en el plazo de 30 días contados desde el siguiente al de su notificación; en el escrito de preparación del recurso deberá acreditarse el cumplimiento de los requisitos establecidos en el art. 89.2 de la Ley de la Jurisdicción justificando el interés casacional objetivo que presenta.

Así, por esta nuestra Sentencia, lo pronunciamos, mandamos y firmamos.

PUBLICACIÓN.- Dada, leída y publicada fue la anterior Sentencia en Audiencia Pública. Doy fe.

Madrid a

LA LETRADA DE LA ADMINISTRACIÓN DE JUSTICIA