Sentencia ADMINISTRATIVO Audiencia Nacional, Sala de lo Contencioso, Sección 1, Rec 643/2017 de 14 de Junio de 2019

Encabezamiento

A U D I E N C I A N A C I O N A L

Sala de lo Contencioso-Administrativo

SECCIÓN PRIMERA

Núm. de Recurso:0000643/2017

Tipo de Recurso:PROCEDIMIENTO ORDINARIO

Núm. Registro General:07198/2017

Demandante:BONDORA, AS

Procurador:ISIDRO ORQUÍN CEDENILLA

Letrado:ALEXANDER BENALAL

Demandado:AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Abogado Del Estado

Ponente IIma. Sra.:Dª. NIEVES BUISAN GARCÍA

S E N T E N C I A Nº:

IIma. Sra. Presidente:

Dª. FELISA ATIENZA RODRIGUEZ

Ilmos. Sres. Magistrados:

D. FERNANDO DE MATEO MENÉNDEZ

Dª. NIEVES BUISAN GARCÍA

Madrid, a catorce de junio de dos mil diecinueve.

Vistos por la Sala, constituida por los Sres. Magistrados reseñados al margen, los autos del recurso contencioso-administrativo número 643/2017, interpuesto por el Procurador de los Tribunales don Isidro Orquín Cedenilla, en nombre y representación de BONDORA AS, contra la Resolución de 11 de octubre de 2017 de la Agencia Española de Protección de Datos que acuerda imponer a dicha entidad una sanción por una infracción del artículo 44.3.c) de la LOPD de conformidad con lo establecido en el artículo 45.2 y 4 de esa misma Ley Organica. Ha sido parte demandada LA ADMINISTRACIÓN DEL ESTADO, representada por el Abogado del Estado. La cuantía del recurso se fijó en 40.001 euros.

Antecedentes

PRIMERO.-Po r la entidad recurrente se interpuso recurso contencioso administrativo frente a la resolución de la AEPD de 11 de octubre de 2017, acordándose su tramitación de conformidad con las normas establecidas en la Ley 29/1998, y la reclamación del expediente administrativo.

SEGUNDO.-En el momento procesal oportuno tal parte actora formalizó la demanda mediante escrito presentado el 28 de marzo de 2018 en el que, tras alegar los hechos y fundamentos de derecho que estimó procedentes, terminó suplicando se dictara sentencia en la que:

A)Declare no ser conforme a Derecho, y por tanto anule, la Resolución Nº R/02731/2017, de la Agencia Española de Protección de Datos y, en consecuencia, declare nula la sanción impuesta por importe de 40.001 euros por la supuesta infracción del artículo 4.3 de la LOPD .

B)Subsidiariamente, en caso de que se desestime la pretensión anterior, y por ende se declare que la conducta de BONDORA ha infringido el artículo 4.3 de la LOPD , se aprecie que concurren ampliamente los criterios establecidos en el artículo 45 de la LOPD para reducir el importe de la sanción impuestas al mínimo de las sanciones leves.

TERCERO.-El Sr. Abogado del Estado contestó la demanda mediante escrito presentado el 8 de mayo de 2018 en el que, tras alegar los hechos y los fundamentos jurídicos que estimó aplicables, terminó suplicando se dictara sentencia desestimatoria de la demanda, confirmando íntegramente la resolución impugnada por ser conforme a Derecho, con expresa imposición de costas a la parte actora.

CUARTO.-Solicitado el recibimiento del pleito a prueba, se acordó el mismo mediante Auto de 14 de junio de 2018, practicándose las pruebas documentales propuestas y admitidas, con el resultado que figura en las actuaciones. Concluido el periodo de prueba, se dio trámite de conclusiones a las partes, trámite que evacuaron por su orden, primero la defensa de la entidad actora y después el Abogado del Estado, mediante escritos en los que concretaron y reiteraron sus respectivos pedimentos.

QUINTO.-Conclusas las actuaciones, se señaló para votación y fallo de este recurso el día 4 de junio de 2019, fecha en la que tuvo lugar la deliberación y votación, habiendo sido ponente la Ilma. Magistrada doña NIEVES BUISAN GARCÍA, quien expresa el parecer de la Sala

Fundamentos

PRIMERO.Se interpone el presente recurso contencioso administrativo por la representación de la entidad BONDORA SA frente a la Resolución de la Agencia Española de Protección de Datos de 11 de octubre de 2017 que acuerda imponer a dicha entidad, por una infracción del artículo 44.3.c) de la LOPD, una multa de 40.001 euros, de conformidad con lo establecido en el artículo 45.2 y 4 de esa misma Ley Orgánica.

Constituyen antecedentes fácticos necesarios para la resolución de la controversia, los que a continuación se exponen:

- BONDORA, anteriormente denominada ISEPANKUR AS, es una sociedad estonia dedicada a la concesión de préstamos personales a través de Internet desde 2008 y, más concretamente, en España, a través de su sitio web, accesible a través de la URL http://www.bondora.es/.

-Con fecha de 30 de diciembre de 2016 la Sra. Apolonia presenta denuncia ante la AEPD porque sus datos personales habían sido comunicados a Asnef y nunca había sido requerida de pago por la entidad supuestamente acreedora.

-Se incluyó a tal denunciante en el fichero de solvencia patrimonial y crédito ASNEF el 3 de junio de 2016 a instancias de Bondora, por impago de una operación de préstamo personal, por un importe de 11.284,12 euros.

- Figura en la declaración de hechos probados de la resolución combatida que: No consta la recepción de los citados 'SMS' ni los procedimientos técnicos utilizados para acreditar el envío al número de teléfono de la denunciante.

SEGUNDO.Se imputa a BONDORA SA una infracción del artículo 4.3 de la LOPD que tipifica como grave en el artículo 44.3.c) de dicha LOPD que considera como tal: ' Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los derechos y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que la desarrollan, salvo cuando sea constitutivo de una infracción muy grave'.

Infracción del principio de calidad del dato del artículo 4.3 de la LOPD , que se circunscribe en el supuesto a la inclusión de los datos de carácter personal en los ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias, relacionándose con no haber cumplido la obligación de requerimiento previo al deudor prevista en el Art. 29 de la LOPD .

Ficheros de solvencia patrimonial y crédito que se caracterizan porque no necesitan del consentimiento del afectado para la obtención y tratamiento de sus datos, lo que supone una excepción a los principios rectores de la LOPD. Excepción frente a la cual, la propia norma, articula una serie de contrapesos, como es su limitación a un caso concreto (cumplimiento o incumplimiento de obligaciones dinerarias) y la obligación de notificar a los afectados el hecho de que se han registrado sus datos de carácter personal.

En tal sentido el artículo 38 del RD 1720/2007 , por el que se aprueba el Reglamento de desarrollo de la LOPD, fija los 'requisitos para la inclusión de los datos' en esos ficheros, al indicar que:

1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos: a) Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada; b) Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquélla fuera de vencimiento periódico; y c) Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.

Y determina el Artículo 39 del repetido RD 1720/2007 que:El acreedor deberá informar al deudor, en el momento en que se celebre el contrato y, en todo caso, al tiempo de efectuar el requerimiento al que se refiere la letra c) del apartado 1 del artículo anterior, que en caso de no producirse el pago en el término previsto para ello y cumplirse los requisitos previstos en el citado artículo, los datos relativos al impago podrán ser comunicados a ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias.

Obligación de previo requerimiento de pago que no solo deriva de dicha normativa específica de protección de datos, sino también de las previsiones contenidas en el Código Civil, concretamente del Art. 1100 del mismo. Precepto del que se desprende que para que el retraso en el cumplimiento de la obligación constituya mora, el acreedor necesariamente ha de exigir al deudor el cumplimiento de la obligación, y mientras tal interpelación no se produzca, por muy grave que sea el retraso en que se haya incurrido, no es posible hablar técnicamente de deudor moroso.

Así pues, y una vez negada por la persona afectada que ha sido requerida de pago con carácter previo a la inclusión en el fichero de morosos corresponde a la Agencia de Protección de Datos probar, por un lado, la inclusión de los datos personales en el fichero y, por otro, la ausencia de información al afectado, ausencia que indiciariamente se entiende acreditada por medio de la denuncia presentada, en la que se manifiesta la no recepción de comunicación alguna.

TERCERO.Aplicando la anterior doctrina al supuesto debatido, de la documental obrante en autos, tanto en el expediente administrativo como de la aportada por la entidad actora en fase de prueba, han resultado acreditados los siguientes extremos fácticos a los que no alude la resolución combatida, pero que resultan trascendentes para la resolución del litigio:

Una vez que la denunciante solicitó el préstamo a la entidad actora a través de Internet y obtuvo el mismo, por importe de 9700 euros, empezó a incumplir sus obligaciones de pago de las cuotas , lo que llevó a BONDORA a requerirle su pago, a medida que vencían, en numerosísimas ocasiones y de muy diversas formas, tanto mediante llamadas telefónicas, como a través de SMSs al número móvil por el que dicha denunciante había contratado el préstamo, como también mediante correos electrónicos enviados a la dirección de email que dio al suscribir el repetido préstamo.

Se desprende del folio 216 del expediente que dicha afectada fue requerida por teléfono los días 14 y 18 de abril de 2016.

En cuanto a los requerimientos a través de SMS al número móvil de la denunciante, se desprenden del expediente dichos requerimientos en las siguientes fechas y horas:

El 3/03/2016 a las 10:01 y a las 10:04; el 6/03/2016 a las 10:02; el 4/04/2016 a las 10:02 y a las 10:03; el 7/04/2016 a las 10:01; el 12/04/2016 a las 10:01; el 13/04/16 a las 10:01; el 16/04/2016 a las 10:01; el 28/06/2016 a las 10:03 ; el 13/07/2016 a las 10:04; y el 17/04/2017 a las 10:00.

Se adjunta por la entidad actora, como documento número 3, un certificado (junto con su correspondiente traducción jurada) firmado por la sociedad estonia Messente Communications OÜ, en el que se expone que BONDORA emplea un servicio llamado 'Messente', prestado por dicha entidad estonia, que permite enviar mensajes de texto y obtener una trazabilidad de los mismos, es decir, permite registrar y acreditar el número y tipo de mensajes enviados, su contenido, la fecha y hora de envío o si ha habido algún error con su envío y/o su recepción (folios 10 y 177 del expediente) El número de teléfono al que se remitieron es el número facilitado por la denunciante y al que se envió el código PIN que ésta necesitó para recibir de manera efectiva la cantidad de dinero solicitada en concepto de préstamo.

Igualmente se desprende del expediente que Bondora requirió por correo electrónico a la denunciante al menos en cuatro ocasiones: el 12 de abril, el 16 de abril, el 28 de junio y el 13 de julio todos ellos de 2016, por lo que al menos dos de dichos requerimientos fueron enviados con anterioridad a la inclusión de los datos de la Sra. Apolonia en el fichero de morosidad. Envío que se realiza a través del servicio denominado MANDRILL, que permite acreditar el contenido de los correos y el hecho de si éstos fueron o no correctamente recibidos.

Y si bien es cierto que en los requerimientos de pago a través de teléfono y de SMS no se ha acreditado que figure la advertencia de que, en caso de impago, los datos personales de la afectada podrían ser comunicados a ficheros de solvencia patrimonial. Dicha advertencia sí consta en los envíos a través de email (folios 48, 121 y concordantes del expediente) en los que expresamente figura que 'en caso de no producirse el pago en el término previsto para ello y siempre y cuando se den los requisitos exigibles, los datos relativos al impago podrán ser comunicados a ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias'

Asimismo, y en el momento de la firma del contrato y suscripción de sus condiciones particulares y generales (folio 75 y siguientes del expediente), la denunciante fue debidamente informada, concretamente en la estipulación 14.4 del mismo, de que en caso de impago sus datos podrían ser comunicados a un fichero relativo al cumplimiento o incumplimiento de obligaciones dinerarias.

Efectivamente esta Sala ha manifestado con reiteración que, como requisito formal a efectos de tener por cumplido el principio de calidad del dato de los artículos 4.3 y 29 LOPD , es necesario exigir que el requerimiento de pago, previo la inclusión de los datos en el fichero de morosidad, se efectúe de manera que se tenga constancia de su recepción por el destinatario. En este sentido la exhibición de una carta o de cualquier otro medio de comunicación, en relación con los cuales no conste su recepción, y ni siquiera su envío, no permite tener por cumplida la citada exigencia. Conocimiento de la existencia de la deuda cuya finalidad es que se proceda al pago (o al menos a fin de que se conozca la existencia de tal deuda y se pueda reaccionar frente a la misma).

En el presente supuesto consideramos, no obstante, dadas las especiales circunstancias concurrentes, relatadas en los fundamentos jurídicos anteriores, que sí ha quedado fehacientemente acreditado, a través de las pruebas documentales practicadas, y contrariamente a lo argumentado por la Administración, que Bondora cumplió con tal obligación de puesta en conocimiento de la denunciante, de la existencia de una deuda que iba a ser incluida en el fichero de morosidad, con anterioridad a su inclusión .

Procede, por todo ello, dictar un pronunciamiento estimatorio de la demanda con revocación de la resolución de la AEPD impugnada.

CUARTOPor aplicación de lo establecido en el artículo 139 de la Ley de la Jurisdicción Contencioso Administrativa procede imponer las costas procesales a la parte demandada.

Vistos los preceptos citados por las partes y los demás de general y pertinente aplicación al caso de autos

Fallo

ESTIMAR el recurso contencioso-administrativo interpuesto por la representación de BONDORA AS frente a la Resolución de la Agencia Española de Protección de Datos de 11 de octubre de 2017 por la que se impone a la entidad actora una multa de 40.001 euros, resolución y sanción que se anulan por no ser ajustadas a Derecho, con imposición de costas a la parte demandada.

La presente sentencia es susceptible de recurso de casación, que deberá prepararse ante esta Sala en el plazo de 30 días contados desde el siguiente al de su notificación; en el escrito de preparación del recurso deberá acreditarse el cumplimiento de los requisitos establecidos en el art. 89.2 de la Ley de la Jurisdicción justificando el interés casacional objetivo que presenta.

Así por esta nuestra Sentencia, lo pronunciamos, mandamos y firmamos.

PUBLICACIÓN.- Dada, leída y publicada fue la anterior Sentencia en Audiencia Pública. Doy fe.

Madrid a

LA LETRADA DE LA ADMINISTRACIÓN DE JUSTICIA