Encabezamiento
A U D I E N C I A N A C I O N A L
Sala de lo Contencioso-Administrativo
SECCIÓN PRIMERA
Núm. de Recurso:0000759/2018
Tipo de Recurso:PROCEDIMIENTO ORDINARIO
Núm. Registro General:05734/2018
Demandante:TTI FINANCE, S.A.R.L.
Procurador:LUIS MELLADO AGUADO
Demandado:AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Abogado Del Estado
Ponente IIma. Sra.:Dª. FELISA ATIENZA RODRIGUEZ
S E N T E N C I A Nº:
IImo. Sr. Presidente:
D. EDUARDO MENÉNDEZ REXACH
Ilmos. Sres. Magistrados:
Dª. FELISA ATIENZA RODRIGUEZ
Dª. LOURDES SANZ CALVO
D. FERNANDO DE MATEO MENÉNDEZ
Dª. NIEVES BUISAN GARCÍA
Madrid, a treinta de junio de dos mil veinte.
Vistos los autos del recurso contencioso-administrativo Nº 759/2018 que ante esta Sala de lo Contencioso-Administrativo de la Audiencia Nacional, ha promovido el Procurador D. Luis Mellado Aguado, en nombre y representación de TTI FINANCE SARL frente a la Administración General del Estado, representada por el Abogado del Estado, contra la Resolución de la Directora de la Agencia Española de Protección de Datos de 16 de julio de 2018, dictada en el PS/00082/2018, que impone a dicha entidad una sanción de 70.000 euros (que después se describirá en el primer Fundamento de Derecho), siendo Ponente la Ilma. Sra. Magistrado Dña FELISA ATIENZA RODRÍGUEZ.
Antecedentes
PRIMERO.-Por la entidad recurrente se interpuso recurso contencioso administrativo mediante escrito presentado el 21 de septiembre de 2018, acordándose su tramitación de conformidad con las normas establecidas en la Ley 29/1998, y la reclamación del expediente administrativo.
SEGUNDO.-En el momento procesal oportuno tal entidad actora formalizó la demanda mediante escrito presentado el 31 de octubre de 2018 en el que, tras alegar los hechos y fundamentos de derecho que estimó procedentes, terminó suplicando se dictara sentencia:
'1) En la que se declare nula y sin valor ni efecto alguno la resolución de 16 de julio de 2018, en el procedimiento sancionador PS/00082/2018, anulando y dejando sin efecto el procedimiento sancionador instado contra TTI FINANCE SARL, así como todos los actos originadores, derivados y consecuentes de dicho Acuerdo llevados a cabo o dictados por la Administración por carecer la Agencia Española de Protección de Datos de competencia para sancionar a TTI FINANCE SARL, y haber sido dictada por un órgano manifiestamente incompetente.
2) Subsidiariamente, se declare nula y sin valor ni efecto alguno, o subsidiariamente anulable la resolución de 16 de julio de 2018, firmada electrónicamente el 19 de julio de 2018 por la Directora de la Agencia Española de Protección de Datos en el Procedimiento Sancionador PS/00082/2018, anulando y dejando sin efecto igualmente el procedimiento sancionador instado contra TTI FINANCE SARL, así como todos los actos originadores, derivados y consecuentes de dicho Acuerdo llevados a cabo o dictados por la Administración por no haber cometido TTI FINANCE SARL la infracción que se le imputa.
3) Subsidiariamente, se acuerde reducir la sanción impuesta a TTI FINANCE SARL por la infracción del art. 4.3 de la LOPD , en relación con el art. 29.4 de la misma norma y en relación también con los artículos 38 y 39 del RLOPD, tipificada como grave en el articulo 44.3 c) de la citada Ley Orgánica, una multa de 900 euros de conformidad con lo establecido en el art. 45 LOPD .
4) En cualquiera de los casos anteriores, se impongan las costas al Organismo demandado.'
TERCERO.-El Sr. Abogado del Estado contestó la demanda mediante escrito presentado el 14 de febrero de 2019 en el que, tras alegar los hechos y los fundamentos jurídicos que estimó aplicables, terminó suplicando se dictara sentencia en la que se desestimara el recurso, confirmando el acto administrativo impugnado, con expresa imposición de costas a la parte actora.
CUARTO.- Habiéndose solicitado el recibimiento del pleito a prueba, se acordó el mismo mediante Auto de 21 de mayo de 2019, practicándose la documental propuesta y admitida con el resultado que figura en las actuaciones.
QUINTO.-No considerándose necesaria la celebración de vista pública, se dio traslado para conclusiones a las partes, trámite que evacuaron por su orden, primero la defensa de la entidad recurrente y después el Abogado del Estado, mediante escritos en los que concretaron y reiteraron sus respectivos pedimentos.
SEXTO.- Conclusas las actuaciones, se señaló para votación y fallo de este recurso el día 23 de junio de 2020, fecha en la que tuvo lugar la deliberación y votación, habiendo sido ponente la Ilma. Magistrada doña Mª Felisa Atienza Rodríguez, quien expresa el parecer de la Sala.
Fundamentos
PRIMERO.-Se impugna en el presente recurso contencioso-administrativo, por la representación procesal de la entidad TTI FINANCE S.A.R.L. la resolución de la Agencia Española de Protección de Datos, de 16 de julio de 2018, dictada en el PS/00082/2018, que impone a la recurrente una sanción de 70.000 euros por infracción del art. 4.3 de la LOPD de conformidad con lo establecido en el art. 45.
Aduce la actora en su demanda, en síntesis, los siguientes motivos de impugnación:
1º) Nulidad de pleno derecho. La Resolución sancionadora ha sido dictada por un órgano incompetente para ello. Invoca sentencias de la Sala (99/2016 y otros) y supuestos de allanamiento del Abogado del Estado en un asunto similar. Afirma que es una entidad establecida en Luxemburgo, donde realiza el ejercicio real y efectivo de su actividad, por lo que resulta inaplicable la ley española de protección de datos y por tanto, la AEPD carece de competencia para sancionar a TTI FINANCE.
2º) Cumplimiento de los requisitos exigidos para la inclusión de datos en ficheros de solvencia patrimonial. Existencia de una deuda cierta. Cumplimiento del requerimiento previo de pago.
3º) Vulneración del principio de culpabilidad.
4º) Desproporcionalidad en la sanción.
El representante del Estado se opone a la estimación del recurso y cita la reciente jurisprudencia del Tribunal Supremo -recurso de casación 627/2018, sentencia de 5 de febrero de 2019- . Cita sentencias del TJUE de 1 de octubre de 2015 y de 28 de junio de 2016 (C-191/15), sobre el concepto de establecimiento.
Añade que la recurrente no ha acreditado que la deuda fuera cierta. Falta de la más mínima diligencia en el tratamiento de los datos del denunciante, sin que existiera constancia de la certeza de la deuda y procediendo a darle de alta en el fichero de morosos a pesar de constar expresamente la devolución del requerimiento de pago por ser desconocido.
SEGUNDO.-El procedimiento sancionador se inició por la AEPD, al recibir una denuncia de un particular afirmando que Canal + se había puesto en contacto con él para reclamarle una deuda y la devolución de los aparatos y que él nunca había contratado nada con ellos.
Consta en el expediente que TTI adquirió el 15-12-2014 a la compañía DTS una cartera de deuda entre la que se encontraba el crédito del denunciante de 539,65 euros. Le remitió una carta de requerimiento previo a través de Servifom S.A., carta que fue devuelta el 10/03/15, por motivo de resultar 'desconocido'.
El 7/12/16 los datos personales del denunciante se incluyeron en un fichero de solvencia patrimonial y crédito Asnef informados por TTI y el 14/12/16 se incluyeron en el fichero Badexcug informados por TTI.
La resolución sancionadora comienza invocando las sentencias del TJUE de 1 de octubre de 2015, y en base a ella rechaza las alegaciones de la recurrente respecto de su falta de competencia para sancionar.
En cuanto al fondo del asunto, estima que TTI comete una infracción tipificada en el art. 4.3 de la LOPD, por incluir los datos personales del Sr. Isidoro en los ficheros de solvencia patrimonial y crédito por una posible deuda, quedando acreditado que TTI incluyó dichos, a sabiendas de que el requerimiento previo de pago no había sido notificado al interesado pues la carta fue devuelta infringiendo el art. 4.3 de la LOPD. Asimismo resulta acreditado que TTI incluyó los datos personales del denunciante en dichos ficheros cuando la deuda no era 'cierta', al haber sido denunciado los hechos ante los Cuerpos de Seguridad del Estado.
Por lo que respecta a la graduación de la sanción, la resolución afirma que no es admisible invocar la atenuante del art. 45.5 de la LOPD alegada por la recurrente, que afirmaba que en cuanto tuvo conocimiento de la denuncia a través de la Agencia, procedió de inmediato a cancelar cautelarmente la inclusión de los datos, cuando existe constancia de que con anterioridad había actuado incumpliendo a sabiendas lo estipulado en la LOPD.
TERCERO.-Procede analizar en primer término la cuestión relativa a la competencia de la Agencia Española de Protección de Datos para el conocimiento del presente procedimiento, lo que ya ha sido analizado por esta misma Sala y Sección, en reciente sentencia de 2 de marzo de 2020 (rec. 760/2018, a cuyos fundamentos nos remitimos, por razones de unidad de criterio y seguridad jurídica.
"Por lo que se refiere, en primer término, a la incompetencia de la Agencia Española de Protección de Datos para el conocimiento de la controversia, es cierto que tal incompetencia así fue declarada, respecto de TTI Finance, en la sentencia dictada por esta Sala y Sección con fecha de 25/10/2017, Rec. 99/2016 , cuya doctrina fue seguida por la SAN de 7/11/2018, Rec. 246/2017 . Sentencias ambas que han sido casadas y anuladas por el Tribunal Supremo con fechas, respectivas, de 5 de febrero de 2019 (Rec. 627/18 ) y de 10 de diciembre de 2019 (Rec. 1644/19 ).
La última de dichas sentencias del Tribunal Supremo, reiterando la doctrina de la de 5 de febrero de 2019 - casación 627/2018 -, fundamenta dicha competencia de la AEPD, esencialmente, en lo siguiente:
'La cuestión sobre la que esta Sala de lo Contencioso-Administrativo del Tribunal Supremo debe pronunciarse, con objeto de la formación de jurisprudencia, versa sobre si está sujeto a la normativa española en materia de protección de datos de carácter personal una sociedad mercantil responsable del tratamiento de datos, que está domiciliada en un tercer Estado miembro de la Unión Europea y que a los efectos de considerar que el tratamiento de datos se efectúa en el marco de las actividades de un establecimiento que se encuentre ubicado en territorio español, solo cuenta para realizar su actividad en España con la utilización de un apartado de correos y la titularidad de una cuenta corriente.
Concretamente, tal como se expone en el auto de la Sección Primera de la Sala de lo Contencioso-Administrativo del Tribunal Supremo de 6 de abril de 2018 , la controversia jurídica que se suscita consiste en interpretar el concepto de establecimiento previsto el artículo 2.1 a) LOPD y en el artículo 3.1 a) del RLOPD en relación con el artículo 4.1 a) de la Directiva 95/46/CE , y la jurisprudencia del TJUE que lo interpreta, a fin de esclarecer si un tratamiento de datos personales realizado en España, en el marco de las actividades de una empresa con sede en un tercer Estado Miembro (en este caso Luxemburgo), que es titular de una cuenta bancaria y un apartado de correos en nuestro país para el desarrollo de su actividad, está sujeto a la normativa española de protección de datos de carácter personal.
A tal efecto, resulta pertinente poner de manifiesto que la respuesta jurisdiccional que demos a esta cuestión comporta resolver si tal como propugna la Abogacía del Estado, la sentencia de la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional impugnada ha infringido el artículo 2.1.a) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , el artículo 3.1.a) del Real Decreto 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la citada Ley Orgánica 15/1999, en relación con el artículo 4.1.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, al sostener que la Agencia Española de Protección de Datos carece de competencia para sancionar a una empresa, domiciliada en Luxemburgo, que solo posee en España para realizar su actividad de tratamiento de datos un apartado de correos y una cuenta bancaria en una entidad de crédito, en cuanto dichos medios técnicos no se corresponden con el concepto legal de 'establecimiento', al no poder considerarse como ejercicio real y efectivo de una actividad realizada en territorio español.
Esta Sala considera que el Tribunal de instancia ha interpretado de forma inadecuada el artículo 2.1.a) de la Ley Orgánica 15/1999 , de 13 de diciembre, de Protección de Datos de Carácter Personal , que establece el ámbito territorial de aplicación de la citada norma, que rige, entre otros supuestos, cuando el tratamiento de datos personales se efectúe en territorio español 'en el marco de las actividades de un establecimiento del responsable del tratamiento', pues no tiene en cuenta que la sociedad TTI FINANCE SARL, aunque estaba domiciliada en otro Estado miembro de la Unión Europea (Luxemburgo), dirigía de forma regular actividades y operaciones a través de medios instrumentales radicados en España, adoptando decisiones relativas a los fines y medios del tratamiento de datos, al haberse acreditado que era la responsable de impartir las órdenes para que se incluyeran los datos personales del afectado en el fichero de solvencia patrimonial BADEXCUG.
Debía, asimismo, haber tomado en consideración, para apreciar la concurrencia del presupuesto de que el tratamiento de datos se efectúe en el marco de las actividades de un establecimiento que la cesión de datos personales, que motivó la denuncia del afectado, se asocia a un contrato de compraventa de una cartera de créditos celebrado en España, que era gestionada por la compañía TDX Indigo Iberia SLU, domiciliada en España, que se encargaba de las reclamaciones e incidencias en relación con las obligaciones de pago que resultaban incumplidas, y que la cesión de datos se efectuaba para la inclusión en un fichero de solvencia patrimonial BADEXCUG del que era responsable la empresa EXPERIAN BUREAU DE CRÉDITO, S.A., que operaba en España.
Por ello, estimamos que la sentencia impugnada ha realizado una aplicación restrictiva y formalista del artículo 2.1.a) de la Ley Orgánica 15/1999 , que se revela lesiva del objetivo perseguido por la referida disposición de garantizar una protección eficaz y plena del derecho fundamental a la intimidad en lo que respecta al tratamiento de datos personales, en cuanto se basa en la consideración de que la empresa TTI FINANCE SARL no está establecida en España, por lo que no resulta aplicable la cláusula de sujeción al Derecho español de protección de datos de carácter personal, sin valorar adecuadamente las circunstancias específicas en que desarrolla la actividad de tratamiento de datos dicha compañía en territorio español, que evidencia la existencia de vínculos de conexión suficientes, puesto que la empresa subcontratada TDX INDIGO IBERIA SLU actuaba, respecto de la inclusión en el fichero de morosos de una determinada persona, bajo la autoridad directa del responsable del tratamiento de datos.
En es te sentido, estimamos que la sentencia de instancia desconsidera la interpretación que del artículo 4.1.a) de la Directiva 45/96 ha efectuado el Tribunal de Justicia de la Unión Europea en la sentencia de 1 de octubre de 2015 (asunto C-230/14 ), en que se formula la directriz de que el concepto de establecimiento, a que se refiere dicha disposición, no puede entenderse en todo caso equivalente al de la sede social donde este registrada la sociedad responsable del tratamiento de datos, debiendo valorarse para la determinación de esta noción el grado de estabilidad de la instalación así como el grado de efectividad del desarrollo de la actividad y la naturaleza específica de las actividades económicas y de las prestaciones de servicios de que se trate.
Según se desprende de la mencionada sentencia del Tribunal de Justicia de la Unión Europea, cabe integrar en el concepto de establecimiento, desde una perspectiva funcional, las actividades que realice la empresa responsable del tratamiento de datos a través de un representante que disponga de los medios necesarios para la prestación de los servicios concretos de que se trate en el Estado miembro, lo que mutatis mutandis resulta aplicable al supuesto enjuiciado en este recurso de casación, dada la similitud existente en los presupuestos de hecho relativos a los medios humanos y técnicos utilizados, pues cabe tener en cuenta además que TTI FINANCE SARL operaba en España a través de un apoderado, con domicilio en Madrid, y disponía de dos personas de contacto encargadas de realizar las gestiones de comunicación e información con los afectados a través de medios telemáticos.
Por ello apreciamos que contrariamente a lo que sostiene la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, la Agencia Española de Protección de Datos tenía competencia para controlar las actividades de la sociedad TTI FINANCE SARL, en la medida que resultaba aplicable la obligación contenida en el artículo 4.3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , que establece que los datos personales serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado'."
CUARTO.-En cuanto a las razones de fondo, los hechos probados que dan lugar a la imposición de la sanción a TTI FINANCE SARL, por importe de 70.000 euros, derivan de la comisión de la infracción grave del Artículo 44.3.c) LOPD, que sanciona como tal ' tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan'.
Infracción del artículo 4.3 de la LOPD, a cuyo tenor los datos de carácter personal deben ser exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.
Principio de calidad del dato que, tal y como esta Sala ha manifestado en múltiples ocasiones, ha de ser garantizado respecto de los propios ficheros de la entidad acreedora, sin necesidad de ninguna otra comunicación exterior y también, y especialmente, cuando se comunican los datos personales a los ficheros sobre solvencia patrimonial y crédito. Desde el momento en que se comunican a tales ficheros de morosidad datos personales de quien realmente no es deudor, o bien se mantienen en los referidos ficheros datos personales de quien ya ha dejado de ser deudor, esta Sala ha considerado, en innumerables ocasiones, que se produce dicha vulneración del artículo 4.3 de la LOPD.
Así, en las sentencias dictadas en los recursos 711/2001, 388/2002 y 479/2012, con fechas, respectivamente, de 6 de junio de 2002, 3 de marzo de 2004 y 14 de febrero de 2014, entre otras muchas, todas ellas en relación a la exigencia del articulo 29 LOPD, hemos sostenido que los datos que consten en los registros debe responder a la 'situación actual' de los interesados, exigiéndose el mayor rigor en cuanto a la actualidad de los datos, rigor que no es compatible con la inclusión de datos de una persona que no es deudora en el momento de introducir su nombre y apellidos y/o DNI, en el registro correspondiente.
Por otra parte, el artículo 38 del RLOPD fija los 'requisitos para la inclusión de los datos' en esos ficheros, precepto que ha sido impugnado en algunos de sus apartados ante el Tribunal Supremo, habiéndose dictado la STS de 15 de julio 2010 (Rec. 23/2008) que anula entre otros apartados, por disconformes a derecho, el último inciso del artículo 38.1.a) y el apartado 2 del citado artículo 38 del RDLOPD.
La redacción del artículo 38 del RDLOPD, tras la aplicación de la citada STS de 15 de julio de 2010, es la siguiente:
1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:
a) Existencia previa de una deuda cierta, vencida, exigible que haya resultado impagada.
b) Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación.
c) Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación (...)
3. El acreedor o quien actué por su cuenta o interés estará obligado a conservar a disposición del responsable del fichero común y de la Agencia Española de Protección de Datos documentación suficiente que acredite el cumplimiento de los requisitos establecidos en este artículo y del requerimiento previo a que se refiere el artículo siguiente.
Aplicando esta reiterada doctrina al supuesto de autos, aprecia la Sala, al igual que entiende la resolución de la Agencia de Protección de Datos impugnada, que ha resultado acreditado en las actuaciones, a través de la documental unida al expediente, que después de la adquisición de la deuda por parte de TTI, dicha entidad incluyó los datos del denunciante en los ficheros de solvencia patrimonial, a sabiendas de que la deuda no era 'cierta', y que la carta de requerimiento de pago que se le había enviado, había resultado devuelta por ser desconocido.
La sanción de 70.000 euros impuesta en la resolución impugnada, deriva de considerar la AEPD que concurren las agravantes de carácter continuado de la infracción, al estar incluidos los datos en los ficheros de solvencia durante 14 meses, desde el 7/12/2016; la vinculación de la actividad de la entidad infractora con la realización de tratamientos de datos de carácter personal; el volumen de negocio de la entidad denunciada; la falta grave de diligencia en la adopción de medidas adecuadas para gestionar el seguimiento de los datos personales de los clientes y que la inclusión se realiza en dos ficheros comunes de solvencia.
La Sala considera que la regularización de la situación de forma diligente, a cuyo tenor la entidad actora pretende una minoración de la sanción, no puede ser aplicada en el presente caso, pues el denunciante fue dado de alta en los ficheros de solvencia con fechas 7 y 14 de diciembre de 2016 (según la documental obrante), y, pese a las manifestaciones de la recurrente, no consta exactamente la fecha en que fueron dados de baja, a lo que debe unirse que los datos personales fueron incluidos no en uno sino en dos ficheros de morosidad (Asnef y Badexcug), por lo que la sanción impuesta resulta proporcionada y ajustada a Derecho, debiendo ser confirmada.
Por todo lo expuesto, debe desestimarse el presente recurso.
QUINTO. -Co n imposición a la entidad actora de las costas causadas en el proceso, de conformidad con el Artículo 139 de la LJCA.
En atención a lo expuesto y en nombre de su Majestad el Rey, la Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, ha decidido:
Fallo
DESESTIMAR el recurso contencioso administrativo interpuesto por el Procurador de los Tribunales, D. Luis Mellado Aguado, en nombre y representación de TTI FINANCE SARL, frente a la Resolución de la Directora de la Agencia Española de Protección de Datos de 16 de julio de 2018, dictada en el PS/00082/2018, que impone a dicha entidad una sanción de 70.000 euros, que se confirma por su conformidad a Derecho.
Con imposición de las costas procesales a tal parte actora.
La presente sentencia es susceptible de recurso de casación, que deberá prepararse ante esta Sala en el plazo de 30 días contados desde el siguiente al de su notificación; en el escrito de preparación del recurso deberá acreditarse el cumplimiento de los requisitos establecidos en el art. 89.2 de la Ley de la Jurisdicción justificando el interés casacional objetivo que presenta.
Así por esta nuestra Sentencia, lo pronunciamos, mandamos y firmamos.
PUBLICACIÓN.- Dada, leída y publicada fue la anterior Sentencia en Audiencia Pública. Doy fe.
Madrid a
EL LETRADO DE LA ADMINISTRACIÓN DE JUSTICIA
