Encabezamiento
A U D I E N C I A N A C I O N A L
Sala de lo Contencioso-Administrativo
SECCIÓN PRIMERA
Núm. de Recurso:0000760/2018
Tipo de Recurso:PROCEDIMIENTO ORDINARIO
Núm. Registro General:05739/2018
Demandante:TTI FINANCE, S.A.R.L.
Procurador:LUIS MELLADO AGUADO
Demandado:AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Abogado Del Estado
Ponente IIma. Sra.:Dª. NIEVES BUISAN GARCÍA
S E N T E N C I A Nº:
IImo. Sr. Presidente:
D. EDUARDO MENÉNDEZ REXACH
Ilmos. Sres. Magistrados:
Dª. FELISA ATIENZA RODRIGUEZ
Dª. LOURDES SANZ CALVO
D. FERNANDO DE MATEO MENÉNDEZ
Dª. NIEVES BUISAN GARCÍA
Madrid, a dos de marzo de dos mil veinte.
Vistos por la Sala, constituida por los Sres. Magistrados reseñados al margen, los autos del recurso contencioso-administrativo número 760/2018, interpuesto por el Procurador de los Tribunales don Luis Mellado Aguado, en nombre y representación de TTI FINANCE, SARL contra la resolución de la Directora de la Agencia Española de Protección de Datos de 19 de julio de 2018, que impone a dicha entidad actora una sanción de 32.000 euros. Ha sido parte demandada LA ADMINISTRACIÓN DEL ESTADO, representada por el Abogado del Estado. La cuantía del recurso se fijó en 32.000 euros.
Antecedentes
PRIMERO.-Por la entidad recurrente se interpuso recurso contencioso administrativo mediante escrito presentado el 21 de septiembre de 2018, acordándose su tramitación de conformidad con las normas establecidas en la Ley 29/1998, y la reclamación del expediente administrativo.
SEGUNDO.-En el momento procesal oportuno tal entidad actora formalizó la demanda mediante escrito presentado el 11 de diciembre de 2018 en el que, tras alegar los hechos y fundamentos de derecho que estimó procedentes, terminó suplicando se dictara sentencia:
'1) En la que se declare nula y sin valor ni efecto alguno la resolución de 19 de julio de 2018, en el procedimiento sancionador PS/28/2018, anulando y dejando sin efecto el procedimiento sancionador instado contra TTI FINANCE SARL, así como todos los actos originadores, derivados y consecuentes de dicho Acuerdo llevados a cabo o dictados por la Administración por carecer la Agencia Española de Protección de Datos de competencia para sancionar a TTI FINANCE SARL.
2) Subsidiariamente, se declare nula y sin valor ni efecto alguno, o subsidiariamente anulable la resolución de 19 de julio de 2018, anulando y dejando sin efecto el procedimiento sancionador instado contra TTI FINANCE SARL, así como todos los actos originadores, derivados y consecuentes de dicho Acuerdo llevados a cabo o dictados por la Administración por haberse vulnerado el derecho fundamental de defensa consagrado en el artículo 24 de la Constitución española y/o haberse prescindido total y absolutamente del procedimiento legalmente establecido.
3) Subsidiariamente, se declare nula y sin valor ni efecto alguno, o subsidiariamente anulable la resolución de 19 de julio de 2018, anulando y dejando sin efecto el procedimiento sancionador instado contra TTI FINANCE SARL, así como todos los actos originadores, derivados y consecuentes de dicho Acuerdo llevados a cabo o dictados por la Administración, por no haber cometido TTI FINANCE SARL la infracción que se le imputa.
4) En cualquiera de los casos, se decrete el sobreseimiento libre y el archivo del procedimiento sancionador instado contra TTI FINANCE SARL, con todo lo demás que en Derecho proceda.
5) En cualquiera de los casos anteriores, se impongan las costas al Organismo demandado.'
TERCERO.-El Sr. Abogado del Estado contestó la demanda mediante escrito presentado el 15 de febrero de 2019 en el que, tras alegar los hechos y los fundamentos jurídicos que estimó aplicables, terminó suplicando se dictara sentencia en la que se desestimara el recurso, confirmando el acto administrativo impugnado, con expresa imposición de costas a la parte actora.
CUARTO.- Habiéndose solicitado el recibimiento del pleito a prueba, se acordó el mismo mediante Auto de 27 de mayo de 2019, practicándose la documental propuesta y admitida con el resultado que figura en las actuaciones.
QUINTO.-No considerándose necesaria la celebración de vista pública, se dio traslado para conclusiones a las partes, trámite que evacuaron por su orden, primero la defensa de la entidad recurrente y después el Abogado del Estado, mediante escritos en los que concretaron y reiteraron sus respectivos pedimentos.
SEXTO.- Conclusas las actuaciones, se señaló para votación y fallo de este recurso el día 18 de febrero de 2020, fecha en la que tuvo lugar la deliberación y votación, habiendo sido ponente la Ilma. Magistrada doña Nieves Buisán García, quien expresa el parecer de la Sala.
Fundamentos
PRIMERO.- Se impugna en el presente recurso contencioso-administrativo, por TTI FINANCE SARL la Resolución de la Directora de la Agencia Española de Protección de Datos de 19 de julio de 2018 que impone a dicha entidad actora una sanción de 32.000 euros por infracción del artículo 4.3 de la LOPD, de conformidad con lo establecido en el artículo 45 de la citada Ley.
Resolución que tiene su origen en el procedimiento sancionador iniciado mediante escrito presentado ante la AEPD por Pedro Francisco y Adriana, con fecha 17 de julio de 2017, en el que denuncian que TTI los había metido en ficheros Asnef y Badexcug por una deuda de 7.370 euros que estaban pagando y nunca han dejado de pagar. Tenemos un acuerdo de pago con TTI de 100 euros al mes.
Resolución que declara como hechos probados más importantes, los que a continuación se exponen:
1.Los denunciantes firmaron un crédito con CITIBANK por importe de 15.371,17 euros, pagadero en 60 mensualidades a razón de 251,18 euros más intereses a partir del 08/04/2011
2.El 17/12/14 la cartera de créditos de CITIBANK es comprada por TTI.
3.El 30/01/2015 TTI notifica a los denunciantes que es propietaria del crédito suscrito y que a fecha de 30/11/14 debían 10.274,56 euros. Indicándoles que si no pagan, les incluirá en el fichero ASNEF.
4.De marzo de 2015 a junio de 2017 (22/06/17) existen justificantes de pago a TTI por valor de 100 euros mensuales, haciendo un total de 27 pagos ininterrumpidos.
5.Los denunciantes son incluidos en el fichero Asnef el 21/06/17 y en el fichero Badexcug el 21/06/17, por importe de 7370 euros.
6.Los denunciantes aseguran que negociaron con TTI el pago de 100 euros mensuales y que han pedido la grabación pero no se la han enviado. Aportan SMS's donde se puede ver, por ejemplo 'el 29/07/16 vence el plazo de pago de 100 euros acordado con usted, puede pagar B Santander ES...'correspondiendo el mismo código IBAN con el indicado en la carta enviada el 30/01/2015, y el teléfono para 'más información' es de ISGF-Asesoría jurídica.
SEGUNDO.-La parte actora sustenta su pretensión impugnatoria de la demanda, en síntesis, en las siguientes consideraciones:
1.Nulidad de pleno derecho por haberse dictado la Resolución sancionadora por órgano incompetente para ello. Se razona que TTI FINANCE, responsable del fichero, está establecida en Luxemburgo, no en España, realizando en dicho país el ejercicio real y efectivo de su actividad. Sobre la inaplicación de la normativa española en materia de protección de datos, sobre la incompetencia de la Agencia Española de Protección de Datos para sancionar a TTI FINANCE, que un responsable del fichero no es lo mismo que un encargado del tratamiento, sobre ausencia de puntos de conexión con España e imposibilidad de sancionar por analogía, razonándose, por último respecto de los anteriores pronunciamos de los Tribunales sobre incompetencia de la AEPD para el conocimiento de casos como el que nos ocupa ( trascribiéndose parcialmente el contenido de la SAN de 25/10/2017, Rec. 99/2016).
2.Nulidad de pleno derecho por vulneración de derecho de defensa dada la inadmisión de prueba relevante para la resolución del procedimiento. Se cita el contenido del artículo 47.1 letras a) y e) de la Ley 39/2015, de 1 de octubre y la doctrina de la STC 212/1990, a cuyo tenor, y para defender su inocencia, el administrado tiene derecho a utilizar los medios de prueba pertinentes.
Así, si bien se solicitó histórico de inclusiones de los denunciantes en los ficheros Equifax y Badexcug por parte de Citibank y otras entidades así como requerir a Evofinance sobre cesión de cartera de créditos a TTI Finance, entre ellos el de los denunciantes, sin embargo la Agencia no se pronunció, como era su deber, lo que vulnera el artículo 77 de la Ley 39/2015, así como el derecho fundamental de defensa del artículo 24 de la Constitución.
3.Cumplimiento de los requisitos exigidos para la inclusión de datos en ficheros de solvencia patrimonial: se razona respecto de la extralimitación de la Agencia en sus funciones, respecto de la existencia de una deuda vencida y exigible que ha resultado impagada, y que no ha dejado de ser tal con el fraccionamiento de pago. Se considera un hecho no controvertido que la deuda contraída por los denunciantes estaba vencida y era liquida y exigible en el momento de la cesión, sin que el hecho de fraccionar el pago de la misma conlleve que deje de estar vencida y exigible, ni que exista novación o modificación de ella.Máxime cuando el pago de mayo de 2015 no fue aplicado a la deuda de los denunciantes, ya que no fue identificado correctamente por ellos. No existe novación ni modificación de las obligaciones en las alteraciones en la forma de pago o la mera alteración del plazo, ya que lo único que conlleva es dar facilidades al obligado a su cumplimiento.
Se considera que no ha existido vulneración del artículo 4.3 LOPD en relación con los artículos 38 y 43 del RLOPD: TTI estaba expresamente legitimada para tratar datos de Adriana y Pedro Francisco como consecuencia de la cesión de créditos, así como reportarlos a los ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias, al tratarse de deuda vencida y exigible.
4. Desproporcionalidad de la sanción impuesta. Graduación de la sanción. La entidad infractora regularizo la situación de forma diligente, al haber dado de baja a los denunciantes en los correspondientes ficheros en el momento en que se tuvo conocimiento de las actuaciones previas de investigación.
TERCERO.-Po r lo que se refiere, en primer término, a la incompetencia de la Agencia Española de Protección de Datos para el conocimiento de la controversia, es cierto que tal incompetencia así fue declarada, respecto de TTI Finance, en la sentencia dictada por esta Sala y Sección con fecha de 25/10/2017, Rec. 99/2016, cuya doctrina fue seguida por la SAN de 7/11/2018, Rec. 246/2017. Sentencias ambas que han sido casadas y anuladas por el Tribunal Supremo con fechas, respectivas, de 5 de febrero de 2019 (Rec. 627/18) y de 10 de diciembre de 2019 (Rec. 1644/19).
La última de dichas sentencias del Tribunal Supremo, reiterando la doctrina de la de 5 de febrero de 2019 - casación 627/2018-, fundamenta dicha competencia de la AEPD, esencialmente, en lo siguiente:
'La cuestión sobre la que esta Sala de lo Contencioso-Administrativo del Tribunal Supremo debe pronunciarse, con objeto de la formación de jurisprudencia, versa sobre si está sujeto a la normativa española en materia de protección de datos de carácter personal una sociedad mercantil responsable del tratamiento de datos, que está domiciliada en un tercer Estado miembro de la Unión Europea y que a los efectos de considerar que el tratamiento de datos se efectúa en el marco de las actividades de un establecimiento que se encuentre ubicado en territorio español, solo cuenta para realizar su actividad en España con la utilización de un apartado de correos y la titularidad de una cuenta corriente.
Concretamente, tal como se expone en el auto de la Sección Primera de la Sala de lo Contencioso-Administrativo del Tribunal Supremo de 6 de abril de 2018 , la controversia jurídica que se suscita consiste en interpretar el concepto de establecimiento previsto el artículo 2.1 a) LOPD y en el artículo 3.1 a) del RLOPD en relación con el artículo 4.1 a) de la Directiva 95/46/CE , y la jurisprudencia del TJUE que lo interpreta, a fin de esclarecer si un tratamiento de datos personales realizado en España, en el marco de las actividades de una empresa con sede en un tercer Estado Miembro (en este caso Luxemburgo), que es titular de una cuenta bancaria y un apartado de correos en nuestro país para el desarrollo de su actividad, está sujeto a la normativa española de protección de datos de carácter personal.
A tal efecto, resulta pertinente poner de manifiesto que la respuesta jurisdiccional que demos a esta cuestión comporta resolver si tal como propugna la Abogacía del Estado, la sentencia de la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional impugnada ha infringido el artículo 2.1.a) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , el artículo 3.1.a) del Real Decreto 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la citada Ley Orgánica 15/1999, en relación con el artículo 4.1.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, al sostener que la Agencia Española de Protección de Datos carece de competencia para sancionar a una empresa, domiciliada en Luxemburgo, que solo posee en España para realizar su actividad de tratamiento de datos un apartado de correos y una cuenta bancaria en una entidad de crédito, en cuanto dichos medios técnicos no se corresponden con el concepto legal de 'establecimiento', al no poder considerarse como ejercicio real y efectivo de una actividad realizada en territorio español.
Esta Sala considera que el Tribunal de instancia ha interpretado de forma inadecuada el artículo 2.1.a) de la Ley Orgánica 15/1999 , de 13 de diciembre, de Protección de Datos de Carácter Personal , que establece el ámbito territorial de aplicación de la citada norma, que rige, entre otros supuestos, cuando el tratamiento de datos personales se efectúe en territorio español 'en el marco de las actividades de un establecimiento del responsable del tratamiento', pues no tiene en cuenta que la sociedad TTI FINANCE SARL, aunque estaba domiciliada en otro Estado miembro de la Unión Europea (Luxemburgo), dirigía de forma regular actividades y operaciones a través de medios instrumentales radicados en España, adoptando decisiones relativas a los fines y medios del tratamiento de datos, al haberse acreditado que era la responsable de impartir las órdenes para que se incluyeran los datos personales del afectado en el fichero de solvencia patrimonial BADEXCUG.
Debía, asimismo, haber tomado en consideración, para apreciar la concurrencia del presupuesto de que el tratamiento de datos se efectúe en el marco de las actividades de un establecimiento que la cesión de datos personales, que motivó la denuncia del afectado, se asocia a un contrato de compraventa de una cartera de créditos celebrado en España, que era gestionada por la compañía TDX Indigo Iberia SLU, domiciliada en España, que se encargaba de las reclamaciones e incidencias en relación con las obligaciones de pago que resultaban incumplidas, y que la cesión de datos se efectuaba para la inclusión en un fichero de solvencia patrimonial BADEXCUG del que era responsable la empresa EXPERIAN BUREAU DE CRÉDITO, S.A., que operaba en España.
Por ello, estimamos que la sentencia impugnada ha realizado una aplicación restrictiva y formalista del artículo 2.1.a) de la Ley Orgánica 15/1999 , que se revela lesiva del objetivo perseguido por la referida disposición de garantizar una protección eficaz y plena del derecho fundamental a la intimidad en lo que respecta al tratamiento de datos personales, en cuanto se basa en la consideración de que la empresa TTI FINANCE SARL no está establecida en España, por lo que no resulta aplicable la cláusula de sujeción al Derecho español de protección de datos de carácter personal, sin valorar adecuadamente las circunstancias específicas en que desarrolla la actividad de tratamiento de datos dicha compañía en territorio español, que evidencia la existencia de vínculos de conexión suficientes, puesto que la empresa subcontratada TDX INDIGO IBERIA SLU actuaba, respecto de la inclusión en el fichero de morosos de una determinada persona, bajo la autoridad directa del responsable del tratamiento de datos.
En es te sentido, estimamos que la sentencia de instancia desconsidera la interpretación que del artículo 4.1.a) de la Directiva 45/96 ha efectuado el Tribunal de Justicia de la Unión Europea en la sentencia de 1 de octubre de 2015 (asunto C-230/14 ), en que se formula la directriz de que el concepto de establecimiento, a que se refiere dicha disposición, no puede entenderse en todo caso equivalente al de la sede social donde este registrada la sociedad responsable del tratamiento de datos, debiendo valorarse para la determinación de esta noción el grado de estabilidad de la instalación así como el grado de efectividad del desarrollo de la actividad y la naturaleza específica de las actividades económicas y de las prestaciones de servicios de que se trate.
Según se desprende de la mencionada sentencia del Tribunal de Justicia de la Unión Europea, cabe integrar en el concepto de establecimiento, desde una perspectiva funcional, las actividades que realice la empresa responsable del tratamiento de datos a través de un representante que disponga de los medios necesarios para la prestación de los servicios concretos de que se trate en el Estado miembro, lo que mutatis mutandis resulta aplicable al supuesto enjuiciado en este recurso de casación, dada la similitud existente en los presupuestos de hecho relativos a los medios humanos y técnicos utilizados, pues cabe tener en cuenta además que TTI FINANCE SARL operaba en España a través de un apoderado, con domicilio en Madrid, y disponía de dos personas de contacto encargadas de realizar las gestiones de comunicación e información con los afectados a través de medios telemáticos.
Por ello apreciamos que contrariamente a lo que sostiene la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, la Agencia Española de Protección de Datos tenía competencia para controlar las actividades de la sociedad TTI FINANCE SARL, en la medida que resultaba aplicable la obligación contenida en el artículo 4.3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , que establece que los datos personales serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado'.
CUARTO.-En cuanto a la vulneración de derecho de defensa que en segundo lugar se denuncia en la demanda, derivada de la inadmisión de prueba que tal entidad actora consideró relevante para la resolución del procedimiento, la misma requiere traer a colación la doctrina que, con carácter general ha establecido la Jurisprudencia del Tribunal Constitucional respecto de la lesión de tal derecho de defensa según la cual, para 'apreciar la existencia de lesión constitucional, no basta la existencia de un defecto procedimental, sino que es igualmente necesario que éste se haya traducido en indefensión material, esto es, en un perjuicio real y efectivo, nunca potencial y abstracto, de las posibilidades de defensa en un procedimiento con las necesarias garantías ( SSTC 15/1995, de 24 de enero y 1/2000, de 17 de enero , entre otras muchas) '.
Ello dado que el derecho a no padecer indefensión constituye un derecho fundamental materialmente dirigido a garantizar la posición de ambas partes procesales, en el sentido de que puedan alegar y probar cuanto consideren preciso para la defensa de sus intereses y derechos, en posición de igualdad recíproca ( STC 115/2006, de 24 de abril). Concepto de indefensión con relevancia constitucional que, en cualquier caso, no coincide necesariamente con cualquier indefensión de carácter meramente procesal ni menos con cualquier infracción de normas procesales, sino que requiere, como condición indispensable, que la imposibilidad de alegar y probar los propios derechos e intereses y rebatir las alegaciones de contrario hayan producido un real y efectivo menoscabo del derecho de defensa de la parte, un perjuicio de índole material. Sin que exista indefensión material si, a pesar de haberse producido algún quebrantamiento procesal, las partes han podido defender sus derechos e interés legítimos ( STC 27/2001 de 29 de enero).
Aplicando dicha doctrina al supuesto de autos, y aun de considerar una irregularidad procedimental que la AEPD no se pronunciara respecto de determinada prueba propuesta por TTI FINANCE, lo cierto es que dicha entidad actora no acredita y ni siquiera invoca, qué indefensión material le ha originado dicho defecto formal, máxime cuando a través de la interposición del presente recurso contencioso-administrativo, ha podido alegar y probar cuanto ha estimado de su interés en defensa de sus derechos e interés legítimos, tal y como así ha efectuado, tanto a través de los escritos de demanda y conclusiones, como mediante la prueba propuesta por ellaen esta vía judicial, que fue admitida en su integridad, por lo que tal objeción formal ha de ser rechazada.
QUINTO.-Los hechos probados que dan lugar a la imposición de la sanción a TTI FINANCE SARL, por importe de 32.000 euros, derivan de la comisión de la infracción grave del Artículo 44.3.c) LOPD, que sanciona como tal ' tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan'.
Infracción del artículo 4.3 de la LOPD, a cuyo tenor los datos de carácter personal deben ser exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.
Principio de calidad del dato que, tal y como esta Sala ha manifestado en múltiples ocasiones, ha de ser garantizado respecto de los propios ficheros de la entidad acreedora, sin necesidad de ninguna otra comunicación exterior y también, y especialmente, cuando se comunican los datos personales a los ficheros sobre solvencia patrimonial y crédito. Desde el momento en que se comunican a tales ficheros de morosidad datos personales de quien realmente no es deudor, o bien se mantienen en los referidos ficheros datos personales de quien ya ha dejado de ser deudor, esta Sala ha considerado, en innumerables ocasiones, que se produce dicha vulneración del artículo 4.3 de la LOPD.
Así, en las sentencias dictadas en los recursos 711/2001, 388/2002 y 479/2012, con fechas, respectivamente, de 6 de junio de 2002, 3 de marzo de 2004 y 14 de febrero de 2014, entre otras muchas, todas ellas en relación a la exigencia del articulo 29 LOPD, hemos sostenido que los datos que consten en los registros debe responder a la 'situación actual' de los interesados, exigiéndose el mayor rigor en cuanto a la actualidad de los datos, rigor que no es compatible con la inclusión de datos de una persona que no es deudora en el momento de introducir su nombre y apellidos y/o DNI, en el registro correspondiente.
Por otra parte, el artículo 38 del RLOPD fija los 'requisitos para la inclusión de los datos' en esos ficheros, precepto que ha sido impugnado en algunos de sus apartados ante el Tribunal Supremo, habiéndose dictado la STS de 15 de julio 2010 (Rec. 23/2008) que anula entre otros apartados, por disconformes a derecho, el último inciso del artículo 38.1.a) y el apartado 2 del citado artículo 38 del RDLOPD.
La redacción del artículo 38 del RDLOPD, tras la aplicación de la citada STS de 15 de julio de 2010, es la siguiente:
1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:
a) Existencia previa de una deuda cierta, vencida, exigible que haya resultado impagada.
b) Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación.
c) Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación (...)
3. El acreedor o quien actué por su cuenta o interés estará obligado a conservar a disposición del responsable del fichero común y de la Agencia Española de Protección de Datos documentación suficiente que acredite el cumplimiento de los requisitos establecidos en este artículo y del requerimiento previo a que se refiere el artículo siguiente.
SEXTO.-Aplicando tal consolidada y reiterada doctrina al supuesto de autos aprecia la Sala, al igual que entiende la resolución de la Agencia de Protección de Datos impugnada, que ha resultado acreditado en las actuaciones, a través de la documental unida al expediente, que después de la adquisición de la deuda por parte de TTI existió un acuerdo para el completo pago de la deuda entre dicha entidad actora y los denunciantes, negociando el abono de 100 euros mensuales. Acuerdo que no figura por escrito, pero del que sí hay evidencias documentales, tal y como se describe en los hechos probados cuarto y sexto, por cuanto desde los meses de marzo de 2015 a junio de 2017 (27 pagos ininterrumpidos) figuran justificantes de pago a TTI por valor de 100 euros mensuales, constando asimismo SMSs en los que TTI FINANCE reclama a los repetidos denunciantes el pago de dicho importe de 100 euros mensuales.
En definitiva, y sin que resulten ahora aplicables los efectos de la figura civil de la 'novación modificativa', invocada con insistencia en la demanda, dado que nos hallamos en el ámbito de la normativa de protección de datos personales y de conformidad con los artículos 4 y 29 de la LOPD en relación con el artículo 38 del RLOPD, y la doctrina de esta Sala, ha de considerarse incumplido el principio de calidad del dato. Ello porque en virtud de dicho acuerdo de pago de la deuda pactada entre la entidad actora y los afectados no puede considerarse que la deuda fuera ni liquida, en cuanto su cuantía no era cierta (variaba cada mes), ni tampoco vencida (pues se estaba abonando en plazos) ni por tanto exigible, por lo que tal inclusión de la 'deuda' en los ficheros de solvencia patrimonial y crédito no respondía con veracidad y actualidad a la situación actual de los afectados, con vulneración del principio de calidad del dato.
La sanción de 32.000 euros impuesta en la resolución impugnada, correspondiente a la escala de las infracciones leves (que van de 900 a 40.000 euros) deriva de considerar la AEPD que concurre lo estipulado en el apartado c) del artículo 45.5 LOPD, al apreciarse que la conducta de los afectados al cometer el error indicado hubiera podido inducir a la comisión de la infracción, por lo que procede aplicar al cuantía de la clase de infracciones que preceda inmediatamente en gravedad.
Esta Sala considera que la regularización de la situación de forma diligente, a cuyo tenor la entidad actora pretende una nueva minoración de la sanción, no puede ser aplicada en el caso, pues los denunciantes fueron dados de baja en los ficheros de solvencia con fecha de 27/09/2017 ( según documental adjuntada en fase de prueba) y repárese en que fueron incluidos no en uno sino en dos ficheros de morosidad (Asnef y Badexcug) , por lo que la sanción impuesta resulta proporcionada y ajustada a Derecho, debiendo ser confirmada por la misma.
SÉPTIMO.-Razones, las anteriores, que conducen a la desestimación del presente recurso, con imposición a la entidad actora de las costas causadas en el proceso, de conformidad con el Artículo 139 de la LJCA.
Fallo
Que desestimando el recurso contencioso administrativo interpuesto por la representación procesal de TTI FINANCE SARL la Resolución de la Directora de la Agencia Española de Protección de Datos de 19 de julio de 2018 que impone a dicha entidad actora una sanción de 32.000 euros, confirmamos dicha resolución y sanción, dada su conformidad a Derecho, con imposición de las costas procesales a tal parte actora.
La presente sentencia es susceptible de recurso de casación, que deberá prepararse ante esta Sala en el plazo de 30 días contados desde el siguiente al de su notificación; en el escrito de preparación del recurso deberá acreditarse el cumplimiento de los requisitos establecidos en el art. 89.2 de la Ley de la Jurisdicción justificando el interés casacional objetivo que presenta.
Así por esta nuestra Sentencia, lo pronunciamos, mandamos y firmamos.
PUBLICACIÓN.- Dada, leída y publicada fue la anterior Sentencia en Audiencia Pública. Doy fe.
Madrid a,
EL LETRADO DE LA ADMINISTRACIÓN DE JUSTICIA
