Sentencia Administrativo Audiencia Nacional, Sala de lo Contencioso, Sección 1, Rec 818/2010 de 15 de Octubre de 2012

Encabezamiento

Procedimiento: CONTENCIOSO

SENTENCIA

Madrid, a quince de octubre de dos mil doce.

La Sala constituida por los Sres. Magistrados relacionados al margen ha visto el recurso contencioso-administrativo núm. 818/2010 interpuesto porFRANCE TELECOM ESPAÑA, S.A., representada por la Procuradora Dª. María Susana Sánchez García frente la resolución de la Agencia Española de Protección de Datos de 1 de septiembre de 2010 que desestima el recurso de reposición contra la anterior resolución de 8 de julio de 2010 que acuerda imponer a dicha entidad, por una infracción del artículo 10 de la LOPD , tipificada como grave en el artículo 44.3.g) de dicha norma, una multa de 60 . 101,21 € de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica. Ha sido parte demandada la Administración General del Estado, representada y defendida por la Abogacía del Estado.

Antecedentes

PRIMERO.-Por la entidad actora se interpuso recurso contencioso administrativo mediante escrito presentado el 3 de noviembre de 2010, del que se acordó, mediante providencia de 11 de noviembre siguiente, su tramitación de conformidad con las normas establecidas en la Ley 29/1998, y la reclamación del expediente administrativo.

SEGUNDO.-En el momento procesal oportuno France Telecom formalizó la demanda mediante escrito presentado el 15 de febrero de 2012 en el que, tras alegar los hechos y fundamentos de derecho que estimó procedentes, terminó suplicando se dictara sentencia estimatoria en la que se declarara la invalidez de los citados actos, con arreglo a los fundamentos jurídicos de este escrito de demanda.

TERCERO.-El Sr. Abogado del Estado contestó la demanda mediante escrito presentado el 19 de abril de 2012 en el que, tras alegar los hechos y los fundamentos jurídicos que estimó aplicables, terminó suplicando se dictara sentencia en la que se desestimara el recurso, confirmando íntegramente la resolución impugnada por ser conforme a Derecho.

CUARTO.-Habiéndose solicitado inicialmente el recibimiento del pleito a prueba, pero renunciándose posteriormente a proponer medio de prueba alguno, y no considerándose necesaria la celebración de vista pública, se dio trámite de conclusiones a las partes, trámite que evacuaron por su orden, primero la defensa de la entidad actora y después el Abogado del Estado, mediante escritos en los que concretaron y reiteraron sus respectivos pedimentos.

QUINTO.-Conclusas las actuaciones, se señaló para votación y fallo de este recurso el día 10 de octubre de 2012, fecha en la que tuvo lugar la deliberación y votación, habiendo sido ponente la Ilma. Magistrada doña NIEVES BUISAN GARCIA, quien expresa el parecer de la Sala.

Fundamentos

PRIEMRO.Se impugna en el presente recurso contencioso-administrativo, por FRANCE TELECOM ESPAÑA S.A. la resolución de la Agencia Española de Protección de Datos de 1 de septiembre de 2010 que desestima el recurso de reposición contra la anterior resolución de 8 de julio de 2010 que acuerda imponer a dicha entidad, por una infracción del artículo 10 de la LOPD , tipificada como grave en el artículo 44.3.g) de dicha norma, una multa de 60 . 101,21 € de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.

Las mencionadas resoluciones declaran como principales hechos probados, los kewa continuación se exponen:

1º: Con fecha 25/02/2009 D Gustavo denuncia lo siguiente:

a) En noviembre de 2008 y febrero de 2009 recibió mensajes de texto en su teléfono móvil remitidos por una empresa de transporte comunicando la imposibilidad de entrega de un Kit de conexión ADSL de France Telecom , por tener la dirección incompleta.

b) Al acceder al área de clientes en la web de France Telecom con fecha 12/02/2009 comprueba que figuran dos cuentas de usuario a su nombre:

1) usuario Matavacas , contraseña NUM000 ;

2) usuario Birras , contraseña Birras .

Asimismo, comprueba que figura el teléfono NUM001 como línea asociada a servicios de ADSL.

(...) 3º: En los ficheros de France Telecom, figuran las anotaciones siguientes:

1) 10/02/2009, informo a cliente de alta y baja por datos erróneos a través de apartado de correos envíe DNI y copia de factura TESA como titular de la línea, teléfono asociado NUM001 .

2) 21/02/2009, alta por error a otro titular, efectuó cancelación de solicitud y dejo caso abierto de baja, cliente no acepta entrega, teléfono asociado NUM001 .

4º: Con fecha 13/10/2009 se ha comprobado que en los ficheros de France Telecom figuran los siguientes datos asociados a D. Gustavo : líneas NUM001 y NUM002 , y los códigos de usuario DIRECCION000 y DIRECCION001 , forma de pago CCR (...).

5º: Con fecha 13/10/2009 se ha comprobado que en los ficheros de France Telecom, figuran los siguientes datos asociados a Dña. Graciela , línea NUM003 , NIF NUM004 , CCR (...), fecha de alta 19/01/2009

6º: France Telecom ha manifestado que tras un estudio realizado por el Departamento de Provisión confirma que el número NUM001 había correspondiendo inicialmente al Sr. Gustavo (antiguo titular) que anteriormente se dio de baja en dicha línea, si bien posteriormente, al darse de alta Doña. Graciela , por error posiblemente achacable a que el Agente entendió que lo que se estaba solicitando era una reactivación de la línea con modificación de los datos de facturación, en lugar de una nueva alta, se incluyeron los datos del Sr. Gustavo en lugar de los de la Sra. Graciela .

SEGUNDO.La infracción imputada a France Telecom es la prevista en el Art. 10 Ley Orgánica 15/1999 , de 13 de diciembre, precepto según el cual:

' El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo'.

Este deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de los derechos fundamentales, como la intimidad o el derecho a la protección de los datos del artículo 18.4 de la CE . Derecho fundamental este último que, a tenor de la STC 292/2000, de 30 de noviembre , persigue garantizar a la persona un poder de disposición y control sobre sus datos personales, sobre su uso y destino, e impide que se produzcan situaciones atentatorias frente a su dignidad.

Deber de secreto profesional que incumbe a los responsables de ficheros, tal y como esta Sala y Sección ha mantenido en sentencias, entre otras, de 12-9-2007 ( Rec. 98/2006 ), 7-5-2008 (Rec. 228/2006 ) y 14-7-2011 (Rec. 190/2009 ), que comporta que el responsable de los datos almacenados no puede revelar ni dar a conocer su contenido, teniendo el deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. Deber que constituye una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la STC 292/2000 , y por lo que ahora interesa, implica que los datos tratados informáticamente, como nombre, apellidos, domicilio y otros no puedan ser conocidos por ninguna persona o entidad distinta de su titular, pues en eso consiste precisamente el secreto.

TERCERO.La entidad actora, en la demanda, más que oponerse a la comisión de tal infracción del articulo 10 LOPD , invoca una defectuosa tipificación de la misma, por considerar que los hechos descritos serían constitutivos, en su caso, de una infracción leve del articulo 44.2.e) LOPD , y no de la infracción grave por la que ha sido sancionada.

A tal efecto se argumenta que el presente caso no tiene que ver con el de la SAN de 8-10-2008 que se cita en la resolución combatida. Ahora solo se revela el nombre, apellidos, DNI y número de cuenta de un cliente de la entidad, mientras que en aquel supuesto la relación era mucho más amplia, suficiente para realizar evaluación de la personalidad del individuo, por lo que aquí debe calificarse la infracción como leve ( tal y como hizo el Acuerdo de inicio del procedimiento sancionador).

Así pues, y como punto de partida, es necesario manifestar que ha quedado acreditado y no desvirtuado mediante prueba en contrario, que France Telecom remitió al denunciante los datos personales de otra cliente, consistentes en nombre y apellidos, dirección postal, NIF, número de cuenta bancaria y número de teléfono, sin que conste que dicha entidad actora hubiese obtenido el consentimiento de la titular de los datos para ello, ni exista norma legal que justifique dicha revelación de datos. Actuación imputable a la entidad actora, que la realiza a través de sus empleados en sucursales u oficinas o por medios informáticos, y que por ello incurre en una infracción al deber de secreto que exige el artículo 10 de la LOPD .

Por lo que se refiere a la gravedad de tal infracción, también es importante manifestar que la misma, en la actualidad, tras la reforma de la LOPD operada por la Ley de Económica Sostenible, se califica exclusivamente como infracción grave en el nuevo apartado d) del articulo 44.3 de dicha Ley 15/1999 . Ahora bien, puesto que en el momento de comisión de los hechos regia la normativa anterior, que diferenciaba a estos efectos, entre infracción leve, grave y muy grave, es aplicable al supuesto tal regulación anterior, al ser más favorable a la entidad imputada. Hemos de examinar, por tanto, la correcta calificación como grave de dicha vulneración del deber de secreto por la que ha sido sancionada a la entidad actora.

En este sentido el apartado g) del articulo 44.3 LOPD tipificaba como grave la vulneración del deber de guardar secreto respecto de ficheros con datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial o crédito, así como aquellos que contengan un conjunto de datos personales suficientes para obtener una evaluación sobre la personalidad del individuo. Y en cambio el apartado e) del articulo 44.2 LOPD tipificaba como infracción leve el incumplimiento del deber de secreto que no constituyera infracción grave.

En consecuencia, vemos que el artículo 44.3.g) de la LOPD , aplicado en la resolución combatida, califica como graves aquellos casos en que se trata de ficheros con datos relativos a servicios financieros, y también los que contengan un conjunto de datos suficientes para obtener una evaluación de la personalidad del individuo.

Y la referencia a servicios financieros, como se desprende con claridad de la doctrina de esta Sala, debe entenderse referida a cualquier entidad bancaria (bancos y cajas de ahorros), y a cualquier clase de entidad pública o privada que intervenga en el mercado económico o financiero (véanse, en este sentido, las SSAN 29-3-2006, Rec. 505/2004 y 21-9-2006 Rec. 395/2004 ).

Y en cuanto a ficherosque contengan un conjunto de datos suficientes para obtener una evaluación de la personalidad del individuo, son aquellos que se integran por un grupo de datos de una misma persona, que permitan obtener algún juicio sobre las condiciones de la persona de que se trata ( SAN 12-1-2007 Rec. 1172/2003 ).

Consideramos que concurren ambas circunstancias, teniendo en cuenta que los datos personales de otra cliente que France Telecom remitió al denunciante, como ya se ha indicado, consistieron en nombre y apellidos, dirección postal, NIF, cuenta bancaria con todos sus dígitos y número de teléfono de la misma, tratándose, por ello, tanto de datos personales sobre servicios financieros como de datos personales que permiten sin dificultad obtener una evaluación de la persona a la que se refieren.

De todo lo cual se desprende que la calificación como grave de la infracción del deber de secreto ha de ser confirmada por esta Sala.

CUARTO.Se pretende igualmente en la demanda la aplicación del articulo 45.5 LOPD , aduciéndose que dicha AEPD ha infringido su propia doctrina administrativa, en cuanto la misma ha venido aplicando tal Art. 45.5 LOPD a France Telecom, con fundamento en las medidas adoptadas por la misma, en multitud de resoluciones , en las que se rebaja la sanción a 6000 euros. Añadiéndose que en iguales términos se ha pronunciado la doctrina de esta sala en las sentencias de 1 de octubre de 2008 (Rec. 282/2006 ) y de 9 de octubre de 2008 (Rec. 201/2007 ).

Efectivamente el articulo 45.5 de la LOPD permite rebajarla cuantía de la sanción aplicando la escala relativa a la clase de infracciones que proceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso, mas se trata de un precepto que debe aplicarse con exquisita ponderación y sólo en los casos en los que la culpabilidad y la antijuridicidad resulten sustancialmente atenuadas atendidas las circunstancias del caso concreto, lo cual, insistimos, puede darse, por excepción, en casos muy extremos (de aquí la expresión 'especialmente cualificada') y concretos.

Es cierto, también, que esta Sala en algunas sentencias (así la de 1-10-2008, Rec. 282/2006 ), que se cita en la demanda, admitió la aplicación del articulo 45.5 a instancias de la misma empresa recurrente aceptando el argumento empleado en aquella demanda.

Ahora bien, con posterioridad entendimos que debía reconsiderarse el criterio mantenido en dicha sentencia por razón del conocimiento posterior de otros asuntos sustancialmente idénticos, de cuyo estudio se deduce la falta de razonabilidad de la aplicación realizada por la Administración de la previsión contenida en el repetido Art. 45.5.

En efecto, el examen posterior de otros procedimientos seguidos a instancias de la misma France Telecom ha puesto de manifiesto que la Agencia aplica la previsión del Art. 45.5 sin que exista razón aparente que justifique una u otra postura, en relación con actuaciones de la misma empresa que resultan coincidentes entre sí en lo sustancial.

Circunstancia que nos obligó a reconsiderar dicho anterior criterio de aplicación del Art. 45.5 LOPD , afirmando con posterioridad, mediante una doctrina reiterada y consolidada en la actualidad ( SAN 22 de abril de 2010, Rec. 368/2009 , entre otras muchas), que la adopción de medidas para la perfecta identificación de los clientes no puede constituir un elemento de atenuación de la responsabilidad, sino que se trata del cumplimiento de una obligación ordinaria exigible a las empresas que trabajan con grandes volúmenes de datos personales, sin que pueda considerarse la adopción de estas medidas como base para la apreciar disminución de la culpabilidad ó de la antijuridicidad.

La aplicación del criterio expuesto, aplicado con generalidad, tendría el efecto de beneficiar al infractor reincidente, y el articulo 45.4 ya ha tomado en consideración la reincidencia a los efectos de la fijación del importe indemnizatorio. Sin que en el presente caso, teniendo en cuenta las circunstancias concurrentes existan razones que justifiquen la estimación de los criterios de reducción de tal articulo 45.5 de la LOPD , por lo que dicha pretensión subsidiaria ha de ser igualmente desestimada.

QUINTO.Corresponde por ello confirmar la sanción por la infracción grave cometida, conforme a su grado mínimo, al calificarse como tal la del deber de secreto del articulo 10 de la LOPD impuesta a la entidad recurrente.

A tal efecto, no obstante, es importante poner de manifiesto que durante la tramitación del presente recurso jurisdiccional, y previamente a dictarse esta sentencia, ha sido promulgada la Ley 2/2011, de 4 de marzo, de Economía Sostenible, que ha entrado en vigor al día siguiente de su publicación en el BOE ( 5-3-2011), cuya disposición final quincuagésima sexta modifica la LO 15/1999 , concretamente el apartado tres de la misma el articulo 45 de dicha LOPD , en el sentido de que las infracciones graves han de ser sancionadas con multa de 40.001 a 300.000 euros ( hasta ahora la minima era de 60.101,21 euros).

Cuestión a la que ha de aplicarse la doctrina del Tribunal Supremo de la sentencia de 9-3-2010 (Rec. 553/2007 ), que a su vez cita la de 15-7-2008 (Rec. 113/2005 ), según la cual es el artículo 9.3 de la Constitución Española , que consagra entre sus principios la irretroactividad de las disposiciones sancionadoras o restrictivas de derechos, el que nos obliga -acontrario sensu- y de oficio a plantearnos la cuestión relativa a la aplicación retroactiva, al supuesto de autos, de la norma sancionadora mas beneficiosa.

Aplicación retroactiva de la norma más favorable que deriva del artículo 128.2 de la Ley 30/1992 cuando señala quelas disposiciones sancionadoras producirán efecto retroactivo en cuanto favorezcan al presunto infractor, que constituye uno de los principios básicos a que debe someterse el ejercicio de la potestad sancionadora de la Administración, como excepción a la regla general del artículo 128.1 que establece la aplicación de las 'disposiciones sancionadoras vigentes en el momento de producirse los hechos'.

Procede, por tanto, la aplicación retroactiva de dicha modificación legislativa y la imposición de la multa de 40.001 euros a la infracción grave cometida por France Telecom.

SEXTO.Razones todas las anteriores que conducen a la estimación parcial del recurso, sin que concurran las causas expresadas en el Art. 139 de la Ley de la Jurisdicción para la imposición de las costas procesales a ninguna de las partes.

Fallo

Que estimando parcialmente el recurso contencioso administrativo interpuesto por la representación procesal de France Telecom SA frente a la resolución de la Agencia Española de Protección de Datos de 1 de septiembre de 2010, que confirma en reposición la resolución de 8 de julio anterior, que impone a dicha entidad actora una sanción de 60.101,21 euros, revocamos parcialmente dicha resolución en cuanto la cuantía de la sanción impuesta ha de ser reducida a la de 40.001 euros, por las consideraciones expuestas en el fundamento de derecho quinto, sin imposición de costas a ninguna de las partes.

Notifíquese a las partes la presente resolución indicándoles que contra la misma no cabe interponer recurso de casación.

Así, por esta nuestra sentencia de la que se llevará testimonio a las actuaciones, lo pronunciamos, mandamos y firmamos.

PUBLICACIÓN.- Dada, leída y publicada fue la anterior sentencia en audiencia pública. Doy fe. Madrid a

LA SECRETARIA JUDICIAL