Sentencia ADMINISTRATIVO Audiencia Nacional, Sala de lo Contencioso, Sección 1, Rec 847/2018 de 28 de Junio de 2019

Encabezamiento

A U D I E N C I A N A C I O N A L

Sala de lo Contencioso-Administrativo

SECCIÓN PRIMERA

Núm. de Recurso:0000847/2018

Tipo de Recurso:PROCEDIMIENTO ORDINARIO

Núm. Registro General:06403/2018

Demandante:FERRATUM BANK PLC

Procurador:MARIA CONCEPCIÓN VILLAESCUSA SANZ

Demandado:AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Abogado Del Estado

Ponente IIma. Sra.:Dª. LOURDES SANZ CALVO

S E N T E N C I A Nº:

IIma. Sra. Presidente:

Dª. FELISA ATIENZA RODRIGUEZ

Ilmos. Sres. Magistrados:

Dª. LOURDES SANZ CALVO

Dª. NIEVES BUISAN GARCÍA

Madrid, a veintiocho de junio de dos mil diecinueve.

Visto por la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional el recurso contencioso administrativo número847/2018interpuesto por la Procuradora de los Tribunales Sra. Villaescusa Sanz , en nombre y representación deFERRATUM BANK PLC (FERRATUM), frente a la resolución de la Directora de la Agencia Española de Protección de Datos de fecha 13 de agosto de 2018 dictada en el PS/00062/2018; ha sido parte en autos, la Administración demandada, representada y defendida por el Abogado del Estado.

Antecedentes

PRIMERO.- Interpuesto el recurso Contencioso-administrativo ante esta Sala de lo Contencioso administrativo de la Audiencia Nacional y turnado a esta Sección, fue admitido a trámite, reclamándose el expediente administrativo, para, una vez recibido emplazar a la actora para que formalizara la demanda, lo que así se hizo en escrito en el que tras exponer los hechos y fundamentos de derecho qué consideró oportunos, terminó suplicando que se dicte sentencia con los siguientes pronunciamientos; a) Que se deje sin efecto la resolución recurrida por no ajustarse a Derecho; b) Consecuentemente, se declare que Santa Lucia S.A., no ha infringido el artículo 6 de la LOPD y por tanto no procede la imposición de multa y c) Que se impongan las costas a la Administración demandada. Con carácter subsidiario, solicitó que se imponga una sanción por la cuantía mínima.

SEGUNDO.-El Abogado del Estado, en su escrito de contestación a la demanda, tras alegar los hechos y fundamentos de derecho qué consideró aplicables, postuló una sentencia por la que se desestime el recurso interpuesto, confirmando íntegramente la resolución impugnada por ser conforme a derecho, con imposición de costas a la actora.

TERCERO.-Re cibido el recurso a prueba, dado por reproducido el expediente y evacuado el trámite de conclusiones se señaló para votación y fallo el día 11 de junio de 2.019 en que tuvo lugar.

Ha sido Ponente la Magistrada Ilma. Sra. Dª. LOURDES SANZ CALVO.

Fundamentos

PRIMERO.- Se impugna en el presente recurso contencioso administrativo la resolución de la Directora de la Agencia Española de Protección de Datos de fecha 13 de agosto de 2018 que impone a la entidad Ferratum Bank PLC, con NIF N0461578 G con establecimiento en España a través de Feratum Spain S.L. con NIF B92941558, las siguientes sanciones:

1. Por una infracción del artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD ), tipificada como grave en el artículo 44.3.b) de la citada Ley , con una multa de 50.000 €.

2. Por una infracción del artículo 4.3 de la LOPD , tipificada como grave e el artículo 44.3.c) de dicha Ley , con una multa de 50.000 €.

Considera la Agencia Española de Protección de Datos (AEPD) que Ferratum Bank PLC ha incurrido en dichas infracciones por cuanto no ha acreditado que el contrato del micro préstamo que figura en su base de datos asociado con el DNI, nombre y dos apellidos de la denunciante, no coincidiendo la fecha de nacimiento, dirección postal y el número teléfono, hubiera sido celebrado por la denunciante, habiendo tratado sus datos personales sin su consentimiento e incluyéndoles, ante el impago del préstamo, en el fichero de solvencia patrimonial y crédito Asnef, asociados a una deuda que no correspondía a la denunciante.

Argumenta, que es notoria la relación de corresponsabilidad en el tratamiento de los datos de la afectada por parte de Ferratum Bank PLC y Ferratum Spain S.L., considerándose no sólo la responsabilidad directa de Ferratm Bank PLC en los hechos y en los que la Agencia es competente para sancionar, sino que además Ferratum Spain SL, es el establecimiento que representa a Ferratum Bank en España con prerrogativas suficientes para decidir sobre los tratamientos realizados en España de los clientes de Ferratum Bank y por lo tanto dichos tratamientos se encuentran dentro del ámbito competencial de la normativa española de protección de datos.

SEGUNDO.-La actora disconforme con dicha resolución invoca los siguientes motivos: a) La AEPD no es competente para conocer de los hechos de los que trae causa la resolución recurrida, que por tanto es nula de pleno derecho; b) Ferratum Bank recaba antes de tratar cualquier dato personal, el consentimiento previo e inequívoco del afectado y actuó con absoluta diligencia en el tratamiento de los datos personales de la denunciante; c) la sanción impuesta es absolutamente desproporcionada, por lo que solicita la nulidad de la resolución recurrida o, subsidiariamente, se aplique el artículo 45.5 LOPD y se fije la sanción en la cantidad de 900 € por cada infracción.

Siguiendo el orden expuesto en la demanda, se va a examinar en primer lugar, la invocada falta de competencia de la AEPD para conocer de los hechos recurridos. A tal fin se esgrime que Ferratum Spain no es un establecimiento permanente de Ferratum Bank en España y que el tratamiento de datos personales realizado por Ferratum Bank se rige por la Ley de Malta.

Abundando en lo expuesto, señala que no es posible considerar a Ferratum Spain un establecimiento permanente de Ferratum Bank, por cuanto no concurren los requisitos que a tal efecto establece el Convenio entre Reino de España y Malta para evitar la doble imposición y prevenir la evasión fiscal en materia de impuestos sobre la renta, que coincide con lo dispuesto en la Ley del Impuesto sobre la Renta de No Residentes aprobado por Real Decreto Legislativo 5/2004 y cita una Sentencia de esta Sala, en materia impositiva de 24 de enero de 2008 (Rec. 894/2004 ) que, según alega, fue confirmada por STS de 12 de enero de 2012 (Rec. 1626/2008 ).

Esgrime que el artículo 2 c) de la LOPD aplicado por la resolución recurrida no encaja en el supuesto de autos, por cuanto Ferratum Spain no tiene ningún poder de decisión sobre el tratamiento de los datos de Ferratum Bank, ni es titular ni se sirve de ninguno de los medios que utiliza esta última entidad para el tratamiento de los datos personales de sus clientes, por lo que la legislación española en materia de protección de datos de carácter personal no es aplicable a este caso, que se rige por la legislación de Malta. A mayor abundamiento indica que tampoco encaja en el presente supuesto ninguno de los otros dos supuestos contemplados en el artículo 2 de la LOPD .

Por tanto, considera que la resolución impugnada incurre en la causa de nulidad establecida en el artículo 47.1.b) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas .

A la vista del planteamiento efectuado por la actora, cabe precisar, con carácter previo, que para dilucidar la cuestión planteada debemos tomar en consideración la normativa de protección de datos de carácter personal, que es la aplicable a efectos del presente procedimiento, sin que resulte de aplicación al caso la normativa fiscal invocada por la actora, pensada y promulgada para un ámbito distinto del que nos ocupa.

De otro lado, la resolución recurrida no aplica el artículo 2.d) de la LOPD , que como alega la actora nada tiene que ver con el caso que nos ocupa, sino que las referencias que realiza son al artículo 2.d) de la Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, no de la LOPD, que es distinto.

Realizadas las anteriores precisiones, se va a efectuar una referencia a la normativa aplicable.

El artículo 2.1 de la LOPD , referente a su ámbito de aplicación, establece: 'Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal: a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.'

Precepto desarrollado por el art.3.1 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD (en lo sucesivo RDLOPD), que refiere:'1. Se regirá por el presente reglamento todo tratamiento de datos de carácter personal:

a) Cuando el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento, siempre que dicho establecimiento se encuentre ubicado en territorio español.

Cuando no resulte de aplicación lo dispuesto en el párrafo anterior, pero exista un encargado del tratamiento ubicado en España, serán de aplicación al mismo las normas contenidas en el título VIII del presente reglamento.

b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española, según las normas de Derecho internacional público.

c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

En este supuesto, el responsable del tratamiento deberá designar un representante establecido en territorio español'.

De otro lado, el artículo 4.1.a de la Directiva 95/46/CE , seña: 'Los Estados miembros aplicarán las disposiciones nacionales que haya aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando:

a) el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable.'

TERCERO.-En la interpretación del citado artículo 4.1.a) de la Directiva 95/46 se estima de interesa traer a colación la Sentencia del Tribunal de Justicia de la Unión Europea ( TJUE) de 1 de octubre de 2015 (as, C-230/14 Weltimmo), citada por esta Sala en la Sentencia de 8 de noviembre de 2017, Rec. 340/2016, señala que la expresión 'en el marco de las actividades de un establecimiento' no puede ser objeto de interpretación restrictiva. Por lo que respecta al concepto de 'establecimiento', expresa el TJUE que debe rechazarse cualquier enfoque formalista, según el cual una empresa estaría establecida únicamente en el lugar en que se encontrase registrada y 'para determinar si una sociedad, responsable de un tratamiento de datos, dispone de un establecimiento, en el sentido de la Directiva 95/46 en un Estado miembro distinto del Estado miembro o del tercer país en el que está registrada, procede interpretar tanto el grado de estabilidad de la instalación como la efectividad del desarrollo de las actividades en ese otro Estado miembro tomando en consideración la naturaleza específica de las actividades económicas y de las prestaciones de servicios en cuestión. Esto es válido concretamente para las empresas que se dedican a ofrecer servicios exclusivamente a través de Internet'.

Mas recientemente, en relación con la interpretación del citado artículo 4.1.a) de la Directiva 95/46/CE , en la Sentencia de 5 de febrero de 2019 (Rec. 627/2018 ), citada por el Abogado del Estado, se dice 'p>p>La sentencia de la Sala de lo Contencioso-Administrativo del Tribunal Supremo de 27 de junio de 2016 (RC 642/2015 ) sostiene, con base en la jurisprudencia del Tribunal de Justicia de la Unión Europea formulada en relación con la interpretación del artículo 4 de la Directiva 95/46/CE , que el establecimiento en el territorio de un Estado miembro implica el ejercicio efectivo y real de una actividad mediante una instalación estable y, no es un factor determinante que la forma jurídica de dicho establecimiento sea una simple sucursal o una empresa filial con personalidad jurídica.

En la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014 (Asunto C-131/12 ) se realiza una interpretación del artículo 4.1.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos, en el sentido de que el tratamiento de datos personales realizado en orden al funcionamiento de un motor de búsqueda, gestionado por una empresa que tiene su domicilio social en un Estado tercero pero que dispone de un establecimiento en un Estado miembro, se efectúa 'en el marco de las actividades' de dicho establecimiento si éste está destinado a la promoción y venta en dicho Estado miembro de los espacios publicitarios del motor de búsqueda, que sirven para rentabilizar el servicio propuesto por el motor.

No obstante, tras el pronunciamiento de esta directriz, el Tribunal de Justicia matiza que el artículo 4, apartado 1, letra a), de la Directiva 95/46 no exige que el tratamiento de datos personales controvertido sea efectuado 'por' el propio establecimiento en cuestión, sino que se realice 'en el marco de las actividades' de éste, pues hay que tener en cuenta que además, visto el objetivo de la Directiva 95/46 de garantizar una protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales, ésta expresión no puede ser objeto de una interpretación restrictiva (véase, por analogía, la sentencia L'Oréal y otros, C-324/09 , EU:C:2011:474 , apartados 62 y 63). En este marco -concluye la sentencia- cabe señalar que se desprende, concretamente de los considerandos 18 a 20 y del artículo 4 de la Directiva 95/46 , que el legislador de la Unión pretendió evitar que una persona se viera excluida de la protección garantizada por ella y que se eludiera esta protección, estableciendo un ámbito de aplicación territorial particularmente extenso.

En la sentencia del Tribunal de Justicia de la Unión Europea de 1 de octubre de 2015 (asunto C-230/14 ) se afirma que a tenor del artículo 4, apartado 1, letra a), de la Directiva 95/46, los Estados miembros aplicarán las disposiciones nacionales que hayan aprobado para la aplicación de esta Directiva a todo tratamiento de datos personales cuando el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Visto el objetivo perseguido por la Directiva 95/46, consistente en garantizar una protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas, concretamente del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales, la expresión 'en el marco de las actividades de un establecimiento 'no puede ser objeto de interpretación restrictiva (véase, en este sentido, la sentencia Google Spain y Google, C-131/12 , EU:C:2014:317 , apartado 53).

En la ulterior sentencia del Tribunal Superior de Justicia de la Unión Europea de 28 de junio de 2016 (Asunto C-191/15 ) se resuelve la cuestión prejudicial planteada por el Tribunal Supremo de Austria en el sentido de que el artículo 4, apartado 1, letra a), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse en el sentido de que el tratamiento de datos personales efectuado por una empresa de comercio electrónico se rige por el Derecho del Estado miembro al que dicha empresa dirige sus actividades si esa empresa efectúa el tratamiento de los datos en cuestión en el marco de las actividades de un establecimiento situado en un Estado miembro. Corresponde al órgano jurisdiccional nacional determinar si ése es el caso.

Y en la sentencia del Tribunal de Justicia de la Unión Europea de 3 de junio de 2018 (asunto C-210/16 ) se refiere que el artículo 4, apartado 1, letra a), y el artículo 28, apartados 3 y 6, de la Directiva 95/46 deben interpretarse en el sentido de que, cuando la autoridad de control de un Estado miembro pretende ejercer frente a una entidad establecida en el territorio de ese Estado miembro los poderes de intervención contemplados en el artículo 28, apartado 3, de la referida Directiva debido a infracciones de las normas relativas a la protección de datos personales cometidas por un tercero responsable del tratamiento de esos datos que tiene su domicilio en otro Estado miembro, dicha autoridad de control es competente para apreciar, de manera autónoma respecto de la autoridad de control de este último Estado miembro, la legalidad del referido tratamiento de datos y puede ejercer sus poderes de intervención frente a la entidad establecida en su territorio sin instar previamente la intervención de la autoridad de control del otro Estado miembro".

A los efectos de considerar si es aplicable la normativa de protección de datos de carácter personal, de un Estado miembro de la Unión Europea a una empresa responsable del tratamiento de datos personales, en aquellos supuestos en que la sede principal esté ubicada en el territorio de otro Estado miembro de la Unión Europea, pero que realice actividades en otros Estados miembros, el concepto de establecimiento a que se refiere el artículo 2.1.a) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , así como el artículo 3.1.a) del Real Decreto 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, en consonancia con lo dispuesto en el artículo 4.1.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse de forma flexible y antiformalista, en el sentido de que resultan comprendidos el tratamiento de datos personales que se realiza en el marco o en el contexto de la actuación desarrollada en un Estado miembro de la Unión Europea (distinto a donde tiene la sede o administración principal) a través de la utilización de medios instrumentales que se revelen idóneos y eficaces en el tratamiento de datos personales'.

Pues bien, la citada Sentencia del Tribunal Supremo de 5 de febrero de 2019 , estima el recurso de casación formulado contra la Sentencia de esta Sección de 25 de octubre de 2017 (Rec. 99/2016 ) y llega a la conclusión que, resulta aplicable la LOPD, a una empresa domiciliada en un tercer Estado miembro de la Unión Europea y que a los efectos de considerar que el tratamiento de datos se efectúa en el marco de las actividades de un establecimiento que se encuentre ubicado en territorio español, solo contaba para realizar su actividad en España con la utilización de un apartado de correos y la titularidad de una cuenta corriente, ya que había que tener en cuenta que la citada empresa'dirigía de forma regular actividades y operaciones a través de medios instrumentales radicados en España, adoptando decisiones relativas a los fines y medios del tratamiento de datos, al haberse acreditado que era la responsable de impartir las órdenes para que se incluyeran los datos personales del afectado en el fichero de solvencia patrimonial BADEXCUG'.

Se añade que:'En este sentido, estimamos que la sentencia de instancia desconsidera la interpretación que del artículo 4.1.a) de la Directiva 45/96 ha efectuado el Tribunal de Justicia de la Unión Europea en la sentencia de 1 de octubre de 2015 (asunto C-230/14 ), en que se formula la directriz de que el concepto de establecimiento, a que se refiere dicha disposición, no puede entenderse en todo caso equivalente al de la sede social donde este registrada la sociedad responsable del tratamiento de datos, debiendo valorarse para la determinación de esta noción el grado de estabilidad de la instalación así como el grado de efectividad del desarrollo de la actividad y la naturaleza específica de las actividades económicas y de las prestaciones de servicios de que se trate.

Según se desprende de la mencionada sentencia del Tribunal de Justicia de la Unión Europea, cabe integrar en el concepto de establecimiento, desde una perspectiva funcional, las actividades que realice la empresa responsable del tratamiento de datos a través de un representante que disponga de los medios necesarios para la prestación de los servicios concretos de que se trate en el Estado miembro...'.

Y llega el Tribunal Supremo en la reseñada Sentencia a la siguiente interpretación del concepto de establecimiento del art. 2.1.a) de la LOPD :'A los efectos de considerar si es aplicable la normativa de protección de datos de carácter personal, de un Estado miembro de la Unión Europea a una empresa responsable del tratamiento de datos personales, en aquellos supuestos en que la sede principal esté ubicada en el territorio de otro Estado miembro de la Unión Europea, pero que realice actividades en otros Estados miembros, el concepto de establecimiento a que se refiere el artículo 2.1.a) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , así como el artículo 3.1.a) del Real Decreto 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, en consonancia con lo dispuesto en el artículo 4.1.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse de forma flexible y antiformalista, en el sentido de que resultan comprendidos el tratamiento de datos personales que se realiza en el marco o en el contexto de la actuación desarrollada en un Estado miembro de la Unión Europea (distinto a donde tiene la sede o administración principal) a través de la utilización de medios instrumentales que se revelen idóneos y eficaces en el tratamiento de datos personales'.

A tenor de lo actuado en el expediente, resulta que Ferratum Bank PLC, de Ferratum Group, es una compañía licenciada por la Autoridad de Servicios Financieros de Malta, para ofrecer servicios bancarios a clientes dentro del Espacio Económico Europeo. La concesión de préstamos es a través del dominio www.ferratum.es y lo realiza dicha empresa, como también la inclusión en ficheros de solvencia patrimonial y crédito de los datos de los clientes que no pagan sus préstamos, teniendo contratados servicios de acceso y uso de ficheros de solvencia patrimonial y crédito en España, y los servicios de Equifax Ibérica para la realización del requerimiento de pago previo a la inclusión de los datos en dichos ficheros de solvencia patrimonial y de crédito, tal y como figura en el contrato suscrito con Equifax el 1 de mayo de 2016 aportado por la propia actora como documento número 1 con su escrito de 12 de junio de 2018. En el propio clausulado de dicho contrato se cita la LOPD y el RDLOP como aplicables.

Asimismo, la actora es titular de una cuenta abierta en España, en concreto, en el Banco de Santander -folios 35 y siguientes- que fue la facilitada a la denunciante para saldar la deuda -folio 10- y en donde se cobran los préstamos que realizan, a tenor de la documentación obrante a los folios 64 y siguientes del expediente. En dicha cuenta figura como apoderado Dª Constanza y como domicilio de la recurrente en España, PASEO000 NUM000 , planta NUM001 , puerta NUM002 , el mismo que consta en el documento, Modelo 36, de la AEAT, de solicitud de Número de Identificación Fiscal, domicilio que corresponde a la dirección de Ferratum Spain S.L, de la que es apoderada solidaria la Sra. Constanza .

También consta que la recurrente realiza actividades de intermediación en operaciones con valores y otros activos y que aparece registrada en la CNMV.

Es decir, Ferratum Bank PLC realiza en España una actividad real y efectiva que forma parte de su actividad principal de concesión de préstamos, contando con apoderados y cuenta corriente en nuestro país donde se cobran los préstamos, teniendo contratados servicios de acceso y uso de ficheros de solvencia patrimonial y crédito en España, y los servicios para la realización del requerimiento previo de pago, a la inclusión de los datos en dichos ficheros de solvencia patrimonial y de crédito,

Por tanto, la actora dirigía de forma regular actividades y operaciones a través de medios instrumentales radicados en España, adoptando decisiones relativas a los fines y medios del tratamiento de datos, entrando dentro del concepto legal de establecimiento del art. 2.1.a) de la LOPD en relación con el art. 4.1.a) de la Directiva 95/46/CE , aplicables al presente supuesto, a tenor de la jurisprudencia expuesta, lo que ya de por si es suficiente para que resulte de aplicación la legislación española de protección de datos, considerándose, en consecuencia, a la AEPD competente para ejercer la potestad sancionadora ex artículo 37.1.g) de la LOPD e imponer las sanciones recurridas.

A mayor abundamiento, añadir, que como señala la resolución recurrida existen pruebas suficientes de que Ferratum Spain S.L, es en realidad el establecimiento permanente de Ferratum Bank en España, conforme a los argumentos expresados en la citada resolución que se dan aquí por reproducidos.

CUARTO.-En cuanto al fondo, se sanciona a Ferratum Bank por sendas infracciones del artículo 6.1 de la LOPD y 4.3 en relación con el 29 de la citada Ley .

El artículo 6.1 LOPD , que la resolución impugnada considera infringido, regula el principio del consentimiento y dispone que 'El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa'.

Dicho principio conlleva la necesidad del consentimiento inequívoco del afectado para que puedan tratarse sus datos de carácter personal, el consentimiento permite así al afectado ejercer el control sobre sus datos de carácter personal (la autodeterminación informativa), ya que es el propio interesado quien tiene que otorgar su consentimiento para que se pueda realizar el tratamiento de los citados datos.

Se trata de una garantía fundamental que solo encuentra como excepciones a ese consentimiento del afectado, las establecidas en una ley, recogiéndose en el apartado 2 del citado artículo 6 LOPD una serie de excepciones a la prestación del citado consentimiento, entre las que figura, cuando los datos de carácter personal 'se refieran a las partes de un contrato o precontrato, de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento'.

La importante Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre , hace referencia al citado principio del consentimiento al definir el derecho a la protección de datos '...el contenido del derecho fundamental de protección de datos consiste en un poder de disposición y control sobre los datos personales que faculta a la persona para cuales de esos datos proporciona a un tercero ... Estos poderes de disposición y control sobre los datos personales, que constituyen parte del derecho fundamental a la protección de datos se concreta jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular'.

Alega Ferrratum Bank que antes de tratar cualquier dato personal recaba el consentimiento previo e inequívoco del afectado y explica la operativa establecida para la solicitud de un préstamo a través de la web www.ferratum.es. En este sentido detalla que hay que rellenar un formulario con los datos personales del solicitante y para enviarle, debe marcarse la casilla de aceptación de política de privacidad, en la que se señala que los datos del solicitante serán tratados a efectos de celebrar y ejecutar el contrato celebrado con el cliente. Que en la siguiente fase del proceso se recaban datos adicionales del solicitante y al rellenar ese segundo formulario los clientes deben aceptar los términos y condiciones mediante la marcación de la casilla correspondiente, en los que se incluye una cláusula de protección de datos en virtud de la cual el solicitante otorga su consentimiento para recabar información relativa a sus antecedentes crediticios y posiciones de riesgo de entidades prestadoras de servicios de información sobre solvencia patrimonial y crédito, así como para que comunique los datos personales del solicitante a Asnef o Badexcug en caso de impago del préstamo.

Consta documentado que en los ficheros de la recurrente se encuentran registrados el número DNI, nombre y dos apellidos de la denunciante, no coincidiendo la dirección postal, el número de teléfono y la fecha de nacimiento con los de la afectada, vinculados a la contratación el 6 de enero de 2017 de un micro crédito por importe de 200 €.

Sin embargo, la denunciante Dª Raimunda niega haber contratado ningún préstamo con Ferratum Bank, denunciando ante la AEPD que con fecha 17 de mayo de 2017 Asnef-Equifax le informa que sus datos han sido incluidos en el fichero Asnef, siendo la fecha de alta el 16 de mayo de 2017, por una deuda con dicha entidad, por importe de 337,57 €, en relación con un producto que parece ser un crédito on line, que nunca ha solicitado ni contratado, lo que motivó la interposición de la correspondiente denuncia el día 20 de junio de 2017 ante la Comisaría de Policía de San Blas, en Madrid, cuya copia aporta -folio 2 del expediente-. A requerimiento de la AEPD, explica -página 8 del expediente- que no hay facturas asociadas al producto porque no ha pagado nada, pues se le reclama una deuda de la que no tiene conocimiento, que no reconoce, que no ha pedido y de la que no se aporta ninguna documentación.

Es decir, el relato de la denunciante es coherente con su comportamiento denunciando los hechos ante la Comisaría de Policía, por lo que su testimonio sobre la no contratación de microcrédito alguno con la recurrente resulta verosímil. En estas circunstancias corresponde a la actora acreditar que contaba con el consentimiento de la denunciante para el tratamiento de sus datos de carácter personal.

Sin embargo, la demandante no ha aportado ningún documento que acredite que contaba con el consentimiento de la denunciante para el tratamiento de sus datos y que comprobara la identidad de la persona que contrataba con ella, omitiendo las cautelas y garantías que viene obligada a adoptar como responsable del fichero, para asegurarse de que aquél a quien se solicita los datos para contratar y ser tratados por ella, lo presta con consentimiento inequívoco y que esa persona que esta dando el consentimiento, efectivamente es la titular de los datos personales en cuestión.

Infracción tipificada como grave en el artículo 44.3.b) de la LOPD , que es imputable a título de culpa a la entidad recurrente, culpa que se concreta en la falta de diligencia observada por Ferratum Bank al no haber adoptado las medidas necesarias a fin de comprobar que quien facilita como suyos determinados datos es efectivamente su titular.

En este sentido, cabe señalar que la resolución de la AEPD que se cita en la página 17 de la demanda como ejemplo de la inexistencia de vulneración de la normativa de protección de datos en supuestos de suplantación de identidad, se refiere a un supuesto de hecho distinto del que nos ocupa, en el que el responsable del fichero había aportado copia del DNI de la persona que figuraba como titular de los datos, como medida adoptada para identificar al titular de los datos y que no concurre en el presente caso. A lo que hay que añadir, que el protocolo que la actora tiene implementado para comprobar la identidad de la persona que contrata con ella carece de virtualidad para cumplir dicha función

Respecto a la vulneración del principio de calidad de datos recogido en el artículo 4.3 de la LOPD también resulta acreditada, por cuanto al resultar impagado el citado micro crédito asociado al nombre, apellidos y DNI de la denunciante, informó sus datos al fichero de solvencia patrimonial y crédito Asnef, asociados a una deuda derivada del citado micro crédito que no la correspondía al no haber contratado el citado micro y, en consecuencia, no reunía respecto de la denunciante el requisito de ser una deuda cierta, establecido en el artículo 38.1.a) del Reglamento de desarrollo de la LOPD aprobado por R.D. 1720/2007, de 21 de diciembre, con vulneración del citado precepto reglamentario y de las artículos 4.3 y 29.4 de la LOPD .

Por tanto, resulta también acreditada la infracción tipificada en el artículo 44.3.c) de la LOPD , al haber tratado Ferratum Bank PLC los datos de la denunciante con vulneración del principio de calidad de datos, contemplado en el artículo 4.3 en relación con el artículo 29.4 de la misma norma y 38 del Reglamento de Desarrollo de la LOPD, al informar los datos del denunciante al fichero de solvencia patrimonial y crédito en relación con una deuda que no le correspondía.

QUINTO.-Fi nalmente se cuestionan las sanciones impuestas por considerarlas desproporcionadas.

El principio de proporcionalidad de las sanciones, como señalan las SSTS, Sala 3ª, de 3 de diciembre de 2008 (Rec. 6602/2004 ) y 12 de abril de 2012 (Rec. 5149/2009 )es el fundamental que late y preside el proceso de graduación de las sanciones y comporta, en términos legales, que debe de existir una 'debida adecuación entre la gravedad del hecho constitutivo de la infracción y la sanción aplicada', como dispone el artículo 29.3 de la Ley 40/2015, de Régimen Jurídico del Sector Público (antes artículo 131.3 de la LRJPA ).

Dicho principio no puede sustraerse al control jurisdiccional, pues el margen de apreciación que se otorga a la Administración en la imposición de sanciones dentro de los límites legalmente previstos, debe ser desarrollado ponderando las circunstancias concurrentes, al objeto de alcanzar la necesaria y debida proporción entre los hechos imputados y la responsabilidad exigida, dado que toda sanción debe determinarse en congruencia con la entidad de la infracción cometida y según un criterio de proporcionalidad en relación con las circunstancias del hecho. De modo que la proporcionalidad constituye un principio normativo que se impone a la Administración y reduce el ámbito de sus potestades sancionadoras.

En el caso de autos sostiene la actora que se ha vulnerado dicho principio por cuanto procede la aplicación del artículo 45.5 de la LOPD , al concurrir las circunstancia contempladas en el artículo 45.5.a), por concurrir varias circunstancias del artículo 45.4.a ) y 45.5.b) de la LOPD .

La Sala considera, a la vista de lo actuado, que procede apreciar la circunstancia contemplada en el artículo 45.5.b de la LOPD : 'Cuando la entidad infractora haya regularizado la situación irregular de forma diligente', toda vez que el mismo día, 21 de junio de 2017, que Ferratum recibió comunicación de la policía informando de la denuncia presentada por Dª Raimunda en la que manifestaba que no había contratado ningún crédito con dicha entidad, la recurrente remitió un e-mail a la policía indicando la fecha en que recibió la solicitud del préstamo la IP desde la que se llevó a cabo la contratación y la cuenta a la que se realizó la transferencia del importe del préstamo, solicitando al tener conocimiento de que se trata de un fraude la eliminación de los datos de la denunciante en el fichero de solvencia patrimonial Asnef y bloquea los datos de la denunciante.

En cambio, se estima que no procede aplicar la circunstancia del artículo 45.5.a) de la LOPD , al no apreciarse una 'cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo', que es el supuesto de hecho en que se basa dicha circunstancia.

Por tanto, las circunstancias enumeradas en el apartado 4 de dicho artículo deberán tomarse en consideración a la hora de modular la fijación de las sanciones, que al haberse aplicado el artículo 45.5.b) de la LOPD , serán la correspondientes a las infracciones leves.

A tal fin, debe tomarse en consideración que si bien la actora no tuvo beneficios como consecuencia de la comisión de la infracción (apartado.4.e) del artículo 45 sin embargo la afectada si se vio perjudicada por dichos hechos (apartado.4.h) como se pone de relieve por el hecho de tener que interponer una denuncia ante la Comisaría de Policía, con independencia de los daños morales que pueda conllevar la inclusión en un fichero de morosidad.

De otro lado, concurre el carácter continuado de la infracción (apartado 4.a) y la vinculación del infractor con la realización de tratamientos de datos de carácter personal (apartado 4.c), pues como subraya la resolución recurrida, la actividad empresaria de la recurrente exige un continúo tratamiento de datos de carácter personal, tanto de sus clientes como de terceros, que se traduce en un deber de extremar la diligencia a fin de garantizar una tutela judicial efectiva del derecho fundamental de protección de datos.

En cuanto al volumen de negocio de la entidad infractora (apartado 4.d) señalar que la resolución impugnada se refiere al volumen de negocio de Ferratum Spain S.L, no de Ferratum Bank PLC, careciéndose de datos al respecto.

Por todo lo cual, y valorando las demás circunstancias concurrentes y tomando en consideración en cuanto a la culpabilidad lo expuesto en el Fundamento de Derecho precedente y siguiendo el criterio de la Sala en supuestos similares, como el invocado por la propia actora ( SAN de 14 de junio de 2017, Rec. 54/2016 ), considera la Sala que procede la fijación de las sanciones por las infracciones apreciadas, no en la cuantía mínima solicitada por la actora, sino en 20.000 € de multa por cada infracción, que es la que se considera proporcionada a la entidad de los hechos.

En consecuencia, procede la estimación parcial del recurso contencioso administrativo interpuesto.

SEXTO.-. De conformidad con lo dispuesto en el artículo 139.1 de la Ley Jurisdiccional , no procede efectuar imposición de costas.

Vistos los artículos citados y demás de general aplicación.

Fallo

ESTIMAR PARCIALMENTEel recurso contencioso-administrativo interpuesto por la Procuradora de los Tribunales Sra. Villaescusa Sanz , en nombre y representación deFERRATUM BANK PLC (FERRATUM), frente a la resolución de la Directora de la Agencia Española de Protección de Datos de fecha 13 de agosto de 2018 dictada en el PS/00062/2018, resolución que se anula en el extremo correspondiente a la cuantía de las multas impuestas, que se fijan en 20.000 € por cada una de las infracciones, confirmándola en cuanto al resto; sin imposición de costas.

La presente sentencia es susceptible de recurso de casación ante el Tribunal Supremo que deberá prepararse ante esta Sala en el plazo de 30 días contados desde el siguiente al de sunotificación; en el escrito de preparación del recurso deberá acreditarse el cumplimiento de los requisitos establecidos en el artículo 89.2 de la Ley de la Jurisdicción justificando el interés casacional que presenta.

Así por esta nuestra sentencia, lo pronunciamos, mandamos y firmamos.

PUBLICACIÓN.- Dada, leída y publicada fue la anterior Sentencia en audiencia pública. Doy fe. Madrid a.

LA LETRADA DE LA ADMINISTRACIÓN DE JUSTICIA