Sentencia ADMINISTRATIVO Audiencia Nacional, Sala de lo Contencioso, Sección 1, Rec 971/2016 de 03 de Octubre de 2018

Encabezamiento

A U D I E N C I A N A C I O N A L

Sala de lo Contencioso-Administrativo

SECCIÓN PRIMERA

Núm. de Recurso:0000971/2016

Tipo de Recurso:PROCEDIMIENTO ORDINARIO

Núm. Registro General:06854/2016

Demandante:WIZINK BANK, SA.

Procurador:D. ANTONIO BARREIRO-MEIRO BARBERO

Letrado:D. ALEJANDRO NEGRO SALA

Demandado:AGENCIA PROTECCIÓN DE DATOS

Abogado Del Estado

Ponente IImo. Sr.:D. EDUARDO MENÉNDEZ REXACH

S E N T E N C I A Nº:

IImo. Sr. Presidente:

D. EDUARDO MENÉNDEZ REXACH

Ilmos. Sres. Magistrados:

Dª. FELISA ATIENZA RODRIGUEZ

Dª. LOURDES SANZ CALVO

Madrid, a tres de octubre de dos mil dieciocho.

Visto el recurso contencioso administrativo que ante esta Sala de lo Contencioso Administrativo de la Audiencia Nacional ha promovidoWizink Bank, SA, representada por el Procurador D. Antonio Barreiro-Meiro Barbero,contra la Administración General del Estado, representada por el Abogado del Estado, sobre sanción por infracción grave de la Ley de Protección de Datos. Ha sido Ponente el Presidente de esta Sección Iltmo. Sr. D. EDUARDO MENÉNDEZ REXACH.

Antecedentes

PRIMERO.-El acto impugnado procede del Director de la Agencia Española de Protección de Datos y es la Resolución de 26 de octubre de 2016.

SEGUNDO.-Interpuesto recurso contencioso administrativo ante la Sala de lo Contencioso Administrativo de esta Audiencia Nacional, después de admitido a trámite y reclamado el expediente administrativo, se dio traslado al recurrente para que formalizara la demanda, solicitando en el suplico la estimación del recurso.

TERCERO.-Presentada la demanda, se dio traslado de la misma al Abogado del Estado, con entrega del expediente administrativo para que la contestara y, formalizada dicha contestación, solicitó en el suplico que se desestimaran las pretensiones del recurrente y que se confirmara el acto impugnado por ser conforme a Derecho.

CUARTO.-Contestada la demanda y no habiéndose solicitado recibir el pleito a prueba, una vez finalizada la tramitación, quedaron los autos conclusos para sentencia, señalándose para votación y fallo el día 18 de septiembre de 2018 en el que, efectivamente, se votó y falló.

Fundamentos

PRIMERO.- El presente recurso tiene por objeto la Resolución de 26 de octubre de 2016, del Director de la Agencia Española de Protección de Datos (AEPD), por la que se impuso a la demandante una sanción de 50.000 euros por infracción del art. 4.3., en relación con el art.29.4 LOPD y con los arts. 38 , 39 y 43 del Reglamento LOPD , tipificada como grave en el art. 43.3.c), de conformidad con el art. 45.2 y 4, ambos de la LOPD .

SEGUNDO.-La recurrente solicita que se anule la resolución y, subsidiariamente, que atendiendo a criterios de proporcionalidad se reduzca el importe de la sanción al correspondiente a las infracciones leves en su grado mínimo.

Alega que, en 2008, Dª María Esther contrató una tarjeta de crédito de Citibank España, SA; el 22 de septiembre de 2014 Wizink adquirió el negocio de banca de consumo de Citibank, convirtiéndose en titular del crédito que anteriormente ostentaba Citibank; la Sra. María Esther comenzó a incumplir las obligaciones de pago derivadas de su tarjeta en 2013 y tanto Citibank como Wizink a partir de la adquisición, le comunicaron reiteradamente las situaciones de impago; en el extracto correspondiente al período 21-04- 2015 a 20-05-2015, Wizink, entonces Banco Popular-E, le advirtió que si no pagaba el importe adeudado antes del próximo extracto, procedería a incluir sus datos en los ficheros de ASNEF y BADEXCUG y a cancelar su tarjeta, reiterando la advertencia en el siguiente extracto y, adicionalmente, por medio de SERVINFORM SA, le remitió un requerimiento de pago fechado el 26 de junio de 2015, con la cantidad adeudada (447,63 euros) y dándole un plazo de 15 días para regularizar la situación; ante la situación de impago, el 23 de julio de 2015 incluyó los datos de la deuda en el fichero ASNEF y el 26 de julio en el fichero BASDEXCUG, momento en que la deuda ascendía a 2.907,79 euros; el 28 de octubre de 2015, los datos comunicados ya no constaban en los ficheros, de modo que sólo estuvieron dados de alta unos tres meses; en conclusión, señala que realizó el preceptivo requerimiento de pago y, por tanto, no ha cometido infracción alguna.

Fundamenta su pretensión en que ha cumplido debidamente las obligaciones del artículo 29.4 LOPD y 38 y 39 de su Reglamento ya que, por un lado, no se discute la existencia de una deuda cierta, vencida y exigible que había resultado impagada y que no habían transcurrido seis años desde su impago y, por otro lado, que realizó el requerimiento previo de pago en los términos exigidos por la Ley y por su Reglamento, requerimiento que consta en los extractos mencionados así como en la carta remitida a través de SERVINFORM. En todo caso, si se estimase la existencia de la infracción, la sanción debería reducirse aplicando la escala correspondiente a las infracciones leves, en aplicación del artículo 45.5, al concurrir las circunstancias previstas en los apartados e), f) y h) del art. 45.4 ya que no existe intencionalidad en su conducta, con lo que concurre una disminución cualificada de la culpabilidad, no haber obtenido beneficio alguno de la infracción, ni derivarse perjuicio alguno para la Sra. María Esther ni para terceros, manteniéndose en el fichero los datos un período especialmente breve de tiempo; la inclusión tampoco puede considerarse precipitada ya que los impagos se venían produciendo desde 2013, de modo que la sanción de 50.000 euros resulta desproporcionada.

TERCERO.-La representación de la Administración demandada, por su parte, opone que la resolución es conforme a derecho y que la demandante ha infringido el principio de calidad del dato y no consta acreditado que los extractos bancarios que la demandante alega en su defensa fueran recibidos efectivamente en el domicilio de la denunciante, y aparece en el expediente que el proveedor externo de los servicios de impresión y correo utilizados certifica los requerimientos de pago efectuados y que los mismos no han sido devueltos, pero en su certificado no figura el código de la comunicación de 26-06-2015 y no se aporta tampoco albarán de entrega en correos ni control de devoluciones; en cuanto al principio de proporcionalidad, remite a los razonamientos de la resolución y, por todo ello, solicita la desestimación del recurso.

CUARTO.-El art. 4.3. LOPD establece que'Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado'.

Por su parte el art. 44.3.c) de la misma Ley tipifica como infracción grave:'Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave'.

Como ha declarado esta Sala reiteradamente (por ejemplo en la sentencia de 11 de enero de 2013, Recurso 285/2011 , que cita otras anteriores): '[...]la razón de ser de dicho articulo 4.3 de la LOPD , tal y como esta Sala ha declarado con reiteración (Sentencia de1-10-09 -recurso nº.38/2009 -) y en relación con los principios de proporcionalidad y finalidad, que igualmente se contemplan en el mismo precepto, es la de garantizar y proteger la calidad de la información sometida a tratamiento (exacta y puesta al día) por la que debe velar quien recoge y trata datos de carácter personal.

Requisito s de exactitud y veracidad, establecidos en la repetida LOPD, que son exigibles al titular del fichero o tratamiento, según deriva del propio artículo 4.3 , no sólo en lo que atañe a la conservación de los datos personales en los propios ficheros, o a su comunicación a un fichero de solvencia patrimonial o crédito, sino también en cualquiera de las diversas fases o modos en los que puede manifestarse el tratamiento de los datos personales, teniendo en cuenta el concepto amplio que de tratamiento deriva del artículo 3.c) de la LOPD , que comprende no solo la recogida, grabación o conservación de los datos, sino también la elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias, y en cualquiera de dichas manifestaciones, se requiere la exactitud y veracidad de los datos personales por parte del responsable del fichero o tratamiento [...]'.

En el presente caso hay que mencionar, además, el art. 29 de la citada Ley , que regula de forma específica la prestación de servicios de información sobre solvencia patrimonial y crédito, y que distingue dentro de ellos dos supuestos uno de los cuales es el relativo a los ficheros de solvencia patrimonial, en los que se tratan datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés, que se regulan en el apartado 2.

Estos ficheros se caracterizan porque no necesitan del consentimiento del afectado para la obtención y tratamiento de sus datos, lo que supone una excepción a los principios rectores de la LOPD (entre ellos el del consentimiento del afectado en el tratamiento y cesión de sus datos de carácter personal). No obstante, frente a esta excepción, la propia norma articula una serie de contrapesos, como es su limitación a un caso concreto (cumplimiento o incumplimiento de obligaciones dinerarias), y la obligación de notificar a los afectados el hecho de que se han registrado sus datos de carácter personal.

Por otra parte, el art. 38 del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (en lo sucesivo RDLOPD), fija los 'requisitos para la inclusión de los datos' en esos ficheros, precepto que ha sido impugnado en algunos de sus apartados ante el Tribunal Supremo, habiéndose dictado la Sentencia del Tribunal Supremo de 15 de julio 2010 -recurso nº. 23/2008 - que anula, entre otros apartados, por disconformes a derecho, el último inciso del art. 38.1.a) y el apartado 2 del citado art. 38 del RDLOPD.

La redacción del art. 38 del RDLOPD, tras la aplicación de la citada Sentencia de 15 de julio de 2010 , es la siguiente:

'1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:

a) Existencia previa de una deuda cierta, vencida, exigible que haya resultado impagada.

b) Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación.

c) Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.

2. El acreedor o quien actué por su cuenta o interés estará obligado a conservar a disposición del responsable del fichero común y de la Agencia Española de Protección de Datos documentación suficiente que acredite el cumplimiento de los requisitos establecidos en este artículo y del requerimiento previo a que se refiere el artículo siguiente'.

Y el art. 39 del citado RDLOPD, a su vez, dispone:'El acreedor deberá informar al deudor, en el momento en que se celebre el contrato y, en todo caso, al tiempo de efectuar el requerimiento al que se refiere la letra c) del apartado 1 del artículo anterior, que en caso de no producirse el pago en el término prevenido para ello y cumplirse los requisitos previstos en el citado artículo, los datos relativos al impago podrán ser comunicados a ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias'.

Es decir, para la inclusión de los datos en ficheros de información sobre solvencia patrimonial y crédito, se requiere que la deuda sea cierta y que haya sido previamente requerida de pago. En el caso que nos ocupa, se sanciona a la parte actora porque incluyó los datos de la denunciante en los ficheros de solvencia patrimonial y crédito ASNEF y BADEXCUG sin que haya justificado cumplidamente la realización del requerimiento previo de pago con anterioridad a dicha inclusión.

Así, la cuestión que se suscita a título principal consiste en dilucidar si consta acreditada o no, la realización del citado requerimiento, en los términos exigidos por el citado artículo 39 RLOPD.

Sobre esta materia, viene reiterando la Sala (Sentencias de 9 mayo 2003, R. 1067/1999 ; 8 de marzo de 2006, R. 319/2004 ; 18 de julio de 2007, R. 17/2006 ; 28 de mayo de 2008, R. 107/2007 ; 17 de febrero 2011, R. 177/2010 ; 20 de septiembre de 2012, R. 127/2011 y de 14 de marzo 2014, Rec. 197/2013 , entre otras muchas), que cuando el destinatario niega la recepción del requerimiento, recae sobre el responsable del fichero la carga de acreditar el cumplimiento de dicha obligación, siendo insuficiente los registros informáticos de la propia entidad que nada acreditan sobre la efectiva realización o cumplimiento de la citada obligación.

La normativa no exige, ciertamente, que el requerimiento se lleve a cabo de una determinada forma o que se efectué por correo certificado con acuse de recibo, pero lo que si exige es que quien informa los datos a un fichero de morosidad deberá asegurarse que concurren todos los requisitos exigidos legal y reglamentariamente a tal fin, lo que implica que deberá estar en condiciones, caso de ser necesario, de poder acreditar la concurrencia de dichos requisitos ( Sentencia de 25 de marzo 2010, R. 407/2009 , por todas).

QUINTO.-En los hechos declarados probados en la resolución sancionadora se lee que la demandante no ha aportado a la AEPD documentación alguna que acredite que llevara a cabo requerimiento de pago a la denunciante; aunque esto no es así exactamente pues Wizink aportó la comunicación de 26 de junio de 2015, dirigida a la Sra. María Esther , que hace referencia a una deuda de 447,63 euros correspondiente a la tarjeta de crédito que detalla, informándola de que debe pagar en un plazo de 15 días y, en caso contrario, se incluirían sus datos en los registros de morosidad Asnef y Badexcug (folio 264 del Expediente Administrativo); además, consta una certificación de SERVINFORM que expresa la fecha de entrega del fichero y la de su entrega en correos, con el nombre y la dirección de la destinataria (folio 464).

Sin embargo, esta documentación no es suficiente para acreditar en debida forma la realización del requerimiento pues, conforme al criterio de esta Sala, representado, entre otras, por la sentencia de 14 de marzo de 2014 (R. 197/2013 ), en la que en un caso similar al presente, se decía que: '[...] Respecto al denunciante 2, la citada entidad Serviform ha certificado que el requerimiento de pago de fecha 17/10/2011 al que alude la actora, fue impreso, ensobrado y puesto a disposición de Correos, pero no acredita que dicho aviso fuera entregado en Correos para su envío y recepción por el destinatario.

Por esa razón y con independencia de que en la dirección que figuraba en los ficheros de la entidad y a la que se le remitía la correspondencia del banco hubiera recibido una comunicación de Cajamar en fecha 7 de septiembre de 2011, considera la Sala que no puede entenderse acreditado en este caso el cumplimiento de la citada obligación de requerimiento previo de pago [...] '.

En la más reciente sentencia, de 18 de mayo de 2017 (R.53/2016 ), se reitera esta postura al afirmar que: '[...] la certificación del representante legal de la empresa de servicios contratada no tiene suficiente eficacia probatoria para acreditar el envío del escrito que dicen haber enviado, y la devolución o no del envío. Se trataría de una prueba indiciaria que no puede ser tomada en consideración a efectos litigiosos, conforme a la consolidada y reiterada doctrina de esta Sala que interpreta de modo riguroso tal exigencia legal, y de las que son exponente, entre otras muchas, las SSAN 22-1-2003 (Rec. 51/01 ), 20-1-2006 (Rec. 241/04 ) y 28-5-2008 (Rec.278/2007 ), en las que hemos considerado lo siguiente:

'Ningún precepto legal ni reglamentario exige, ciertamente, que la comunicación dirigida a los interesados sobre la inclusión de sus datos personales en el fichero deba cursarse por correo certificado con acuse de recibo o por cualquier otro medio que deje constancia documental de la recepción. Sin embargo, existiendo preceptos legales que imponen como obligatoria esta comunicación ( artículos 5.4 y 29.2 de la Ley Orgánica 15/1999 ) y que tipifican como infracción grave el incumplimiento de este deber de información (artículo 44.3 de la propia Ley Orgánica) debe concluirse que cuando el destinatario niega la recepción, recae sobre el responsable del fichero la carga de acreditar la comunicación'[...]'.

Tampoco en el caso analizado consta la comprobación de la entrega a correos y su recepción por el destinatario, que no resulta, sin más, de la afirmación de SERVINFORM'Fecha de recepción de la devolución: No recibida'.

En conclusión, y frente a la pretensión principal, resulta acreditada la infracción del artículo 44.3. c) LOPD , de la que es responsable la demandante que debió desplegar una mayor diligencia para el cumplimiento de la obligación que le incumbía.

SEXTO.-Subsidiariamente se invoca el principio de proporcionalidad y se pretende la imposición de la sanción correspondiente a las infracciones leves en su grado mínimo, en aplicación del artículo 45.5 LOPD .

El principio de proporcionalidad se formula en el artículo 131.3 de la Ley 30/1992, de 26 de noviembre , y consiste en la 'debida adecuación entre la gravedad del hecho constitutivo de la infracción y la sanción aplicada'. Es un principio fundamental del derecho administrativo sancionador, como ha declarado reiteradamente el Tribunal Supremo (St TS de 3 de diciembre de 2008 (R. 6602/2004 ) y de 12 de abril de 2012 (R. 5149/2009 , entre otras muchas).

Abundando en lo expuesto la St. TS de 12 de diciembre de 2012 (R. 5120/2009 ) señala:

'[...] En relación con el principio de proporcionalidad, en la sentencia de 29 de junio de 2010, dictada por esta Sección, recaída en el recurso de casación núm. 4894/2007 , expresábamos:

" ;Por un lado, está fuera de duda que la Administración posee un indudable margen de apreciación de la relevancia de las circunstancias de hecho a la hora de valorar el alcance de una infracción. Pero es un error jurídico entender que dicho margen de apreciación puede calificarse propiamente de discrecionalidad, en su sentido estricto de admitir una libertad más o menos amplia para decidir una sanción u otra. Dicho margen de apreciación quiere decir que es la Administración quien está en mejor posición para valorar el peso relativo de las diversas circunstancias concurrentes en un supuesto concreto a la hora de determinar el riesgo creado a la seguridad o el perjuicio causado al bien jurídico protegido. Pero dicha capacidad de apreciación no quiere decir que no deban tenerse en cuenta obligadamente para fijar una sanción las diversas circunstancias concurrentes y así ponerlo de manifiesto en toda resolución sancionadora. De esta forma puede el afectado conocer las razones que han llevado a la Administración a imponer una concreta sanción y se permite a los Tribunales corregir en su caso la vulneración del principio de proporcionalidad por una indebida ponderación de tales circunstancias, por amplio que sea el margen que deba concederse a la valoración de la Administración.

En todo caso y esto es sin duda relevante, el referido margen de apreciación -que no discrecionalidad- no puede quedar limitado exclusivamente, como afirma la Sala de instancia, por la arbitrariedad, como habría que concluir cuando se sostiene que dicho principio sólo puede entenderse vulnerado cuando lo sean 'el principio del Estado de Derecho, el valor de la Justicia, la dignidad de la persona humana y el principio de culpabilidad'. Antes al contrario, el principio de proporcionalidad será vulnerado cuando pueda apreciarse que no se han tenido en cuenta datos o circunstancias de hecho relevantes que cualifican o atenúan el comportamiento infractor, aunque no lleguen a la trascendencia que requiere la Sala de instancia"[...]'.

Los razonamientos contenidos en la Resolución (Fundamento V) realizan una ponderación adecuada de todos los elementos y circunstancias del caso y descartan la concurrencia de las que determinarían la aplicación del artículo 45.5, destacando, sin embargo, la concurrencia de factores que operan como agravantes, lo que pone de manifiesto la ausencia de infracción del principio de proporcionalidad, al ser adecuada la multa a la gravedad de los hechos objeto de la infracción, una vez valoradas las circunstancias presentes en este caso.

En todo caso, las invocadas en la demanda no pueden ser apreciadas: así, la existencia de perjuicios para la persona cuyos datos son incluidos en los ficheros de morosidad deriva de la propia inclusión, y no se explica la ausencia de beneficios para la recurrente si no los obtiene o espera obtenerlos con la inclusión de los datos; finalmente, tampoco se ha demostrado la apreciación de una disminución de la culpabilidad de la infractora con la intensidad suficiente para imponer la sanción de una infracción leve y la cuantía de la multa está próxima al límite mínimo de las previstas para las graves.

SÉPTIMO.-Por todas las razones anteriores procede desestimar el recurso y, en aplicación del art. 139.1. de la Ley de esta Jurisdicción , imponer las costas a la demandante.

Fallo

PRIMERO.-Desestimar el presente recurso nº 971/2016, interpuesto por el Procurador Sr. Barreiro-Meiro Barbero, en la representación que ostenta, contra la Resolución de la Agencia Española de Protección de Datos descrita en el primer Fundamento de Derecho, que se confirma, por ser conforme a derecho.

SEGUNDO.-Imponer a la demandante las costas del recurso.

La presente sentencia es susceptible de recurso de casación que deberá prepararse ante esta Sala en el plazo de 30 días contados desde el siguiente al de su notificación; en el escrito de preparación del recurso deberá acreditarse el cumplimiento de los requisitos establecidos en el artículo 89.2. de la Ley de la Jurisdicción justificando el interés casacional objetivo que presenta.

Así, por esta nuestra sentencia, testimonio de la cual se remitirá junto con el expediente administrativo a su oficina de origen para su ejecución, lo pronunciamos, mandamos y firmamos.

PUBLICACIÓN.-Dada, leída y publicada fue la anterior sentencia en audiencia pública. Doy fe. En Madrid, a

LA LETRADA DE LA ADMINISTRACIÓN DE JUSTICIA