Inicio
Sentencia ADMINISTRATIVO ...ro de 2021

Última revisión
15/04/2021

Sentencia ADMINISTRATIVO Audiencia Nacional, Sala de lo Contencioso, Sección 7, Rec 45/2020 de 08 de Febrero de 2021

nuevo

GPT Iberley IA

Copiloto jurídico

Relacionados:

Tiempo de lectura: 40 min

Orden: Administrativo

Fecha: 08 de Febrero de 2021

Tribunal: Audiencia Nacional

Ponente: DE LA FUENTE GUERRERO, MARIA YOLANDA

Núm. Cendoj: 28079230072021100075

Núm. Ecli: ES:AN:2021:940

Núm. Roj: SAN 940:2021

Resumen:
ADMINISTRACION DEL ESTADO

Encabezamiento

A U D I E N C I A N A C I O N A L

Sala de lo Contencioso-Administrativo

SECCIÓN SÉPTIMA

Núm. de Recurso: 0000045/2020

Tipo de Recurso:APELACION

Núm. Registro General :00171/2020

Apelante:ANFI SALES S.L.

Apelado:CONSEJO DE TRANSPARENCIA Y BUEN GOBIERNO

Abogado Del Estado

Ponente IIma. Sra.:Dª. YOLANDA DE LA FUENTE GUERRERO

IImo. Sr. Presidente:

D. JUAN CARLOS FERNÁNDEZ DE AGUIRRE FERNÁNDEZ

Ilmos. Sres. Magistrados:

Dª. BEGOÑA FERNANDEZ DOZAGARAT

D. JOSÉ GUERRERO ZAPLANA

D. LUIS HELMUTH MOYA MEYER

Dª. YOLANDA DE LA FUENTE GUERRERO

Madrid, a ocho de febrero de dos mil veintiuno.

Antecedentes

PRIMERO.- Contra la sentencia referida ut suprase interpuso recurso de apelación mediante escrito presentado en plazo en mérito a las alegaciones que en tal escrito se contienen y que son dadas aquí por reproducidas en aras de la brevedad. Admitido el mismo, se dio a los autos legal curso en sede de Instancia, con traslado a la demandada que lo impugno.

SEGUNDO.-Por Diligencia de Ordenación se acordó remitir las actuaciones a esta Sala.

TERCERO.-En la tramitación del presente recurso de apelación se han observado todas las prescripciones legales, salvo determinados plazos procesales, por acumulación de asuntos ante la Sala; habiéndose señalado para votación y fallo el dia 12 de enero de 2021, habiendo concluido la deliberación el día 2 de febrero del año en curso, en el que, efectivamente, se ha deliberado, votado y fallado, siendo ponente la Ilma. Sra. Dña. Maria Yolanda de la Fuente Guerrero, que expresa el parecer de la Sección.

El Ilmo. Sr. D. Luis Helmuth Moya Meller formula voto particular.

Fundamentos

Objeto del recurso de apelación

PRIMERO.-Ti enen su origen los presentes autos en la impugnación de la Sentencia nº 140/2019, de 18 de diciembre, dictada por el Juzgado Central de lo Contencioso-Administrativo n. º 3 en el Procedimiento Ordinario nº 39/2019.

SEGUNDO.-La sentencia impugnada desestima el recurso contencioso administrativo interpuesto por la entidad ANFI SALES SA siendo su objeto de impugnación la resolución del Presidente del CONSEJO DE TRANSPARENCIA Y BUEN GOBIERNO, de 3 agosto de 2018, que estimaba parcialmente la reclamación interpuesta por el recurrente y, en su virtud, la confirma por ser ajustada a derecho.

En ejecución de la anterior resolución, la AEPD dictó el 24 de agosto de 2018.

TERCERO.-En lo que interesa al presente recurso de apelación, la sentencia de instancia razona del siguiente modo:

'I. Interpuso recurso contencioso administrativo la empresa ANFI SALES. S.A. contra la resolución de 3 de agosto de 2018 del Consejo de Transparencia y Buen Gobierno CTBG que había estimado parcialmente su reclamación frente a la anterior decisión de 28 de marzo de 2018 de la Agencia Española de Protección de Datos AEPD.. y 'por extensión contra resolución de 28 de marzo de 2018 de la Agencia Española de Protección de Datos'.

II. Pide la demandante posteriormente en su escrito de demanda se declare la falta de conformidad a derecho de esa resolución de 3 de agosto de 2018 y se decrete el acceso de la demandante al expediente administrativo de la AEPD, ' y en particular que se le proporcione la información relativa al origen o fuente de los datos personales de los Sres...entiende que debe serle facilitada la información sobre el origen de los datos personales de los denunciantes, de cómo se obtuvieron, a través de qué personas, invocando la normativa europea junto con la legislación española sobre conocimiento de la fuente de procedencia de esos datos que pueda tener un tercero; pretendía así el conocimiento del modo en que la empresa Canarian Legal Alliance, S.L había obtenido tales datos personales de los denunciantes..

III. A estas alegaciones se opone el Abogado del Estado con arreglo a los fundamentos de la resolución impugnada del CTBG señalando que el recurso contencioso incurre en una inadmisión parcial por desviación procesal indicando que la resolución impugnada se ha ejecutado mediante resolución de la AEPD de 24 de agosto de 2018,...

IV. Vistas las alegaciones de las partes, primeramente debe despejarse la cuestión de la inadmisión parcial del recurso formulada por la Administración demandada....estamos sólo analizando en este recurso contencioso la resolución del Consejo impugnada y no otra cosa distinta; como quiera que el suplico de la demanda no se limita a pedir la anulabilidad de la resolución impugnada, sino también un pronunciamiento del juzgador sobre el origen o fuentes de información de los datos personales de concretas personas, a su vez, también versa sobre un exceso del contenido del acto impugnado......En este aspecto, la segunda pretensión del suplico de la demanda incurre, además, en una desviación procesal por discrepancia entre lo suscitado tanto en el escrito de interposición con relación al escrito de demanda y, además, con el objeto y contenido del acto administrativo finalmente impugnado. A pesar de lo dicho no cabe declarar la inadmisión parcial del recurso de la pretensión deducida contra aquella resolución de la AEPD porque la propia demanda renuncia a ella, aunque sí incurre con relación a la resolución que deviene impugnada del Consejo en una desviación procesal en cuanto a la extensión de sus añadidas peticiones concretas que desestimamos enteramente.

V. Lo dicho se complementa con la estimación de aquella alegación del Abogado del Estado con el documento que acompaña sobre cumplimiento de la resolución del Consejo de fecha 23-08-2018 ... por consiguiente, queda fuera del marco de este recurso contencioso, sin necesidad de declarar expresamente la inadmisión parcial del recurso contencioso, la posibilidad de enjuiciamiento del contenido del acto de ejecución en los términos procesales admisibles congruentes con la pretensión finalmente delimitada del escrito de demanda.

VI. Así delimitado el objeto del recurso la demanda no puede prosperar:...Como hemos visto la Agencia ya ha facilitado dicha información ejercitando su 'juicio leal y ponderado', que ahora ya no es objeto de este procedimiento contencioso;...El CTBG aplica ahora unos parámetros normativos en la resolución impugnada para considerar los límites del derecho ejercido que obtiene del artículo 14 de la Ley de Transparencia y razona que el derecho de acceso podrá ser limitado 'cuando acceder a la información suponga un perjuicio para... H) los intereses económicos y comerciales... J) El secreto profesional y la propiedad intelectual e industrial...

IX... la interpretación hecha por el Consejo de que la divulgación de información puede suponer riesgos que pueden afectar de manera real, no hipotética, a las cuotas de mercado, los ficheros de clientes y distribuidores, la estrategia comercial, la estrategia de venta, puede ser considerada en esta ocasión cuando la información solicitada afecta directamente a los clientes de la empresa investigada y contiene los elementos propios de un test de daño o de ponderación entre el interés que se intenta amparar con la reclamación de la firma demandante, frente a la seguridad de los datos que se intentan proteger al examinar el pronunciamiento de la AEPD sobre esa tercera empresa;...'

Posición de las partes

CUARTO.-La parte apelante, ANFI SALES SL solicita a la Sala que dicte una Sentencia que estime el recurso de apelación interpuesto, dejando sin efecto la Sentencia impugnada, estimando el recurso contencioso-administrativo interpuesto por la actora:

(1) Declare la no conformidad a derecho de la Resolución de 3 de agosto de 2018.

(2) Decrete el acceso de Anfi Sales S.L. al expediente administrativo de la AEPD y en particular que se le proporcione la información relativa al origen o fuente de los datos personales de los Sres. Visitacion, Pascual, Lorenzo, Pedro, Lucio, Inocencio, Plácido, Marcial, Isidro, Prudencio, Marino, Íñigo, Raúl, Mateo, Roberto, Romualdo, Salvador y Santos por parte de Canarian Legal Alliance S.L., para poder ver cómo obtuvo esta entidad esos datos personales y a través de qué personas o medios.

En síntesis, la parte apelante considera que la sentencia de instancia no es conforme a Derecho por los siguientes argumentos:

-discrepa de la argumentación de la Sentencia que restringe el recurso contencioso a la Resolución del CTBG y no afecta a la resolución de la AEPD.

-el recurso contencioso-administrativo invocó los derechos conferidos por los articulos 5 y 15 de la LOPD y la Sentencia no dedica párrafo alguno a argumentar por qué dichos artículos no resultan de aplicación. La única mención que hace al articulo 15 de la LOPD es para invocarlo como limite al derecho de esta parte, porque puede haber datos personales de terceros afectados.

La LOPD de 1999 recogía el derecho de los afectados a conocer el origen de los datos. Luego el Reglamento comunitario ( desde mayo 2018) reconoce el derecho de los afectados a conocer la fuente de la cuál proceden los datos personales que les incumben. Se refiere al articulo 14f) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 y actual articulo 11.3 de la LO 3/2018 de 5 de diciembre .

-impugnación de la sentencia en relación con la invocación de la existencia de secreto profesional como límite de acceso a la información solicitada. El criterio del secreto profesional es aplicable al acceso a los expedientes administrativos por parte de los terceros. En este caso, el acceso lo está planteando el denunciante de la utilización de datos personales, utilización que ha sido declarada ilegal por la AEPD. Ni la Resolución impugnada ni la resolución de la AEPD efectuaron el test del daño.

-la Sentencia de instancia, al igual que la Resolución impugnada, no ha entrado a explicar por qué la normativa sobre protección de datos no es de aplicación al caso.

QUINTO.-El Consejo de Transparencia y Buen Gobierno, como parte apelada, se opone a la estimación del recurso de apelación.

Sobre el objeto del procedimiento judicial en la instancia, la parte apelada sostiene '... el recurrente exigió en la instancia que se le facilitara la información sobre cómo obtuvo Canarian Legal Alliance, S.L. sus datos y a través de qué personas. Sin embargo, una lectura de la resolución del CTBG permite comprobar que no se ha pronunciado de manera exhaustiva, sino meramente indicativa, sobre qué información quedaría protegida por el secreto comercial, ordenando precisamente a la AEPD que efectúe esa discriminación. Evidentemente, si el CTBG ya hubiese efectuado esa discriminación entre aquella información que puede facilitarse y aquélla que no, la parte dispositiva de la resolución no habría tenido el contenido anteriormente descrito. Esa ejecución de la resolución del CTBG se produjo mediante resolución de la AEPD de 24 de agosto de 2018, que se adjuntó al escrito de contestación a la demanda como documento nº 1, y que no se ha recurrido por la parte actora....

el recurrente no solo está cuestionando la validez de la resolución del CTBG, sino el modo en el que ésta se habría ejecutado por la AEPD, cuestión ajena al presente procedimiento judicial, en la medida en que excede de un análisis de la adecuación a Derecho de la resolución de 3 de agosto de 2018, dictada por el CTBG.

Por este motivo, se solicitó y se reitera la inadmisión parcial del recurso contencioso administrativo por desviación procesal en lo relativo al apartado segundo del suplico, y ello en la medida en que se refería a una cuestión que excede de los términos de la resolución impugnada y corresponde, en su caso, al modo en el que ésta se vea ejecutada.

Sobre la procedencia de que el CTBG entrara a analizar si la información solicitada debía entregarse en base a la LOPD:' A este respecto, es preciso recordar que la función del CTBG no es velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos. Ésta es, literalmente, la función que el legislador ha encomendado a la Agencia Española de Protección de Datos, tal y como nos recuerda el artículo 37.1.a de la ya derogada Ley Orgánica 15/1999 .

Si bien es cierto que el artículo 15 de la Ley de Transparencia hace expresa referencia al modo en el que deben abordarse por el CTBG las cuestiones que puedan surgir en materia de protección de datos, se observa que el legislador ha configurado un régimen de carácter negativo: el CTBG controlará que no se faciliten datos en los supuestos que ahí se indican. Sin embargo, el legislador no ha conferido al CTBG una competencia para sustituir a la AEPD en sus funciones legalmente atribuidas, que es lo que se pretende de contrario.

Así, cuando el apelante insiste, con base en la LOPD, en que está solicitando que 'se le facilite el detalle sobre el origen de los datos personales de los denunciantes: cómo se obtuvieron y a través de qué personas', está claramente haciendo referencia a una situación que deberá ser revisada por la AEPD, pero que en ningún caso corresponde al CTBG, cuya resolución ahora se impugna.

En consecuencia, no correspondía al CTBG analizar si, al amparo de la normativa en materia de protección de datos, el recurrente tenía derecho a acceder a la información solicitada. Por tanto, este motivo de impugnación no puede prosperar

Sobre la afectación a 'secretos o intereses comerciales de la empresa Canarian Legal Alliance, S.L.':en este motivo, sostiene que el CTBG indicó que no se entregara ninguna documentación que, a juicio leal y ponderado de la AEPD, afectase a los 'secretos o a los intereses comerciales'de la empresa Canarian Legal Alliance, S.L. Por tanto, el límite que se aplicó no era solo aquél previsto en el artículo 14.1.j de la Ley de Transparencia , sino también el previsto en el artículo 14.1.h. de la citada Ley . Añade que el apelante reconoce que el limite previsto en el articulo 14.h) concurriría pero frente a ello únicamente sostiene que el interesado dispone de un derecho a conocer el origen de los datos que terceros tengan de ellos. Sigue diciendo que el recurrente solicita que se le entregue una específica información, sin que el CTBG haya dicho expresamente que no se le entregue. Simplemente ha indicado a la AEPD que omita aquélla que, en base a su juicio leal y ponderado, pueda afectar a los 'secretos o a los intereses comerciales de la empresa Canarian Legal Alliance'. Por tanto, la discrepancia del recurrente no existirá, en última instancia, con la resolución del CTBG, sino con el modo en que se ejecute por la AEPD, lo cual excede del objeto de este procedimiento.

Sobre los motivos del recurso de apelación.

SEXTO.- Con el fin de centrar adecuadamente el objeto del presente proceso se destacan los siguientes hechos que se deducen del expediente administrativo y de las alegaciones de las partes:

1.- ANFI SALES, es una empresa ubicada en Gran Canaria y dedicada al sector turístico.

2.-Con fecha de entrada de 25/10/2016 y 4/11/2016, tiene entrada en la AEPD varios escritos en los que los denunciantes (clientes de Anfi Sales) manifiestan tener suscritos contratos con ANFI SALES, de compra de semanas vacaciones en régimen de tiempo compartido en complejos situados en la Isla de Gran Canaria.

La empresa CANARIAS LEGAL ALLIANCE S.L., cuya actividad es la prestación de servicios legales y jurídicos, realiza campañas de captación telefónica y a través de correo electrónico, a clientes de ANFI SALES.

Los denunciantes han recibido correos electrónicos con información comercial de CANARIAS LEGAL ALLIANCE S.L., algunos remitidos directamente y otros remitidos a través de la empresa CLA MARKETING S.L.

3.-Con fecha 14/03/2017 tiene entrada en la AEPD una denuncia presentada por ANFI SALES, S.L. en representación de un colectivo de personas afectadas, en el que pone de manifiesto, en síntesis, lo siguiente: ANFI SALES, comercializa bienes inmuebles y paquetes turísticos en régimen de aprovechamiento por turno de acuerdo con la normativa vigente. Los denunciantes tienen suscritos contratos con ANFI SALES, de compra de semanas vacaciones en régimen de tiempo compartido en complejos situados en la Isla de Gran Canaria.

La empresa CANARIAS LEGAL ALLIANCE S.L., cuya actividad es la prestación de servicios legales y jurídicos, realiza campañas de captación telefónica y a través de correo electrónico y postal, a clientes de ANFI SALES.

Éstos niegan cualquier relación con CANARIAN LEGAL ALLIANCE, S.L., ni contacto alguno ni si quiera en el plano de potenciales clientes.

ANFI SALES llevo investigación interna al objeto de verificar el cumplimiento de medidas de seguridad respecto de los datos personales de sus clientes, sin que se hayan detectado vulnerabilidades.

Los denunciantes consideran que sus derechos han sido vulnerados por CANARIAN LEGAL ALLIANCE S.L., y CLA MARKETING S.L. que en ocasiones también remite las citadas comunicaciones.

Asimismo manifiestan que puestos en contacto con las citadas empresas no explican el origen de los datos de los que se deduce que disponen.

4.-CANARIAN LEGAL ALLIANCE SL remitió a la AEPD la siguiente información en relación con los hechos denunciados:

La empresa tiene como actividad principal la de actuar como intermediario entre las personas descontentas con los productos de aprovechamiento por turnos adquiridos en España y los Juzgados y Tribunales Españoles.

Respecto a la forma de contactar con sus posibles clientes, según manifiestan se realiza a través de diferentes medios:

I.Las páginas web de las empresas.

II.Las redes sociales.

III.Publicidad en Prensa.

IV.Información que obtienen sus agentes con los que firman contratos de agencia.

Respecto al origen de los datos de los posibles clientes:

Aunque en los contratos suscritos con sus agentes, consta que están obligados a obtener el consentimiento de los posibles clientes antes de contactar con ellos, según manifiestan no pueden fiscalizar el cumplimiento de este requisito.

No pueden asegurar, por tanto, el origen de los datos de los denunciantes, que se han utilizado para remitirles publicidad mediante correos electrónicos. Teniendo en cuenta, además, la breve duración de los contratos con sus agentes, generalmente extranjeros que residen en España durante un periodo corto de tiempo y la dificultad para contactar con ellos para solicitarles información.

5.- La Resolución de la AEPD declara como hechos probados:

UNO.- Entre las fechas de 6/01/2016 y 16/11/2016 CANARIAN LEGAL ALLIANCE, S.L., realizo acciones de marketing postal y electrónico a través del envío de cartas y comunicaciones comerciales electrónicas a los denunciantes en las que trató sus datos personales y direcciones de correo electrónico, promocionando sus servicios.

DOS.- Los denunciantes negaron la prestación del consentimiento para el envió de las comunicaciones postales y electrónicas.

TRES.- A requerimiento de los Servicios de Inspección de la Agencia Española de Protección de Datos, los representantes de CANARIAN LEGAL ALLIANCE manifestaron que la recogida de datos corresponde a diversos agentes y que no pueden fiscalizar el requisito de obtención del consentimiento.

Declara probado que la entidad denunciada ha tratado datos de carácter personal de los denunciantes, para la realización de los envíos publicitarios por medios postales, sin poder acreditar que tenía su consentimiento o que concurría alguna causa que permita su dispensa. Asimismo, en cuanto a los envíos de correos electrónicos comerciales, ha resultado probado que no disponía de la autorización previa y expresa de los destinatarios y que tampoco concurría alguna causa que permita su dispensa.

6.- El procedimiento ante la AEPD termina no con una sanción sino al que amparo del articulo 45.6 de la LOPD y art. 39 bis 2 de la Ley 34/2002 de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico , con apercibimiento e insta a CANARIAN LEGAL ALLIANCE SL cancelar los datos personales y a eliminar las direcciones de correo de los denunciantes.

7.- Tras la finalización de precedente procedimiento por la AEPD, ANFI SALES SL. solicita al amparo de la Ley 19/2013,copia del expediente administrativo N00092/2017por ser interesado en el procedimiento en la medida que es denunciante y los datos personales afectados en el expediente conciernen a la representante y a las personas que representa.

La AEPD, puesto que el procedimiento tramitado ante la AEPD ha finalizado, tramita la solicitud de entrega de copia del expediente, de conformidad con la Ley 19/2013.

La empresa Canarian prestó alegaciones a la solicitud de copia del expediente.

De forma resumida, la cita empresa ha alegado lo siguiente: Que se oponen a que se facilite cualquier documento en el que pudieran aparecer datos de terceros. Que en sus alegaciones durante la tramitación del citado expediente se incluían métodos procedimientos de trabajo.

8.- La AEPD mediante resolución de 28 de marzo de 2018, deniega el acceso a la información solicitada, por entender que es de aplicación lo dispuesto en el articulo 14.1j) de la Ley 19/2013 ' j) El secreto profesional y la propiedad intelectual e industrial'. En este sentido, consta en el expediente información referente a: Procedimiento de captación de clientes por parte de la empresa canarian Legal Alliance S.L. Contratos de esa empresa con autónomos.

Contra la anterior resolución cabría interponer recurso contencioso-administrativo ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional y potestativamente reclamación ante el Consejo de Transparencia y Buen Gobierno

9.- Disconforme con la resolución ANFI SALES SL ( representante y apoderado de los particulares cuyos datos personales han sido tratados sin su consentimiento por CANARIAN) formula reclamación ante el CTBG.

Fundamento de la reclamación:Los denunciantes tienen un claro derecho e interés a conocer quién tiene sus datos personales, cómo ha accedido a los mismos, y en qué condiciones está comerciando con los mismos.

Cita:

- el articulo 5 y 15 de la LO 5/1999 : dice que con fundamento en ambos articulos, cualquier interesado tiene derecho a conocer el origen de los datos .

- articulo 13 de la Ley 39/2015 .

- art. 12 de la Ley 19/2013

Explicita que no solicita información pública sino una información obrante en un expediente administrativo que les afecta porque son directamente interesados.

Califica de errónea la afirmación de la AEPD de que la documentación obrante en el expediente podría afectar al secreto profesional ( art. 14.1j)) y añade que la AEPD no ha efectuado un test de daño, sino que ha aplicado el criterio de forma automática.

De la anterior reclamación se dio traslado a la AEPD.

De sus alegaciones cabe destacar:

-al expediente al que se ha solicitado el acceso al mismo estaba finalizado, por lo que se ha tramitado la petición de dicho acceso de conformidad con la Ley 19/2013, de 9 de diciembre.

-se refiere el reclamante al derecho de información del art. 5 de la LO 15/1999 asi como al derecho de acceso que recoge el art. 15 de la citada Ley .

Respecto al derecho de información, este tiene lugar cuando se produce la recogida de los datos personales.

Respecto al derecho de acceso de la LO 15/1999, se ejercita ante el responsable del tratamiento de los datos personales, y no mediante un acceso a la documentación obrante en un expediente administrativo.

EL CTBG, mediante Resolución de 3 de agosto de 2018 ,estimó en parte la reclamación. Por su interés, destacamos:

3. En el presente caso, la AEPD deniega el acceso a la información entendiendo que no se puede conceder acceso a un expediente finalizado porque éste contiene información sobre el procedimiento de captación de clientes por parte de la empresa Canarian Legal Alliance S.L. así como contratos de esta empresa con autónomos. El Reclamante entiende que el procedimiento terminado afecta a personas interesadas en el mismo, que son las propias denunciantes. Ciertamente, los denunciantes en un procedimiento sancionador no son interesados en el mismo, como ha declarado reiterada jurisprudencia y ha venido a recoger la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas en su artículo 62.5 'La presentación de una denuncia no confiere, por sí sola, la condición de interesado en el procedimiento.' No obstante lo anterior, desde la promulgación de la LTAIBG, el régimen general de acceso a la información pública se rige por sus preceptos..

Por ello, debe analizarse si son correctas las manifestaciones de la AEPD denegando el acceso a la información por afectar al secreto profesional.

4. Este Consejo de Transparencia y Buen Gobierno ha tenido ocasión de examinar supuestos similares al presente. Así, en elexpediente R/0215/2017, que afectaba a auditorías realizadas por la Dirección General de Transporte Terrestre del MINISTERIO DE FOMENTO a las empresas contratistas de los servicios públicos de transporte regular de viajeros.

..

5. Antes de analizar si concurre el limite invocado, en su totalidad o en parte, se debe aclarar que la LTAIBG tiene como principal objetivo someter a escrutinio la acción de los responsables públicos, conocer cómo se toman las decisiones que afectan a los ciudadanos, cómo se manejan los fondos públicos o bajo qué criterios actúan nuestras instituciones, según se desprende de su Preámbulo. Por ello, no van a ser objeto de análisis las alegaciones del Reclamante relativas al cumplimiento o incumplimiento de la LOPD, por no ser asunto competencia de este Organismo.

6. En el caso que nos ocupa, es cierto que la AEPD no ha justificado suficientemente por qué resulta de aplicación este límite, aunque puede deducirse fácilmente que se hace por contener la documentación requerida información sensible para las empresas investigadas, como pueden ser los contratos con otros trabajadores autónomos y el procedimiento de captación de clientes por parte de la empresa Canarian Legal Alliance S.L.

También debe tenerse en cuenta que la LTAIBG permite aplicar los limites de manera parcial, dando la información no afectada por los mismos, ex articulo 16.

En estas condiciones, este Consejo de Transparencia entiende que la LTAIBG no permite divulgar información que pueda poner en riesgos los intereses económicos y comerciales de las empresas cuando puedan afectar de manera real, no hipotética, a las cuotas de mercado, los ficheros de clientes y distribuidores, la estrategia comercial y la estrategia de ventas.Por ello, se debe aplicar este límite al presente caso, en el que dar cierta información afecta directamente a los clientes de la investigada. Sin embargo, se entiende que el mismo no puede ser aplicado de manera absoluta a todo el expediente, sino solamente a la parte de la documentación afectada, siendo accesible el resto. En efecto, el procedimiento de apercibimiento de sanción ( artículo 45.6 de la LOPD ) es excepcional, se introdujo en la reforma del régimen sancionador de la LOPD a través de la Ley 2/2011, de 4 de marzo, de Economía Sostenible, y lleva aparejada la existencia y acreditación de una infracción 'menor' (leve o grave) en materia de protección de datos. En concreto, podrá decidirse el apercibimiento si concurre alguna de las siguientes circunstancias:

...

Por lo tanto, existe documentación en el expediente que no afecta al secreto profesional y que puede ser conocida por el Reclamante, como el número de datos afectados, si existe intencionalidad o reincidencia, las soluciones aportadas por el investigado, el efectivo cumplimiento o no de la resolución o si existe reconocimiento espontáneo de la culpa, entre otros, así como el resto de actuaciones de tramite llevadas a cabo por la AEPD para constatar la existencia de la infracción. 7. Por todo lo anterior, la presente Reclamación debe ser estimada en parte, debiendo la AEPD facilitar al Reclamante la siguiente información/documentación:

- Copia del expediente administrativo A/00092/2017, eliminado del mismo aquella información que, a juicio leal y ponderado de la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, afecte a los secretos o a los intereses comerciales de la empresa CANARIAN LEGAL ALLIANCE S.L.'

10.- En cumplimiento de la Resolución del CTBG, la AEPD dicta Resolución de 24 de agosto de 2018, por la que acuerda remitir copia del expediente A/00092/2017, habiéndose eliminado del mismo aquella información que, a juicio leal y ponderado de esta Agencia, afecta a los secretos o a los intereses comerciales de la empresa CANARIAN LEGAL ALLIANCE, S.L..

11.- La parte demandanteinterpone recurso contencioso-administrativo el 29/10/2018, contra la Resolución de 3 de agosto de 2018 y en el suplico de la demanda, solicita una Sentencia que declare:

(1) La no conformidad a derecho de la Resolución de 3 de agosto de 2018.

(2) Decrete el acceso de Anfi Sales S.L. al expediente administrativo de la AEPD y en particular que se le proporcione la información relativa al origen o fuente de los datos personales de los Sres. Visitacion, Pascual, Lorenzo, Pedro, Lucio, Inocencio, Plácido, Marcial, Isidro, Prudencio, Marino, Íñigo, Raúl, Mateo, Roberto, Romualdo, Salvador y Santos por parte de Canarian Legal Alliance S.L., para poder ver cómo obtuvo esta entidad esos datos personales y a través de qué personas o medios

Para fundamentar su pretensión alega que:

La Resolución impugnada es contraria a derecho puesto que vulnera: a. Los arts. 5 y 15 de la LOPD . b. El art. 13 de la Ley 39/2015 . c. Los arts. 34 y 112 de la Ley 39/2015 , en relación a su vez con el artículo 23.1 de la Ley 19/2013 . d. Los arts. 9.1 y 103 de la Constitución .

Particular interés en el expediente administrativo: Los titulares de los datos personales afectados tienen legítimo derecho a conocer quiénes tienen sus datos y cómo los han obtenido sin su consentimiento. Por dicha razón, los titulares de los datos personales deben poder tener acceso al nombre de dichos autónomos así como a conocer los contratos en virtud de los cuales han comerciado de forma ilegal con los datos personales de los denunciantes.

Derecho a conocer la fuente de los datos: cita el articulo 5 y 15 de la LOPD . Articulo 14 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de personas físicas en lo que respecta al tratamiento de datos personales ( no había entrado en vigor cuando se solicitó la información). Concluye que la legislación española y europea consagra el derecho de cualquier particular a conocer 'la fuente' de la que proceden los datos personales que tiene un tercero.

Derecho de acceso al expediente administrativo: art. 13 de la Ley 39/2015 y art. 12 de la L 19/2013. La AEPD denegó inicialmente el acceso a la documentación obrante en el expediente 'podría afectar al secreto profesional', remitiéndose al art. 14.1.j de la Ley 19/2013 para denegar el acceso. El CTBG matiza dicha afirmación pero al final termina aplicándolo igual, puesto que ordena que se facilite el acceso a aquella información del expediente que a juicio de la AEPD no esté protegida por el secreto profesional. Estima que no es aplicable en este caso. Defiende que el secreto profesional es un criterio aplicable al acceso a los expedientes administrativos por parte de terceros y aquí el acceso lo está planteando el denunciante. No estaríamos ante un secreto profesional sino empresarial. La resolución del CTBG no realiza el test de daño.

La Abogacía del Estadoopuso la inadmisión parcial del recurso contencioso-administrativo por desviación procesal en lo relativo al apartado segundo del suplico, en la medida en que atañe a una cuestión que excede de los términos de la resolución impugnada y corresponde, en su caso, al modo en el que ésta se vea ejecutada.

Sobre la procedencia de entrar a analizar por parte del CTBG si la información solicitada debía entregarse en base a la LOPD: el legislador no ha conferido al CTBG una competencia para sustituir a la AEPD en sus funciones legalmente atribuidas. No correspondía al CTBG analizar si al amparo de la LOPD, el recurrente tenía derecho a acceder a la información solicitada.

Sobre la afectación a 'secretos o intereses comerciales de la empresa Canarian Legal Alliance, S.L.': el CTBG aplicó no solo el articulo 14.1h) sino el art. 14.1j) de la Ley 19/2013 .

SEPTIMO.- Examen del recurso de apelación.

Cuestion previa. Alcance del recurso contencioso-administrativo.

Tiene razón la parte apelante, en cuanto que la decisión que se tome afecta a la resolución de 28 de marzo de 2018 de la AEPD.

La sentencia de instancia afirma que la demandante interpuso recurso contra dos resoluciones: la resolución del CTBG de 3 de agosto de 2018 y la resolución del AEPD de 28 de marzo de 2018, y que no era posible la acumulación.

La Sentencia entiende que no cabe impugnación de la Resolución de la AEPD.

Pero esto no es así. Contra la resolución de la AEPD cabía interponer directamente recurso contencioso-administrativo ante la Sala de la Audiencia Nacional o reclamación ante el CTBG. La parte actora interpuso reclamación ante el CTBG que resolvió y contra esa resolución, cabe interponer recurso-contencioso ante los Juzgados Centrales de lo Contencioso-Administrativo de la AN ( art. 9.1c) de la LJCA ).

Por tanto, la Sentencia afectará a la resolución de la AEPD de 28 de marzo de 2018.

Sobre la falta de aplicación de los arts 5 y 15 de la LOPD y derecho de acceso de los denunciantes a la fuente de los datos personales: la parte apelante afirma que la Sentencia no dedica párrafo alguno a argumentar por qué dichos artículos no resultan de aplicación, pero la Sala III del TS tiene declarado que el principio de congruencia no requiere una correlación literal entre el desarrollo dialéctico de los escritos de las partes y la redacción de la sentencia. El requisito de la congruencia no supone que la sentencia tenga que dar una respuesta explícita y pormenorizada a todos y cada uno de los argumentos de las partes, siempre que exteriorice, tomando en consideración las pretensiones y alegaciones de aquéllas, los razonamientos jurídicos que, en el sentir del Tribunal, justifican el fallo.

Además:

Como alegó la AEPD no resultan de aplicación los arts. 5 y 15 de la LOPD de 1999 ni el articulo 14 del Reglamento UE 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 ni el art. 11.3 de la LO 3/2018 de 5 de diciembre . Y ello porque el derecho de informacióna que se refiere el articulo 5 de la LOPD , tiene lugar cuando se produce la recogida de datos personales y el derecho de accesoque recoge el art. 15 de la LOPD se ejercita ·ante el responsable del tratamiento de los datos personales, y no mediante un acceso a la documentación obrante en un expediente administrativo. Lo mismo podemos decir del articulo 14 del Reglamento UE 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, que se refiere al 'responsable del tratamiento' y del articulo 3 de la LO3/2018, de 5 de diciembre , que se refieren al 'responsable'.

La parte demandante defiende que los interesados tienen un derecho subjetivo a conocer el origen de los datos personales que terceros tengan de ellos y ello porque el expediente administrativo tramitado por la AEPD fue incoado a instancia de la parte demandante.

Pues bien, el denunciante carece de la condición de interesado en el procedimiento sancionador que se pueda incoar a resultas de su denuncia, pues ni la LOPD, ni su Reglamento de desarrollo le reconocen esa condición ( asi lo declara la STS 6 de octubre de 2009 dictada en el recurso 4712/2005 y las que en ella se citan) .

Por tanto, su condición de denunciante no le legitima para acceder al expediente administrativo incoado tras la denuncia formulada.

No estamos en el ámbito de la LPD 15/1999 sino Ley 19/2013 de transparencia, acceso a la información pública y buen gobierno. Es por ello, que acertadamente, el CTBG razonó 'A este respecto, es preciso recordar que la función del CTBG no es velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos. Ésta es, literalmente, la función que el legislador ha encomendado a la Agencia Española de Protección de Datos, tal y como nos recuerda el artículo 37.1.a de la ya derogada Ley Orgánica 15/1999 .

Si bien es cierto que el artículo 15 de la Ley de Transparencia hace expresa referencia al modo en el que deben abordarse por el CTBG las cuestiones que puedan surgir en materia de protección de datos, se observa que el legislador ha configurado un régimen de carácter negativo: el CTBG controlará que no se faciliten datos en los supuestos que ahí se indican. Sin embargo, el legislador no ha conferido al CTBG una competencia para sustituir a la AEPD en sus funciones legalmente atribuidas, que es lo que se pretende de contrario.

Así, aún cuando el apelante insiste, con base en la LOPD, en que está solicitando que 'se le facilite el detalle sobre el origen de los datos personales de los denunciantes: cómo se obtuvieron y a través de qué personas', está claramente haciendo referencia a una situación que deberá ser revisada por la AEPD, pero que en ningún caso corresponde al CTBG, cuya resolución ahora se impugna.

En consecuencia, no correspondía al CTBG analizar si, al amparo de la normativa en materia de protección de datos, el recurrente tenía derecho a acceder a la información solicitada. Por tanto, este motivo de impugnación no puede prosperar

El derecho de acceso, que concede al interesado la posibilidad de comprobar si se dispone de información sobre uno mismo y conocer el origen del que procedey la finalidad con que se conserva, se recoge en el art. 15 de la LOPD que dispone ''1. El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos' y articulo 27 del del Real Decreto 1720/2007, de 21 de diciembre que dispone '

'1. El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.

2. En virtud del derecho de acceso el afectado podrá obtener del responsable del tratamiento información relativa a datos concretos, a datos incluidos en un determinado fichero, o a la totalidad de sus datos sometidos a tratamiento.

No obstante, cuando razones de especial complejidad lo justifiquen, el responsable del fichero podrá solicitar del afectado la especificación de los ficheros respecto de los cuales quiera ejercitar el derecho de acceso, a cuyo efecto deberá facilitarle una relación de todos ellos.

3. El derecho de acceso es independiente del que otorgan a los afectados las leyes especiales y en particular la Ley 30/1992, de 26 de noviembre de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común'.

De conformidad con lo dispuesto en el art. 18 de la LOPD , el interesado al que se deniegue, total o parcialmente, el ejercicio del derecho de acceso podrá ponerlo en conocimiento de la Agencia de Protección de Datos que deberá asegurarse de la procedencia o improcedencia de la denegación a través del procedimiento de tutela de derechos previsto reglamentariamente, que se regula en los arts. 117 a 119 del Real Decreto 1720/2007, de 21 de diciembre , que aprueba el reglamento de la LOPD.

Sobre la existencia de secreto profesional como limite de acceso a la información solicitada.

La Resolución del CTBG resolvió la entrega del expediente administrativo A/00092/2017, eliminado del mismo aquella información que, a juicio leal y ponderado de la AEPD, afectase a los 'secretos o intereses comerciales' de la empresa Canarian Legal Alliance SL.

Por tanto, aplicó el articulo 14.1h) de la Ley 19/2013 , que establece: '1. El derecho de acceso podrá ser limitado cuando acceder a la información suponga un perjuicio para: h) Los intereses económicos y comerciales'.

Y en este caso, la resolución del CTBG declara por un lado, que la información requerida es una información sensible para las empresas investigadas, como pueden ser los contratos con otros trabajadores autónomos y el procedimiento de captación de clientes por parte de la empresa Canarian Legal Alliance S.L. y por otro lado, que el limite del articulo 14.1 h) de la Ley 19/2013 , no puede ser aplicado de manera absoluta a todo el expediente, sino solamente a la parte de la documentación afectada, siendo accesible el resto. Por tanto, si realiza el test de daño y como quiera que existe documentación, en el expediente que no afecta a los intereses económicos y comerciales y que puede ser conocida por el Reclamante, como el número de datos afectados, si existe intencionalidad o reincidencia, las soluciones aportadas por el investigado, el efectivo cumplimiento o no de la resolución o si existe reconocimiento espontáneo de la culpa, entre otros, así como el resto de actuaciones de tramite llevadas a cabo por la AEPD, para constatar la existencia de la infracción, resuelve estimar en parte la reclamación y por tanto, facilitar copia del expediente administrativo A/00092/2017, eliminando del mismo aquella información que, a juicio leal y ponderado de la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, afecte a los secretos o a los intereses comerciales de la empresa CANARIAN LEGAL ALLIANCE S.L.

Decisión del caso

Razones, todas las anteriores, que conducen a la desestimación del recurso de apelación interpuesta por la representación de la mercantil ANFI SALES SL.

OCTAVO.- De conformidad con lo dispuesto por el artículo 139.1 de la LJCA , no entendemos procedente la imposición de las costas procesales en ninguna de las dos instancias, pues aunque rige en esta materia el criterio del vencimiento, el rigor de su aplicación se atempera en los casos, como el examinado, que presentan 'serias dudas de hecho o de derecho', derivadas de la complejidad y diversidad de las cuestiones suscitadas.

Vistos los artículos citados y demás de general aplicación, la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, sección séptima, ha dictado el siguiente

Fallo

DESESTIMAMOS el recurso de apelación núm. 45/2020 promovido por la entidad ANFI SALES SL contra la Sentencia num 140/2019, de 18 de diciembre del Juzgado Central de lo Contencioso-Administrativo nº 3 dictado en el P.O. núm. 39/2018, que se confirma, sin que proceda hacer pronunciamiento en costas, en ninguna de las dos instancias.

Notifiquese esta Sentencia a las partes personadas, haciéndoles la indicación de la presente sentencia es susceptible de recurso de casación que deberá prepararse ante esta Sala en el plazo de 30 días contados desde el siguiente al de su notificación; en el escrito de preparación del recurso deberá acreditarse el cumplimiento de los requisitos establecidos en el artículo 89.2 de la Ley de la Jurisdicción justificando el interés casacional objetivo que presenta.

Así por esta nuestra Sentencia, lo pronunciamos, mandamos y firmamos.

Voto

QUE FORMULA EL MAGISTRADO HELMUTH MOYA MEYER.-

Con respeto a la opinión de la mayoría de la sección, paso a formular voto particular contra la sentencia dictada en el rollo de apelación 45/2020:

La demandante había denunciado a Canarias Legal Alliance, S.L. por tratamiento de los datos personales de sus representados sin el consentimiento de éstos. Una vez que la Agencia de Protección de Datos concluyó que el tratamiento de los datos personales había sido ilícito, se dirigió a este organismo a fin de recibir información sobre el origen de los datos y modo de obtenerlos, pidiendo al efecto que se le entregara una copia del expediente sancionador.

A dicha petición la Agencia de Protección de Datos, acogiendo las alegaciones del denunciado, respondió denegando la petición al amparo del artículo 14.1 j) por contener información sobre el procedimiento de captación de clientes y contratos con autónomos, afectando esto al secreto profesional.

Ante el Consejo de Transparencia y Buen Gobierno la demandante invocó el derecho reconocido en el artículo 15 de la LO 15/1999, de 13 de diciembre , aplicable por razón del tiempo, el derecho a conocer el origen de los datos sometidos a tratamiento y de las comunicaciones realizadas de los mismos. En sus alegaciones ante el Consejo, la Agencia manifiesta que tal derecho debe ejercitarse ante el responsable del tratamiento de los datos y no mediante un acceso al expediente administrativo.

El Consejo de Transparencia y Buen Gobierno decide estimar en parte la reclamación y permite acceder a los demandantes al expediente administrativo, pero ampara a la Agencia de Protección de Datos en su decisión de no dar información sobre los denominados agentes que suministraban los datos a la denunciada, considerando que esto entra dentro del límite del artículo 14.1 j) Ley 19/2013 , decisión que decide respaldar la sentencia suscrita por la mayoría.

La Abogacía del Estado aporta a este debate la idea de que no habiéndose recurrido la resolución de ejecución del acuerdo del Consejo, no puede pretenderse ahora obtener mayor información que la otorgada.

Pues bien, la razón esencial de mi disconformidad con lo resuelto es que no puede sostenerse que el acceso al origen de los datos y medios de obtención ilícitos- así lo declaró la propia Agencia- pueda resultar limitado por el secreto profesional, cuando una ley orgánica expresamente reconoce el derecho a conocer el origen de los datos tratados, lo que indefectiblemente conlleva poder conocer la identidad de los terceros que facilitaron los datos.

Los límites al derecho de información establecidos en la ley de transparencia no son absolutos, sino que su aplicación 'será justificada y proporcionada a su objeto y finalidad de protección y atenderá a las circunstancias del caso concreto, especialmente a la concurrencia de un interés público o privado superior que justifique el acceso' ( artículo 14.2 Ley19/2013 ). Cuando existe el expreso reconocimiento por el ordenamiento jurídico de un derecho específico al acceso a determinada información, no puede ser este negado interpretando un límite fijado de manera general.

Tampoco puede negarse la información por entender que debió pedirse por otro cauce o de otra manera. Si la Agencia consideraba que el acceso a dicha información no debió pretenderse mediante un acceso al propio expediente, sino mediante una petición de datos agregados, así debió indicarlo al interesado y no rechazar una petición por considerar que infringía el secreto profesional del denunciado.

Nada se opone a que en el marco de la ley de transparencia se entregue una información agregada, depurándola de datos que no son de acceso público. Esto sucede en buena medida en todos aquellos casos en los que se estima parcialmente una petición de información. A esto no puede oponerse que la ley de transparencia contemple la inadmisión de peticiones de información que exijan un trabajo de reelaboración, pues basta aquí con facilitar los datos de las personas que entregaron al denunciado los datos personales y informar sobre los medios de obtención, siempre que esa información obre en el expediente administrativo.

En ningún caso es un impedimento para la estimación de la demanda que el acto de ejecución no haya sido recurrido. No puede ganar éste firmeza mientras no sea firme el acto ejecutado, que sí ha sido recurrido.

En conclusión, entiendo que la demanda debió estimarse en parte y entregar al demandante la información sobre personas que facilitaron los datos tratados al denunciado y medios de obtención de los datos, si esa información figuraba en el expediente.

Fórmate con Colex en esta materia. Ver libros relacionados.