Encabezamiento
A U D I E N C I A N A C I O N A L
Sala de lo Contencioso-Administrativo
SECCIÓN PRIMERA
Núm. de Recurso:0000101
/2014
Tipo de Recurso:PROCEDIMIENTO ORDINARIO
Núm. Registro General:01883/2014
Demandante:TELEFÓNICA MÓVILES ESPAÑA S.A.U.
Procurador:Dª CARMEN ORTIZ CORNAGO
Demandado:AGENCIA PROTECCIÓN DE DATOS
Abogado Del Estado
Ponente IImo. Sr.:D. EDUARDO MENÉNDEZ REXACH
S E N T E N C I A Nº:
IImo. Sr. Presidente:
D. EDUARDO MENÉNDEZ REXACH
Ilmos. Sres. Magistrados:
Dª. FELISA ATIENZA RODRIGUEZ
Dª. LOURDES SANZ CALVO
D. FERNANDO DE MATEO MENÉNDEZ
Madrid, a veintidos de septiembre de dos mil quince.
Visto el recurso contencioso administrativo que ante esta Sala de lo contencioso administrativo de la Audiencia Nacional ha promovido
Telefónica Móviles España S.A.U., representada por la Procuradora Dª. Carmen Ortiz Cornago,contra la Administración General del Estado, representada por el Abogado del Estado, sobre sanción por infracción grave de la Ley de Protección de Datos. Ha sido Ponente el Presidente de esta Sección Iltmo. Sr. D. EDUARDO MENÉNDEZ REXACH.
Antecedentes
PRIMERO.-El acto impugnado procede del Director de la Agencia Española de Protección de Datos y es la Resolución de 12 de Febrero de 2014.
SEGUNDO.-Interpuesto recurso contencioso administrativo ante la Sala de lo Contencioso Administrativo de esta Audiencia Nacional, después de admitido a trámite y reclamado el expediente administrativo, se dio traslado al recurrente para que formalizara la demanda, solicitando en el suplico la estimación del recurso.
TERCERO.-Presentada la demanda, se dio traslado de la misma al Abogado del Estado, con entrega del expediente administrativo para que la contestara y, formalizada dicha contestación, solicitó en el suplico que se desestimaran las pretensiones del recurrente y que se confirmara el acto impugnado por ser conforme a Derecho.
CUARTO.-Contestada la demanda se recibió el pleito a prueba, Practicándose la propuesta y admitida a instancia de la actora; tras la presentación de conclusiones por las partes y una vez finalizada la tramitación, quedaron los autos conclusos para sentencia, señalándose para votación y fallo el día 8 de Septiembre de 2015 en el que, efectivamente, se votó y falló.
Fundamentos
PRIMERO.- El presente recurso tiene por objeto la Resolución de 12 de Febrero de 2014 del Director de la Agencia Española de Protección de Datos (AEPD), por la que se impuso a la demandante una multa de 50.000 euros como responsable de una infracción del
art. 6.1. de la Ley Orgánica 15/1999, de 13 de Diciembre de Protección de Datos de carácter personal (LOPD), y otra de
20.000 euros por infracción del
art. 4.3. de la misma Ley , tipificadas como graves, de conformidad con el
art. 45.2 y
5. de la misma Ley .
SEGUNDO.-La recurrente solicita que se anule y deje sin efecto la Resolución impugnada y, subsidiariamente que se minore la multa impuesta hasta 900 euros para cada una de las infracciones.
En defensa de su pretensión alega que en los hechos probados de la Resolución no se pone de manifiesto que la demandante fue víctima de un fraude, lo que revela su ausencia de intencionalidad y, por tanto, la falta de culpabilidad y añade que actuó con diligencia al tener conocimiento de los hechos; añade que la contratación de las líneas fue fraudulenta y que se realizó a través de 'Kontacta Comunicaciones', que es quien debe tomar las precauciones para identificar a los clientes en virtud del contrato de distribución en el que se indica el procedimiento correcto a seguir; el denunciante presentó el 21 de Noviembre de 2012 una reclamación ante la Junta Arbitral de consumo de Ávila y una denuncia ante la AEPD y, aunque no pudo aceptar la solicitud de arbitraje, el 25 de Diciembre de 2012 excluyó al denunciante de los ficheros de solvencia; la primera noticia que tuvo de la denuncia fue la solicitud de información dirigida por la Agencia el 22 de Febrero de 2013, que le remitió el 14 de Marzo siguiente; todas las líneas fueron contratadas presencialmente, salvo la correspondiente a un servicio de datos, que lo fue a través de un dispositivo USB; el caso fue analizado por la unidad de prevención del fraude de la propia compañía, llegando a la conclusión de que se trataba de un supuesto de suplantación de personalidad, por lo que se anuló toda la facturación emitida. La Agencia, sin embargo, no ha realizado ninguna actividad para determinar la realidad de los hechos y la existencia de fraude, pese a que la apariencia de legitimidad de los contratos era absoluta.
Por todo ello rechaza la existencia de infracción del
art. 6.1 . y
4.3 y, subsidiariamente, invoca el principio de proporcionalidad pues considera que la sanción es desproporcionada en relación con el perjuicio causado y las circunstancias de hecho y concurren las circunstancias del
art. 45.5. LOPD respecto de ambas infracciones para aplicar la sanción correspondiente a las infracciones leves y fijar la multa en 900 euros.
TERCERO.-La representación de la Administración demandada, por su parte, con cita de diversas sentencias de esta Sala, se remite a los hechos probados y a los fundamentos de la Resolución y rechaza las alegaciones de la demandante, ya que ésta incorporó los datos del denunciante a sus ficheros de información y emitió facturas a su nombre sin tener acreditado el consentimiento del cliente para realizar el tratamiento de sus datos ni aportar documentos acreditativos de que los contratos fueran firmados por el denunciante; en cuanto a la intervención del distribuidor, ésta no excluye la responsabilidad de la demandante que, como contratante, realizó el tratamiento de datos; en cuanto a la infracción del
art. 4.3., no se ha probado la existencia de una deuda cierta, vencida y exigible; por último, no es de apreciar que concurran las circunstancias del
art. 45.5. LOPD para rebajar la sanción, que se impuso en los límites marcados por la ley; por lo que solicita la desestimación del recurso, con imposición de las costas a la demandante.
CUARTO.-La Resolución impugnada contiene la siguiente relación de Hechos probados:
HECHOS PROBADOS
PRIMERO: D
Saturnino con DNI-
NUM000 manifiesta que TELEFÓNICA MÓVILES ESPAÑA S.A. ha dado de alta unas líneas que él no ha contratado, utilizando sin su consentimiento sus datos personales, y además han incluidos sus datos en ficheros de solvencia patrimonial, sin que exista deuda alguna. (folios 1 a 4)
SEGUNDO: En los ficheros de TME consta asociado el nombre, apellidos y número de DNI del denunciante a las líneas
NUM001 ,
NUM002 ,
NUM003 ,
NUM004 . El domicilio y dirección de envío de correspondencia es C/
DIRECCION000 nº
NUM005
NUM006
NUM007 , 28047- Madrid (Folio 52). Este domicilio no coincide con ningún domicilio que conste en el expediente del denunciante (Folios 1 y 4)
TERCERO: Consta en los registros de TME:
El alta de la línea
NUM004 a nombre del denunciante con fecha de alta 27 de noviembre de 2009 y fecha de baja 3 de mayo de 2010.
El alta de la línea
NUM003 a nombre del denunciante con fecha de alta 26 de noviembre de 2009 y fecha de baja 19 de abril de 2010.
El alta de la línea
NUM001 a nombre del denunciante con fecha de alta 26 de noviembre de 2009 y fecha de baja 22 de marzo de 2010.
El alta de la línea
NUM002 a nombre del denunciante con fecha de alta 26 de noviembre de 2009 y fecha de baja 24 de mayo de 2010.
La entidad manifiesta que todas las líneas fueron dadas de baja por falta de pago.(folios 52 a 59)
CUARTO: En los registros de TME consta una anotación relativa a la línea
NUM001 de fecha 13 de abril de 2012 de alta en incobrables (folio 61)
En los registros de TME consta una anotación relativa a la línea
NUM003 de fecha 9 de noviembre de 2012 de alta en incobrables (folio 64)
En los registros de TME consta una anotación relativa a la línea
NUM004 de fecha 9 de noviembre de 2012 de alta en incobrables (folio 64)
QUINTO: Existen copias de contratos firmados de las líneas
NUM001 ,
NUM003 ,
NUM004 . Las firmas, a simple vista, no coinciden con la firma del DNI, ni la firma del denunciante ante la AEPD. (folios 74 a 79, 1 y 4)
SEXTO: Respecto a la línea
NUM002 , bajo la modalidad contrato internet: No consta ningún documento que acredite la identidad del contratante. (folios 68 y 69)
SEPTIMO: Resulta acreditada la recepción de una reclamación del denunciante, ante una Junta Arbitral de Consumo de Ávila, por parte de TME el 13 de diciembre de 2012. (folio 81)
OCTAVO: Resulta acreditado que TME informó al fichero ASNEF-EQUIFAX los datos personales del denunciante por un saldo deudor de 330,58€. El primer y último vencimiento impagados son 1 de febrero de 2010 y 14 de julio de 2011 (folios 40 y 63) correspondientes a la línea contrato internet
NUM002 (folios 62 y 63)
La incidencia se dio de alta por segunda vez el 10 de agosto de 2010, y de baja el 25 de diciembre de 2012 (folio 40)
NOVENO: Con fecha 13 de marzo de 2013 TME realiza los diferentes abonos de las diferentes líneas (folios 61 a 66; 197 a 200; 204 a 206, 212 a 215 y 220 a 222).
Con base en los hechos anteriores, la Agencia declara la existencia de una infracción grave prevista en el
artículo 6.1. LOPD , que protege el principio el consentimiento del titular en el tratamiento de los datos personales y otra contemplada en el
art. 4.3. que ampara el principio de calidad de los datos de las que se considera autora a la demandante y se le imponen las multas en la cuantía mencionada en aplicación del
art. 45.2 LOPD .
QUINTO.-El art. 6.1., dispone que 'el tratamiento de datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa'y añade, en su apartado segundo, los supuestos en los que no será preciso dicho consentimiento, entre los que se encuentra el supuesto en que los datos se refieran a las partes de un contrato o precontrato de una relación negocial.
El
art.3 h) de la LOPD define el 'consentimiento del interesado' como 'toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen'.
Como ha recordado
esta Sala en su sentencia de 13 de Septiembre de 2013, recurso 65/12 ,
'El principio del consentimiento expresado conllevará, por tanto, la necesidad del consentimiento inequívoco del afectado para que puedan tratarse sus datos de carácter personal, permitiéndose así a aquel ejercer efectivo control sobre dichos datos y garantizando su poder de disposición sobre los mismos. Dicho consentimiento podrá prestarse de forma expresa, oral o escrita, o de manera tácita, mediante actos reiterados y concluyentes que revelen su existencia', añadiendo que '...el consentimiento ha de ser necesariamente 'inequívoco'. De modo que ha de aparecer como evidente, o, lo que es lo mismo, que no admite duda o equivocación, pues éste y no otro es el significado del adjetivo utilizado para calificar el consentimiento.
Por otro lado, la carga de acreditar la existencia del 'consentimiento inequívoco', a que hace referencia el
art. 6.1 de la LOPD , recae sobre la entidad responsable del fichero o encargada del tratamiento de los datos personales, cuando su existencia sea negada por el titular de tales datos (
Sentencia de esta Sección de 8 noviembre 2012 -recurso nº. 789/2010
-)'.
De los hechos probados se deduce que en el presente caso la demandante no ha acreditado debidamente la existencia de un consentimiento válido prestado por el titular de los datos; así resulta, en primer lugar, del reconocimiento por su parte de que existió un fraude en la contratación de las líneas telefónicas, mediante la utilización de un DNI correspondiente a una persona distinta de la que participó en el contrato presencial realizado con la distribuidora 'Kontakta Comunicaciones' lo que viene a suponer la admisión de la falta de consentimiento del titular real de los datos, que la demandante justifica en una apariencia de legalidad así como en la existencia de un Protocolo elaborado por TME, al que el distribuidor debió ajustar su actuación (figura en el expediente, folios 89 y siguientes, el contrato de distribución firmado entre Telefónica y 'Kontakta Comunicaciones' S.A. el 1 de Enero de 2006); ahora bien, tal apariencia de legalidad no puede basarse en la semejanza de las firmas que figuran en el contrato con la del DNI que, a simple vista, son diferentes ni tampoco se ha cumplido lo establecido en el Protocolo respecto de la documentación que debió comprobar y conservar el distribuidor para su posterior remisión a la demandante y, aunque sea cierto que la ley no obliga a conservar en estos casos la fotocopia del DNI, es la propia demandante la que establece esa condición, entre otras, en la documentación a solicitar al cliente.
Esta Sala ha declarado reiteradamente en supuestos similares al ahora analizado, en que ha intervenido actuación aparentemente fraudulenta de tercero, que '
es necesario asegurarse que la persona que contrata es quien realmente dice ser y deben adoptarse las medidas de prevención adecuadas para verificar la identidad de una persona cuyos datos personales van a ser objeto de tratamiento, y a ello obedece la exigencia de documentación identificativa que la propia operadora plasma en el contrato suscrito con la distribuidora'(St. de 21 de Noviembre de 2014, R. 45/14, que recoge, a su vez el contenido de la de 3 de Octubre de 2013, R. 54/12), ya que la simple copia de los contratos no es suficiente para demostrar que se celebraron con el denunciante, máxime cuando es la propia unidad de fraude de la compañía telefónica la que procede a dar de baja las facturas emitidas
En conclusión, no ha quedado acreditado el consentimiento inequívoco del titular de los datos, ni resulta de aplicación el art. 6.2 y sí, por el contrario, la ausencia de la diligencia necesaria por parte de la compañía para asegurarse de la identidad de los datos personales objeto de tratamiento, lo que integra el elemento culpabilístico de la infracción, sin que la presencia del distribuidor anule o elimine la responsabilidad de la recurrente ni la exima de contar con el consentimiento del titular (Sts.
AN de 11 de Noviembre de 2014, R. 64/14
y 5 de Mayo de 2015, R. 186/14 , entre otras muchas y por citar de las más recientes).
SEXTO.-Respecto de la segunda de las infracciones, el
art. 4.3. LOPD establece que 'Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado'.
Por su parte el
art. 44.3.c) de la misma Ley tipifica como infracción grave :
'Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el
artículo 4 de la presente Ley
y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave'.
Es de aplicación, además, lo establecido en el
art. 29 LOPD , que regula la prestación de servicios de información sobre solvencia patrimonial y crédito, ya que la razón que motivó la inclusión de los datos en el fichero de ASNEF-EQUIFAX por parte de la empresa sancionada fue el alegado incumplimiento por el Sr.
Saturnino de su obligación de pagar la cantidad a que consideraba que venía obligado en virtud del contrato celebrado para la prestación del servicio de telefonía móvil, en el que, sin embargo, no ha probado que concurriera el consentimiento del afectado pese a lo cual incluyó sus datos en los ficheros de morosos vinculados a una deuda que era ajena a tal denunciante, y por ende inexacta e incierta, por lo que el principio de calidad de datos (
articulo 4.3 LOPD ) ha de aplicarse aquí con todo su rigor, pues el acreedor sólo puede utilizar tales mecanismos excepcionales que la LOPD le otorga, cuando tenga plena seguridad y certeza de la existencia y cuantía del crédito, lo que no aconteció en el caso.
Por último, hay que mencionar el
art. 38 del Reglamento de desarrollo de la LOPD , aprobado por Real Decreto 1720/2007, de 21 de Diciembre, referido al supuesto del art. 29 de la Ley, que establece que '
sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:
a) Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada.
b) Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquélla fuera de vencimiento periódico.
c) Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación'
.
Asimismo, el acreedor deberá informar al deudor '
en el momento en que se celebre el contrato y, en todo caso, al tiempo de efectuar el requerimiento al que se refiere la letra c) del apartado 1 del artículo anterior, que en caso de no producirse el pago en el término prevenido para ello y cumplirse los requisitos previstos en el citado artículo, los datos relativos al impago podrán ser comunicados a ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias'
Art. 39 Reglamento LOPD ).
Así pues, la inclusión de datos en ficheros de solvencia patrimonial y crédito exige la existencia de una deuda cierta y la información al deudor, en los términos establecidos legal y reglamentariamente acabados de exponer, junto con el requerimiento de pago de la deuda, previo a la inclusión. Así,
esta Sala ha declarado reiteradamente (por todas, sentencia de 22 de Noviembre de 2013, recurso 517/12 ) que la inclusión de los datos en ficheros de información sobre solvencia patrimonial y crédito, tanto en la redacción actual del
artículo 38 del Reglamento como en la original, requiere al inicio del apartado 1.a) que la deuda sea cierta, exigencia que responde al principio de veracidad y exactitud de los datos recogido en el
artículo 4.3 de la LOPD al expresar que 'Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado'.
En el presente caso no concurre este requisito de la certeza de la deuda sino que la demandante informó de los datos personales del denunciante a los ficheros de solvencia patrimonial ASNEF-EQUIFAX, en los que permanecieron durante el período recogido en el Hecho probado Octavo en relación con una deuda que no era cierta, vencida y exigible, ya que no ha probado que el denunciante contratara tales líneas y sí consta, sin embargo, que éste presentó una reclamación ante la Junta Arbitral de Consumo de Ávila y una denuncia ante la AEPD por la inclusión de sus datos en el fichero de morosos, en razón de una deuda inexistente, así que es de apreciar la existencia de dicha infracción.
SÉPTIMO.-Invoca la demandante, como infringido, el principio de proporcionalidad; a este respecto cabe señalar que ya la resolución impugnada ha apreciado la concurrencia de la circunstancia 45.5.b) al apreciar que la compañía actuó diligentemente al regularizar la situación tan sólo doce días después de tener conocimiento de la reclamación arbitral; por el contrario, no aprecia tal diligencia respecto de la infracción del art. 6.1. en que tal regularización tardó tres meses en producirse; los razonamientos contenidos en la Resolución (Fundamento VIII) realizan una ponderación adecuada de todos los elemento y circunstancias del caso, tanto los que permiten la degradación de la sanción en un caso, como otros a los que atiende para la graduación de ambas, lo que pone de manifiesto la ausencia de infracción del principio de proporcionalidad, al ser adecuadas las multas a la gravedad de los hechos objeto de cada infracción, una vez valoradas las circunstancias presentes en este caso.
OCTAVO.-Por todas las razones anteriores procede desestimar el recurso y, en aplicación del
art. 139.1. de la Ley de esta Jurisdicción imponer las costas a la demandante cuyas pretensiones han sido totalmente desestimadas.
Fallo
PRIMERO.-Desestimar el presente recurso nº 101/14 interpuesto por la Procuradora Sra. Ortiz Cornago, en la representación que ostenta, contra la Resolución de la Agencia Española de Protección de Datos descrita en el primer Fundamento de Derecho, que se confirma por ser conforme a derecho.
SEGUNDO.-Imponer a la demandante las costas del recurso.
Contra la presente sentencia no cabe recurso ordinario alguno.
Así, por esta nuestra sentencia, testimonio de la cual se remitirá junto con el expediente administrativo a su oficina de origen para su ejecución, lo pronunciamos, mandamos y firmamos.
PUBLICACIÓN.-Dada, leída y publicada fue la anterior sentencia en audiencia pública. Doy fe. En Madrid, a
LA SECRETARIA JUDICIAL
