PRIMERO .- La parte demandante impugna la resolución de 9 de marzo de 2021 de la Directora de la Agencia Española de Protección de Datos, que confirma en reposición la resolución de 23 de noviembre de 2020, recaídas en el procedimiento sancionador PS/00416/2019, por la que se le impone una sanción de 20.000 euros por una infracción de los arts. 13 y 14 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante RGPD), tipificada en el art. 83.5.b) del citado Reglamento, y otra sanción de 20.000 euros por la infracción del art. 6 del reseñado Reglamento, tipificada en el art.83.5.a).
Los hechos probados en que se fundan las resoluciones recurridas son: <<1. La entidad MIRACLIA es propietaria de la aplicación móvil y servicio web denominada "Juasapp". Esta aplicación permite a los usuarios la realización de bromas telefónicas a terceros. El usuario selecciona una broma y una "víctima", que es contactada telefónicamente por MIRACLIA desde su propio sistema a través de un número oculto (llamada de broma), realizándose una grabación de la conversación que se pone a disposición del usuario de la aplicación.
El uso de la aplicación móvil y servicios web citados se regula en el documento denominado "Términos y Condiciones de Uso del Servicio", que se declara reproducido en este acto a efectos probatorios...
2. Los Servicios de Inspección de la Agencia, con fechas 6, 9 y 12 de septiembre de 2019, realizaron unas pruebas consistentes en descargar la aplicación en un terminal móvil y proceder a su uso disponiendo la realización de llamadas de broma. Como resultado de estas actuaciones se obtuvieron las constataciones siguientes:
. Durante el proceso de instalación el usuario recibe, entre otros, los mensajes siguientes:
"Lee en detalle estos Términos y Condiciones legales y pulsa aceptar si eres mayor de 18 años y aceptas la totalidad de lo estipulado. En caso contrario, abandona la aplicación y elimínala del terminal. Recuerda, en caso de grabar una broma y difundirla con tus amigos, es porque has solicitado permiso a la persona que ha recibido la broma y ésta te lo ha dado. Tu eres el responsable único de esta acción".
"Miraclia no recoge datos de los destinatarios de las bromas. La actividad de Miraclia es la de facilitar un medio de telecomunicaciones para que el titular del teléfono que se descarga la app, elija una broma y la grabe, quedando los datos relativos al destinatario de la llamada almacenados en el terminal del propio usuario sin que Miraclia conserve información del número de teléfono del destinatario. Miraclia presta un servicio de almacenamiento en la nube de los ficheros de audio del cliente y en ningún momento difunde ni comparte con nadie esa información, dado que es información privada del usuario de la aplicación" (este párrafo se incluye también en la política de privacidad).
Inmediatamente después de estos textos se incluye un botón con la indicación "Continuar".
. La aplicación "Juasapp" consta de 3 pestañas: "Listado" (bromas disponibles), "Ejemplos" y "Mis bromas". En esta última pestaña se guardarán las bromas realizadas por el bromista, si no son eliminadas.
. El número de teléfono de la llamada entrante de broma aparece como "Número privado" en todos los casos.
. En la versión instalada para las pruebas, la última disponible en la tienda de aplicaciones para sistemas operativos Android "Play Store", el bromista, no tiene opción de elegir si la broma queda grabada o no. La broma queda grabada siempre, a no ser que el receptor decida borrarla siguiendo alguno de los procedimientos establecidos para ello. Si esto no ocurre, la grabación permanece en los sistemas de MIRACLIA hasta que el bromista decide eliminarla o, como norma general, por un periodo de tiempo de 6 meses posterior al uso de la aplicación, establecido por la propia entidad.
. En ningún momento a lo largo de la conversación telefónica se identifica a la aplicación Juasapp como gestor de la llamada ni a la compañía desarrolladora MIRACLIA como propietaria de la plataforma. Por lo tanto, el receptor de la broma desconoce dónde debe dirigirse para obtener más información sobre la llamada o ejercitar sus derechos. En ningún momento se cita a la persona bromista.
. Tampoco se informa en ningún momento, durante el desarrollo de la broma, que la conversación esté siendo o pueda ser grabada.
. Se comprueba que al final de la broma se escucha la siguiente locución: "Un amigo suyo le ha gastado una broma. En caso de que no quiera que su amigo pueda escuchar, descargar o difundir la broma, o en caso de que no quiera recibir más bromas, pulse 5 con su teclado después de la señal. Beeep" Desde la finalización de la broma hasta que se produce la locución transcurre un espacio de tiempo en silencio de 10 segundos.
. El "borrado" de la grabación de la broma y la inhabilitación para seguir recibiendo bromas pulsando la tecla 5 una vez oída la señal indicada en la locución final, ha resultado inestable en las pruebas realizadas. En una ocasión en la que se pulso la tecla 5 antes de la señal y otra después, el mecanismo falló; en otras dos ocasiones en las se pulsó una sola vez después de la señal, se eliminó satisfactoriamente. Se comprobó que no existe confirmación de borrado de la broma, simplemente, cuando transcurren 10 segundos aproximadamente desde la señal indicada para pulsar la tecla 5, se corta la comunicación.
En los casos en que la eliminación funcionó correctamente, la broma desaparece del listado de bromas realizadas del bromista, no pudiendo por tanto ser compartida, descargada ni escuchada. También se ha constatado que el número de teléfono quedó bloqueado para la recepción de más bromas.
. En el listado de bromas realizadas por el bromista, junto a cada una de las bromas no eliminadas por el receptor de la broma siguiendo el procedimiento indicado, aparecen tres iconos: uno para descargar el archivo de audio de la grabación de la conversación telefónica de la broma, otro para escucharla y un tercero para compartirla. En este último caso, se envía el enlace al archivo de audio de la grabación a través del medio que se haya elegido para compartirla. Este es el único momento en el que el bromista conoce el enlace al archivo de audio.
. En el caso de que el bromista deje presionado el dedo en una determinada broma de la lista de las bromas realizadas, aparece una ventana emergente ofreciendo la posibilidad de eliminar el archivo de audio de los sistemas de MIRACLIA, pero esta acción no es tan intuitiva como las tres anteriores al carecer de icono específico.
. En las bromas guardadas, figura el número de teléfono de destino, tipo de broma, fecha y hora de realización.
. Desinstalada la aplicación y reinstalada de nuevo, se observa que los números de teléfono de destino de las bromas realizadas aparecen como "?", lo que hace pensar que este dato está almacenado localmente, y no en los servidores de MIRACLIA.
. Las llamadas de broma pueden ser instantáneas o programadas especificando fecha y hora de ejecución. En este caso, el teléfono del destinatario se almacena en los sistemas de la entidad MIRACLIA hasta el momento de realizar la llamada. A este respecto, MIRACLIA ha declarado en sus alegaciones que el número de teléfono destinatario de la broma queda encolado con la llamada a realizar, el cual desaparece de sus sistemas cuando la llamada se realiza.
El inspector actuante programó una broma en su terminal para su ejecución diferida y a continuación se apagó dicho terminal. La llamada se realizó en el momento programado, de lo que resulta que el teléfono quedó almacenado en los sistemas de MIRACLIA hasta el momento de ejecutar la broma (minutos, horas, días o meses).
. Para la supresión de la grabación sólo existen dos opciones: que el bromista siga el procedimiento de borrado descrito desde la aplicación; o bien solicitarlo a MIRACLIA, cuestión difícil para el afectado considerando que no se pone de manifiesto en ningún momento quién gestiona la llamada, ni la empresa responsable de la misma. Además, para ello el afectado necesitará conocer el enlace al archivo de audio y tampoco dispone de esta información, a no ser que se la facilite el usuario (se puede eliminar la broma conociendo la url de la grabación y utilizando el mecanismo habilitado en la web junto a la solicitud de bloqueo del número de línea de telefonía).
3. MIRACLIA ofrece en su web "juasapp.es" un sistema gratuito e inmediato para incluir un número de teléfono en la lista de teléfonos bloqueados.
Por la inspección actuante se realizó una prueba dando de alta en dicho sistema el número de teléfono correspondiente a la segunda SIM del terminal del inspector actuante. Posteriormente, se intentó realizar una broma a ese número de teléfono y la aplicación no permitió su ejecución.
4. MIRACLIA no dispone de una plataforma en la que se publiquen las bromas realizadas para que pueda acceder cualquier tercero, pero las grabaciones de las bromas se encuentran alojadas en un sitio público, lo que posibilita el acceso a las mismas mediante el enlace al archivo de audio, que puede ser difundido indiscriminadamente por el usuario bromista.
5. Con fecha 02/12/19 se verifica que por medio del enlace http://juasapp.mobi/ web/change, se puede cambiar el país en el que opera la aplicación. Entre estos países se encuentran tanto pertenecientes a la Unión Europea (Austria, Bélgica, Alemania, etc.) como fuera de ella (China, Estados Unidos, Argentina, Brasil, Corea del Sur, etc.). También se comprueba que los términos y condiciones de uso del servicio están redactados en español, italiano, francés inglés y alemán.
6. Con fecha 03/12/2019 se realiza una instalación de la aplicación, verificándose que el proceso no da opción a configurar otro país ni otro idioma, si bien los términos y condiciones de uso del servicio están redactados en español, italiano, francés inglés y alemán, los mismos idiomas que están disponibles al acceder por Internet a la web.
7. El reclamante 1 ha manifestado que, con fecha 01/09/2018, recibió en su línea de telefonía móvil NUM000 una llamada de broma a través de la aplicación "Juasapp", en la que una persona fingía ser un agente de policía. Denuncia que la llamada fue grabada y difundida a terceros sin su conocimiento ni consentimiento; y que la llamada se produce desde un número oculto.
8. La reclamante 2 ha manifestado que, con fecha 29/06/2019 fue objeto de una llamada telefónica de broma llevada a cabo utilizando la aplicación "Juasapp", la cual fue grabada y difundida por redes sociales con la mención de su nombre sin su permiso (aporta el enlace al audio objeto de la denuncia "http://juasapp.mobi:8080/...").
Con fecha 26/08/2019, por los Servicios de Inspección se accede a la web "juasapp.es", a la URL correspondiente a la grabación de la broma realizada a la reclamante 2. Se comprueba que utilizando el botón derecho se muestran distintas opciones, entre ellas la de reproducir y descargar la grabación.
9. Los Servicios de Inspección de la Agencia han comprobado que las bromas denunciadas por los reclamantes 1 y 2 figuran en el catálogo de bromas de disponible en "Juasapp">>.
SEGUNDO.- Alega, en síntesis, la parte actora lo siguiente: Que Miraclia Telecomunicaciones, S.L. (en lo sucesivo Miraclia) presta desde el 25 de mayo de 2018 un servicio que ha sido calificado por la Comisión Nacional de los Mercados y la Competencia (en adelante CNMC), como "servicio de comunicaciones electrónicas" habiendo sido inscrita en el Registro de Operadores como "Operador de servicios de comunicaciones electrónicas". El servicio que realiza Miraclia desde mayo de 2018 consiste en un servicio de comunicaciones electrónicas prestado bajo la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones (en lo sucesivo LGT). Miraclia presta dicho servicio bajo el nombre comercial "Juasapp", y no realiza ningún otro servicio. Con anterioridad a mayo de 2018, Miraclia no actuaba como operador y fue sancionado por la Agencia Española de Protección de Datos. Estamos en el presente procedimiento, ante un escenario completamente distinto al que llevó a Miraclia a los tribunales con relación al servicio que prestaba y en calidad de qué (operador actualmente) lo prestaba.
En la demanda se alegan los siguientes motivos de impugnación: 1º.- Infracción del art. 95 del RGPD. No se pueden imponer obligaciones adicionales a Miraclia como prestador de servicios de comunicaciones electrónicas.
Que Miraclia es un operador de comunicaciones electrónicas reconocido y declarado por el organismo competente, la CNMC, por lo que éste es el único organismo habilitado legalmente para determinar si se cumplen o no los requisitos para prestar servicios de comunicaciones electrónicas, y, no la Agencia Española de Protección de Datos.
Por tanto, si Miraclia es un operador de comunicaciones electrónicas y cumple con los requisitos y con efectos de 25 de mayo de 2018, es de aplicación, desde tal fecha, la normativa específica de los operadores, esto es la LGT y, a efectos interpretativos, la Directiva 2018/1972 del Parlamento y del Consejo de 11 de diciembre de 2018, por la que se establece el Código Europeo de Comunicaciones Electrónicas.
De conformidad con lo establecido en el Considerando 173 y el art. 95 del RGPD, no se impondrá obligaciones adicionales a las personas físicas o jurídicas en materia de tratamiento en el marco de la prestación de servicios públicos de comunicaciones electrónicas en redes públicas de comunicación, en ámbitos en los que estén sujetas a obligaciones específicas con el mismo objetivo establecidas en la Directiva 2002/58/CE (Directiva sobre la privacidad y las comunicaciones electrónicas). En este sentido, no cabe recabar consentimiento del destinatario de la llamada, que por otra parte no es usuario de "Juasapp" sino el asignatario de un número de recursos públicos de numeración, ni la de informar sobre su eventual tratamiento de datos, dado que si Miraclia hiciera esto estaría interviniendo una comunicación privada e incumpliendo por tanto las obligaciones que le impone la LGT, como operador de comunicaciones electrónicas que es.
Se argumenta que sería aplicable, en su caso, la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), traspuesta a nuestro ordenamiento a través del Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas.
Y, todas las obligaciones en materia de privacidad que la LGT y su normativa sectorial se cumplen por parte de Miraclia, pero lógicamente con el alcance establecido y con respecto a sus usuarios. Sin embargo, la Agencia Española de Protección de Datos no sanciona a Miraclia por el tratamiento de los datos de los usuarios, sino de los destinatarios de las llamadas cuando la ley no establece ninguna obligación en este sentido para los operadores.
Se resalta por la parte actora, que Miraclia no hace "otros tratamientos", ya que en la operativa interviene el número de teléfono del destinatario de la llamada (dato de tráfico de la comunicación electrónica) y la grabación (grabación que hace el usuario nunca Miraclia). No hay "otros datos personales".
2º.- Nulidad del acto impugnado por incompetencia del órgano que lo ha dictado. La Agencia Española de Protección de Datos, debería haberse abstenido de continuar adelante con el procedimiento sancionador una vez que la condición de operador ha sido alegada ya que se aprecia una clara incompetencia por razón de la materia, negando la mayor y pretendiendo que Miraclia informe a los destinatarios de la comunicación electrónica y les pida su consentimiento para ser grabados no por Miraclia, sino por quien hace la llamada.
TERCERO.- Las sanciones que se han impuesto a la parte actora son por la infracción de los arts. 13 y 14 del RGPD, al no informar en ningún momento al interesado, es decir, al embromado, del contenido de sus derechos, y por la infracción del art. 6.1 del citado Reglamento, al considerar que en el tratamiento de datos personales el interesado no prestó consentimiento, y que dicho tratamiento no está amparado por el interés legítimo que prevé el art. 6.1.f) del RGPD.
Los diferentes motivos de impugnación de la parte actora se pueden reconducir según argumenta aquella, que es un operador de comunicaciones electrónicas reconocido y declarado por el organismo competente, la CNMC, con efectos de 25 de mayo de 2018, por lo que éste es el único organismo habilitado legalmente para determinar si se cumplen o no los requisitos para prestar servicios de comunicaciones electrónicas, y, no la Agencia Española de Protección de Datos, que no es competente para sancionarla, habiéndose infringido el art. 95 del RGPD que establece que, dicho Reglamento no impondrá obligaciones adicionales a las personas físicas o jurídicas en materia de tratamiento en el marco de la prestación de servicios públicos de comunicaciones electrónicas en redes públicas de comunicación en ámbitos en los que estén sujetas a obligaciones específicas con el mismo objetivo establecidas en la Directiva 2002/58/CE.
Así las cosas, tenemos que partir que la sociedad recurrente ya fue sancionada antes de la entrada en vigor del RGDP, por la infracción del art. 6.1 de la derogada Ley Orgánica 15/1999, de 13 de diciembre, por falta de consentimiento del interesado al tratamiento de sus datos personales, que ha sido objeto de varias Sentencias desestimatorias de esta Sección de 29 de noviembre -recurso nº 554/2017-, y de 21 de diciembre -recurso nº. 422/2017-, ambas de 2018, de 31 de enero -recurso nº. 152/2018-, y de 4 de abril -recurso nº. 423/2017-, ambas de 2019. Interpuestos recursos de casación fueron desestimados por Sentencias del Tribunal Supremo de 18 y 22 de junio de 2020, recaídas en los recursos números 1.074/2019, 1.745/2019, 2134/2019 y 4.958/2019, respectivamente.
Lo que se pone de manifiesto por la sociedad actora es que, desde el 25 de mayo de 2018, es un operador de comunicaciones electrónicas reconocido y declarado como tal por la CNMC, por lo que no se le puede aplicar la normativa de protección de datos, de acuerdo con el art. 95 del RGPD.
Debemos de partir que la parte recurrente ha sido sancionada en virtud de dos denuncias por hechos acontecidos el 1 de septiembre de 2018 y el 29 de junio de 2019.
Así las cosas, el cambio de actividad como operador de comunicaciones electrónicas de la parte actora, solamente se puso de manifiesto durante la tramitación del procedimiento sancionador, el 3 de agosto de 2020, con la presentación de alegaciones a la propuesta de resolución, y no se invocó ni en el escrito de alegaciones sobre la primera denuncia de 30 de octubre de 2018, ni en la contestación al requerimiento de información presentada el 25 de junio de 2019, ni en las alegaciones al acuerdo de incoación del expediente sancionador efectuadas el 3 de diciembre de 2019.
Por otro lado, es cierto que consta en el Anexo I de la resolución de 16 de noviembre de 2020 de la CNMC, por la que se inscribe en el Registro de Operadores, a la entidad Miraclia Telecomunicaciones S.L., como persona autorizada para realizar la actividad de servicio telefónico sobre redes de datos en interoperabilidad con el servicio telefónico disponible al público, que el inicio de la actividad es el 25 de mayo de 2018, pero ello no significa que en dicha fecha la parte actora realizara dicha actividad. En este sentido, la sociedad recurrente notificó el 19 de octubre de 2020 a la CNMC su intención de prestar un servicio de comunicaciones electrónicas interpersonales basado en numeración, al amparo de la autorización general establecida en el art. 6.1 de la LGT. Y así, en el Fundamento de Derecho Séptimo de la citada resolución de 16 de noviembre de 2020, se dice: "Analizada la descripción funcional aportada por el interesado, la actividad notificada se corresponde actualmente con la prestación del servicio de comunicaciones electrónicas denominado servicio telefónico sobre redes de datos en interoperabilidad con el servicio telefónico disponible al público, bajo cuya denominación será objeto de inscripción en el Registro de Operadores". Es decir, que la actividad notificada se corresponde, en ese momento, al dictarse la resolución por la CNMC, con la prestación del servicio de comunicaciones electrónicas denominado servicio telefónico sobre redes de datos en interoperabilidad con el servicio telefónico disponible al público.
Por otra parte, el art. 6.2 de la LGT, dispone: "Los interesados en la explotación de una determinada red o en la prestación de un determinado servicio de comunicaciones electrónicas deberán, con anterioridad al inicio de la actividad, comunicarlo previamente al Registro de operadores en los términos que se determinen mediante real decreto, sometiéndose a las condiciones previstas para el ejercicio de la actividad que pretendan realizar".
Mientras que el art. 7.1 de la citada norma, establece: " Se crea, dependiente del Ministerio de Industria, Energía y Turismo, el Registro de operadores. Dicho Registro será de carácter público y su regulación se hará por real decreto. Se garantizará que el acceso a dicho Registro pueda efectuarse por medios electrónicos. En él deberán inscribirse los datos relativos a las personas físicas o jurídicas que hayan notificado su intención de explotar redes o prestar servicios de comunicaciones electrónicas, las condiciones para desarrollar la actividad y sus modificaciones".
Es decir, en la LGT se impone como obligación la comunicación o notificación al Registro de Operadores de la intención de prestar una determinada actividad de comunicaciones electrónicas, incluyendo la información que se señala en el art. 5.5 del Reglamento, sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios, aprobado por el Real Decreto 424/2005, de 15 de abril (Reglamento sobre condiciones de prestación de servicios). Y esta notificación, ha de producirse con anterioridad al inicio de la actividad.
Así las cosas, con lo expuesto no se puede pretender por la parte actora, que con la resolución de 16 de noviembre de 2020 de la CNMC, se ha reconocido a la parte recurrente como un operador de comunicaciones electrónicas desde el 25 de mayo de 2018, y, en este sentido, es relevante, la resolución de 22 de abril de 2021 de la Sala de Supervisión Regulatoria de la CNMC, aportada por dicha parte con la demanda, referente a una sanción impuesta a Microsoft Ireland Operations Limited por la infracción del art. 74.b) de la LGT, por haber iniciado la prestación del servicio telefónico sobre redes de datos con interoperabilidad con el servicio telefónico disponible al público ("Skype a teléfono"), sin haber realizado la comunicación previa al Registro de Operadores de conformidad con lo dispuesto en el art. 6.2 de la LGT. Y, dicha comunicación previa se produjo en el caso que nos ocupa, el 19 de octubre de 2020, es decir, posteriormente, a los hechos por los que ha sido sancionada la parte actora, y a la incoación del expediente sancionador.
Por otro lado, debemos añadir, que las comprobaciones realizadas por los servicios de inspección de la Agencia Española de Protección de Datos sobre la aplicación "Juasapp", para determinar la existencia de las infracciones imputadas a la parte recurrente, fueron llevadas a cabo en el año 2019, mientras que los dictámenes periciales elaborados por el perito don Teofilo, Ingeniero de Telecomunicación de 1 de octubre de 2020, como el de 15 de mayo de 2021, que tiene por objeto clarificar la metodología de trabajo y proceso de análisis empleado para la elaboración de la auditoría, y también el informe de 19 de mayo de 2021 aportado como documento 6º a la demanda, realizado por el Ingeniero de Telecomunicación don Arcadio, cuya finalidad es demostrar que el servicio denominado "Juasapp" comercializado por Miraclia a través de diferentes plataformas de descargas de aplicaciones móviles, corresponde a un servicio de comunicaciones vocales, según el art. 2 (apartado 32) de la Directiva (UE) 2018/1972 por la que se establece el Código Europeo de Comunicaciones Electrónicas (CECE), no explican si existen o no diferencias entre el sistema que se encontraba en funcionamiento en el momento en que acontecieron los hechos por las que ha sido sancionada la sociedad actora, y el sistema auditado en los citados informes.
Es más, como se pone de manifiesto en la resolución sancionadora, existen diferencias entre los sistemas de información que se describen en los informes periciales con los que examinaron los técnicos de la Agencia, como por ejemplo: La llamada de broma se iniciaba por el propio sistema de Miraclia, y no por el usuario de la aplicación; en aquella llamada no se permitía el intercambio de información entre el usuario y el destinatario de la llamada; la aplicación "Juasapp" no ofrecía al usuario la posibilidad de editar el mensaje vocal, solo la selección de un archivo de audio pregrabado de entre un listado de bromas dispuesto por la recurrente; la grabación de la llamada de broma quedaba en los sistemas de información de Miraclia y dicha grabación se realizaba en todo caso, no solo cuando así lo decidiera el usuario.
Por tanto, no cabe apreciar que en el momento acontecieron los hechos por los que ha sido sancionada la sociedad recurrente, 1 de septiembre de 2018 y el 29 de junio de 2019, realizara un servicio de comunicaciones electrónicas.
CUARTO.- As í las cosas, partiendo de que la actividad por la que ha sido sancionada la parte actora, no tiene la consideración de servicio de comunicaciones electrónicas cuando acontecieron los hechos por los que ha sido sancionada conforme a lo expuesto anteriormente, le resultaría aplicable la normativa de protección datos, siendo el órgano competente, en su caso, para sancionarla la Agencia Española de Protección de Datos.
Las sanciones impuestas a la sociedad recurrente son por las infracciones de los arts. 6 y 13 y 14 del RGPD.
El art. 6.1 del RGPD establece: "1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones".
Mientras que el art. 6 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, dispone: "1. De conformidad con lo dispuesto en el artículo 4.11 del Reglamento (UE) 2016/679 , se entiende por consentimiento del afectado toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
2. Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas.
3. No podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual".
Pues bien, la citada infracción imputada a la parte actora, una vez descartada que en los hechos sancionados tuviese una actividad como servicio de telecomunicaciones, hace que nos encontremos ante los mismos supuestos que han sido objeto de las Sentencias citadas de 29 de noviembre y 21 de diciembre de 2018, de 31 de enero y de 4 de abril, ambas de 2019 de esta Sección, cuyos recursos de casación fueron desestimados por las Sentencias del Tribunal Supremo de 18 y 22 de junio de 2020.
En este sentido, en las citadas Sentencias del Tribunal Supremo de 22 de junio de 2020, se declara: "En lo que concierne a fijar el alcance del artículo 2.2 a) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , que establece que no será de aplicación el régimen de protección de los datos de carácter personal a los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas, esta Sala considera, siguiendo los criterios jurídicos expuestos en la sentencia de esta Sala 18 de junio de 2020 (RCA 1074/2019 ), que la sentencia de instancia no incurre en error de Derecho, al sostener que la actividad desarrollada por la mercantil Miraclia Telecomunicaciones, S.L., consistente en proceder al registro de números de teléfonos de determinadas personas para realizar llamadas conjuntamente con su voz, procediendo a grabarlas, al realizar un servicio de alojamiento de contenidos multimedia para su acceso a través de unos dispositivos móviles GSM a través de la aplicación Juasapp, no puede considerarse limitada a un ámbito personal o doméstico, a los efectos de determinar su exclusión de la normativa de protección de datos de carácter personal (...).
La argumentación de la empresa sancionada se basa en considerar que se trata de una actividad particular de una persona que decide gastar una broma a otra (en castellano embromado, no "abromado") y en la cual la empresa actúa como una mera intermediaria ajena a los hechos y que presta un servicio facilitando esa actividad. Pero resulta obvio que la cuestión no reside en si se puede calificar como particular o doméstica la actividad de gastar una broma (la actividad del particular que contrata el servicio), sino si el tratamiento de datos (actividad única y exclusivamente de Miraclia) se realiza en un ámbito particular o doméstico. Y son dos los requisitos legales para que entre en juego la cláusula de exclusión, que el tratamiento de datos lo haga un particular y que lo haga en el marco de una actividad exclusivamente particular o doméstica.
Pues bien, como es palmario, no se da ninguno de los dos requisitos. Quien efectúa el tratamiento de datos (actividad causante de la sanción, no la de gastar la broma) es la empresa sancionada, no quien gasta la broma, y es ocioso señalar que Miraclia no es una persona física, razón suficiente para que no entre ya en juego la referida cláusula excluyente de la protección de datos. Y, por lo demás, tampoco el tratamiento de datos efectuado por Miraclia lo es en el marco de una actividad particular o doméstica, carácter que se podría adscribir a la actuación del particular que gasta la broma, pero en ningún caso a la sociedad Miraclia, que desarrolla su actividad prestadora de servicios facilitando los medios para que una persona embrome a otra como una actividad comercial que le reporta beneficios económicos. Por tanto, el tratamiento de datos que ha sido objeto de sanción por parte de la Agencia Española de Protección de Datos ni está desarrollado por un particular, pues Miraclia no lo es, ni se ha realizado en el contexto de una actividad exclusivamente personal o doméstica, puesto que lo ha sido en el marco de una actividad comercial de Miraclia que implicaba el tratamiento informatizado de datos personales".
En lo que respecta a resolver la cuestión casacional planteada, referida a en qué condiciones o con qué alcance la voz de una persona debe considerarse de carácter personal, esta Sala estima ajustado a Derecho el razonamiento del Tribunal de instancia, que sostiene, con base en la jurisprudencia del Tribunal de Justicia de la Unión Europea, que la voz, en cuanto constituye un registro sonoro de una persona que proporciona información concerniente a la misma, se incardina en la definición de "datos de carácter personal" que refiere el artículo 2.3 a) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal
En efecto, como hemos sostenido en la sentencia de esta Sala jurisdiccional de 18 de junio de 2020 , la tesis desarrollada por la defensa letrada de la mercantil recurrente, no puede prosperar...".
Y, se añade más adelante: "Quiere esto decir que los datos sólo son datos personales sujetos a la normativa de protección aquéllos que se refieren a personas físicas identificables, como reclama la empresa demandante. Pues bien la argumentación de la parte consiste en afirmar que la propia empresa no almacena el teléfono de la persona embromada y que por tanto Miraclia no puede identificar a todas las que han sido objeto de bromas por medio de su aplicación JUASAPP. Sin embargo, tal argumentación ha de ser rechazada por varias razones, tanto de carácter fáctico y como de naturaleza jurídica.
En primer lugar y como destaca la Sala de instancia, la defensa adoptada en el presente procedimiento resulta frontalmente contradictoria con la conducta de la actora, que tras finalizar la grabación comunica al embromado que su teléfono les ha sido proporcionado por un amigo o conocido y que salvo oposición por su parte "sus datos personales formarán parte de un fichero titularidad de Miraclia" y le proporciona las direcciones para el ejercicio de sus derechos de acceso, rectificación, cancelación y oposición. Es difícil admitir que Miraclia procediese de esa manera si no estuviese almacenando datos personales en el estricto concepto legal de los mismos en opinión de sus propios servicios jurídicos y que, por tanto, el tratamiento de datos con la grabación de la voz del embromado o bien incluía su teléfono o bien permitía la identificación del sujeto grabado a través del resto de datos almacenados.
En segundo lugar, la sentencia de instancia admite como dato fáctico, que no resulta revisable en casación, que Miraclia conserva el número telefónico de los particulares objeto de la broma. Así, en el fundamento de derecho cuarto (ya reproducido), la Sala afirma que "en el caso que nos ocupa, aparte del número de teléfono de los denunciantes afectados, que si bien por sí solo podría no ser considerado dato personal conforme a la Sentencia de esta Sala de 17 de septiembre de 2008 (Rec. 353/2007 ), Miraclia procede a registrar también la voz de los denunciantes a través de la oportuna grabación de la broma, susceptible de ser difundida". Hemos de concluir por tanto que Miraclia almacena y trata datos personales de los embromados que incluyen teléfono y voz, datos que conjuntamente sin duda hacen que la persona afectada sea perfectamente identificable. Por lo demás, tal afirmación de la Sala de instancia sobre el registro tanto de la voz como del número de teléfono de los afectos de la Sala de instancia se apoya en los hechos recogidos en la resolución sancionadora de la Agencia Española de Protección de Datos en los que se da por acreditado el almacenamiento de ambos datos.
Pero es que además, el tratamiento de datos personales identificables no se proyecta únicamente frente al titular de la base de datos, sino también frente a terceros. Esto es, sería una interpretación ad absurdum sostener que se respeta la normativa de protección de datos con un tratamiento de datos que no serían identificables por el responsable del fichero pero que serían accesibles para terceros que sí podrían identificar a los sujetos a quienes pertenecen los datos, como sucede precisamente en el caso de autos. En efecto, aun admitiendo a efectos meramente argumentales que Miraclia no almacenase más que la voz grabada de los embromados y que no pudiera identificar los sujetos a quienes pertenecen las grabaciones, resulta que dichas grabaciones son accesibles e incluso descargables por terceros (los usuarios de la aplicación de Miraclia que gastan las bromas) que conocen la identidad de los embromados (de hecho, son quienes han proporcionado a Miraclia su teléfono) de forma totalmente inconsentida por los afectados. De hecho, Miraclia comunica al que ha gastado la broma y pretende descargar la grabación que para ello debe haber obtenido el consentimiento del afectado. Sin embargo, se trata de una pregunta telefónica que el usuario puede contestar afirmativamente sin acreditar en forma alguna que dicho consentimiento haya sido obtenido. Miraclia pone así a disposición de terceros datos personales de personas identificables por ellos (el teléfono que han proporcionado más la voz grabada) y almacenados por la propia Miraclia sin que le conste en forma alguna el consentimiento de los afectados. Una broma grabada que puede haber sido bien recibida o, como en alguno de los casos denunciados, haber provocado inquietud, alarma o reacciones -que pueden haber quedado grabadas- y que el sujeto afectado puede preferir que no sean conocidas.
A este respecto no es ocioso recordar que el objeto de la protección frente al almacenamiento y tratamiento de datos personales tiene por objetivo último la protección de la privacidad de las personas, bien constitucionalmente protegido que las bromas telefónicas en cuestión ponen indudablemente en riesgo al grabarlas (sin consentimiento previo) y permitir descargar la grabación y, por tanto, difundir la misma por terceros (sin que conste el consentimiento del afectado)".
Respecto al consentimiento se dice: < letra a) del artículo 3 de la Ley Orgánica 15/1999 vigente en el momento de los hechos define el consentimiento como "toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen". El citado Reglamento General comunitario define el consentimiento del afectado en términos análogos, como "toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen" (artículo 4.11).
Pues bien, no parece que puedan predicarse tales rasgos de un "consentimiento" pasivo otorgado de forma negativa, esto es, como no oposición a una pregunta solicitada telefónicamente al cabo de una grabación sorpresiva como lo es una broma en las circunstancias que concurren en el caso.
En conclusión, hemos de rechazar la segunda alegación puesto que, en contra de lo que sostiene la demandante, hay tratamiento de datos personales, respecto al que resulta sumamente dudoso que pueda admitirse que hubo consentimiento">>.
Luego se trata en las Sentencias del Tribunal Supremo de la cuestión de la fijación de doctrina relativa a en qué términos debe llevarse a cabo la ponderación que prevé el art. 7 f) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos. Se declara al respecto: <<... debe estarse a lo resuelto en la sentencia de esta Sala de 18 de junio de 2020 , en que dijimos:
"[...] En ningún caso podría prevalecer la realización de una actividad de ocio frente a la protección de datos personales en relación con un tratamiento informático de los mismos. No se trata de comparar la mayor o menor relevancia de una actividad de ocio frente a la protección de los datos personales, sino que una actividad de ocio -como cualquier otra- debe atenerse a la protección de datos en caso de que dicha actividad implique el tratamiento informatizado de tales datos personales. Y si dicho tratamiento y el consentimiento requerido hace difícil (o inviable), una determinada actividad, ello no es causa para suspender la efectividad de los datos personales de los individuos potencialmente afectados.
Pero es que además, la parte recurrente equivoca el planteamiento de la cuestión. El carácter privado sólo se puede predicar de la relación entre el bromista y el embromado, pero no de la actividad de la empresa que facilita la aplicación y efectúa el tratamiento de los datos. El interés de ésta no es única ni principalmente el proporcionar un medio de ocio, sino el beneficio comercial que obtiene con ello. Dicho interés comercial es sin duda alguna legítimo, pero desde luego no puede prevalecer sobre la protección de los datos de las personas afectadas, la cual requiere su pleno y libre consentimiento informado para que tales datos sean sometidos a tratamiento informático. No ha habido, por tanto, vulneración de los preceptos invocados, sino que la ponderación de intereses efectuada por la Sala de instancia es conforme a derecho.">>.
Y, conforme a lo expuesto, se llega a las siguientes conclusiones: "1.- El tratamiento de datos efectuado por una empresa en el marco de su actividad mercantil no puede considerarse comprendido en el supuesto de exclusión de la protección de datos por tratarse de actividades exclusivamente personales o domésticas, aunque el servicio prestado por la empresa consista en facilitar una relación entre personas físicas.
2.- La grabación de la voz asociada a otros datos como el número de teléfono o su puesta a disposición de otras personas que pueden identificar a quien pertenece ha de considerarse un dato de carácter personal sujeto a la normativa de protección del tratamiento automatizado de los mismos.
3.- Los intereses comerciales de una empresa responsable de un fichero de datos han de ceder ante el interés legítimo del titular de los datos en la protección de los mismos".
Por otra parte, si bien, en los supuestos examinados por esta Sección y por el Tribunal Supremo, era de aplicación la Ley Orgánica 15/1999, de 13 de diciembre, y la Directiva 95/46/CE, lo cierto es que, como se dice en las anteriormente reseñadas Sentencias del Tribunal Supremo, la citada normativa < Reglamento 2016/679, del Parlamento y del Consejo, de 27 de abril de 2016 ), cuya traslación al ordenamiento nacional ha sido efectuado por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, establece en su parágrafo 26 lo siguiente:
"(26) Los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable. Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable. Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos. Por lo tanto los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación">>.
Por tanto, a tenor de lo expuesto y lo declarado al respecto en nuestras Sentencias y las del Tribunal Supremo mencionadas, y teniendo en cuenta que las alegaciones efectuadas por la parte actora se basan esencialmente en que la actividad que desarrolla es como un operador de servicios de comunicaciones electrónicas, no se ha desvirtuado la existencia de la infracción analizada, al no considerarse que el tratamiento de datos personales que lleva a cabo Miraclia esté amparado por el interés legítimo que prevé el art. 6.1.f) del RGPD, ni que tampoco el interesado presta su consentimiento para dicho tratamiento de datos, el cual resulta ilícito.
QUINTO.- También se le imputa a la parte actora la infracción de los arts. 13 y 14 del RGPD. El art. 12.1 del RGP establece la obligación del responsable del tratamiento de tomar las medidas oportunas, para " facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios".
Por su parte, el art. 13 del RGPD detalla la " información que deberá facilitarse cuando los datos personales se obtengan del interesado" y el art. 14 del citado Reglamento se refiere a la "información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado".
Así las cosas, la parte actora no ha informado previamente de ninguna de dichas circunstancias a los denunciantes, de manera que se infringe el derecho fundamental a la protección de datos de éstos, quienes no han tenido conocimiento, previamente a la grabación que siempre realiza Miraclia de sus datos en sus sistemas, de las circunstancias que la normativa establece que deben conocer. Sobre dicha falta de información no se alega en la demanda nada al respecto por la parte demandante, al considerar que actuó como un operador de servicios de comunicaciones electrónicas.
Finalmente, el art. 72 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, establece: "Infracciones consideradas muy graves: 1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
(...) b) El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679 .
(...) h) La omisión del deber de informar al afectado acerca del tratamiento de sus datos personales conforme a lo dispuesto en los artículos 13 y 14 del Reglamento (UE) 2016/679 y 12 de esta Ley Orgánica".
En consecuencia, cabe apreciar la existencia de las dos infracciones muy graves imputadas a la parte actora, por lo que se desestima el recurso contencioso-administrativo.
SEXTO.- A tenor del art. 139.1 de la Ley de la Jurisdicción, procede hacer expresa imposición de las costas procesales a la parte actora.
VISTOS los artículos citados, y demás de general y pertinente aplicación.
