Sentencia Contencioso-Administrativo Audiencia Nacional. Sala de lo Contencioso-Administrativo. Sección Primera, Rec. 1769/2021 de 16 de octubre del 2023

PRIMERO : La parte recurrente, la entidad ALLIANZ COMPAÑÍA DE SEGUROS Y RESASEGUROS, S.A. (en adelante ALLIANZ) interpone recurso contencioso administrativo contra la resolución de 10 mayo 2021, PS/00123/2021 de la Agencia Española de Protección de Datos que impone sanción pecuniaria a la recurrente.

La resolución señala que en virtud de denuncia presentada contra Allianz, la reclamada manifestó que se le había cobrado un seguro de moto del que ni era titular ni tomadora ni había dado autorización para el uso de sus datos. De la reclamación se dio traslado a Allianz dando respuesta y especificando que conforme a los archivos internos, la reclamada figura como tomadora de una póliza de moto emitida en 2016 a través del intermediario de seguros Peris Corredoría d Seguros SA, y anulada en 2017. El intermediario de seguros nos informa que el recibo que se cargó en la cuenta de la reclamante obedeció a un claro error informático. Se informa a la reclamante que los hechos que nos describe el intermediario son los siguientes:

- Se procedió por parte de la reclamante a la venta de la moto, previamente asegurada en ALLIANZ, a otra persona, quién, a su vez, contrató una nueva póliza con esta Compañía en 2019, a través de otro intermediario de seguros, agente exclusivo.

- El error tuvo lugar en el momento de formalizarse la contratación. Al introducir el número de matrícula para poder emitir la nueva póliza, el sistema interno, por algún motivo, arrastró el número de cuenta corriente titularidad de la reclamante y, a raíz de ello, se le cargó en su cuenta, de forma totalmente involuntaria, la prima de seguro correspondiente a la póliza contratada por el nuevo titular de la moto.

- Precisamente, que se trató de un error informático se desprende de forma clara del comprobante del cargo que se presentada a la Agencia Española de Protección de Datos, donde consta otra persona y no la reclamante, como titular del recibo.

Al pasarle al cobro el recibo a la reclamante, ésta ordena al Banco la devolución del mismo.

- Asimismo, nos consta que la reclamante formuló una reclamación interna a esta Compañía sobre dicho cargo indebido y, que el Departamento de Defensa del Cliente, le contestó en fecha 9 de diciembre de 2019 admitiendo el error (...)".

La resolución fija como hechos probados que: 1.- Según se manifiesta en la reclamación, la reclamante indicó que, se le había cobrado un seguro de moto sin ser titular ni tomadora del seguro, por lo que no había un tratamiento lícito de los datos personales. 2.- Según las alegaciones de la entidad reclamada, la reclamante era tomadora de una póliza de moto emitida en 2016 y anulada por ella misma en 2017. Tras investigar los hechos que originaron la reclamación, el intermediario de seguros informó a la aseguradora que el recibo que se cargó en la cuenta de la reclamante obedeció a un error informático.

La resolución continúa exponiendo que el art. 5 RGPD de los principios que han de regir el tratamiento de los datos personales y menciona entre ellos el de licitud, lealtad y transparencia, señalado: "1. Los datos personales serán: a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»); a su vez en el apartado 2 se señala que: 2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).

El artículo 6 del RGPD, sobre la licitud del tratamiento de datos personales, establece que: "1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; (...)".

En el presente caso, la reclamada realizó una cancelación de la póliza de seguros en 2017, por lo que desde ese momento la actora perdió cualquier derecho a seguir tratando esos datos. Por ello, lo declarado probado y acaecido en 2019 constituye una vulneración del art. 6 RGPD.

La LO 3/2018 en el art. 72 1. b) considera muy grave la infracción cometida y el art. 83.5.b) RGPD señala que 5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

El RGPD en el art. 83.2 se dispone: 2. Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:

a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;

b) la intencionalidad o negligencia en la infracción;

g) las categorías de los datos de carácter personal afectados por la infracción;

Por su parte, el art. 76.2 LO 3/2018 establece: 1. Las sanciones previstas en los apartados 4 , 5 y 6 del artículo 83 del Reglamento (UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación establecidos en el apartado 2 del citado artículo.

2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679 también podrán tenerse en cuenta:

a) El carácter continuado de la infracción.

b) La vinculación de la actividad del infractor con la realización de tratamientos de datos personales.

Y fija la sanción en 30.000€ por la falta de diligencia debía a la entidad, al seguir realizando un tratamiento de los datos personales de la reclamante sin causa legítima después de haber dado de baja la póliza de seguros.

Contra esta resolución se interpone el presente recurso contencioso administrativo.

SEGUNDO : La parte actora en su demanda señala que durante el año 2016-2017 la reclamante tuvo contratado un seguro de moto sobre su vehículo que, más tarde, transmitió y por tanto dejó de ser titular. El seguro se dio de alta a través de un intermediario Peris Corredoría de Seguros SA, y se anuló por la reclamante en 2017. El comprador de la moto a la reclamante el 30-9-2019 contrata un nuevo seguro de moto con la actora, póliza cuya información fue recabada por el mediador y a quien se deben de atribuir estos hechos y, además, desde el 21 julio 2020 la actora no tiene relación con el mediador ante sus incumplimientos de contrato. Las gestiones de alta y emitir la póliza las realiza el mediador. El 2- 10-2019, la reclamante informa a la actora de un cargo contra su cuenta corriente de 242,03€, cargo que no se volvió a girar. Y el 29 octubre 2019 la reclamante se dirige a la Agencia Española de Protección de Datos haciendo referencia a que se le ha cobrado un seguro de moto del que ya no es tomadora ni ha dado autorización para que se utilicen sus datos. La actora contestó al requerimiento efectuado por la Agencia Española de Protección de Datos. Alega defectuosa notificación del ejercicio de la potestad sancionadora y garantía. Hay defecto de forma en la notificación pues se altera de manera caprichosa el uso de medios electrónicos, de los distintos canales de comunicación, lo que ha generado indefensión. Art. 43 Ley 39/2015. Principio de confianza legítima, en algunos pasos del expediente se ha utilizado el correo electrónico designado por Allianz y en otras ocasiones se produce una ausencia de aviso. Error en la determinación del sujeto infractor. No se describe conducta infractora alguna constitutiva de tratamiento ilícito. Se está asumiendo que un cobro indebido ha sido precedido de una conducta infractora atribuible a Allianz. Estamos ante un cobro de lo indebido del art 1895 CC. Carga de la prueba. Caducidad del expediente sancionador, art. 67.1 LO 3/2018. Subsidiariamente, infracción leve y prescripción. Inadmisión e la reclamación, art. 65.3. LO 3/2018. Proporcionalidad y reparación. Y suplica que se tenga por formulada demanda en el presente recurso contencioso administrativo contra la resolución de la Agencia Española de Protección de Datos de 10 mayo 2021 y se dicte sentencia que estime alguna o la totalidad de las pretensiones anulatoria de la actora, y en su defecto y subsidiariamente proceda a una ponderación de la sanción acode a la cuantía o cobro que originó la reclamación.

El Abogado del estado en su escrito de contestación a la demanda se opuso a su estimación con imposición de costas a la parte actora. Hace referencia al art. 6 RGPD, y a la infracción que tipifica el art. 83.5 RGPD. La conducta tipificada está perfectamente descrita y consiste en el tratamiento de datos personales de la reclamada en el año 2019 cuando en 2017 canceló la póliza de la moto por lo que Allianz perdió el derecho a seguir tratando sus datos. El tratamiento ilícito de esos datos ha precedido al cobro, por tanto, es una conducta incardinable en el art. 6.1 RGPD. En cuanto a los defectos de notificación y confianza legítima no pueden sostenerse ya que materialmente no existe indefensión alguna. El procedimiento inicial se siguió contra el intermediario de seguros, y fue cuando apreció la Agencia Española de Protección de Datos que el cargo económico procedía de Allianz que alegó que era un error informático. No existe indefensión alguna. La Agencia Española de Protección de Datos comunicó por vía electrónica a la acora el acuerdo de inicio del procedimiento sancionador atendiendo la solicitud de Allianz y el acceso a la notificación se produce el 24-3-20 a las 10'51h (folio 87) se realiza siguiendo el art. 43 Ley 39/2015. En cuanto al principio de responsabilidad y que es otro el sujeto infractor, fue Allianz quien efectuó el cargo en cuenta corriente del seguro de una moto que fue vendida a un tercero y Allianz manifiesta que por un error informático se arrastró a la cuenta de la reclamante. Destaca el Abogado del Estado que entre el nuevo titular de la moto no existe relación con el intermediario. En cuanto al ejercicio ilegal de la discrecionalidad administrativa referido a que no se produjo perjuicio económico alguno puesto que la reclamante devolvió el recibo y nunca se le giró un nuevo cargo, este no es el motivo de la sanción. Proporcionalidad de la sanción se corresponde con la establecida en el art. 83.2 RGPD, se aprecian agravantes: - La duración de la infracción, teniendo en cuenta el alcance o propósito de la operación de tratamiento, (apartado a). - Los hechos objeto de la reclamación son imputables a una falta de diligencia de la parte de la entidad reclamada, (apartado b). - Se encuentran afectados identificadores personales básicos, datos personales, (apartado g). Y prosigue con: El carácter continuado de la infracción, (apartado a). - La vinculación de la actividad del infractor con la realización de tratamientos de datos personales, (apartado b). Todo lo anterior permite fijar la sanción en 30.000e. En cuanto a la caducidad del expediente las actuaciones no pueden durar más de 12 meses y se computa desde la fecha del acuerdo de admisión a trámite el 9 junio 2020 y el acuerdo de admisión a trámite de 24 marzo 2021 está en plazo legal. En cuanto a que se califique de leve la infracción y su correspondiente prescripción la infracción no es calificable como tal.

TERCERO : Tras el examen del expediente administrativo se comprueba que ante la Agencia Española de Protección de Datos, Dª Fidela, en fecha 29 octubre 2029, denuncia que la compañía Allianz Seguros y Reaseguros SA, le cargó un recibo que no le correspondía abonar, que no había autorizado, con el trastorno en la gestión, la devolución que ello supone, reduciendo su saldo, perjudicando con ello el pago de sus verdaderos recibos. Asimismo, la reclamante formuló reclamación contra el intermediario en esa misma fecha 29 octubre 2019 por cargar el recibo de 242,03e contra su c/c.

La Agencia Española de Protección de Datos dio traslado de la reclamación a la actora mediante un correo electrónico facilitado por la propia entidad dando respuesta a ese requerimiento en fecha 1 julio 2020 donde especifica que fue un claro error informático que se produjo al introducir el nº de matrícula de la moto y el sistema interno arrastró el nº c/c de la reclamante que fue la anterior titular de la moto. Asimismo, en esa respuesta ofrecida por Allianz se manifiesta que en 12 junio 2020 por vía telemática se recibió el requerimiento de información de la Agencia Española de Protección de Datos.

Consta la notificación de la DEH a la entidad puesta a disposición el 10-12-19 y otra notificación el 15 junio 2020 y 12 mayo 2021.

La Agencia Española de Protección de Datos emite informe de actuaciones previas.

CUARTO : Son varias las cuestiones suscitadas por la actora, así refiere defectuosa notificación al haberse empleado diferentes medios electrónicos, y examinado el expediente consta un correo electrónico facilitado por la propia entidad Allianz, así como notificaciones a través de la DEH.

Esta Sala de lo Contencioso Administrativo de la Audiencia Nacional ha reiterado en múltiples ocasiones que la práctica de notificaciones a través de la DEH o el empleo de un correo electrónico facilitado por el interesado para realizar esas notificaciones ninguna indefensión material ocasiona. La notificación de los actos administrativos constituye una actividad desplegada por la Administración para poner en conocimiento de los interesados el contenido de aquellos actos que afecten a sus derechos o intereses...De manera que constituye un mero presupuesto o requisito de eficacia del acto administrativo objeto de notificación, que queda demorada hasta el momento de su notificación, realizada con respeto a las exigencias impuestas legalmente, tal y como revela el contenido de los artículos 57.2 y 58.1 de la LRJPAC, siempre y cuando, claro está, cuando sea preceptiva su notificación a los interesados. De ahí que la eventual falta de notificación, o la notificación irregular, de un determinado acto administrativo no afecte a su validez sino meramente a su eficacia y, en consecuencia, resulte improcedente sustentar una acción de revisión de oficio del acto administrativo en atención a los vicios atribuidos a su notificación». ( Sentencia de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional (Sección 1ª) de 12 de febrero de 2014 (rec. 286/20129).

El Tribunal Constitucional, en relación con los actos de notificación dice que «cumplen una función relevante, ya que, al dar noticia de la correspondiente resolución, permiten al afectado adoptar las medidas que estime más eficaces para sus intereses, singularmente la oportuna interposición de los recursos procedentes» ( S.TC. 155/1989, FJ 2º); teniendo la «finalidad material de llevar al conocimiento» de sus destinatarios los actos y las resoluciones «al objeto de que puedan adoptar la conducta procesal que consideren conveniente a la defensa de sus derechos e intereses, (por lo que) constituyen elemento fundamental del núcleo de la tutela judicial efectiva» sin indefensión garantizada en el art. 24.1 de la Constitución ( S.TC. 59/1998, FJ 3º); pronunciándose en el mismo sentido, las Sentencias 221/2003, FJ 4 º, y 55/2003, FJ 2º).

El citado Tribunal Constitucional ha puesto de relieve que existen determinados supuestos en los que este derecho puede verse afectado en el ámbito del procedimiento administrativo. Sin embargo, en materia de notificaciones únicamente lesiona el art. 24 de la Constitución la llamada indefensión material y no la formal, esto es, cuando los defectos en la notificación impiden «el cumplimiento de su finalidad, tendente a comunicar la resolución en términos que permitan mantener las alegaciones o formular los recursos establecidos en el ordenamiento jurídico frente a dicha resolución» ( SS.TC. 155/1989, FJ 3º; 184/2000, FJ 2 º; y 113/2001, FJ 3º), con el «consiguiente perjuicio real y efectivo para los interesados afectados» ( SS.TC. 155/1988, FJ 4º; 112/1989, FJ 2º; 184/2000, FJ 2 º; y 130/2006, FJ 6º. En igual sentido las SS.TS. de 25 de octubre de 1996 (Rec. apelación 13199/91, FD 4 º) y 22 de marzo de 1997 (Rec. apelación 12960/91, FD 2º).

En este caso, la entidad actora no solo llegó a conocer los actos que se le comunicaban, sino que incluso pudo hacer manifestaciones respecto de los mismos, por lo que con indiferencia de los medios o mecanismos electrónicos empleados para comunicarse con la recurrente puede afirmarse que tuvo conocimiento de los actos de la Agencia Española de Protección de Datos y formular alegaciones por lo que no ha existido lesión constitucional alguna. Por todo ello, al implicar la notificación una actividad instrumental de la Administración y comprobando que la misma cumplió con su finalidad no ha lugar a esta pretensión del recurrente.

Señalamos el art 41 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas que permite llevar a cabo las notificaciones por cualquier medio que permita la recepción por el interesado o su representante.

Se alega la vulneración del principio de confianza legítima en base a que en algunos pasos del expediente se ha empleado a efectos de notificaciones el correo electrónico y en otros el aviso de la DEH lo que supone un atentado a la confianza legítima. Ya hemos expuesto la validez de las notificaciones y desde luego la confianza legítima no queda violentada por el hecho de que se haya utilizado un correo electrónico facilitado por la propia Allianz pues, como afirma la STS de 11 de diciembre de 2017 (rec. 2436/2016), si bien referida al ámbito tributario, pero cuyo criterio cabe trasladarlo al presente supuesto: " No cabe alegar, por tanto, que exista en este caso, por parte de la recurrente, una legítima expectativa a ser permanentemente notificada por correo ordinario, fundada en el solo hecho de haberse llevado a cabo, a través de tal medio, anteriores notificaciones de actos de trámite, pues existen actos de voluntad y aceptación por parte de la interesada que quebrarían la intangibilidad de tal principio, como lo es el propio conocimiento de que estaba habilitada la dirección electrónica y, en el caso de los actos del procedimiento de recaudación notificados en dicha sede, el precedente de que por el mismo medio fueron notificados los acuerdos de liquidación y sanción".

Por tanto, no cuestionándose que la entidad Allianz estuviera obligada a recibir las notificaciones por medios electrónicos, el hecho de que las notificaciones anteriores se hubieran realizado por un correo electrónico no afecta a la validez de la notificación ni vulnera el principio de confianza legítima.

QUINTO : Respecto a la caducidad del expediente administrativo que conforme a la LO 3/2018 no puede durar más de 12 meses, art. 67.1, dice el actor que en octubre 2019 se produce la reclamación ante la Agencia Española de Protección de Datos y se dicta resolución sancionadora el 10 mayo 2021.

El art. 64.2 LO 3/2018 dispone que: 2. Cuando el procedimiento tenga por objeto la determinación de la posible existencia de una infracción de lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 , y en la presente ley orgánica, se iniciará mediante acuerdo de inicio, adoptado por propia iniciativa o como consecuencia de reclamación, que le será notificado al interesado.

Si el procedimiento se fundase en una reclamación formulada ante la Agencia Española de Protección de Datos, con carácter previo, esta decidirá sobre su admisión a trámite, conforme a lo dispuesto en el artículo 65 de esta ley orgánica.

Admitida a trámite la reclamación, así como en los supuestos en que la Agencia Española de Protección de Datos actúe por propia iniciativa, con carácter previo al acuerdo de inicio podrá existir una fase de actuaciones previas de investigación, que se regirá por lo previsto en el artículo 67 de esta ley orgánica.

El procedimiento tendrá una duración máxima de doce meses a contardesde la fecha del acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad y, en consecuencia, el archivo de actuaciones.

En este caso, la reclamación ante la Agencia Española de Protección de Datos se produjo el 29 octubre 2019, y como mecanismo previo a la admisión se dio traslado de la reclamación a la entidad actora siendo los días el 10 diciembre 2019 y el 12 junio 2020. A la vista de las respuestas otorgadas por Allianz, los días 2 julio 2020 a ese requerimiento de 12 junio, se acordó iniciar el procedimiento de sanción en fecha 24 marzo 2021 y la resolución de sanción es de 10 mayo 2021. Por consiguiente, no existe caducidad.

A Este Tribunal le resulta importante destacar que los plazos quedaron suspendidos al declararse el estado de alarma por el RD 463/2020, de 14 de marzo, a tenor de lo dispuesto, con carácter general, en su Disposición adicional tercera (suspensión de plazos administrativos), y su prorroga por el RD. 537/20, de 22 de mayo, esto es, a partir del 14 de marzo de 2020 y hasta el 1 de junio de 2020 en que se reanudan ( STS de 26 de noviembre 2022, Rec. 329/2020).

SEXTO : La resolución sancionadora de manera inequívoca considera responsable de la infracción a la entidad Allianz quien, por otra parte, reconoció la existencia del error y sin que invalide su responsabilidad esa supuesta participación de una correduría, que si bien la misma participó en la suscripción de la póliza de seguros por parte de la reclamante, no lo hizo en la nueva póliza suscrita por el nuevo titular de la moto asegurada. La propia actora reconoce ese error porque el sistema interno arrastró lo datos a través de la matrícula del vehículo lo que constata que la actora no puso la diligencia que debe ser exigida en la materia que nos ocupa, por lo que debemos analizar la existencia de infracción del art. 6.1 RGPD.

SÉPTIMO : La infracción imputada consiste en el tratamiento de datos de carácter personal con vulneración del principio del consentimiento, que constituye uno de los pilares básicos de la normativa de protección de datos. Dicho principio conlleva la necesidad del consentimiento inequívoco del afectado para que puedan tratarse sus datos de carácter personal, el consentimiento permite así al afectado ejercer el control sobre sus datos de carácter personal (la autodeterminación informativa), ya que es el propio interesado quien tiene que otorgar su consentimiento para que se pueda realizar el tratamiento de los citados datos.

Este Tribunal de manera reiterada viene afirmando que la concurrencia del consentimiento inequívoco del afectado que exige el artículo 6.1 para el tratamiento de datos de carácter personal por parte de un tercero, en el caso de que el interesado niegue haberlo otorgado, se ha de acreditar por quien realiza el tratamiento a través de los medios previstos legalmente a tal fin. Es decir, por regla general, corresponde a quien realiza el tratamiento estar en condiciones de acreditar que ha obtenido el consentimiento del afectado pues salvo las excepciones establecidas en la Ley solo el consentimiento justifica o legitima el tratamiento, y a tal fin deberá arbitrar los medios necesarios para que no quepa ninguna duda de que tal consentimiento ha sido prestado.

La reclamada niega haber facilitado sus datos a la actora, quien manifiesta que, si bien hubo una relación contractual mediante un seguro de moto en 2016, en el año 2017 dicho seguro fue cancelado, por lo que la relación contractual se extinguió sin que la recurrente, desde ese mismo momento, pueda disponer de los datos de la reclamada. La propia actora reconoce el error lo que evidencia una negligencia que ha provocado la sanción que se recurre. Y debemos reiterar que el nuevo titular de la póliza es ajeno al tercero o correduría utilizada por la reclamante para suscribir la póliza de seguros de la que fue su moto.

OCTAVO : En materia probatoria, las STS de 9 de octubre de 2009 -recurso nº. 5.285/2005-, y de 23 de octubre de 2010 -recurso nº. 1.067/2006-, señalan que "aunque la culpabilidad de la conducta debe también ser objeto de prueba, debe considerarse en orden a la asunción de la correspondiente carga, que ordinariamente los elementos volitivos y cognoscitivos necesarios para apreciar aquélla forman parte de la conducta típica probada, y que su exclusión requiere que se acredite la ausencia de tales elementos, o en su vertiente normativa, que se ha empleado la diligencia que era exigible por quien aduce su inexistencia; no basta, en suma, para la exculpación frente a un comportamiento típicamente antijurídico la invocación de la ausencia de culpa".

En el caso que nos ocupa, la parte actora reconoció mantener los datos personales de la reclamada en sus sistemas informáticos a pesar de que se había dado de baja en la póliza del seguro de la motocicleta.

El Tribunal Constitucional ha declarado reiteradamente que los principios del orden penal, entre los que se encuentra el de culpabilidad, son de aplicación, con ciertos matices, al derecho administrativo sancionador, al ser ambos manifestaciones del ordenamiento punitivo del Estado ( STC 18/1987, 150/1991), y que no cabe en el ámbito sancionador administrativo la responsabilidad objetiva o sin culpa, en cuya virtud se excluye la posibilidad de imponer sanciones por el mero resultado, sin acreditar un mínimo de culpabilidad aun a título de mera negligencia ( SSTC 76/1990 y 164/2005).

El principio de culpabilidad, garantizado por el artículo 25 de la Constitución, limita el ejercicio del ius puniendi del Estado y exige, según refiere el Tribunal Constitucional en la sentencia 129/2003, de 20 de junio, que la imposición de la sanción se sustente en la exigencia del elemento subjetivo de culpa, para garantizar el principio de responsabilidad y el derecho a un procedimiento sancionador con todas las garantías ( STS de 1 de marzo de 2012, Rec 1298/2009).

Con arreglo a la Ley 40/2015, art 27, solo constituyen infracciones administrativas las vulneraciones del ordenamiento jurídico previstas como tales infracciones por una ley.

Y el art. 28 de la misma que solo pueden ser sancionados por hechos constitutivos de infracción administrativa los responsables de los mismos, aún a título de simple inobservancia. Obviamente, ello supone que dicha responsabilidad sólo puede ser exigida a título de dolo o culpa, quedando desterrada del ámbito del derecho administrativo sancionador la llamada "responsabilidad objetiva", y comprendiendo el titulo culposo la imprudencia, negligencia.

No obstante, el modo de atribución de responsabilidad a las personas jurídicas no se corresponde con las formas de culpabilidad dolosas o imprudentes que son imputables a la conducta humana. De modo que, en el caso de infracciones cometidas por personas jurídicas, aunque haya de concurrir el elemento de la culpabilidad, éste se aplica necesariamente de forma distinta a como se hace respecto de las personas físicas. Según la STC 246/1991 " (...) esta construcción distinta de la imputabilidad de la autoría de la infracción a la persona jurídica nace de la propia naturaleza de ficción jurídica a la que responden estos sujetos. Falta en ellos el elemento volitivo en sentido estricto, pero no la capacidad de infringir las normas a las que están sometidos. Capacidad de infracción y, por ende, reprochabilidad directa que deriva del bien jurídico protegido por la norma que se infringe y la necesidad de que dicha protección sea realmente eficaz y por el riesgo que, en consecuencia, debe asumir la persona jurídica que está sujeta al cumplimiento de dicha norma "(en este sentido STS de 24 de noviembre de 2011, Rec 258/2009).

Pues bien, en el presente supuesto ha resultado enervado el principio de presunción de inocencia de la entidad sancionada, resultando plenamente acreditada su responsabilidad en la comisión de la infracción por cuya autoría ha sido sancionada, en la que se aprecia culpabilidad por falta de la diligencia exigible en la comprobación de la existencia del consentimiento del afectado para el tratamiento de sus datos de carácter personal. La actora como responsable del fichero y del tratamiento de datos personales tiene el deber de cumplir con la más mínima diligencia a la hora de proceder al uso o tratamiento de los datos personales, por lo que la actora es responsable de la infracción por la que ha sido sancionada por la Agencia Española de Protección de Datos.

NOVENO : El art. 72.1.b LO 3/2018 considera infracción muy grave el tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el art. 6 RGPD, cuyo art. 83.2 establece las condiciones generales para la imposición de multas administrativas que se impondrán en virtud de las circunstancias de cada caso individual, y la resolución entiende que existen criterios que se deben de atender, y menciona los contenidos en los apartados a,b y g. Y a continuación conforme al art. 76.2 LO 3/2018 considera como factores de agravación:

a) El carácter continuado de la infracción.

b) La vinculación de la actividad del infractor con la realización de tratamientos de datos personales.

Y se impone la sanción de 30.000 euros.

DÉCIMO : Entramos en las alegaciones del recurrente referidas al principio de proporcionalidad. Entiende que se puede rebajar la cuantía de la sanción en proporción a lo sucedido, pero no suscita más alegación. Lo cierto es que la actora por su actividad efectúa un constante tratamiento de datos personales, y reconoció el error que se había producido en su sistema interno informático, aunque posteriormente recondujera la responsabilidad y se la atribuyera a un tercero. La cuestión surge al considerar como una circunstancia de agravación el carácter continuado de la infracción, cuando la continuidad se produce con la existencia de una permanencia del hecho durante un tiempo, pero en este caso solo se ha producido un único hecho que ni tan siquiera ha continuado en el tiempo pues de inmediato se procedió a su corrección, por lo que no es posible considerar la existencia de esa continuidad, por lo que la cuantía de la sanción impuesta debe ser atemperada , y equilibrada respecto al hecho que no se considera continuado. Por consiguiente, se reduce la sanción a la suma de 20.000e. Y de lo anterior se puede deducir que en modo alguno los hechos pueden ser tipificados como una fracción leve que es una pretensión subsidiaria de la entidad recurrente.

UNDÉCIMO : Otras alegaciones de la actora como pueden ser el supuesto ejercicio ilegal de la actividad administrativa porque la reclamante devolvió el recibo y Allianz lo aceptó y es un error que no se volvería a cometer, o que estaríamos ante un supuesto cobro de lo indebido, pero nunca ante una infracción administrativa, o sobre el valor de la propuesta de resolución. Debemos señalar, en línea con el Abogado del Estado que no estamos ante un cobro de lo indebido traspasando la calificación del hecho a una mera cuestión de carácter civil, porque para que se produjera el cobro es preciso primero tratar los datos personales de aquel al que se le va a pasar al cobro el recibo por parte de la aseguradora, por lo que estamos ante una situación previa al cobro de los indebido que provocó que la reclamante tuviera que devolver el recibo. Y, de otra parte, respecto al incumplimiento del art. 64 Ley 39/2015 por no identificarse a la persona presuntamente responsable pero ese acuerdo identifica a Allianz que es constantemente identificada como aseguradora.

Por todo lo expuesto, procede estimar en parte el presente recurso contencioso administrativo y conforme al art. 139 LJCA no se hace expresa imposición de costas a ninguna de las partes.

Vistos los preceptos legales citados y demás de general y pertinente aplicación;