Última revisión
15/03/2006
Sentencia Penal Audiencia Nacional, Rec 1894/2001 de 21 de Julio de 2004
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 52 min
Orden: Penal
Fecha: 21 de Julio de 2004
Tribunal: Audiencia Nacional
Fundamentos
SENTENCIA DE LA AUDIENCIA NACIONAL, SALA DE LO CONTENCIOSO-ADMINISTRATIVO
RECURSO Nº: 1894/2001
FECHA DE RESOLUCIÓN: 21/07/2004
Madrid, a veintiuno de julio de dos mil cuatro.
Visto por la Sala constituida por los Sres. Magistrados relacionados al margen el Recurso núm. 1894/ 2001, interpuesto por las entidades, "ENTIDAD A", "ENTIDAD B", "ENTIDAD C" y "ENTIDAD D", representadas por la Procuradora Dª. ........................., contra resolución de fecha 26 de septiembre de 2001 dictada por el Director de la Agencia de Protección de Datos por la que se desestima el recurso de alzada interpuesto contra la resolución de fecha 12 de julio de 2001, por sanción de la Ley de Protección de Tratamiento de Datos de Carácter Personal (RCL 1999, 3058); habiendo sido parte, además, la Administración General del Estado, representada y defendida por su Abogacía. La cuantía del recurso es de 931.568,76 euros. Siendo Ponente el Ilmo. Sr. Magistrado Don ...........................
ANTECEDENTES DE HECHO
PRIMERO.- Admitido el recurso y previos los oportunos trámites, se confirió traslado a la representación de la parte actora para que formalizara escrito de demanda, lo que hizo formulando las alegaciones de hecho y de derecho que estimó oportunas, concluyendo con la súplica de una sentencia estimatoria del recurso, con anulación del acto recurrido.
SEGUNDO.- Dándose traslado de la demanda al Abogado del Estado, lo hizo, alegando en derecho lo que estimó conveniente, solicitando la confirmación en todos los extremos del acuerdo recurrido.
TERCERO.- Habiéndose solicitado el recibimiento a prueba, por auto de 24 de septiembre de 2002, se acordó haber lugar a dicho recibimiento, con el resultado que consta en autos.
CUARTO.- No estimándose necesaria la celebración de vista pública, se emplazó a las partes para que evacuaran el trámite de conclusiones, lo que llevaron a efecto, ratificándose cada una de ellas en sus respetivos pedimentos.
QUINTO.- Conclusas las actuaciones, se señaló para la votación y fallo la audiencia del día 10 de febrero de 2004, en que tuvo lugar, quedando el recurso visto para sentencia.
SEXTO.- Con fecha de 11 de febrero de 2004, se dictó sentencia por la que se estimaba en parte el recurso interpuesto, y por escrito deducido por la Procuradora Dª .................... a nombre de "ENTIDAD B", "ENTIDAD C", y "ENTIDAD D", presentó escrito con entrada en la Sala de fecha 5 de abril de 2004, en el que formulaba incidente de nulidad de actuaciones por incongruencia del fallo de dicha sentencia, conforme a las alegaciones contenidas en dicho escrito que obra unido a las actuaciones. Al propio tiempo solicitaba en dicho escrito la suspensión cautelar de la ejecutividad de los pronunciamientos firmes contenidos en la sentencia, mientras se tramita y resuelve el incidente de nulidad.
SÉPTIMO.- De dicho escrito se dio traslado al Abogado del Estado, quien presentó escrito, solicitando la confirmación en todos los extremos la sentencia dictada.
OCTAVO.- "ENTIDAD A" Auto de 11 de junio de 2004, la Sala estimó la solicitud de nulidad de actuaciones, reponiendo las mismas al momento correspondiente para dictar sentencia con resolución de la pretensión subsidiaria deducida por los actores en su escrito de demanda. Así mismo se acuerda la suspensión cautelar de la ejecución de los pronunciamientos firmes contenidos en la sentencia, hasta tanto en cuanto se dicte una nueva resolución.
NOVENO.- "ENTIDAD A" auto de 25 de junio de 2004, se señaló para la votación y fallo la audiencia del día 20 de febrero de 2004, en que tuvo lugar, quedando el recurso visto para sentencia. VISTOS los preceptos que se citan por las partes y los de general aplicación.
FUNDAMENTOS DE DERECHO
PRIMERO.- Como consecuencia de un expediente sancionador, el Director de la Agencia de Protección de Datos resolvió:
1º: Imponer a la "ENTIDAD B", por una infracción del artículo 12 apartados 2 y 4 de la Ley Orgánica 15/ 1999, de 13 de diciembre (RCL 1999, 3058), de Protección de Datos de Carácter Personal, tipificada como grave en el artículo 44.3b) de dicha norma, una multa de 25.000.000 (veinticinco millones) de pesetas (150.253,03 €) de conformidad con lo establecido en el artículo 45.3 de la citada Ley Orgánica.
2º: Imponer a la entidad "ENTIDAD C", por una infracción del artículo 6 de la Ley Orgánica 15/ 1999, tipificada como grave en el artículo 44.3. d de dicha norma, una multa de 10.000.000 (diez millones) de pesetas (60.101,21 €) de conformidad con lo establecido en el artículo 45.2 de la citada Ley Orgánica.
3º: Imponer a la "ENTIDAD D" por una infracción del artículo 6 de la Ley Orgánica 15/ 1999, tipificada como grave en el artículo 44.3 d de dicha norma, una multa de 10.000.000 (diez millones) de pesetas (60.101,21 €) de conformidad con lo establecido en el artículo 45.2 de la citada Ley Orgánica.
4º: imponer a la "ENTIDAD D" por una infracción del artículo 11 de la Ley Orgánica 15/ 1999, tipificada como muy grave en el artículo 44. 4b) de dicha norma, una multa de 50.000.000 (cincuenta millones) de pesetas (300.506,05 €) de conformidad con lo establecido en el artículo 45.3 de la citada Ley Orgánica y solidariamente a "ENTIDAD A".
5º: Imponer a la entidad "ENTIDAD D", por una infracción del artículo 9 de la Ley Orgánica 15/ 1999, tipificada como grave en el artículo 44.3h) de dicha norma, una multa de 10.000.000 (diez millones) de pesetas (60.101,21 €) de conformidad con lo establecido en el artículo 45.2 de la citada Ley Orgánica, y solidariamente a "ENTIDAD A".
6º: Imponer a la "ENTIDAD D", por una infracción del artículo 33 de la Ley Orgánica 15/ 1999, tipificada como muy grave en el artículo 44.4. e) de dicha norma, una multa de 50.000.000 (cincuenta millones) de pesetas (300.506,05 €) de conformidad con lo establecido en el artículo 45.3 de la citada Ley Orgánica y solidariamente a "ENTIDAD A".
SEGUNDO.- Como hechos probados, se señalan en la resolución, los siguientes:
PRIMERO: "ENTIDAD A" y "ENTIDAD B" firman el 12/ 01/ 00 un convenio de confidencialidad y custodia de documentos y ficheros en el que las partes exponen que la empresa "ENTIDAD A", ha encargado a la empresa "ENTIDAD B" la realización de una campaña o servicio de marketing directo que tiene previsto su desarrollo a partir del mes de noviembre de 1999, estando regulado este servicio por el arto 27 de la Ley Orgánica 5/ 1992, de 29 de octubre (RCL 1992, 2347). También consta que para que esta última empresa pueda prestar el servicio encargado precisa de la utilización del fichero «...............» propiedad de "ENTIDAD A", y responsable de dicho fichero.
En el Pacto Segundo del citado documento se establece que los datos de carácter personal contenidos en los ficheros son de exclusiva propiedad de "ENTIDAD A" y que "ENTIDAD B" no podrá transferir, duplicar o reproducir todo o parte de la información propiedad de la empresa "ENTIDAD A", añadiéndose en el Pacto Tercero que "ENTIDAD B", se compromete a adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal y evitar así su alteración, pérdida, tratamiento y acceso no autorizado, teniendo en cuenta el estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan éstos de la acción humana o del medio «fisico o natural» (folios 178 a 181).
SEGUNDO: Igualmente, el 12/ 01/ 00, "ENTIDAD B" y "ENTIDAD C" firman un convenio de confidencialidad y custodia de documentos y ficheros en el que las partes exponen que la empresa "ENTIDAD A" ha encargado a "ENTIDAD B" la realización de una campaña o servicio de marketing directo iniciada en el mes de noviembre de 1999, estando regulado este servicio por el arto 27 de la Ley Orgánica 5/ 1992 (RCL 1992, 2347), y "ENTIDAD B", subcontrata a "ENTIDAD C" la gestión de la base de datos de su cliente. Para que "ENTIDAD C" pueda prestar el servicio encargado por "ENTIDAD B" precisa de la utilización del fichero propiedad de "ENTIDAD A".
Consta en el pacto primero del aludido convenio que "ENTIDAD B" entregará a "ENTIDAD C", el material e información necesario para que ésta pueda realizar los trabajos que se soliciten (folios 204 a 207). Y de acuerdo con el certificado aportado por "ENTIDAD C", esta entidad ha realizado las tareas que "ENTIDAD B" le ha encargado conforme a los términos del convenio de 12/ 01/ 00 (folio 593).
TERCERO: "ENTIDAD B" subcontrata con la empresa "ENTIDAD D", según se desprende de la facturación que esta última emite (folios 218 a. 220), los servicios de comunicación on- line y la gestión y mantenimiento de la página Web http:// www............... .net para la recogida de datos de los concursantes.
"ENTIDAD D", recaba a través del formulario accesible desde la citada página Web los datos personales de los participantes en el concurso relativos a nombre, apellidos, dirección, fecha de nacimiento, DNI, teléfono, Universidad, Facultad y curso (folios 158 a 162). En total se recaban los datos de los integrantes de unos 1.444 equipos, formados por cuatro personas (folios 107 a 111). Los participantes que facilitan sus datos personales a través de Internet, deben rellenar para ello un formulario accesible desde la citada Web en la que se incluye el siguiente texto: «los datos que aquí se reflejan podrán ser utilizados en ficheros informatizados por el Grupo (.........), sus filiales y su red comercial en aquellos asuntos que guarden relación con el presente documento y con la finalidad estrictamente comercial» (folios 158 a 162).
"ENTIDAD D" elabora con dichos datos un fichero que contiene además datos referentes al concurso: clasificación de los equipos, respuestas de los equipos, preguntas. En una de las tablas del mencionado fichero, la denominada «Equipos», se almacenan los datos facilitados por los participantes (folios 690 a 693). Todo ello sin haber obtenido previamente el consentimiento de los afectados para tratar sus datos personales (folio 158).
No existe contrato entre "ENTIDAD B" y "ENTIDAD D", aunque sí hay facturas de esta última entidad a la primera por los servicios prestados (folios 218 a 220).
CUARTO: "ENTIDAD A", encargo de "ENTIDAD B", ya fin de que "ENTIDAD C", pueda gestionar la base de datos obtenida por "ENTIDAD D", a través de la Web, "ENTIDAD D", remite semanalmente a "ENTIDAD C", los datos obtenidos de los participantes en el concurso (folios 107 a 111 y 686 a 688), sin que "ENTIDAD D", haya obtenido el consentimiento de los afectados para la cesión a "ENTIDAD C", de sus datos personales (folio 158).
QUINTO: "ENTIDAD C", incorpora a la base de datos «(...........)» los datos personales que "ENTIDAD D", le remite, registrando en dicha base de datos los datos personales obtenidos de cuestionarios en papel, de marketingtelefónico y cupones de inscripción (folios 637 a 643 y 678), sin que conste que "ENTIDAD C", cuente con el consentimiento de los afectados para el tratamiento de sus datos personales (folio 158).
La base de datos «(...........)» se encuentra ubicada en los locales de "ENTIDAD C", y consta de un conjunto de ficheros encuadrados en el fichero «.....................» propiedad de "ENTIDAD A", (folio 636). Tal y como se deduce de las facturas que constan en el procedimiento "ENTIDAD C" realiza por encargo de "ENTIDAD B", las tareas de custodia, mantenimiento y gestión de la base de datos «(............)», así como el análisis y la programación para la generación de informes sobre intención de compra del ........... (folios 208 a 214) sin que exista ninguna relación contractual entre "ENTIDAD C" y "ENTIDAD A", acerca de la realización de las aludidas tareas.
SEXTO: Para transmitir los datos del servidor a "ENTIDAD C", con carácter semanal, "ENTIDAD D", crea a partir de la tabla «Equipos» del fichero (donde se almacenan los datos de los participantes), un fichero de texto: fichero de intercambio que contiene en gran medida los datos registrados en la precitada tabla. "ENTIDAD D" remite tal fichero de intercambio, sin encriptar, a una dirección de correo electrónico de "ENTIDAD C" (folios 686 a 689, 693 Y 694).
En febrero de 2000, debido a problemas técnicos surgidos en el servidor de correo, "ENTIDAD D" no puede remitir los envíos semanales a "ENTIDAD C" y utiliza otra vía distinta para remitir los datos de los concursantes a dicha empresa. En esta ocasión "ENTIDAD D", ubica el fichero con los datos de los participantes en un directorio público FTP (de acceso no restringido) para que "ENTIDAD C", tenga acceso directo a él, pero sin adoptar las medidas técnicas precisas para evitar que tales datos puedan ser recogidos también por otras personas conectadas a Internet (folios 107 a 111, 688 Y 689), lo que permite que el denunciante tenga acceso a la totalidad de dichos datos. El fichero aportado por el denunciante contiene 4.811 registros que incluyen datos de nombre, apellidos, domicilio completo, dos números de teléfono, fecha de nacimiento, centro y curso académico (folios 44 a 90).
SÉPTIMO: "ENTIDAD D", a fin de realizar la gestión y mantenimiento de la página Web utilizada para la recogida de los datos de los concursantes, transfiere los datos a un servidor ubicado en EE. UU., propiedad de la compañía "ENTIDAD E" (folios 107 a 111 y 473 a 492), sin que se informe a los afectados de ello, ni se obtenga su consentimiento (folio 158) ni la preceptiva autorización del Director de la Agencia de Protección de Datos para transferir datos a un país que no dispone de un nivel adecuado de protección de datos personales.
OCTAVO: "ENTIDAD A" es conocedora de los tratamientos que "ENTIDAD C" y "ENTIDAD D" están realizando por encargo de "ENTIDAD B", con motivo de la ejecución del Proyecto «................................», proyecto de marketing elaborado por "ENTIDAD B", para "ENTIDAD A", encargándose también la primera de su ejecución según las facturas de ésta a "ENTIDAD A" (folios 182 a 203).
En el proyecto sólo detalla la forma de captar los datos. No contiene ninguna indicación acerca de las medidas de seguridad que deben adoptarse en la configuración del fichero automatizado creado a tal efecto y tampoco hace ninguna referencia a la entidad que va a realizar la captación de datos (folios 113 a 130).
TERCERO: La parte actora, constituida por todas las entidades sancionadas en la resolución impugnada, más "ENTIDAD A", en forma solidaria, y bajo la misma representación, sienta como eje central de su defensa la tesis de que la intervención de "ENTIDAD B", "ENTIDAD C" y "ENTIDAD D", en el desarrollo de la campaña publicitaria era indispensable para que la misma se llevara a cabo y además contó con el consentimiento y autorización de "ENTIDAD A".
A dicha reflexión debe responderse que la circunstancia de que sea necesaria la intervención de todas la empresas en la campaña publicitaria, no implica que puedan actuar asumiendo cada una de ellas o en su conjunto las funciones u operaciones que libremente tengan por conveniente, sino que en todo caso, dada la peculiar naturaleza de los servicios prestados, donde se pueden ver afectados derechos de la personalidad, su actuación debe sujetarse escrupulosamente a lo dispuesto en Ley de Protección de Datos de Carácter Personal, cuestión que pasamos a examinar.
CUARTO: Se imputa a "ENTIDAD B" una infracción del artículo 12 apartados 2 y 4 de la Ley Orgánica 15/ 1999, de 13 de diciembre (RCL 1999, 3058), de Protección de Datos de Carácter Personal.
En el apartado 2 de dicho artículo se establece que: «La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el art. 9 de esta Ley que el encargado del tratamiento está obligado a implementar». Y en el apartado 4, se dice que: «En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente».
Argumenta la actora que ante la insuficiencia de medios de "ENTIDAD B" para llevar ella sola toda la campaña publicitaria, parte de la misma se la encomienda a "ENTIDAD C" y a "ENTIDAD D", con el consentimiento de "ENTIDAD A".
Ciertamente, en virtud del denominado «......................................» de fecha 12 de enero de 2000 (folio 198 y siguientes), "ENTIDAD B" tiene acceso a los datos personales contenidos en el fichero «........................» propiedad de "ENTIDAD A" y puede tratarlos por cuenta de esta, y se encuentra amparada por el art. 12 de la Ley 15/ 99.
Ahora bien, en dicho contrato, no se concede facultad alguna al encargado del tratamiento para que los comunique o ceda a otra persona física o jurídica.
Sin embargo, a pesar de no contar con autorización alguna para ello, hace comunicación de tales datos a "ENTIDAD C" y a "ENTIDAD D". Con la primera suscribe convenio de confidencialidad de 12 de enero de 2000 (folio 204 y siguientes), con la segunda no, siendo así que para que puedan prestar el servicio precisan la utilización del fichero propiedad de "ENTIDAD A".
Es decir, "ENTIDAD B", subcontrata el servicio encomendado por "ENTIDAD A", contraviniendo lo dispuesto en el art. 12.2 de la Ley Orgánica 15/ 1999, que impide al encargado del tratamiento que los datos los aplique o utilice con fin distinto al que figure en dicho contrato, ni los comunique, ni siquiera para su conservación, a otras personas. datos personales de su propiedad los cediera o comunicara "ENTIDAD B" a otras empresas, no implica que dicha conducta esté ampara por el art. 12.2 de dicha Ley, porque la prestación de servicios regulado en este precepto es una figura especial con regulación también especial, donde el objeto del contrato, tratamiento de datos de carácter personal, al afectar a las libertades públicas y a los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar, no puede quedar sometido dentro el tráfico mercantil al mismo régimen que las mercaderías o prestaciones de servicios de contenido puramente patrimonial. Por tanto, la disponibilidad de las partes sobre el objeto del contrato, en este caso, no es tan fuerte como en otro tipo de relación contractual, sino que debe ceder a lo escrupulosamente determinado en la Ley, a fin de que tales derechos no puedan quedar afectados.
Y a este respecto, el art. 12 LOPD (RCL 1999, 3058) impone un requisito formal por cuanto el contrato debe constar por escrito o, en todo caso, acreditarse formalmente su celebración.
Es decir, la norma impone que siempre exista una relación jurídica de naturaleza contractual entre el responsable y el tercero a quien encarga el tratamiento, y además exige una constancia formal de dicha relación.
No puede perderse de vista que en este caso se está permitiendo sin consentimiento ni conocimiento de los afectados un tratamiento de sus datos personales por parte de un tercero. Empero, la LOPD que debe velar para que no se lesionen los derechos de los afectados, no puede permitir que los datos personales sean objeto de tráfico en el modo que mejor convenga al responsable del fichero o del tratamiento, sin someterse a la cobertura formal exigida en la Ley, que es la garantía de la existencia de relación contractual.
Por ello, aunque "ENTIDAD A" conociera y consintiera el subarriendo de la prestación de servicios por parte de "ENTIDAD B", ésta no estaba autorizada en el contrato para comunicar los datos personales que debía tratar por cuenta de "ENTIDAD A", única finalidad de esa relación contractual, a "ENTIDAD C".
Y en cuanto a la relación entre "ENTIDAD B" y "ENTIDAD D", al encargarle aquella entidad a ésta parte del tratamiento de datos personales, ni siquiera existía contrato entre ellos, con lo cual se ha omitido el requisito fundamental que precisa el art. 12 LOPD, de constar por escrito o en alguna otra forma que permita su celebración y contenido, para la realización de tratamiento por cuenta de tercero.
E igualmente, por las razones antes expuestas, la exigencia del contrato no queda enervada porque "ENTIDAD A" conociera y consintiera la relación con "ENTIDAD D", e incluso pagase sus facturas. En definitiva la vulneración por parte de "ENTIDAD B" a lo establecido en los apartados 2 y 4 del art. 12 LOPD, es evidente.
No obstante, a juicio de la actora la conducta del art. 12 LOPD no aparece dentro de lo dispuesto en el art. 44.3. b) LOPD, produciéndose una confrontación con el principio de legalidad.
Tesis que tampoco podemos compartir, porque la conducta imputada se encuentra incardinada en el art. 44.3. b) LOPD, donde se tipifica la creación de ficheros de recogida de datos de carácter personal con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad. Siendo así que dicha empresa ha incurrido en el tipo aquí descrito puesto que su relación con "ENTIDAD A", y así quedó reflejado en el convenio ......... suscrito entre ambos, no tenía otro objeto que el acceso a los datos personales contenidos en el fichero «......................» propiedad de aquella, sin embargo los dio otra finalidad: subarrendó los servicios que a ella se le había encomendado a "ENTIDAD C", (mediante contrato) y a "ENTIDAD D", (sin contrato).
QUINTO: A la "ENTIDAD C", se le imputa una infracción del artículo 6 de la Ley Orgánica 15/ 1999 (RCL 1999, 3058), tipificada como grave en el artículo 44.3d de dicha norma.
La parte recurrente entiende que "ENTIDAD C" no necesita en este caso el consentimiento de los interesados, porque el tratamiento que "ENTIDAD B", le encomendó en virtud del convenio .................. entre ambas empresas de fecha 12 de enero de 2000, lo efectuó en nombre y por cuenta del responsable del fichero al que pertenecen los datos personales que trataba, esto es, "ENTIDAD A". En este punto lleva razón, y las tareas de custodia, mantenimiento y gestión de la base de datos «................», que "ENTIDAD C" realiza por encargo de "ENTIDAD B", están amparadas por el contrato ................ suscrito entre estas dos últimas el 12 de enero de 2000.
Pero "ENTIDAD C", no sólo se limita a efectuar esa tarea, sino que incorpora a la base de datos «.....................» los datos personales que "ENTIDAD D" le remite semanalmente a través de la Web, de los participantes en el concurso, sin que exista relación contractual alguna entre "ENTIDAD C" y "ENTIDAD A", acerca de la realización de las aludidas tareas, y sin que conste que "ENTIDAD C", cuente con el consentimiento de los afectados para el tratamiento de sus datos personales.
Respecto de los datos recabados por "ENTIDAD D", en la cláusula informativa inserta en el formulario accesible a través de la Web únicamente habilita el tratamiento automatizado de los datos personales de los concursantes a las empresas del Grupo "ENTIDAD A", a sus filiales y a su red comercial, entre las que no se encuentra "ENTIDAD C", Y por supuesto, en ningún momento se informó a los participantes en el concurso que sus datos iban a ser tratados por "ENTIDAD C".
En definitiva, "ENTIDAD C", no tenía cobertura para tratar unos datos personales que le remite "ENTIDAD D", relativa a los concursantes por cuenta de "ENTIDAD A", porque no tiene relación contractual con ninguna de ambas entidades. Y aunque si estaba autorizado, como hemos dicho, respecto de la base de datos «.........................», realizada por encargo de "ENTIDAD B", con quien si tenía contrato, dicha facultad no podía hacerse extensiva para tratar los datos que le remite "ENTIDAD D", por mucho que se lo encargara "ENTIDAD B", cuyas instrucciones ni pueden sobrepasar sus limitados poderes de decisión, porque está disponiendo de algo que no es de su propiedad, ni puede traspasar los límites del contrato suscrito entre ambas, en el que no se contempla ese nuevo servicio.
Tampoco es sostenible la argumentación actora cuando afirma que "ENTIDAD C" no realizó el tratamiento de datos para "ENTIDAD D", sino para "ENTIDAD A", porque con esta entidad no tenía ninguna relación contractual, y por tanto, su conducta no está ampara en el art. 12.2 LOPD.
El artículo 6.1 LOPD exige el consentimiento inequívoco del afectado en el tratamiento de los datos de carácter personal, salvo que la Ley disponga otra cosa.
No será preciso el consentimiento, precisa el artículo 6.1 LOPD, «cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del art. 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado».
Así las cosas, "ENTIDAD C", como no ha acreditado que los datos provienen de fuentes accesibles al público, ni existe relación contractual o negocial, ni tiene por finalidad proteger un interés vital del interesado, ni ninguna otra de las establecidas en la Ley que permita el tratamiento de datos sin consentimiento del afectado, precisaba el consentimiento de los afectados para su tratamiento.
SEXTO: A "ENTIDAD D" se le imputa una infracción del artículo 6 de la Ley Orgánica 15/ 1999 (RCL 1999, 3058), tipificada como grave en el artículo 44.3. d de dicha norma.
Sobre dicha infracción guarda absoluto silencio la actora, tanto en el escrito de demanda como en el de conclusiones.
Con independencia del sentido que podamos dar a esa falta de impugnación, no existe la menor duda que la elaboración semanal por parte de esta entidad de un fichero de datos personales que recaba a través de la Web, sin obtener el consentimiento de los afectados para su tratamiento que realiza por cuenta de "ENTIDAD A", con el que no tiene suscrito contrato alguno, constituye una infracción del artículo 6 de la Ley Orgánica 15/ 1999.
El acceso a los datos personales no se encuentra amparada por el art. 12 LOPD, dado que la relación mantenida pon "ENTIDAD A" no está regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, sino por una serie de facturas, que desde luego no acreditan la existencia entre ambas de un contrato de prestación de servicios automatizado de datos de los regulados en dicho artículo, ni el contenido del mismo.
SÉPTIMO: "ENTIDAD A", lo que respecta a la infracción del art. 11, está acreditado en el expediente que "ENTIDAD D" transmite semanalmente a "ENTIDAD C" un fichero donde se almacenan los datos de los participantes a una dirección de correo electrónico de "ENTIDAD C", y a partir de febrero de 2000, debido a problemas técnicos surgidos en el servidor de correo, "ENTIDAD D" no puede remitir los envíos semanales a "ENTIDAD C" y utiliza otra vía distinta para remitir los datos de los concursantes a dicha empresa.
Si acudimos al art. 11 de dicha Ley, se dispone que «Los datos de carácter personal objeto del tratamiento automatizado solo podrán ser cedidos para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y cesionario con el previo consentimiento del afectado».
A continuación dicho precepto enumera una serie de supuestos en los que no es preciso el consentimiento: cuando una Ley prevea otra cosa; cuando se trate de datos accesibles al público; cuando el establecimiento del fichero automatizado responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho fichero con fichero de tercero. En este caso la cesión solo será legítima cuando se limite a la finalidad que lo justifique; cuando la cesión se haga al defensor del Pueblo, Ministerio Fiscal o los Jueces o Tribunales, en el ejercicio de sus funciones; y cuando se trata de datos de carácter personal relativos a la salud, en los caso que se citan.
Y es evidente que en ninguno de estos supuestos se encuentra incardinada la conducta "ENTIDAD D".
Argumenta, no obstante, la actora que la mera comunicación de datos, no resulta sancionable, si no comporta atribución de la decisión sobre los usos y finalidades a que se destinen los datos, habiéndose demostrado que el uso y finalidad de los datos corresponde a "ENTIDAD A" y que para que exista cesión es necesario que aparezca un tercero y "ENTIDAD C" no lo es. Sin embargo para la Ley resulta más sencillo, porque de acuerdo con el art. 3. i) LOPD, cesión o comunicación de datos es toda revelación de datos realizada a una persona distinta del interesado. Con lo cual la transmisión de datos que "ENTIDAD D", realiza a "ENTIDAD C", mediante correo electrónico, es una auténtica cesión o comunicación de datos, sin que sea exigible que con la comunicación o cesión también se transmita el derecho sobre los usos o finalidades de los datos. Sobre el carácter de tercero, puesto en relación el art. el art. 3. i) LOPD (RCL 1999, 3058) y art. 11 de la misma Ley, es toda persona distinta del interesado. Y para comunicar datos de carácter personal objeto del tratamiento a cualquier persona que no sea el propio interesado, se precisa el consentimiento de este.
El cual no será necesario en los supuestos que enumera el párrafo 2º del art. 11 LOPD. Y no se considerará cesión o comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento y esté regulada en un contrato por escrito, en los términos exigidos en el 12 LOPD, como hemos tenido ocasión de examinar en los Fundamentos anteriores. Pues bien, "ENTIDAD D", no tiene contrato con nadie. En la lógica que sigue la actora, podría mantenerse que con "ENTIDAD A", mantiene una relación jurídica, y como prueba ofrece las facturas abonadas por esta, pero es que con "ENTIDAD C", no tiene vinculo o relación jurídica alguna, y sin embrago le hace cesión de los datos
En definitiva, la conducta del recurrente está perfectamente incardinada en el tipo infractor que es, la comunicación o cesión de datos de carácter personal, fuera de los casos en que estén permitidas [art. 43.4. b) de la LOPD].
OCTAVO: La infracción del art. 9 LOPD (RCL 1999, 3058), se fundamenta en que al transferir "ENTIDAD D", a "ENTIDAD C" el fichero con los datos de los participantes lo hace en un directorio público FTP (de acceso no restringido) para que "ENTIDAD C" tenga acceso directo a él, pero sin adoptar las medidas técnicas precisas para evitar que tales datos puedan ser recogidos también por otras personas conectadas a Internet, lo que permite que el denunciante tenga acceso a la totalidad de dichos datos. El fichero aportado por el denunciante contiene 4.811 registros que incluyen datos de nombre, apellidos, domicilio completo, dos números de teléfono, fecha de nacimiento, centro y curso académico.
El artículo 9 de la Ley Orgánica 15/ 1999 (RCL 1999, 3058), dispone que: «1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el art. 7 de esta Ley».
Por su parte el Reglamento de Medidas de Seguridad, aprobado por Real Decreto 994/ 99, de 11 de junio (RCL 1999, 1678) , dispone en su artículo 4º:
1. Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico.
2. Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el art. 28 de la Ley Orgánica 5/ 1992 ( RCL 1992, 2347) , deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio.
3. Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas de nivel alto.
4. Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio establecidas en los arts. 17, 18, 19 y 20.
5. Cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes.
Las prevenciones de seguridad calificadas de nivel básico, consisten en la elaboración de un Documento de seguridad, que según el art. 8 del Real Decreto 994/ 99, de 11 de junio, deberá contener, como mínimo, los siguientes aspectos:
a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
b) Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento.
c) Funciones y obligaciones del personal. d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
e) Procedimiento de notificación, gestión y respuesta ante las incidencias.
f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos.
Además, el documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo y el contenido del documento deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.
Exigiéndose también definir y documentar las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los sistemas de información y adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento (art. 9).
La elaboración de un registro de incidencias en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se le comunica y los efectos que se hubieran derivado de la misma (art. 10).
Relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y autenticación para dicho acceso (art. 11).
Control de acceso de usuarios (art. 12). Gestión de soportes, a fin de que los soportes informáticos que contengan datos de carácter personal deban permitir identificar el tipo de información que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello en el documento de seguridad (art. 13).
Encargarse de verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos. Debiéndose realizar copias de respaldo, al menos semanalmente, salvo que en dicho período no se hubiera producido ninguna actualización de los datos. (art. 14).
Ahora bien, la Disposición Transitoria Única de dicho Real Decreto, establece que «En el caso de sistemas de información que se encuentren en funcionamiento a la entrada en vigor del presente Reglamento, las medidas de seguridad de nivel básico previstas en el presente Reglamento deberán implantarse en el plazo de seis meses desde su entrada en vigor, las de nivel medio en el plazo de un año y las de nivel alto en el plazo de dos años».
Según su Disposición final única, entró en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado», que se produjo el 25- 06- 1999. Sin embargo el Real Decreto 195/ 2000 de 11 de febrero (RCL 2000, 544), en su artículo único estableció que «Los sistemas de información que se encuentren en funcionamiento a la entrada en vigor del Reglamento, aprobado por el Real Decreto 994/ 1999, de 11 de junio (RCL 1999, 1678), deberán implantar las medidas de seguridad de nivel básico previstas por dicho Reglamento en un plazo que finalizará el día 26 de mazo de 2000».
Quiere decirse que no era exigible la adopción de medidas de seguridad de nivel básico, en el caso de sistemas de información que se encuentren en funcionamiento a la entrada en vigor del presente Reglamento, hasta el día 26 de marzo de 2000.
Por el contrario, los sistemas nuevos o no en funcionamiento a la entrada en vigor del Reglamento, son exigibles desde su entrada en vigor, es decir, el 26 de junio de 1999.
Según la resolución de la Agencia de Protección de Datos, en nuestro caso se trata de un sistema informático implantado con posterioridad a la entrada en vigor del RD 994/ 1999, puesto que se crea una página Web para la recogida de datos, los datos se almacenan en un fichero ubicado en un servidor de Estados Unidos y posteriormente se elabora con ellos un nuevo fichero con la finalidad de ser cedidos a través de correo electrónico, por lo que entiende que aunque el fichero «Base de datos de conquista» hubiera sido creado con anterioridad, las actuaciones realizadas por "ENTIDAD D", permiten acceso de datos y tratamientos que antes no estaban permitidos. Debate que en este caso no resulta trascendente, porque "ENTIDAD D" siguió operando sin que en su sistema informático se introdujeran las medidas de seguridad a que venía obligada. Buena prueba de ello son los trabajos que aparecen realizados en las facturas emitidas en el año 2000, en los meses de mayo a octubre (folios 426 a 436), noviembre (folios 418 a 425) y diciembre (folios 407 a 417). Como muestra podemos tomar la factura emitida el día 31 de diciembre de 2000, por el concepto: .................... correspondiente a la compra de medios para la campaña de ...................., e importe de 39.150.000 ptas. (folio 408). O bien, la factura emitida el día 27 de diciembre de 2000, por el concepto: Mantenimiento página de Internet correspondiente a la implementación y desarrollo de la plataforma de acceso a su Website desde móviles (folio 409).
Así pues, tanto da si se trata de un caso u otro, 26 de junio de 1999 o 26 de marzo de 2000, sobrepasó con mucho esta última fecha y siguió sin adoptar las medidas de seguridad reglamentariamente exigidas.
En cuanto al plazo de tres años de adecuación que establece la Disposición Adicional Primera de la L0PD, la misma se refiere a los ficheros y tratamientos automatizados o no, sin comprender a la adopción de mediadas de seguridad, que tiene un tratamiento aparte y distinto.
El Reglamento de Medidas de Seguridad, aprobado por Real Decreto 994/ 99, de 11 de junio (RCL 1999, 1678) tenía por objeto el desarrollo de los artículos 9 y 43.3. h) de la Ley Orgánica 5/ 1992 (RCL 1992, 2347), del mismo contenido que sus homónimos de la Ley Orgánica 15/ 1999 (RCL 1999, 3058), excepto el segundo que en esta Ley es el 44.3. h).
Pues bien, no puede sostenerse válidamente que se establezcan vacaciones tan prolongadas en el cumplimiento de unos deberes en el que pueden resultar gravemente afectados derechos fundamentales de las personas. La tesis en cuyo favor pugna la actora se conduce por la quiebre de todo el sistema de seguridad de los ficheros automatizados que contengan datos de carácter personal diseñado por la Ley anterior, de forma que durante un plazo de tres años desde su entrada en vigor de Ley Orgánica 15/ 1999, no es exigible ninguna medida de índole técnica y organizativa para garantizar la seguridad que deben reunir los ficheros automatizados, los centros de tratamiento, locales, equipos, sistemas, programas, y las persona que intervengan en el tratamiento de datos seguridad, ni siquiera las de carácter básico.
Es por ello que la Sala debe compartir las razones ofrecidas por la APD siguiendo el dictamen que solicitado al Consejo de Estado evacuó la Abogacía del Estado- Dirección General del Servicio Jurídico del Estado, de que las previsiones de la Ley Orgánica 15/ 1999, de 13 de diciembre, de protección de datos de carácter personal, que garantizan y protegen, en lo concerniente al tratamiento de los datos personales, los derechos fundamentales y las libertades públicas de la personas físicas y, especialmente, su derecho al honor y a la intimidad personal y familiar, han de aplicarse inmediatamente, en virtud del principio de aplicabilidad inmediata de los derechos fundamentales, según doctrina del Tribunal Constitucional recogida en la Sentencia 81/ 1992, de 28 de mayo ( RTC 1992, 81). En consecuencia, el plazo de tres años que prevé la Disposición Adicional Primera, párrafo primero, de la citada Ley para la adecuación de los ficheros y tratamientos automatizados de datos, no se considera referido a las aludidas previsiones. Efectivamente, las previsiones sustantivas de la LOPD tienen por objeto la protección de las libertades públicas y los derechos fundamentales de las personas físicas y, más particularmente, la protección del derecho al honor y a la intimidad personal y familiar; así resulta del artículo 1 de la LOPD que, en consonancia con el artículo 1 de la Directiva 95/ 46/ CE (LCEur 1995, 2977) dispone que «La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar».
NOVENO: La última infracción imputada a "ENTIDAD D", es la del art. 33 LOPD (RCL 1999, 3058), consistente en transferir datos de los participantes a Estados Unidos, sin informarles de ello ni recabar su consentimiento ni obtener la preceptiva autorización del Director de la Agencia de Protección de Datos.
El artículo 33 de la Ley Orgánica 15/ 1999, de 13 de diciembre, de protección de datos de carácter personal, establece que: 1. No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.
2. El carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países. La actora señala que los datos personales recabados a través de la citada página eran almacenados directamente sobre los equipos informáticos de la "ENTIDAD E", ubicada en .......................... (Estados Unidos), y que, por tanto, el circuito de comunicaciones no presenta una transmisión desde España hacia Estados Unidos sino justo todo lo contrario, una transmisión desde Estados Unidos hacia España, lo cual no está sujeto a autorización alguna por parte del Director de la Agencia de Protección de Datos. Y que en definitiva, el papel de "ENTIDAD D" en relación con el servidor "ENTIDAD E" ubicado físicamente en Estados Unidos se ha limitado a alquilar una máquina en la que cada participante ha ido colocando sus datos. Virtualmente los datos fueron recogidos en todo momento por una empresa española miembro de la CEEE, aunque físicamente, debido a la naturaleza global de Internet, el servidor usado para la transmisión «on- line» estaba el Estados Unidos.
Y considera que no ha existido transferencia de datos porque los concursantes depositaron sus datos directamente en el servidor "ENTIDAD E", y no concurre la figura del transmitente y destinatario. Sin embargo, lo cierto es que "ENTIDAD D", obtenía los datos de los concursantes físicamente a través de la página Web http:// www............. .net y que sin conocimiento y autorización de los mismos los datos personales recabados se almacenaban directamente sobre los equipos informáticos de la entidad estadounidense "ENTIDAD E", ......................... (Estados Unidos), donde permanecían hasta que desde la sede de "ENTIDAD D", se ejecutaba la orden semanal de transferencia a los equipos de "ENTIDAD C", como se pone de manifiesto, en el punto 1.8 del Acta de Inspección (folio 109 del expediente).
En definitiva, unos datos personales que se facilitan para participar en un concurso y que se supone que los mismos no van a traspasar la frontera del territorio nacional, sin conocimiento y sin consentimiento alguno de las personas afectadas, aparecen recogidos o almacenados en un equipo informático de una empresa que se encuentra en Estados Unidos. Y tanto da que el mecanismo empleado haya sido la ubicación directa de los datos personales en el servidor extranjero por los propios afectados, -además, volvemos a repetir, sin su conocimiento y consentimiento- que los datos se hayan transmitido al extranjero, después de pasar por un servidor español, porque el resultado ha sido el mismo: los datos han llegado a conocimiento de una entidad ubicada en el extranjero. Y que duda acabe que dentro del concepto de transferencia de datos hay que comprender tanto la cesión como la comunicación de los mismos, como entiende la norma 1ª de la Instrucción 1/ 2000, de 1 de diciembre (RCL 2000, 2875) de la Agencia de Protección de Datos, relativa a las normas por las que se rigen los movimientos internacionales de datos, interpretación que compartimos.
Aunque es cierto que materialmente los datos personales los depositaba cada concursante en el servidor extranjero, no lo es menos que "ENTIDAD D", utilizaba un sistema técnico por medio del cual aquella persona que accedía a la dirección de Internet que hemos dicho, se veía compelida irremediablemente a que los datos personales que facilitaba para participar en un concurso, quedaran reflejados en los archivos de una entidad extranjera, fuera de los límites de la Unión Europea.
Es decir, utilizó a los propios afectados como medios instrumentales de la comunicación de los datos a un país que no proporciona un nivel de protección de datos equiparable y sin autorización del Director de la Agencia de Protección de Datos.
Así pues, estamos en presencia de una conducta que se encuentra tipificada como infracción muy grave en el art. 44.4.e) de la LOPD, con lo cual también ha de confirmarse la sanción impuesta en la resolución impugnada.
Y por supuesto, dicha conducta está incluida dentro del ámbito de aplicación de la LOPD, y no nos encontramos, como nos quiere hacer ver la actora, en el supuesto de exclusión contemplado por el art. 2.1. c:».. salvo que tales medios se utilicen únicamente con fines de tránsito».
Dicho precepto establece que:
1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.
Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:
a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento. b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público. c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.
Efectivamente, se excluye del ámbito de aplicación de la Ley cuando en el tratamiento de datos se utilicen medios situados en el territorio español y que tales medios se utilicen únicamente con fines de tránsito, pero para ello se precisa que el responsable del tratamiento no esté establecido en territorio de la Unión Europea. En el caso de autos, se produce lo contrario, el responsable del tratamiento se encuentra en España y se utilizan en el tratamiento medios situados en Estados Unidos.
Finalmente, "ENTIDAD D", argumenta que la transferencia no requiere la autorización previa del Director de la Agencia toda vez que "ENTIDAD E" cumple con los principios de puerto seguro. Conforme a la Decisión de la Comisión 2000/ 520/ CE, de 26 de julio (LCEur 2000, 2153) , publicada el día 25 de agosto de 2000 en el Diario Oficial de las Comunidades Europeas, con arreglo a la Directiva 95/ 46/ CE (LCEur 1995, 2977) del Parlamento Europeo y del Consejo, relativa al nivel de protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América, cada transferencia de datos desde la Comunidad Europea a Estados Unidos de América deberá cumplir las condiciones siguientes: a) la entidad receptora de los datos deberá haber manifestado de forma inequívoca y pública su compromiso de cumplir los principios de puerto seguro (anexo 1) aplicados de conformidad con las FAQ (anexo II); b) la entidad estará sujeta a la jurisdicción de uno de los organismos públicos estadounidenses que figuran en el anexo VII. La entidad deberá autocertificar su adhesión y notificarlo al Departamento de Comercio de Estados Unidos de América.
Analizando el supuesto en cuestión se observa que la transferencia de datos efectuada desde España al servidor de "ENTIDAD E" no cumple las aludidas condiciones, por lo que no puede considerarse que la transferencia goce de un nivel adecuado de protección y que por ende no le sea de aplicación a la misma la obligación contenida en el artículo 33 de la Ley Orgánica 15/ 1999 ( RCL 1999, 3058).
DÉCIMO: Como última, cuestión abordaremos, si es ajustada o no derecho la imposición solidaria de sanciones a "ENTIDAD A".
En el procedimiento administrativo la APD imputaba a "ENTIDAD A" y a "ENTIDAD B", una responsabilidad solidaria de todas y cada una de las infracciones cometidas por "ENTIDAD D", y a "ENTIDAD C". Sin embargo en la resolución final solamente deriva responsabilidad hacia "ENTIDAD A", y no por todas las sanciones impuestas a todos los recurrentes, sino por las impuestas a "ENTIDAD D", a saber, por las infracciones del art. 11, del art. 9 y art. 33 de la LOPD (RCL 1999, 3058).
Exonera de esta responsabilidad "ENTIDAD B", al entender que ello que podría incurrir en una concurrencia de sanciones proscrita por el ordenamiento jurídico en aplicación del principio «non bis in idem», reconocido en el art. 133 de la Ley 30/ 1992, de 26 de diciembre ( RCL 1992, 2512, 2775 y RCL 1993, 246) .
Entiende la resolución impugnada que "ENTIDAD A" debe responder solidariamente de las infracciones imputadas a "ENTIDAD D", por cuanto han participado en la comisión de las mismas, como responsable del fichero «............................» y beneficiario del mismo, ya que toma partido en la misma beneficiándose de los datos que recaba "ENTIDAD D", y de las gestiones que "ENTIDAD C" realiza sobre su fichero. "ENTIDAD A", es conocedora de todo ello, permite que terceros no autorizados traten los datos personales contenidos en el fichero de su propiedad sin consentimiento de los afectados, que se recojan y cedan datos utilizando el nombre de "ENTIDAD A" sin recabar el consentimiento de los afectados, que se traten dichos datos sin establecer las medidas de seguridad pertinentes y que éstos se transfieran a EE. UU. sin ser informados los titulares de los datos y sin cumplir las garantías previstas en el artículo 33 de la Ley Orgánica 15/ 1999.
Y así mismo el cumplimiento de las obligaciones previstas en la LOPD corresponde conjuntamente a "ENTIDAD A" (como responsable del fichero o tratamiento puesto que es quien en definitiva decide sobre la finalidad, contenido y uso del tratamiento, según la definición del artículo 3. d) de la Ley) y las otras entidades intervinientes en el proceso.
UNDÉCIMO: El artículo 130.3 de la Ley 30/ 1992, de 26 de noviembre (RCL 1992, 2512, 2775 y RCL 1993, 246) , de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común dispone que: Cuando el cumplimiento de las obligaciones previstas en una disposición legal corresponda a varias personas conjuntamente, responderán de forma solidaria de las infracciones que, en su caso, se cometan y de las sanciones que se impongan. Serán responsables subsidiarios o solidarios por el incumplimiento de las obligaciones impuestas por la Ley que conlleven el deber de prevenir la infracción administrativa cometida por otros, las personas físicas y jurídicas sobre las que tal deber recaiga, cuando así lo determinen las Leyes reguladoras de los distintos regímenes sancionadores.
La STC 76/ 90 (RTC 1990, 76) señala que aún sin reconocimiento explícito en la Constitución, el principio de culpabilidad puede inferirse de los principios de legalidad, y prohibición de exceso (art. 25.1 de la CE [RCL 1978, 2836]) o de las exigencias inherentes al Estado de Derecho.
La STS de 16- 2- 90 (RJ 1990, 777) contempla con reparos la responsabilidad solidaria por ser difícilmente conciliable con el régimen sancionador; así en derecho penal se dispone de diversas penas para los distintos intervinientes, la solidaridad implica la misma, a la vez que el derecho administrativo sancionador se nutre de los mismos principios que el derecho penal. Y, cuando la Ley ha querido sancionar a diversas personas, que con diverso fin y cometido actúan en un ilícito, lo ha previsto expresamente (art. 228 de la LS de 1976 [ RCL 1976, 1192] , Ley de Costas de 1988 [ RCL 1988, 1642] , art. 37.3 de la Ley de Conservación de Espacios Naturales de 1989 [ RCL 1989, 660] , art. 138 de la LOTT de 1987 [ RCL 1987, 1764] , art. 32 de la Ley de Telecomunicaciones de 1987 [ RCL 1987, 2638] , etc.). La STS 3ª sec. 6ª, S. 30- 09- 1997 ( RJ 1997, 6925) , rec. 6584/ 1993. Pte: Mateos García, Pedro Antonio, confirmó la resolución relativa a las diversas
multas solidariamente impuestas a la entidad recurrente y al titular del establecimiento donde estaban instaladas las máquinas recreativas, el TS lo estima. El Reglamento de máquinas recreativas de 1987, al establecer una imputabilidad solidaria (art. 46, 1), señala la Sala, que se excede de la habilitación que a posteriori le concedió la Ley 34/ 87 ( RCL 1987, 2691) , con lo que resulta claramente conculcado el principio de legalidad (art. 25, 1 CE [ RCL 1978, 2836] ), e incurre en nulidad de pleno derecho (arts. 47, 2 LPA de 1958 [ RCL 1958, 1258, 1469, 1504 y RCL 1959, 585] y 26 y 28 LRJAE [ RCL 1957, 1058, 1178] ); añade, que contraviene el principio de responsabilidad personal sobre el que se asienta el sistema punitivo, ya que, la responsabilidad solidaria, no puede trascender al ámbito el derecho sancionador.
En consecuencia, el principio de culpabilidad con engarce en los de legalidad y tipicidad como hemos dicho, impide sancionar aquellas conductas que no estén expresamente previstas en la Ley
Es decir, la exigencia de responsabilidad solidaria, aún admitiéndola en el derecho administrativo sancionador, con las cautelas y prevenciones que se han dicho, tiene que venir determinada de forma explícita y clara por una norma jurídica con rango de Ley, que no es sino la expresión de lo establecido en el art. 25.1 CE ( RCL 1978, 2836) .
En nuestro caso, para la exigencia de una responsabilidad solidaria en el ámbito de la normativa de protección de datos, será la propia la Ley Orgánica 15/ 1999, de 13 de diciembre ( RCL 1999, 3058) , de protección de datos de carácter personal, la que establezca qué obligaciones han de ser cumplidas de forma conjunta por varias personas y, en su caso, regular en qué supuestos una determinada persona física o jurídica se coloca en el deber de prevenir la infracción administrativa que supuestamente cometa otra u otras personas, como prescribe el 130.3 de la Ley 30/ 1992, de 26 de noviembre ( RCL 1992, 2512, 2775 y RCL 1993, 246) , de Régimen Jurídico de las Administraciones Públicas y del procedimiento Administrativo común.
De manera que la responsabilidad solidaria no puede determinarse de forma genérica e imprecisa, como hace la resolución impugnada, que se limita a citar varios preceptos, pero ninguno de ellos tiene la concreción suficiente en su tipificación con el alcance y significado que precisa una imputación de esta naturaleza, sin perjuicio de que lo hubieran podido ser a título de imputación personal, visto su condición de responsable del fichero y beneficiario del mismo, y su conocimiento y consentimiento de todo el entramado de empresas que intervienen en el proceso de la campaña publicitaria.
Si particularizamos cada una de las imputaciones de responsabilidad solidaria contra "ENTIDAD A", por lo que se refiere a la infracción de cesión de datos del art. 11 LOPD que se imputa a "ENTIDAD D", la comete, a tenor del art. 44. b) de la misma Ley, el que realiza la comunicación y cesión de datos, fuera de los casos en que estén permitidos. Y el culpable no es otro que dicha entidad. A partir de aquí la Ley guarda silencio y no extiende la culpabilidad más allá de los responsables directos. Derivar una responsabilidad solidaria en base al incumplimiento de unas obligaciones previstas en la LOPD y que corresponderían a "ENTIDAD A", como responsable del fichero, sin que la propia Ley determine de forma concreta y expresa el tipo infractor en el que se pueda subsumir la conducta de éste, constituye una clara infracción del principio de legalidad consagrado en el art. 25.1 CE y art. 127.1 de la Ley 30/ 1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.
Esto mismo es aplicable «mutatis mutandis» a las otras imputaciones de responsabilidad solidaria contra "ENTIDAD A" (infracciones del art. 9 y 33 LOPD cometidas por "ENTIDAD D")
Con lo cual, en este punto de la responsabilidad solidaria derivada contra "ENTIDAD A", debemos estimar el recurso y desestimarlo en el resto referido a las sanciones impuestas a las concurrentes "ENTIDAD B", "ENTIDAD C" y "ENTIDAD D".
DUODÉCIMO: Y ya entrando en el examen de la cuestión planteada por los actores en forma subsidiaria, y que al no ser atendida en la sentencia de 11 de febrero de 2004, dio lugar a la nulidad de actuaciones, ha de afirmarse con rotundidad que no cabe apreciar una cualificada disminución de la culpabilidad de los imputados o de la antijuridicidad del hecho, como exige el art. 45.5 de la Ley 15/ 1999 (RCL 1999, 3058) para la aplicación de la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso.
Las conductas de cada una de las entidades recurrentes, sus distintos grados de responsabilidad y su encaje en los tipos descritos como infracción en la Ley, ha sido estudiado con minuciosidad y detenimiento en la sentencia y entiende la Sala, después de la pertinente valoración de la prueba, que las concurrentes "ENTIDAD B", "ENTIDAD C", y "ENTIDAD D", son responsables de las infracciones imputadas, sin que quepa una atenuación de su culpabilidad, sin poder perderse de vista la escasa diligencia por parte de tales entidades en la observancia en la Ley de Protección de Datos de Carácter Personal (RCL 1999, 3058), el gran número de personas afectadas y su condición de profesionales del medio publicitario.
DECIMOTERCERO: No concurren las causas expresadas en el art. 139.1 de la LJCA ( RCL 1998, 1741) para la imposición de las costas a ninguna de las partes.
FALLAMOS
Que estimamos en parte el recurso Contencioso- Administrativo interpuesto por la representación procesal de la "ENTIDAD A", "ENTIDAD B", "ENTIDAD C" y "ENTIDAD D", contra resolución de fecha 26 de septiembre de 2001 dictada por el Director de la Agencia de Protección de Datos por la que se desestima el recurso de alzada interpuesto contra la resolución de fecha 12 de julio de 2001, por sanción de la Ley de Protección de Tratamiento de Datos de Carácter
Personal ( RCL 1999, 3058), en lo referente a la responsabilidad solidaria de "ENTIDAD A", en cuyo punto deben ser anuladas ambas resoluciones por disconformes con el ordenamiento jurídico; desestimando el recurso en todo lo demás, así como la pretensión subsidiaria de aplicación del art. 45.5 LOPD, con confirmación de las sanciones impuesta a las entidades recurrentes, y paralelamente de ambas resoluciones; sin costas,
Así, por esta nuestra sentencia de la que se llevara testimonio a las actuaciones, lo pronunciamos, mandamos y firmamos.
PUBLICACIÓN.- Leída y publicada fue la anterior sentencia por el Ilmo. Sr. Magistrado Ponente de la misma, hallándose celebrando audiencia pública en la Sección Primera de la Sala de lo Contencioso- Administrativo de la Audiencia Nacional. Lo que certifico.
