La ausencia de dolo o intencionalidad en la comisión de una infracción de la LOPD

La ausencia de dolo o intencionalidad en la comisión de una infracción de la LOPD

**

La Ley 40/2015 de Régimen Jurídico del Sector Publico, en su Art. 28 (apdo. 1) que:

«Sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas y jurídicas, así como, cuando una Ley les reconozca capacidad de obrar, los grupos de afectados, las uniones y entidades sin personalidad jurídica y los patrimonios independientes o autónomos, que resulten responsables de los mismos a título de dolo o culpa»

⇒ La jurisprudencia del Tribunal Supremo, en línea con la del Tribunal Constitucional, ha establecido que la potestad sancionadora de la Administración, en tanto que manifestación del “ius puniendi” del Estado, se rige por los principios del Derecho penal, siendo principio estructural básico el de culpabilidad, incompatible con un régimen de responsabilidad objetiva, sin culpa. Este denominado “principio de culpabilidad”, se encontraba anteriormente previsto en el artículo 130.1 de la derogada Ley 30/1992 disponía que “solo pueden ser sancionadas por hechos constitutivos de infracción administrativa los responsables de los mismos, aún a título de simple inobservancia. “

Así, reiterada jurisprudencia – analizando la literalidad de la norma- descartaba que el artículo citado Art. 130 estableciese una responsabilidad meramente objetiva. Así, la jurisprudencia del Tribunal Supremo (sentencias de 12 de diciembre de 1995, 14 de mayo de 1999, etc) y la doctrina del Tribunal Constitucional atendiendo a  la aplicación de los principios penales al ámbito administrativo sancionador señalaron que esta “ simple inobservancia” no podía ser entendida como la admisión en el derecho administrativo sancionador de la responsabilidad objetiva, pues se requiere la existencia de dolo o culpa, ya que los principios del ámbito del derecho penal son -con ciertos matices- aplicables, aplicables al ámbito administrativo sancionador .

Esta exigencia de culpabilidad en el ámbito de los ilícitos administrativos ha sido reiterada hasta la saciedad por la jurisprudencia del Tribunal Supremo. Así, las SSTS de 12 (rec. 388/1994) y 19 de mayo de 1998, Sección Sexta, afirman que en el ámbito sancionador «está vedado cualquier intento de construir una responsabilidad objetiva» y que «en el ámbito de la responsabilidad administrativa no basta con que la conducta sea antijurídica y típica, sino que también es necesario que sea culpable, esto es, consecuencia de una acción u omisión imputable a su autor por malicia o imprudencia, negligencia o ignorancia inexcusable (...) es decir, como exigencia derivada del artículo 25.1 de la Constitución, nadie puede ser condenado o sancionado sino por hechos que le puedan ser imputados a título de dolo o culpa (principio de culpabilidad)».

Responsabilidad objetiva en relación con la existencia de conductas sancionadas por la LOPD

Si el principio de culpabilidad resulta aplicable por analogía al ámbito administrativo sancionador, el cual impone que los sujetos solo podrán ser responsables a título de dolo o de culpa,  resulta lógico pensar que tales requisitos resulten  también exigidos en el ámbito  de la aplicación de la Ley Orgánica de Protección de Datos  administrativo. 

⇒ Pues bien, pese a que -como señala la Sentencia Administrativo Nº S/S, TS, Sala de lo Contencioso, Sec. 6, Rec 7707/2000, 18-03-2005,  “ no podría estimarse cometida una infracción administrativa, si no concurriera el elemento subjetivo de la culpabilidad o lo que es igual, si la conducta típicamente constitutiva de infracción administrativa, no fuera imputable a dolo o a culpa “, debe tenerse en consideración que,  en  relación con algunas materias,  entre las que se encuentra la normativa de protección de datos, se hace patente una cierta tendencia jurisprudencial a suponer la concurrencia de responsabilidad ante la simple producción del resultado ilícito.

Así, la  Sentencia ADMINISTRATIVO AN, Sala de lo Contencioso, Sec. 1, Rec 1788/2015, 30-10-2017  - reiterando la doctrina expuesta en anteriores resoluciones, es clara al señalar que, en el ámbito sancionador, no se requiere intencionalidad o dolo sino que basta el mero  descuido o falta de diligencia.

Esta Sentencia desestima el  recurso contencioso-interpuesto frente a la resolución de 24 de julio de 2015, dictada por la Directora de la Agencia Española de Protección de Datos, en el Procedimiento sancionador PS/00100/2015.

La resolución impugnada acordó sancionar a la recurrente por la comisión de una infracción administrativa, consistente en el tratamiento de datos de carácter personal del denunciante sin su consentimiento, ya que la entidad demandante trató los datos personales del denunciante al emitir facturas a su nombre y remitirlas a su domicilio como titular del contrato de suministro eléctrico correspondiente a la vivienda de una tercera persona cliente de la compañía, contratación que no había sido solicitada por dicho denunciante, ni autorizado ni dado su consentimiento para el tratamiento de sus datos personales, lo que originó la petición por el denunciante de baja en el servicio con el consiguiente perjuicio para la persona usuaria de la vivienda a la que correspondía el contrato.

Cabe señalar que, en este caso, los hechos sancionados fueron reconocidos por la  demandante, si bien esta entidad impugnó la resolución de Directora de la Agencia Española de Protección de Datos aduciendo en su defensa  la inexistencia de dolo en su actuación al haberse producido por un mero error administrativo. Pues bien, como avanzamos, la Sala de la Audiencia Nacional consideró que el tratamiento por parte de la recurrente de datos de carácter personal del denunciante sin su consentimiento, supuso la comisión de la infracción tipificada en el artículo 44.3.b) LOPD, por cuanto que “La existencia de un error reconocido por la actora y su rápida subsanación, no puede constituir un elemento exculpatorio”.

En este mismo sentido se ha pronunciado la Audiencia Nacional reiteradamente en diversas Sentencias , debiendo tomarse en consideración por su claridad la Sentencia de 12 de noviembre de 2010 (recurso 761/2009 ), en la que  indicaba lo siguiente:

“Es cierto que la utilización incorrecta de estos datos probablemente fue culposa, a la vista de las circunstancias concurrentes. Y también se aprecia que la compañía rectificó el error cometido, en cuanto tuvo conocimiento de ello, sin que el recibo llegara a cobrarse. Pero, como reiteradamente hemos venido afirmando en esta materia, las sanciones no requieren intencionalidad o dolo sino que basta el mero descuido o falta de diligencia; en palabras de este Tribunal "basta la simple negligencia o incumplimiento de los deberes que la Ley impone a las personas responsables de ficheros o del tratamiento de datos de extremar la diligencia...", y ello aunque no obtuviese provecho económico alguno.

Así lo dispone también el art. 130 de la Ley 30/1992 , al afirmar "Sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aun a título de simple inobservancia" lo cierto es que la expresión "simple inobservancia" del art. 130.1 de la Ley 30/1992 , permite la imposición de la sanción, sin duda en supuestos dolosos, y asimismo en supuestos culposos, bastando para la imposición de la sanción, la inobservancia del deber de cuidado. Ello no obstante, si se aprecian circunstancias que pueden justificar una cualificada disminución de la culpabilidad que, en aras al principio de proporcionalidad y utilizando los criterios contenidos en el art. 45.5 de la LOPD , deberían justificar una reducción del importe de la sanción impuesta. A tal efecto, se aprecia que se trató de un mero error informático que motivó la inclusión de la menor como asegurada, error que fue inmediatamente rectificado por la compañía sin que el recibo llegara a emitirse ni pasarse al cobro. Estas circunstancias ponen de manifiesto el incumplimiento de un deber de diligencia y cuidado, pero al mismo tiempo permiten considerar que se trato de un error puntual y aislado, carente de intencionalidad, y del que no obtuvo provecho propio ni se causó perjuicio a tercero. Por todo ello este Tribunal, aplicando el principio de proporcionalidad, considera procedente reducir el importe de la sanción de multa ...>>

⇒ Son pocas las excepciones que podemos encontrarnos en relación con este criterio, y  cuando la ausencia de culpabilidad ha determinado la falta de responsabilidad ha ocurrido en supuestos en los que ha sido apreciado la existencia de un error de derecho invencible por parte de la entidad responsable.  Al objeto de ejemplificar una de estas pocas expresiones,  entendemos necesario reseñar la Sentencia dictada por la Sala de lo Contencioso Administrativo de la  Audiencia Nacional en el PO 1788/2015 por la que se confirma la resolución administrativa que exonera de responsabilidad a una entidad  por la infracción del artículo 11 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), tipificada como muy grave en el Art. 44 (apdo. 4.b).
Así,  la referida Sentencia señala:  “

Obviamente, nos encontramos en un caso de error de derecho o de prohibición, el cual excluye la culpabilidad en los términos arriba expuestos, es decir, que la acción u omisión ha de ser necesariamente dolosa o culposa en cualquier grado de negligencia. Ciertamente, es necesario un reproche de culpabilidad, sea a título de dolo o culpa, al sujeto infractor como presupuesto de su responsabilidad, pero el error de derecho excluye tal culpabilidad, en línea con lo sostenido en la sentencia (interpretativa) del Tribunal Constitucional 76/1990, que mantiene el criterio de que si una Ley ( en ese caso la Ley General Tributaria) vincula la responsabilidad a una previa conducta culpable, es evidente que el error de Derecho o el error invencible podrá producir los efectos de exención o atenuación que le son propios en un sistema de responsabilidad subjetiva, pero su falta de contemplación expresa en la norma no constituye defecto de inconstitucionalidad. Como arriba se ha apuntado, el tipo ilícito del arto 44.4.b) de la LOPD exige ese título de imputación culpabilístico al sujeto que se le declara responsable de la conducta en el mismo recogida. Y en el presente supuesto enjuiciado no concurre tal culpa en la “ENTIDAD A” porque esta Sociedad, al cumplir ese requerimiento de un órgano de la Administración Pública, del que se presume que actúa con sometimiento pleno a la Ley y al Derecho (artículo 103.1 CE), entregó dicho "FICHERO de entidad B" de 2001 en la creencia y confianza de que ello era legal, por lo que no se le puede imputar a título de culpa tal conducta, al constituir un claro caso de error de derecho que no se puede vencer. De ahí, la perfecta legalidad de la resolución que hoy se recurre determinando la falta de responsabilidad (por ausencia de voluntariedad) de la “ENTIDAD A” en los hechos objeto del expediente sancionador que se está enjuiciando en este proceso.

 **

En todo caso, podemos concluir que en relación con la interpretación y aplicación de los preceptos  que regulan las conductas infractoras contempladas en la LOPD , son mayoritarios los pronunciamiento judiciales  que mantienen que no resulta exigible que la determinación de las consecuencias sancionadoras se fundamenten en la responsabilidad jurídica derivada de la culpabilidad personal, siendo irrelevante por tanto, la intencionalidad del infractor ya que no se requiere una conducta dolosa sino simplemente irregular en la observancia de las normas, considerando la tipología de responsabilidad en este ámbito del Derecho, como una una responsabilidad  objetiva.