Diario del Derecho. Edición de 19/07/2018
  • Diario del Derecho en formato RSS
  • ISSN 2254-1438
  • EDICIÓN DE 11/06/2014
 
 

La existencia de concurso medial entre infracciones en materia de protección de datos conlleva la nulidad de una de las sanciones impuestas a FRANCE TELECOM

11/06/2014
Compartir: 

Se discute en el presente recurso la conformidad o no a derecho de la resolución de la AEPD que impuso a FRANCE TELECOM la sanción correspondiente por la comisión de dos infracciones en materia de protección de datos.

Iustel

Para resolver la cuestión la Sala parte de que ha quedado acreditado el tratamiento de la sancionada de datos de carácter personal del denunciante sin su consentimiento, que fueron incorporados a los sistemas de información de dicha compañía; asimismo, ha incurrido en la infracción del principio de calidad de datos, asociando al denunciante a unas deudas inexistentes. Pues bien, habiéndose impuesto la sanción por la comisión de ambas infracciones, la AN aprecia concurso medial entre las mismas, puesto que la conducta constitutiva de la infracción de tratamiento de datos inconsentido constituye medio necesario para la perpetración de la otra contravención administrativa objeto de imputación y sanción, lo que conlleva que FRANCE TELECOM deba ser sancionada únicamente por la segunda de las infracciones.

AUDIENCIA NACIONAL

Sala de lo Contencioso-Administrativo

Sentencia de 26 de diciembre de 2013

RECURSO Núm: 416/2012

Ponente Excmo. Sr. JUAN PEDRO QUINTANA CARRETERO

Madrid, a veintiseis de diciembre de dos mil trece.

Vistos por esta Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional los autos del recurso contencioso-administrativo número 416/2012, interpuesto por la Procuradora doña Susana Sánchez García, en nombre y representación de FRANCE TELECOM ESPAÑA, S.A., en cuya defensa ha intervenido el Abogado don José María Sánchez García, contra la resolución de fecha 14 de junio de 2012, dictada por el Director General de la Agencia Española de Protección de Datos en el procedimiento sancionador PS/00556/2011, por la que se desestima el recurso de reposición interpuesto frente a la resolución del mismo órgano de 18 de abril de 2012 que impone a FRANCE TELECOM ESPAÑA, S.A. dos sanciones de 20.000 euros, por la comisión de dos infracciones tipificadas como graves en el artículo 44.3. b ) y c) en relación con los artículos 6.1 y 4.3 y de conformidad con los dispuesto en el artículo 45.5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Ha sido parte demandada en las presentes actuaciones la Administración del Estado, representada y defendida por la Abogacía del Estado.

ANTECEDENTES DE HECHO

PRIMERO.- Por la parte recurrente se interpuso recurso contencioso-administrativo mediante escrito presentado el 17 de septiembre de 2012, acordándose mediante decreto de 16 de enero de 2013 su tramitación de conformidad con las normas establecidas para el procedimiento ordinario y la reclamación del expediente administrativo, tras subsanar la recurrente los defectos formales en que había incurrido en la interposición del recurso.

SEGUNDO.- En el momento procesal oportuno la parte actora formalizó la demanda mediante escrito presentado el 25 de marzo de 2013, en el que, tras alegar los hechos y fundamentos de derecho que estimó procedentes, terminó suplicando se dictara sentencia estimatoria de su pretensión y se declare al invalidez de los actos recurridos.

Las alegaciones de la parte demandante en defensa de su pretensión son, en síntesis, las siguientes:

1.- Falta de competencia de la Agencia Española de Protección de Datos para determinar los presupuestos en los que se funda la infracción, concretamente la existencia o no de contratación, que constituye una cuestión civil.

2.- La Agencia debió haber esperado a que la jurisdicción penal finalizara el proceso penal al que dio lugar la denuncia formulada ante la Comisaria de Policía de Paterna por la contratación fraudulenta a su nombre de una línea telefónica de France Telecom, pues su resultado afectaría a la infracción imputada a esta compañía, en aplicación del artículo 7 del RD 1398/1993, de 4 de agosto.

3.- Vulneración del principio de presunción de inocencia, pues no consta acreditado que France Telecom tratase datos de carácter personal del denunciante, constando al respecto tan solo lo manifestado por los gestores de Asnef y Badexcug sobre la inclusión de los datos personales de aquel en sus ficheros.

4.- Existe concurso de infracciones, pues la infracción consistente en tratamiento inconsentido de datos es medio necesario para que haya habido también datos inexactos, debiéndose sancionar solo una de las infracciones.

5.- Procede rebajar la sanción a 900 euros, al concurrir los criterios de atenuación del artículo 45.4 LOPD.

TERCERO.- El Sr. Abogado del Estado contestó a la demanda mediante escrito presentado el 12 de junio de 2013, en el que, tras alegar los hechos y los fundamentos de derecho que estimó oportunos, terminó suplicando se dictara sentencia desestimatoria del recurso contencioso-administrativo, confirmándose el acto administrativo impugnado.

Las alegaciones de la Administración demandada en sustento de su pretensión son, en síntesis, las siguientes:

1.- La AEPD actuó en ejercicio de las competencias que le atribuye el artículo 37.1 LOPD.

2.- No concurre prejudicialidad penal, desde el momento en que no existe la identidad de hechos pretendida por la recurrente.

3.- La conducta de FRANCE TELECOM ESPAÑA, S.A., consistente en el tratamiento de datos del denunciante sin su consentimiento y la comunicación de datos inexactos del mismo a los ficheros de morosos es constitutiva de las infracciones por cuya comisión ha sido sancionada la entidad recurrente, sin que hayan sido vulnerado el principio de presunción de inocencia.

4.- No concurre concurso de infracciones, pues nos hallamos ante dos infracciones con sustantividad propia e independientes entre sí que protegen principios distintos.

5.- No se ha vulnerado el principio de proporcionalidad en la imposición de la sanción, en la valoración de los criterios de graduación del artículo 45.4 de la LOPD.

CUARTO.- No habiéndose acordado el recibimiento del pleito a prueba, se dio traslado a las partes, por su orden, para que formularan conclusiones, y las evacuaron mediante la presentación de sendos escritos en los que concretaron y reiteraron sus respectivos pedimentos.

QUINTO.- Conclusas las actuaciones, se señaló para votación y fallo de este recurso el día 18 de diciembre de 2013, fecha en que tuvo lugar la deliberación y votación, habiendo sido ponente el Ilmo. Sr. Magistrado don JUAN PEDRO QUINTANA CARRETERO, quien expresa el parecer de la Sala.

FUNDAMENTOS DE DERECHO

PRIMERO.- El presente recurso contencioso-administrativo tiene por objeto la resolución de fecha 14 de junio de 2012, dictada por el Director General de la Agencia Española de Protección de Datos en el procedimiento sancionador PS/00556/2011, por la que se desestima el recurso de reposición interpuesto frente a la resolución del mismo órgano de 18 de abril de 2012 que impone a FRANCE TELECOM ESPAÑA, S.A. dos sanciones de 20.000 euros, por la comisión de dos infracciones tipificadas como graves en el artículo 44.3. b ) y c) en relación con los artículos 6.1 y 4.3 y de conformidad con los dispuesto en el artículo 45.5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Del examen del expediente administrativo y los documentos obrantes en autos se desprenden los siguientes hechos, relevantes para la resolución del recurso, que se estiman probados:

1.- Con fecha 1 de diciembre de 2010 se presentó denuncia ante la AEPD por don David en la que declara que FRANCE TELECOM había incluido los datos personales del denunciante en el fichero de solvencia ASNEF por una deuda de 540,82 euros, pese a que no había contratado línea de teléfono alguna con esa compañía.

2.- El denunciante había denunciado también los hechos el 15 de noviembre de 2010 ante la Comisaria de Policía de Paterna, en la que puso de manifiesto la contratación indebida a su nombre de una línea telefónica de FRANCE TELECOM por persona desconocida.

3.- FRANCE TELECOM ha manifestado que no consta ningún servicio asociado al NIF del denunciante en sus ficheros.

4.- EQUIFAX ha informado que en el fichero ASNEF constan cuatro incidencias vinculadas al NIF del denunciante, informadas por FRANCE TELECOM, por operaciones de telecomunicaciones, en calidad de titular, con techas de alta y baja: 04/05/2009- 17/06/2009, 24/07/2009-28/08/2009, 19/02/2010-27/03/2010 y 30/04/2010-25/12/2010; por unos saldos impagados de 413,22 euros, 413,22 euros, 540,82 euros y 413,22 euros, respectivamente. Las citadas incidencias fueron notificadas en un domicilio de Palencia.

EXPERIAN ha informado que en el fichero BADEXCUG constan dos incidencias vinculadas al identificador NIF correspondiente al denunciante, informadas por FRANCE TELECOM, por operaciones de telecomunicaciones, en calidad de titular, con fechas de alta y baja: 19/04/2009-13/09/2009, por un saldo impagado de 199,68 euros (413,22 euros en el momento.de la baja), y 21/02/2010-26/12/2010, por un saldo impagado de 540,82 euros (413,22 euros en el momento de la baja). Las citadas incidencias fueron notificadas en un domicilio de Palencia.

5- Incoado expediente sancionador en relación con los hechos relatados, fue dictada resolución por el Director General de la Agencia Española de Protección de Datos en el procedimiento sancionador PS/00556/2011, de fecha 18 de abril de 2012 que impone a FRANCE TELECOM ESPAÑA, S.A. dos sanciones de 20.000 euros, por la comisión de dos infracciones tipificadas como graves en el artículo 44.3. b ) y c) en relación con los artículos 6.1 y 4.3 y de conformidad con los dispuesto en el artículo 45.5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, confirmada en reposición por resolución del mismo órgano de fecha 14 de junio de 2012.

SEGUNDO.- El primer motivo de impugnación se sustenta en falta de competencia de la Agencia Española de Protección de Datos para determinar los presupuestos en los que se funda la infracción, concretamente la existencia o no de contratación, que constituye una cuestión civil.

En respuesta a esta alegación, que se rechaza, deben hacerse las siguientes consideraciones:

El artículo 18.4 de la CE reconoce el derecho a la protección de datos de carácter personal frente a uso de la informática y lo hace de forma diferenciada al reonocimiento del derecho al honor y a la intimidad personal y familiar, pues tienen un objeto y alcance distintos. El derecho a la protección de los datos personales se extiende a cualquier dato personal, sea íntimo o no, y los preserva del conocimiento ajeno, al tiempo que garantiza a sus titulares el poder de disposición sobre los mismos. Por tanto, la garantía de la vida privada de la persona y su reputación poseen una dimensión positiva que excede del ámbito del artículo 18.1 CE y que se traduce en un derecho de las personas al control sobre sus datos de carácter personal, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para su dignidad ( STC 292/2000 ).

El artículo 1 de la Ley Orgánica 15/1999, de 13 diciembre, de Protección de Datos de Carácter Personal, establece como objeto de dicha ley garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. A tal efecto dicha Ley Orgánica crea la Agencia de Protección de Datos, estableciendo entre sus funciones las de velar por el cumplimiento de la legislación sobre protección de datos y ejercer la potestad sancionadora en los términos previstos por el Título VII ( artículo 37 a ) y g) LOPD ).

Consecuentemente, el incumplimiento por parte de los responsables de los ficheros y los encargados de los tratamientos de datos personales de las obligaciones impuestas por esta Ley Orgánica, que fuere constitutivo de alguna de las infracciones previstas en el artículo 44 de la LOPD, habrá de dar lugar a la intervención de la Agencia Española de Protección de Datos, incoando el correspondiente procedimiento sancionador de oficio, por propia iniciativa o previa denuncia del afectado, y depurando las responsabilidades a que hubiere lugar. Y ello, claro está, con independencia de que dicho organismo no sea competente para resolver cuestiones de índole civil, inherentes a la relación contractual entre los interesados, lo que no impide que puedan ser consideradas y convenientemente valoradas para discernir sobre la existencia de las responsabilidades objeto del expediente sancionador.

TERCERO.- Alega la demandante que la Agencia debió haber esperado a que la jurisdicción penal finalizara el proceso penal, al que había dado lugar la denuncia formulada ante la Comisaría de Policía de Paterna (Valencia) por la contratación fraudulenta de una línea telefónica de France Telecom, pues su resultado afectaría a la infracción imputada a esta compañía, en aplicación del artículo 7 del RD 1398/1993, de 4 de agosto.

El artículo 7 del Real Decreto 1398/1993, de 4 de agosto, que aprueba el reglamento del procedimiento para el ejercicio de la potestad sancionadora, obliga a las Administraciones Públicas a que, cuando estimen que los hechos objeto de un expediente administrativo sancionador en trámite, pudieran ser constitutivos de ilícito penal, comuniquen tal circunstancia al Ministerio Fiscal, solicitando testimonio de las actuaciones practicadas tanto al Ministerio Fiscal como al órgano judicial encargado del proceso penal, una vez tengan conocimiento en este último caso de que se está desarrollando un proceso penal por los mismos hechos. Una vez recibida la comunicación, si se estimare que existe identidad de sujeto, hecho y fundamento entre la infracción administrativa y la infracción penal que pudiera corresponder, el órgano administrativo correspondiente para la resolución del procedimiento sancionador debería acordar su suspensión hasta que recaiga resolución judicial.

Tal y como revela el precepto, la triple identidad de sujeto, hecho y fundamento entre la infracción administrativa y la infracción penal que pudiera corresponder constituye una exigencia ineludible para que la Administración demandada se encuentre obligada a suspender el procedimiento administrativo sancionador.

Examinados los hechos denunciados ante el Cuerpo Nacional de Policía y los que han sido objeto del expediente sancionador incoado y tramitado hasta su resolución por la Agencia Española de Protección de Datos, se advierte con claridad que no concurre entre unos y otros la triple identidad expresada, pues el objeto del expediente sancionador es determinar si FRANCE TELECOM ESPAÑA S. A. ha llevado a cabo el tratamiento de los datos de carácter personal del denunciante con vulneración del principio de consentimiento, cuestión ajena al objeto del hipotético proceso penal, que es posible dilucidar con independencia del resultado de éste último.

Por ello, debe ser rechazada la infracción del precepto reglamentario expresado por la resolución sancionadora impugnada.

CUARTO.- La resolución impugnada sanciona a la entidad demandante por la comisión de dos infracciones administrativas en materia de protección de datos de carácter personal. En primer lugar se imputa a FRANCE TELECOM ESPAÑA, S.A. el tratamiento de datos de carácter personal del denunciante sin su consentimiento, pues instó la incorporación de los datos del denunciante a los ficheros de solvencia ASNEF y BADEXCUG, lo que suponía el tratamiento automatizado de tales datos, mediante la incorporación a una cinta magnética para su comunicación a tales ficheros.

En segundo lugar, se imputa a esa compañía el tratamiento de datos de carácter personal inexactos, de forma que no corresponden con veracidad con la situación actual del denunciante, en particular haber solicitado la inclusión de los datos del denunciante en los ficheros de solvencia citados, cuando aquellos no respondían con veracidad a la situación actual del denunciante, pues no había contraído deuda alguna con aquella compañía.

Ante ello, alega la parte demandante vulneración del principio de presunción de inocencia, pues no consta acreditado que France Telecom llevara a cabo el tratamiento de los datos del denunciante ni que solicitara su inclusión en los ficheros de solvencia, negando tener servicio alguno asociado al NIF del denunciante en sus ficheros.

Pues bien, el artículo 44.3.b) de la LOPD establece como infracción grave "Tratar los datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo".

Asimismo, el artículo 6 LOPD establece en su apartado primero que "El tratamiento de datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa". A continuación, dicho precepto en su apartado segundo establece aquellos supuestos en los que no será preciso dicho consentimiento, entre los que se encuentra el supuesto en que los datos se refieran a las partes de un contrato o precontrato de una relación negocial.

El artículo 3 h) LOPD define el "consentimiento del interesado" como "Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen"

El principio del consentimiento expresado conllevará, por tanto, la necesidad del consentimiento inequívoco del afectado para que puedan tratarse sus datos de carácter personal, permitiéndose así a aquel ejercer efectivo control sobre dichos datos y garantizando su poder de disposición sobre los mismos. Dicho consentimiento podrá prestarse de forma expresa, oral o escrita, o de manera tácita, mediante actos reiterados y concluyentes que revelen su existencia.

Ahora bien, tal y como ha expresado esta sala reiteradamente, entre otras en sentencia de 28 febrero 2007, Rec 236/2005, el consentimiento ha de ser necesariamente "inequívoco". De modo que ha de aparecer como evidente, o, lo que es lo mismo, que no admite duda o equivocación, pues éste y no otro es el significado del adjetivo utilizado para calificar el consentimiento.

Por otro lado, la carga de acreditar la existencia del "consentimiento inequívoco", a que hace referencia el artículo 6.1 LOPD, recae sobre la entidad responsable del fichero o encargada del tratamiento de los datos personales, cuando su existencia sea negada por el titular de tales datos ( SAN de 8 noviembre 2012, Rec 789/2010 ).

Sentado lo anterior, se anticipa ya que resulta acreditado el tratamiento por parte de FRANCE TELECOM ESPAÑA S.A. de datos de carácter personal del denunciante sin su consentimiento, incurriendo, por ello, en la infracción tipificada en el artículo 44.3.b) LOPD, que fueron incorporados a los sistemas de información de dicha compañía, sin que constara que contara con el consentimiento de este para dicho tratamiento de datos. Este tratamiento de datos, pese a lo alegado por la compañía sancionada, se materializó en la incorporación de los mismos a una cinta magnética para su comunicación a los ficheros de solvencia ASNEF y BADEXCUG.

Frente a la detallada información facilitada por EQUIFAX y EXPERIAN sobre la inclusión en sus ficheros de solvencia de los datos del denunciante facilitados por FRANCE TELECOM, indicándose el motivo de tal inclusión, las fechas de alta y baja de las diferentes incidencias y el importe de las deudas anotadas, no puede prevalecer la mera negativa de la sancionada a haber realizado tales solicitudes de inclusión de datos. Dicha inclusión de datos en los ficheros de solvencia a instancias de FRANCE TELECOM implica el tratamiento de datos del denunciante sin su consentimiento por esta compañía.

Debe, por tanto, concluirse que ha quedado plenamente enervado el principio de presunción de inocencia a través de las pruebas practicadas.

QUINTO.- Por lo que respecta a la segunda infracción imputada a FRANCE TELECOM ESPAÑA S. A. dispone el artículo 44.3. c) LOPD que son infracciones graves: " c) Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave".

En este sentido, establece el artículo 4.3 LOPD, que recoge el principio de calidad de los datos, lo siguiente: "Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado".

En relación con este último precepto, prevé el artículo 29.4 LOPD lo siguiente: "1. Quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y el crédito sólo podrán tratar datos de carácter personal obtenidos de los registros y las fuentes accesibles al público establecidos al efecto o procedentes de informaciones facilitadas por el interesado o con su consentimiento. 2. Podrán tratarse también datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley. 3. En los supuestos a que se refieren los dos apartados anteriores, cuando el interesado lo solicite, el responsable del tratamiento le comunicará los datos, así como las evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y el nombre y dirección de la persona o entidad a quien se hayan revelado los datos. 4. Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquéllos".

A su vez el Reglamento de desarrollo de la LOPD, aprobado por RD 1720/2007, de 21 de diciembre, establece en su artículo 38 - en su redacción vigente tras la STS de 15 de julio de 2010, Rec 23/2008 y 26/2008 - los requisitos para la inclusión de datos en los ficheros de carácter personal, determinantes para enjuiciar al solvencia económica del afectado, entre los que prevé los siguientes: 1.- la existencia de una deuda cierta, vencida y exigible, que haya resultado impagada, y 2.- requerimiento previo al pago a quien corresponda el cumplimiento de la obligación.

Pues bien, con independencia de la infracción examinada en el fundamento jurídico anterior, FRANCE TELECOM ESPAÑA S. A. ha incurrido también en el tratamiento de datos de carácter personal del denunciante con infracción del principio de calidad del dato, previsto en el artículo 4.3 en relación con el artículo 29.4, ambos de la LOPD, cometiendo, por ello, la infracción tipificada en el artículo 44.3.c) LOPD, pues llevó a cabo el tratamiento de datos de carácter personal inexactos, de forma que no correspondían con veracidad con la situación actual del denunciante, comunicando para su inclusión en los ficheros de solvencia ASNEF Y BADEXCUG los datos del denunciante, asociados a unas deudas inexistentes.

La entidad sancionada, en su condición de supuesto acreedor, es la responsable de que los datos proporcionados a las entidades encargadas de los ficheros de datos de solvencia económica, Asnef y Badexcug, sean exactos y veraces, siendo de su responsabilidad tanto su inclusión como la cancelación de los mismos, pues solo ella cuenta con el conocimiento de la existencia y exigibilidad de la deuda, cuyo impago está en la causa de la inclusión de los datos en estos ficheros. Por tanto, resulta responsable de la veracidad y calidad de los datos que hallándose en sus ficheros suministra para que se incluyan y mantengan en ficheros de solvencia.

En definitiva, mediante tal actividad FRANCE TELECOM ESPAÑA S. A. facilitó a la entidad encargada del fichero de solvencia una información relativa a datos personales del denunciante que no era veraz, infringiendo el principio de calidad de los datos. Respecto de tal conducta queda plenamente desvirtuado el principio de presunción de inocencia que le ampara, mediante las pruebas practicadas y obrantes en el expediente administrativo, pues a tal empresa le corresponde, en cumplimiento de la legislación sobre protección de datos, adoptar las medidas de comprobación necesarias para asegurar la veracidad de los datos que suministra a los ficheros de solvencia, como entidad que celebra los contratos de prestación de servicios, incorpora los datos personales de sus clientes a sus ficheros y emite las facturas y gira los correspondientes recibos bancarios.

El incumplimiento de deber de diligencia que le obliga en tal actividad determina la imputación del tratamiento de datos con infracción del principio de calidad, con independencia de que tal compañía negara haber realizado las solicitudes de inclusión de datos en los ficheros de solvencia, pues su existencia resulta acreditada por la información facilitada por EQUIFAX Y EXPERIAN, tal y como se expuso en el fundamento de derecho anterior. Consideración a la que debe añadirse la trascendencia que supone la inclusión equivocada o errónea de una persona en un registro de esta naturaleza, tanto desde el punto de vista profesional como personal, lo que exige extremar la diligencia en la comprobación de la veracidad y exactitud de los datos suministrados para su inclusión y mantenimiento en los ficheros de tal naturaleza.

SEXTO.- Alega la recurrente que existe concurso de infracciones, pues la infracción consistente en vulneración del principio de consentimiento es medio necesario para que haya habido también datos inexactos, debiéndose sancionar solo una de las infracciones.

Examinadas las conductas imputadas a la compañía demandante y la tipificación que de las mismas se hace en los apartados b ) y c) del artículo 44.3 LOPD en relación con los artículos 4.3 y 6.1 LOPD, se aprecia concurso medial entre las infracciones por cuya autoría ha sido sancionada la demandante.

El artículo 4 del Real Decreto 1398/1993, de 4 de agosto, que aprueba el Reglamento de Procedimiento para el ejercicio de la potestad sancionadora por la Administración del Estado, dispone " En defecto de regulación específica establecida en la norma correspondiente, cuando de la comisión de una infracción derive necesariamente la comisión de otra u otras, se deberá imponer únicamente la sanción correspondiente a la infracción más grave cometida".

Por tanto, el artículo 4.4 del Real Decreto 1398/1993, de 4 de agosto, exige, para su aplicación, la existencia de una relación tal entre las infracciones concernidas que una de ellas derive necesariamente de la otra, de modo que no sea posible la comisión de una sin ejecutar la otra.

Pues bien, esta circunstancia concurre en el caso examinado, puesto que la conducta constitutiva de la infracción de tratamiento inconsentido de datos imputada, constituye medio necesario para la perpetración de la otra contravención administrativa objeto de imputación y sanción.

Repárese en que se sanciona a la demandante, en primer lugar, por un tratamiento inconsentido de datos, tipificado en el artículo 44.3.b) en relación con el artículo 6.1 de la LOPD, consistente en la incorporación a una cinta magnética de los datos personales del denunciante asociados a una deuda para su comunicación a los ficheros de solvencia Asnef y Badexcug, y en segundo lugar, por la infracción del principio de calidad de los datos personales, tipificado en el artículo 44.3.c) en relación con el artículo 4.3 de la LOPD, consistente en la comunicación de dichos datos no veraces a estos ficheros de solvencia para su inclusión en los mismos.

Por tanto, en el concreto supuesto que nos ocupa la primera de las conductas infractora expresada constituye medio necesario para la realización de la segunda, sin que quepa representarse la posible realización de esta última sin que previamente se haya llevado a cabo la primera.

Por otro lado, no se ha imputado a la compañía sancionada otro tratamiento de los datos del denunciante diferente a su mera incorporación en una cinta magnética para su remisión a los ficheros de solvencia, como pudiera haber sido la emisión de facturas a nombre de aquel, la realización de comunicaciones con el denunciante o cualquier otra conducta reveladora del tratamiento de sus datos personales.

Por consiguiente, procede apreciar concurso medial entre el tratamiento inconsentido de datos personales y la infracción del principio de calidad del datos, como conductas constitutivas de las infracciones administrativas imputadas a la demandante, al derivar necesariamente una de ellas de la comisión de la otra, lo que conlleva la imposición de la sanción correspondiente a la infracción más grave. Tal apreciación determina que la demandante solo deba ser sancionada por la comisión de una de las infracciones, pues ambas presentan la misma gravedad, que en este caso ha de ser la infracción del principio de calidad de los datos personales, al constituir la otra infracción medio necesario para su comisión.

SEPTIMO.- Alega la parte demandante que procede la aplicación de los criterios de atenuación del artículo 45.4 LOPD, correspondiendo imponer por la infracción la sanción en su grado mínimo.

Al respecto, debe señalarse que, en cuanto a la circunstancia a), en modo alguno puede operar como circunstancia atenuadora de la responsabilidad el carácter no continuado de la infracción, contemplándose en la norma solo como circunstancia agravante la continuidad infractora o, lo que es lo mismo, el carácter continuado de la infracción, como es natural. Además, concurre en este caso esta circunstancia agravante, dado el carácter continuado de la infracción cometida por la demandante, que llevó a cabo hasta seis inclusiones de deudas inveraces del denunciante en los ficheros de solvencia.

Por otra parte, en cuanto a la circunstancia c), es notoria al vinculación de la actividad de la infractora con la realización de tratamientos de datos de carácter personal y que la recurrente es una entidad que por su actividad está en permanente contacto y trata gran volumen de datos personales, lo que, en vez de atenuar su responsabilidad, le impone un mayor deber de diligencia en su tratamiento. La misma consideración cabe hacer en relación con la circunstancia d), relativa al volumen de negocio de la sancionada.

El volumen de tratamientos efectuados, a que se refiere el apartado b), seis en este caso, no permite atenuar la responsabilidad, y la existencia de perjuicios al denunciante resulta más que evidente, como revela el acceso de diferentes entidades bancaria a sus datos de solvencia anotados en los ficheros, que aparecen acreditados en el expediente administrativo.

Además, resulta patente la ausencia de diligencia en la conducta de la sancionada que impide la aplicación de la circunstancia prevista en el apartado i).

Por todo ello, al margen de que se aprecie en la conducta infractora imputada a la compañía recurrente algunas de las circunstancias previstas como atenuadoras de la gravedad de la sanción, previstas en el apartado cuarto del artículo 45 LOPD, como el hecho de que la compañía sancionada no haya obtenido beneficio alguno de la comisión de la infracción y no se aprecie intencionalidad, sin que conste la concurrencia de las restantes circunstancias atenuantes alegadas de forma meramente genérica, la concurrencia de la circunstancias agravantes expresadas, justifican la graduación de la sanción realizada.

En consecuencia, estima la Sala que la sanción impuesta resulta ponderada y proporcionada a la gravedad de la infracción cometida y la entidad de los hechos, sin que se aprecien razones que justifiquen su minoración.

Por todo lo expuesto, procede la estimación parcial del presente recurso contencioso administrativo, anulando y dejando sin efecto la sanción de multa de 20.000 euros impuesta por la comisión de la infracción, tipificada como grave en el artículo 44.3. b) en relación con el artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

OCTAVO.- De conformidad con lo dispuesto en el artículo 139.1 de la Ley Jurisdiccional, no procede imponer las costas causadas en este procedimiento a alguna de las partes.

FALLAMOS

ESTIMAR PARCIALMENTE el recurso contencioso-administrativo interpuesto por la Procuradora Doña Susana Sánchez García, en nombre y representación de FRANCE TELECOM ESPAÑA S. A. contra la resolución de fecha 14 de junio de 2012, dictada por el Director General de la Agencia Española de Protección de Datos en el procedimiento sancionador PS/00556/2011, por la que se desestima el recurso de reposición interpuesto frente a la resolución del mismo órgano de 18 de abril de 2012 que impone a FRANCE TELECOM ESPAÑA, S.A. dos sanciones de 20.000 euros, por la comisión de dos infracciones tipificadas como graves en el artículo 44.3. b ) y c) en relación con los artículos 6.1 y 4.3 y de conformidad con los dispuesto en el artículo 45.5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, anulando y dejando sin efecto la primera de las sanciones impuestas.

No se hace expresa imposición de las costas causadas.

Así por esta nuestra sentencia, lo pronunciamos, mandamos y firmamos.

Notifíquese a las partes la presente sentencia con indicación de que no cabe contra ella recurso de casación.

PUBLICACIÓN.- Dada, leída y publicada fue la anterior sentencia en audiencia pública. Doy fe. Madrid a

LA SECRETARIA JUDICIAL

Comentarios

Escribir un comentario

Para poder opinar es necesario el registro. Si ya es usuario registrado, escriba su nombre de usuario y contraseña:

 

Si desea registrase en www.iustel.com y poder escribir un comentario, puede hacerlo a través el siguiente enlace: Registrarme en www.iustel.com.

  • Iustel no es responsable de los comentarios escritos por los usuarios.
  • No está permitido verter comentarios contrarios a las leyes españolas o injuriantes.
  • Reservado el derecho a eliminar los comentarios que consideremos fuera de tema.

Revista El Cronista:

Revista El Cronista del Estado Social y Democrático de Derecho

Lo más leído:

Secciones:

Boletines Oficiales:

 

© PORTALDERECHO 2001-2018

Icono de conformidad con el Nivel Doble-A, de las Directrices de Accesibilidad para el Contenido Web 1.0 del W3C-WAI: abre una nueva ventana