HECHOS
Procedimiento nº.: PS/00251/2018
180-100519
Recurso de reposición Nº RR/00063/2019
Examinado el recurso de reposición interpuesto por XFERA MÓVILES, S.A., con NIF A82528558, contra la resolución dictada por la Directora de la Agencia Española de Protección de Datos en el procedimiento sancionador PS/00251/2018 y en consideración a los siguientes
HECHOS
PRIMERO: Con fecha 12 de diciembre de 2018 se dictó resolución por la Directora de la Agencia Española de Protección de Datos en el procedimiento sancionador PS/00251/2018 en virtud de la cual se le impusieron dos sanciones -de 60.000 euros y
70.000 euros cada una- por sendas infracciones de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). La resolución estimó vulnerados, respectivamente, los artículos 6.1 -infracción tipificada en su artículo 44.3.b)- y 4.3, en relación con el 29.4 de la citada Ley Orgánica y en relación con el artículo 38.1.a) de su Reglamento de desarrollo -infracción tipificada en el artículo 44.3.c) LOPD-.
SEGUNDO: Como hechos probados del citado procedimiento sancionador, PS/00251/2018, se dejó constancia en la resolución recurrida de los siguientes:
<<HECHOS PROBADOS
PRIMERO: A.A.A., con NIF ***NIF.1 y dirección electrónica ***EMAIL.1, denuncia que XFERA MÓVILES ha dado de alta varias líneas telefónicas a su nombre sin su consentimiento las cuales han generado deudas cuyo impago ha motivado que sus datos hayan sido comunicados a ficheros de solvencia patrimonial.
SEGUNDO: El denunciante ha aportado copia de una denuncia formulada ante la Generalitat de Cataluña (CAT12), relativa al alta sin su consentimiento de varias líneas telefónicas en una tienda de THE PHONE HOUSE en ***LOCALIDAD.1.
En escrito adjunto indica que al solicitar una tarjeta de crédito a su entidad bancaria le ha sido denegada por estar incluido en el fichero de morosos ASNEF, averiguando posteriormente que la inclusión la realiza XFERA por una deuda de 3.064 euros, consiguiendo que le envíen las facturas e informándose que la contratación de las líneas se realizó en ***LOCALIDAD.2 en una tienda de THE PHONE HOUSE.
TERCERO: El denunciante aportó en fecha 15/09/2017, en respuesta al requerimiento de información de la Inspección de Datos, la copia de su DNI; dicho documento tiene como fecha límite de validez el 13/07/2020 e incorpora como domicilio la
***DIRECCION.1.
En escrito de 22/09/2017 el denunciante aporta su DNI “antiguo no caducado”. El documento tiene como fecha límite de validez el 28/02/2018 e incorpora como domicilio ***DIRECCION.2. El denunciante explica que “en las facturas he visto que han puesto esta dirección en alguna. Entiendo que tienen una fotocopia de mi DNI antiguo. Mi DNI nuevo ya lo adjunté con dirección en ***LOCALIDAD.3 (aunque ahora vivo en ***LOCALIDAD.4)”.
El denunciante mediante escrito de 16/06/2018 comunica un cambio de domicilio que radica ahora en ***LOCALIDAD.4 (***LOCALIDAD.3).
CUARTO: Consta que el denunciante se dirigió a EQUIFAX el 19/04/2017 ejercitando el derecho de acceso a los datos que figuraban en el fichero ASNEF.
La entidad le respondió el 20/04/2017 aportando la información asociada a su identificador (NIF) en la que figuraba la inclusión de sus datos personales en el citado fichero como consecuencia de una deuda por importe de 3.064,91 euros, dada de alta el 24/06/2016, constando como entidad informante XFERA MOVILES, S.A. (Folio 32)
QUINTO: En los sistemas informáticos de XFERA figuran registrados los datos personales del denunciante: nombre y apellidos, NIF, dirección electrónica ***EMAIL.2 y como teléfono de contacto la línea asociada al número ***TELEFONO.4; como dirección postal la ***DIRECCION.3-***LOCALIDAD.2, ***LOCALIDAD.1.
Asimismo, figuran vinculados al denunciante tres líneas de telefonía móvil asociadas a los números ***TELEFONO.1 (i) ***TELEFONO.2 (ii) y ***TELEFONO.3 (iii):
SEXTO: XFERA no ha aportado copia del contrato de la línea de telefonía móvil asociada al número ***TELEFONO.1 (i) señalando que “ha sido solicitado al distribuidor The Phone House, S.L.U. sin que a fecha del presente escrito haya sido remitido por él”.
XFERA ha aportado copia de los contratos de las líneas ***TELEFONO.2 (ii) y
***TELEFONO.3 (iii). Estos contratos fueron suscritos en el Distribuidor THE PHONE HOUSE el 03/03/2016 y el 07/03/2016 respectivamente. Se aporta copia del DNI del denunciante con fecha de validez hasta el 13/07/2020 y cuya firma no parece coincidir con la que consta en los contratos.
SÉPTIMO: XFERA manifestó, en respuesta al requerimiento de la Inspección de la AEPD, que se emitieron a nombre del denunciante las facturas que relaciona en el punto 1.3 de su escrito:
1- ***FACTURA.1, marzo de 2016, con un importe de 311,11 euros 2 - ***FACTURA.2, abril de 2016, con un importe de 200,84 euros 3 - ***FACTURA.3, mayo de 2016, con un importe de 191,96 euros
4 - ***FACTURA.4, junio de 2016, con un importe de 177,00 euros 5 - ***FACTURA.5, julio de 2016, con un importe de 177,00 euros
6 - ***FACTURA.6, agosto de 2016, con un importe de 2.007,00 euros
Añadió que en la actualidad todas ellas se encuentran “condonadas en los sistemas de YOIGO por cesión de créditos realizada en fecha 19 xx xxxxx de 2017 a la empresa SALUS INVERSIONES Y RECUPERACIONES, S.L.” (Folio 425)
OCTAVO: XFERA manifestó en su escrito de respuesta al requerimiento informativo de la Inspección de la AEPD que “las facturas que motivaron la inclusión de los datos en ficheros de solvencia y crédito son las que aparecen relacionadas en el apartado
1.3 del presente escrito”. (Folio 428)
NOVENO: Xxxxx en el expediente, aportadas por el denunciante, la copia de las facturas mencionadas en el Hecho Probado séptimo de las que XFERA facilitó a esta Agencia únicamente una relación. Identificadas por el número de orden, la 1 obra al folio 37, la 2 en el folio 38, la 3 en el 39, la 4 en el 40, la 5 en el 41 y la 6 en el folio 11.
En todas ellas existen importes facturados por el servicio prestado por la línea número ***TELEFONO.1 (i)
DÉCIMO: XFERA ha aportado copia del contrato suscrito con THE PHONE HOUSE el 22/02/2010. En su Clausula 7, Procedimientos Operativos, se señala que TPH en nombre de XFERA formalizará con el cliente el formulario de alta asegurando su debida cumplimentación y deberá solicitar, en caso de personas físicas:
“ Fotocopia del Número de Identificación Fisca del firmante, o fotocopia de Pasaporte ….vigentes a la fecha del contrato.
Solo para pospago: documentos acreditativos de los datos de cobro: adeudo domiciliado de antigüedad anterior a tres meses en el que figuren identificados los 20 dígitos de la cuenta y su titular o titulares o Fotocopia de portada de cartilla bancaria con más de tres meses de antigüedad y fotocopia de movimientos domiciliados de menos de tres meses (…)
7. Verificar la documentación a presentar por el cliente (…)
En el momento de la contratación, The Phone House verificará inexcusablemente los datos de identificación del cliente, y en su caso, los del firmante con los documentos originales.
En ningún caso se procederá a dar un Alta para un cliente cuyos datos y/o documentación presenten alguna duda en cuanto a su veracidad/vigencia.
Las verificaciones que siempre deben realizarse son las siguientes:
a Que las fotocopias de los documentos coinciden con los originales presentados.
b Que los datos de los documentos acompañados coinciden con los cumplimentados en el contrato de abono.
c Que la firma del DNI, Pasaporte, etc., coincide con la del formulario de alta.
d Que la persona que firma coincide con la del documento de identidad y es mayor de dieciocho años
The Phone House no comercializará el servicio bajo ningún concepto a alguien que se niegue a identificarse o no presente alguno de los documentos mencionados en la presente estipulación”.>>
TERCERO: XFERA MÓVILES, S.A. (en lo sucesivo la recurrente) formuló recurso de reposición que tuvo entrada en el Registro de la AEPD el 18 de enero de 2019. En él solicita que se revoque la resolución sancionadora dictada por cuanto, dice, no se ajusta al ordenamiento jurídico. Con carácter subsidiario -para el caso de que no se estime la pretensión anterior- solicita que se reduzca el importe de la sanción impuesta hasta el mínimo legal.
La recurrente fundamenta su recurso de reposición en los motivos siguientes: 1º: La nulidad de la resolución con arreglo al artículo 47.1.a) de la Ley 39/2015,
de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP) por infracción del artículo 24.2 de la Constitución Española. A juicio de la recurrente la vulneración del precepto constitucional se materializó en la desestimación por la AEPD de la práctica de la prueba propuesta en el curso del procedimiento sancionador.
2º: Con carácter subsidiario, y al amparo de los artículos 48.1 y 77.3 de LPACAP, en relación con los artículos 1.265.2 de la Ley de Enjuiciamiento Civil 1/2000 y 470.IV y análogos de la Ley de Enjuiciamiento Criminal, invoca la anulabilidad de la resolución dictada.
3.º: Con carácter subsidiario respecto al motivo anterior, la anulabilidad de la resolución dictada, al amparo del artículo 48.1 y 77.3 de la LPACAP en relación con el artículo 386.1 de la Ley de Enjuiciamiento Civil 1/2000.
Para el caso de que no estimar ninguno de los motivos de nulidad/anulabilidad que se invocan solicita que se rectifique el criterio seguido en la resolución sancionadora y no se califiquen como agravantes las circunstancias descritas en los apartados a) y f) del artículo 45.4 LOPD.
FUNDAMENTOS DE DERECHO
I
Es competente para resolver el presente recurso la Directora de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 48.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de
los Derechos Digitales (LOPDPGDD)
II
A) Los hechos que dieron origen al procedimiento sancionador PS251/2018, del que trae causa la resolución impugnada, versaron, por una parte, sobre el tratamiento de los datos personales del denunciante efectuado por XFERA vinculado a tres líneas telefónicas que el denunciante negó haber contratado: línea i (***TELEFONO.1) línea ii (***TELEFONO.2) y línea iii (***TELEFONO.3).
No obstante, la conducta de la que se responsabilizó a XFERA en la resolución impugnada afectaba, exclusivamente, al tratamiento de los datos personales del denunciante asociados a la línea de teléfono móvil i (***TELEFONO.1) pues, respecto a las líneas ii y iii la entidad sí aportó a la AEPD en el curso de las actuaciones previas al procedimiento sancionador la copia del DNI del denunciante y la copia de los contratos firmados. Esto, pese a que, como se hizo constar en la resolución impugnada, se apreciara una evidente falta de coincidencia entre la firma del denunciante y la que se recogía en tales documentos.
La conducta infractora consistió, además, en la vulneración del principio de calidad de los datos, en su manifestación del principio de exactitud o veracidad, habida cuenta de que la infractora, ahora recurrente, incluyó los datos del denunciante en ficheros de solvencia patrimonial asociados a la deuda derivada del citado contrato (línea i), por lo que la deuda informada no era, respecto a la persona del afectado, ni cierta, ni vencida ni exigible.
XFERA ha argumentado en su recurso de reposición -apoyándose en el hecho de que facilitó a esta Agencia, en relación con la contratación de las líneas de móvil ii y iii, tanto la copia del DNI del denunciante como la copia de los respectivos contratos- que esta circunstancia acreditaba que también había contado con el consentimiento del titular de los datos para el tratamiento vinculado a la línea de teléfono móvil controvertida, línea i. Y en esa línea argumental manifiesta su discrepancia con la decisión de la Agencia de analizar y valorar ese tratamiento -el de los datos personales del afectado asociado a la línea de móvil i- “de forma aislada”.
Sobre ese mismo extremo afirma en el recurso que “ (…) los datos personales atendidos fueron tratados en virtud del consentimiento que fue recabado por YOIGO al realizar la contratación presencial, a través del distribuidor The Phone House (en adelante TPH), de las líneas de teléfono móvil con número ***TELEFONO.1,
***TELEFONO.2 y ***TELEFONO.3, el 01/03/2016,03/03/2016 y 06/03/2016
respectivamente, ante una persona que se identificó como el denunciante y que para acreditarlo aportó copia de su DNI”.
Además, añade que la resolución recurrida no ha tenido en cuenta que los contratos de las líneas ii y iii fueron celebrados el 03/03/2016 y el 06/03/2016, esto es, apenas dos y cinco días después de que se celebrara el contrato de la línea i
-***TELEFONO.1- de fecha 01/03/2016 en relación con la cual se concreta la conducta infractora de la recurrente. Todo lo cual, a juicio de la recurrente, evidencia que la contratación gozaba “de apariencia de legitimidad, puesto que existen contrataciones documentadas regularmente”.
Subraya también que ha aportado “la descripción del protocolo de validación de la identidad del contratante que tenía implementado TPH en su establecimiento y que fue debidamente aplicado”.
Muy relevante es la afirmación de la recurrente según la cual ha sido, exclusivamente, la negativa de la Agencia a practicar la prueba que ella propuso en el curso del expediente sancionador PS/251/2018 el motivo por el cual no obran en el procedimiento los documentos que demuestren que, con ocasión de la contratación de la línea de telefonía móvil i (***TELEFONO.1), obró con la diligencia que era procedente a fin de verificar que quien se identificó con los datos personales del denunciante era quien decía ser.
Por tanto, concluye la recurrente, “el centro del debate viene a circunscribirse a apreciar si estaba justificada o no la denegación de prueba”.
B) Antes de entrar en el examen de los motivos invocados por la recurrente como fundamento al presente recurso corresponde hacer algunas consideraciones sobre las afirmaciones de las que se vale para justificar la impugnación de la resolución.
Frente a la manifestación de la recurrente de que la AEPD “ha valorado de forma aislada” la contratación de la línea controvertida (línea i ), pues a su juicio tal contratación debe conectarse con las contrataciones que se efectuaron días después para las líneas ii y iii -y respecto a las que la entidad sí aportó documentos de los que se infiere que obró con la diligencia que era procedente para identificar a la persona que facilitó como suyos los datos personales del afectado, pues aportó copia del DNI del denunciante y contratos firmados- se debe recordar que, según reiterada doctrina de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, incumbe al responsable del tratamiento de los datos de un tercero la carga de asegurarse de que aquél a quien se solicita el consentimiento es efectivamente el titular de los datos y que debe conservar la prueba del cumplimiento de la obligación a disposición de esta Agencia.
A lo anterior se ha de añadir que los contratos i, ii, y iii, que XFERA suscribió a nombre del denunciante, eran contratos independientes entre sí; que se celebraron en diferentes días (respectivamente el 1,3 y 6 xx xxxxx de 2016) y que es precisamente respecto al primero de los contratos celebrados -del 01/03/2016- relativo a la línea i sobre el que la entidad recurrente no ha aportado ningún documento del que pueda inferirse que fue el denunciante quien contrató o al menos que la entidad observó la diligencia mínima imprescindible para identificar a la persona que facilitó como suyos determinados datos personales.
Igualmente, parece necesario recordar que la contratación de la línea i se realizó a través de THE PHONE HOUSE, con quien XFERA tenía suscrito un contrato de Agencia, por lo que aquella actuaba en calidad de encargada de tratamiento de la ahora recurrente. A la luz de las estipulaciones del contrato de Agencia, TPH debía dar traslado a XFERA con una periodicidad trimestral del original del contrato suscrito firmado por su titular, de la copia del DNI o pasaporte que se hubiera solicitado al cliente para validar su identidad y del resguardo bancario que hiciera prueba de su
condición de titular de la cuenta bancaria de domiciliación de pagos.
Sin embargo, en relación con la línea controvertida (línea i) XFERA no facilitó a la AEPD ningún documento, lo que supone, en definitiva, que no verificó si la Distribuidora había actuado conforme a lo estipulado en el contrato y si le había remitido la documentación que estaba obligada a facilitarle. Omitió la diligencia mínima que resulta exigible tanto al tiempo de dar de alta la línea i; como en el curso de los tres meses siguientes, plazo en el que XFERA tenía que haber recabado de su encargada de tratamiento la documentación acreditativa de la identidad del cliente y del consentimiento prestado a la contratación de la línea. También omitió toda diligencia en ese sentido más adelante: al tiempo de comunicar a un fichero de solvencia los datos del reclamante asociados a una deuda derivada de la línea móvil controvertida (recordemos que el artículo 43.1 del RLOPD establece que el acreedor o quien actúe por su cuenta o interés deberá asegurarse que concurren todos los requisitos exigidos en los artículos 38 y 39 en el momento de notificar datos adversos al responsable del fichero común). Comprobación que tampoco efectuó con ocasión de ceder x Xxxxx Inversiones y Recuperaciones, S.L., una deuda atribuida a la denunciante derivada de la vinculación a su nombre de la línea de móvil i objeto de la controversia.
C) Entrando en el examen de los motivos de impugnación en los que el recurrente funda su recurso, hemos de subrayar que de su lectura se constata que los tres motivos invocados giran en torno a un mismo hecho: la denegación por la AEPD en el curso del procedimiento PS/251/2018 de la práctica de la prueba que el recurrente propuso en el momento procesal oportuno, en el trámite de alegaciones al acuerdo de inicio.
Así pues, el recurrente articula en tres motivos de impugnación -uno de nulidad (artículo 47.1.a, de la LPACAP) y dos de anulabilidad (artículo 48.1 de la LPACAP) - las consecuencias jurídicas que en su opinión se derivan de una actuación de la AEPD que entiende que no fue ajustada a Derecho: la negativa de la instructora del expediente sancionador a practicar la prueba que la denunciada había propuesto.
La ahora recurrente había manifestado en su escrito de alegaciones al acuerdo de inicio, alegación sexta (folio 475), que “a efectos de demostrar la ausencia de tipicidad o, en su caso, la ausencia de culpabilidad de mi representada en el presente expediente, YOIGO propone la práctica de las siguientes pruebas”.
“(ii) Esta parte estima necesario que se requiera a The Phone House Spain, S.L.U., con domicilio en (…) para que aporte toda la documentación e información que conserve, bien directamente, bien a través de cualquiera de sus contratistas y proveedores en relación con el contrato de alta de la línea de teléfono móvil con número ***TELEFONO.1 celebrado el 1 xx xxxxx de 2016 entre YOIGO y A.A.A. con NIF ***NIF.1, incluyendo una copia del citado contrato” (El subrayado es de la AEPD)
La instructora del expediente denegó la práctica de tal prueba en el escrito en el que acordó la apertura del periodo probatorio. El escrito se firmó el 31/10/2018, fue notificado a XFERA electrónicamente y consta recibido por la entidad en fecha 02/11/2018 (folios 477 y 479). En él se razonaba la denegación de la prueba propuesta
en los siguientes términos (folio 478):
<<Por lo que atañe a esta proposición de prueba se pone en conocimiento de la denunciada que, a tenor del artículo 77.3 de la LPACAP, se acuerda rechazar su práctica debido a su manifiesta improcedencia.
A través de la prueba que se propone -el requerimiento que desea que la Agencia dirija a THE PHONE HOUSE (TPH) para que facilite el contrato celebrado entre XXXXX y el denunciante relativo a la línea ***TELEFONO.1- se pretende trasladar a este organismo la carga probatoria que única y exclusivamente incumbe a XFERA.
XFERA en su condición de responsable del tratamiento de los datos personales del denunciante debería estar en condiciones de poder acreditar ante la Agencia Española de Protección de Datos que el tratamiento de datos efectuado, vinculado a la línea móvil controvertida, fue legítimo y acorde con el principio de exactitud y veracidad.
La prueba que solicita que la Agencia lleve a cabo es la que permitiría a esa entidad corroborar sus alegaciones, conforme a las cuales había observado en el tratamiento de los datos personales del denunciante la diligencia que era procedente para cumplir las obligaciones que le impone la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal>>
En la propuesta de resolución del PS/251/2018, que se firmó y notificó el 22/11/2018 y que consta recibida por la recurrente el 26/11/2018, en el Fundamento Jurídico II B), se advertía que XFERA no había aportado ningún documento que acreditara la contratación por el denunciante de la línea móvil controvertida y se añadía que la denunciada había justificado la omisión de ese documento en el hecho de que TPH no se lo había facilitado. Nos remitimos a estos efectos a la respuesta de XFERA al requerimiento informativo que le hizo la Inspección de Datos en el curso de las actuaciones de investigación previa, E/5110/2017 (folio 426). En el punto 2.1 del documento la entidad contesta en estos términos a la solicitud que se le hizo para que aportara la copia del contrato correspondiente a la línea controvertida (i):
“(…) El contrato relativo al número ***TELEFONO.1 ha sido solicitado al distribuidor The Phone House, S.L., sin que a fecha del presente escrito haya sido remitido por él. No obstante, lo anterior, en el momento en que sea recibido por YOIGO será aportada sin dilación”.
La recurrente no presentó dentro del plazo otorgado por la Ley alegaciones a la propuesta de resolución del expediente sancionador PS/251/2018. La propuesta de resolución fue recibida por la ahora recurrente el 26/11/2018, por lo que el plazo xx xxxx días para formular alegaciones concluyó el 11/12/2018 (ex artículo 73 LPACAP) toda vez que la ampliación de plazo solicitada electrónicamente el 09/11/2018 le fue denegada en fecha 10/12/2018. Cuando el escrito de alegaciones de XFERA se presentó en la sede electrónica de la AEPD, el 17/12/2018, habían transcurrido cinco días desde la finalización del plazo concedido para alegar.
En la resolución sancionadora que ahora se impugna la AEPD manifestó respecto a la denegación de la prueba que la denunciada había solicitado lo siguiente:
<<XFERA MÓVILES propuso en sus alegaciones al acuerdo de inicio del PS/251/2018 que la AEPD practicara la siguiente prueba: (…)
En el mismo escrito en el que la instructora del expediente comunicaba a XFERA MÓVILES la apertura del periodo de prueba y las diligencias probatorias a las que debía responder se le informó -razonando el porqué de tal decisión- de que la prueba que había propuesto (alegación sexta de su escrito de alegaciones al acuerdo de inicio) había sido rechazada debido a su manifiesta improcedencia.
La prueba propuesta por XFERA MÓVILES –que consistía en que la Agencia requiriese a THE PHONE HOUSE (TPH) para que le facilitara el contrato celebrado entre YOIGO y el denunciante relativo a la línea
***TELEFONO.1– implicaba trasladar a esta Agencia la carga probatoria que única y exclusivamente a ella le incumbe.
XFERA, en su condición de responsable del tratamiento de los datos personales del denunciante, quien figura en sus sistemas como titular de un servicio contratado con ella a través del Distribuidor TPH y vinculado a la línea
***TELEFONO.1, necesariamente debía tener en su poder la documentación que le permitiera acreditar ante la Agencia Española de Protección de Datos que ese tratamiento fue legítimo y respetuoso con el principio de exactitud y veracidad.
La falta de diligencia de la denunciada resulta más evidente a la luz del contrato de Agencia que tenía suscrito con TPH. En él se estipulaba que, en un plazo máximo de tres meses desde la fecha de cada uno de los contratos que se realizaran a nombre de XFERA a través del Distribuidor, éste debía remitir a XFERA -responsable del fichero- los documentos recabados del cliente: la copia del contrato firmado, la copia del DNI y de un documento acreditativo de la titularidad de los datos bancarios facilitados para la domiciliación del pago de facturas (estipulación 7.1.1.6, folio 378).
Se pone de manifiesto, por tanto, que XFERA MÓVILES no efectuó ningún control ni verificó si esa documentación le había sido remitida por TPH y obraba en su poder o si, por el contrario, faltaba la documentación vinculada al contrato que la Distribuidora debió de haberle enviado, lo que le habría permitido reclamar la documentación en un plazo prudencial.>> (Antecedente Quinto apartado B) de la resolución)
Por otra parte, parece conveniente recordar que el Contrato de Agencia celebrado entre TPH y XFERA, en la cláusula 7, “Procedimientos operativos”, apartado 7.1.1., dice que “De forma obligatoria, The Phone House deberá llevar a cabo los siguientes pasos en la tramitación del contrato de abono a los Servicios. Todos ellos resultan aplicables tanto a pospago como a prepago, salvo que se indique expresamente lo contrario: (…)
6. Enviar documentación a XFERA: la documentación original deberá estar en poder de XFERA, con periodicidad trimestral a partir de la fecha de la firma del formulario de alta. La falta de documentación será objeto de las correspondientes penalizaciones. Sin perjuicio del referido plazo trimestral, ante una petición de la
Administración o de una autoridad judicial, la documentación se remitirá a la mayor brevedad y cumpliendo en todo caso con el plazo establecido por la autoridad en cuestión”.
La estipulación 7.2 del contrato dice en uno de sus párrafos:
“The Phone House deberá enviar los formularios de alta y su documentación asociada directamente al Centro de Activaciones XFERA que le sea indicado por XFERA en cada momento, acompañados de la documentación referida en las secciones anteriores. La remisión deberá hacerse trimestralmente”.
La cláusula 15 del Contrato, punto 15.4 indica:
“Una vez finalice la prestación del servicio objeto de este contrato, The Phone House deberá proceder a la devolución o en su caso, si así se lo indica por escrito XFERA, a la destrucción, salvo que exista una previsión legal que exija su conservación, de los datos de carácter personal y de los soportes o documentos en que conste algún dato que provengan del fichero proporcionado, sin conservar copia del mismo”.
(Los subrayados son de la AEPD)
Por lo que respecta a los motivos de impugnación invocados, indicar que la recurrente, a propósito del primero de ellos -referente a la nulidad “conforme al artículo 47.1.a) de la Ley 39/2015 por infracción del artículo 24.2 de la Constitución Española”- apoya su pretensión en numerosas citas jurisprudenciales del Tribunal Constitucional.
Especial atención merece la mención a la STC 80/2011, de 6 xx xxxxx, respecto al derecho a utilizar los medios de prueba pertinentes para la defensa (ex artículo 24.2 C.E.). Del tenor de la referida STC se concluye que, para poder afirmar que se ha vulnerado el derecho a utilizar los medios de prueba pertinentes para la defensa que garantiza el artículo 24.2 de la C.E., es necesario que concurran los siguientes elementos:
1) Que la prueba no admitida o no practicada se haya solicitado en la forma y momento legalmente establecido; 2) que, puesto que el derecho a utilizar los medios de prueba pertinentes para la defensa no tiene carácter absoluto, la facultad que confiere es la de exigir la recepción y práctica de aquellas pruebas que sean “pertinentes”, correspondiendo a los órganos judiciales el examen sobre la legalidad y pertinencia de las solicitadas; 3) que el órgano judicial deberá “motivar razonablemente” la denegación de las pruebas propuestas, pudiendo entender vulnerado el derecho cuando las pruebas relevantes para la resolución final del litigio se inadmitan o no se ejecuten sin motivación o con una motivación insuficiente o cuando la motivación que se ofrezca suponga una interpretación de la legalidad manifiestamente arbitraria o irrazonable; 4) que la prueba en cuestión sea decisiva en términos de defensa; 5) que el recurrente demuestre la indefensión sufrida, lo que implica demostrar, por una parte, la relación entre los hechos que se quisieron probar y no se pudieron probar y las pruebas inadmitidas o no practicadas y, por otra, argumentar el modo en el que habría incidido favorablemente en la estimación de sus pretensiones la admisión y práctica de la prueba objeto de la controversia.
Al amparo de la precitada STC la recurrente argumenta que la prueba que la instructora del expediente le denegó había sido propuesta por ella en el momento procesal oportuno, el escrito de alegaciones al acuerdo de inicio; que la prueba se refería al proceso de contratación de la línea móvil, por lo que -dice- era claramente pertinente; que -a su juicio- no se ajusta a la lógica jurídica la explicación que dio la AEPD para denegar la prueba, pues esta parte “carece de facultades para forzar su aportación por el tercero poseedor de la documentación” y que la prueba propuesta tiene plena relevancia para acreditar que sí obró con la diligencia mínima exigible al tiempo de la contratación de la línea móvil a fin de identificar a la persona que facilitó como suyos los datos personales del denunciante.
Sin embargo, a la luz igualmente de los criterios fijados en la STC 80/2011, a juicio de esta Agencia, no ha existido en el supuesto que nos ocupa ninguna vulneración del derecho de defensa que la Constitución garantiza. En ningún caso se ha cercenado el derecho de defensa de la denunciada.
Lo que la recurrente califica de limitación de los medios de prueba para su defensa no es sino el resultado de aplicar a la conducta de XFERA que fue objeto de la denuncia las reglas que rigen sobre la carga de la prueba del cumplimiento de la obligación impuesta por el artículo 6 LOPD, habida cuenta de que tenía la condición de responsable del tratamiento de los datos personales xxx xxxxxxx (el denunciante)
Se debe insistir en que, la recurrente, como responsable del tratamiento, estaba obligada a recabar el consentimiento del titular de los datos y a conservar la documentación necesaria para acreditar ese extremo ante esta Agencia. Con arreglo al artículo 6.2 LOPD la responsable del tratamiento queda dispensada de recabar el consentimiento inequívoco al tratamiento cuando el titular de los datos sea parte en un contrato y el tratamiento de los datos sea necesario para su ejecución o cumplimiento, lo que presupone, para que tal dispensa opere, que la entidad responsable debe aportar la documentación que acredite el consentimiento prestado por el afectado a esa contratación y que quien otorgó el consentimiento a la contratación era efectivamente el titular de los datos personales tratados o, al menos, que la entidad actuó con la diligencia mínima exigible para asegurarse de la identidad de la persona que facilitó como propios los datos personales que fueron objeto de tratamiento.
Ese ha sido el criterio seguido por la Sala de lo Contencioso Administrativo de la Audiencia Nacional sin vacilaciones del que es exponente, por todas, la SAN de 31/05/2006, Rec. 539/2004, que en su Fundamento de Derecho cuarto dice:
“Por otra parte es al responsable del tratamiento (por todas, sentencia de esta Sala de 25 de octubre de 2002 Rec. 185/2001) a quien corresponde asegurarse de que aquel a quien se solicita el consentimiento, efectivamente lo da, y que esa persona que está dando el consentimiento es efectivamente el titular de esos datos personales, debiendo conservar la prueba del cumplimiento de la obligación a disposición de la Administración, encargada de velar por el cumplimiento de la Ley”.(El subrayado es de la AEPD)
Se ha de destacar también que el argumento esgrimido por la recurrente según el cual esa entidad “carece de facultades para forzar su aportación por el tercero poseedor de la documentación” está fuera de lugar. La razón es que es a esta entidad a quien le correspondía verificar que el tratamiento de los datos personales era ajustado a Derecho y articular los medios necesarios para asegurarse de que estaba en condiciones de acreditar ese extremo ante la AEPD. Y en esta línea argumental
habría que añadir que la responsabilidad en la que pudiera haber incurrido su encargada de tratamiento -TPH- no exime en ningún caso de responsabilidad a XFERA, en la medida en que -como sucede en el supuesto analizado- no obró con la diligencia que era procedente, dada su condición de responsable del tratamiento y atendidas las circunstancias del caso, para de cumplir las obligaciones impuestas por la LOPD y normas de desarrollo.
Se concluye,por tanto, que ni la prueba propuesta por XFERA en sus alegaciones al acuerdo de inicio era pertinente; ni esta Agencia -la instructora del expediente- dejó de nunca de “motivar razonablemente” la denegación de la prueba propuesta y que el razonamiento con el que se justificó la denegación de la prueba no puede calificarse xx xxxxxxxxxx o irrazonable sino, por el contrario, de plenamente ajustado a las exigencias que la LOPD imponía al responsable del tratamiento de datos personales de terceros.
Las reflexiones precedentes sirven también de respuesta al segundo de los motivos de impugnación que la recurrente esgrime y que justifica en argumentos que ya han sido analizados. A saber, que “la recurrente carece de fuerza ejecutiva para imponer una conducta a terceros cual era la de aportar al expediente la documentación requerida” y que “indiciariamente, la contratación discutida se hallaría en la misma situación” que las otras contrataciones (ii y iii) sujetas a idénticas condiciones.
Idéntica consideración cabe hacer respecto al tercer motivo de impugnación. Motivo de impugnación que se funda en el artículo 386.1 de la Ley de Enjuiciamiento Civil, en relación con el artículo 77.3 y 48.1 de la LPACAP, por entender que la AEPD “ha extraído una conclusión que no se sigue del hecho probado” sino que es contraria “al acreditado”. Y a su juicio, el hecho acreditado, hecho probado o hecho base consiste en que “es impensable que se hubiera verificado una contratación adicional sin contar con la documentación pertinente” “presupuesta la concurrencia de circunstancias comunes a todas ellas”. En definitiva, el tercer motivo de impugnación parte de una afirmación gratuita que la recurrente califica de hecho probado.
La recurrente, con carácter subsidiario, solicita que no se aprecien las circunstancias modificativas de la responsabilidad descritas en los apartados a) y f) del artículo 45.4 LOPD que la resolución recurrida apreció como agravantes y se impongan las sanciones en su grado mínimo. Petición que justifica en que “el grado de intencionalidad, …, se ve muy disminuido ya que, en último término, se está hablando de una misma conducta que frente al mayor número de casos no sancionables, resta uno sancionable al fallar un documento del que se carece de disposición por estar en posesión de un tercero”.
A ese respecto, basta indicar, por una parte, lo expuesto en la resolución impugnada (Fundamento de Derecho III, C) con la finalidad de desvirtuar idéntica alegación:
“… estamos en presencia de tres contratos independientes entre sí celebrados en días distintos, a través de un mismo Distribuidor y que respecto al más antiguo de los tres la operadora no ha aportado ningún documento que acredite la contratación y, por tanto, el consentimiento para el tratamiento de los datos personales asociados a
aquél. Tampoco documento o elemento alguno del que pueda inferirse una actuación diligente de la denunciada en el cumplimiento de las obligaciones que le imponen la LOPD y normas de desarrollo. Pretender justificar que el tratamiento de los datos del denunciante asociados a la línea ***TELEFONO.1 (i) es legítimo porque XFERA ha aportado copia de los contratos firmados y del DNI del denunciante en relación con otras dos líneas distintas que fueron contratadas unos días después por una persona que también se identificó con el nombre, apellidos y NIF del denunciante y con el mismo domicilio, carece de soporte jurídico.”
Por otra, a propósito de la reiterada afirmación de la recurrente según la cual carece del documento probatorio “por estar en posesión de un tercero”, nos limitamos a remitirnos a las consideraciones que se hacen en párrafos precedentes respecto a los motivos invocados por el recurrente como fundamento de la impugnación de la resolución sancionadora del PS/251/2018.
III
En relación con las manifestaciones efectuadas por el recurrente, en las que básicamente reitera las alegaciones ya presentadas en el curso del procedimiento sancionador, debe señalarse que todas fueron analizadas y desestimadas en los Fundamentos de Derecho II a VI, ambos inclusive, de la resolución recurrida, tal como se transcribe a continuación:
<<II
Los principios generales de protección de datos regulados en los artículos 4 a 12 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD), que integran el Título II de la citada Ley Orgánica, constituyen el contenido esencial de este derecho fundamental.
La Audiencia Nacional, en diversas sentencias (entre otras SSAN de 24/03/2004 y 7/07/2006) ha señalado que los principios generales descritos en dicho Título definen las pautas a las que debe atenerse la recogida, tratamiento y uso de los datos de carácter personal.
El artículo 6 de la LOPD se refiere al principio del consentimiento en el tratamiento de los datos de carácter personal y dispone bajo la rúbrica “Consentimiento del afectado”:
“1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.
2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento;...”.
El artículo 4 de la LOPD se ocupa de la “Calidad de los datos” y establece en el apartado 3:
“Los datos de carácter personal serán exactos y puestos al día de forma que responsan con veracidad a la situación actual del afectado”.
El artículo 29 de la Ley Orgánica 15/1999 señala en sus apartados 2 y 4:
“Podrán tratarse también datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos en la presente Ley”.
“Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquellos”.
El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la LOPD se ocupa (capítulo I del Título IV) de los “Ficheros de información sobre solvencia patrimonial y crédito” y dispone en el artículo 38, bajo la rúbrica “Requisitos para la inclusión de los datos”:
“1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos: a) Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada (….)
El artículo 38 apartado 3 añade que “El acreedor o quien actúe por su cuenta o interés estará obligado a conservar a disposición del responsable del fichero común y de la Agencia Española de Protección de Datos documentación suficiente que acredite el cumplimiento de los requisitos establecidos en este artículo y del requerimiento previo al que se refiere el artículo siguiente”. (El subrayado es de la AEPD).
El artículo 44.3. de la LOPD tipifica como infracciones graves:
“b) Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo.
c) Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo que sea constitutivo de infracción muy grave”.
III
Se atribuye a XFERA la comisión de dos infracciones de la LOPD, artículos 6.1 y 4.3, materializadas en haber tratado los datos personales del denunciante asociados a un contrato de telefonía móvil vinculado al número ***TELEFONO.5 (i) sin su consentimiento y en la posterior inclusión en ficheros de morosidad de sus datos personales asociados a una deuda derivada también del citado contrato, por lo que la deuda informada no era cierta, ni vencida ni exigible respecto a su persona.
Por lo que concierne a la infracción del artículo 6.1 de la LOPD se hacen las siguientes reflexiones:
A. A tenor del artículo 6 de la LOPD el tratamiento de datos personales exige recabar el consentimiento de su titular; consentimiento que la ley obliga a que sea “inequívoco”, esto es, que no admita duda o equivocación.
A través del consentimiento al tratamiento de los datos personales que otorga su titular éste ejerce de forma efectiva el poder de control y de disposición sobre ellos. En esa línea, el Tribunal Constitucional, en su STC 292/2000, de 30 de noviembre (Fundamento Jurídico 7), señala que “(…)Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (…)” (El subrayado es de la AEPD)
La LOPD prevé que sea el titular de los datos quien otorgue su consentimiento inequívoco al tratamiento, pues a él, y no a un tercero, le corresponde el poder de disposición sobre ellos. Con toda claridad el artículo 3.h) de la LOPD, al definir el consentimiento, se refiere a la manifestación de voluntad que el interesado hace respecto a los “datos que le conciernan”.
El tratamiento de los datos personales sin contar con el consentimiento inequívoco de su titular, o sin otra habilitación amparada en la Ley, constituye una vulneración de este derecho fundamental. Sólo el consentimiento, con las excepciones contempladas en la ley, legitima el tratamiento de los datos personales. No obstante, el apartado 2 del artículo 6 LOPD dispensa de la necesidad de recabar el consentimiento del afectado cuando el tratamiento se refiere a las partes de un contrato o precontrato y es necesario para su mantenimiento o cumplimiento. Esto, porque el consentimiento para tratar los datos personales está implícito en el consentimiento otorgado a la contratación, pero, únicamente, en la medida en que el referido tratamiento sea el preciso para la ejecución del contrato y si quien facilita los datos personales con ocasión de la contratación ha sido efectivamente su titular.
B. La documentación que obra en el expediente demuestra que XXXXX incorporó a sus ficheros y trató los datos personales del denunciante (nombre, dos apellidos y NIF) vinculados a la línea móvil ***TELEFONO.5 (i).
Como se recoge en el Hecho Probado quinto, en los sistemas informáticos de XFERA se encuentran registrados los datos personales del denunciante, nombre, apellidos y NIF, asignándole como dirección postal la ***DIRECCION.3-
***LOCALIDAD.2, ***LOCALIDAD.1 (que no coincide con ninguna de las que él nos ha facilitado), asociados a la línea ***TELEFONO.1 (i). Sus datos aparecen también vinculados a otras dos líneas: ***TELEFONO.2 (ii) y ***TELEFONO.3 (iii).
El denunciante ha negado haber contratado con XXXXX ninguna de las tres líneas precitadas, por lo que se debe tener en cuenta que la Audiencia Nacional viene considerando que cuando el titular de los datos niega la contratación corresponde la carga de la prueba a quien afirma su existencia. Reiteradamente ha manifestado que el responsable del tratamiento de datos de terceros debe recabar y conservar la documentación necesaria para acreditar el consentimiento del titular. Citamos, por todas, la SAN de 31/05/2006 (Rec. 539/2004) que en su Fundamento de Derecho Cuarto dice:
“Por otra parte es al responsable del tratamiento (por todas, sentencia de esta Sala de 25 de octubre de 2002 Rec. 185/2001) a quien corresponde asegurarse de que aquel a quien se solicita el consentimiento, efectivamente lo da, y que esa persona que está dando el consentimiento es efectivamente el titular de esos datos personales, debiendo conservar la prueba del cumplimiento de la obligación a disposición de la Administración, encargada de velar por el cumplimiento de la Ley” (El subrayado es de la AEPD)
En el curso de las actuaciones de investigación previa, con la finalidad de que XXXXX pudiera demostrar que recabó y obtuvo del afectado el consentimiento para el tratamiento de sus datos personales, se requirió a la entidad para que aportara algún documento que probara la supuesta contratación por el afectado.
La operadora aportó, respecto a las líneas ii y iii la copia de sendos contratos suscritos a nombre del denunciante (nombre, dos apellidos y NIF) en fechas 3 y 7 xx xxxxx de 2016 (folios 364 a 367)
Ambos contratos -que incluyen terminales móviles financiados Apple IPH 6S- se celebraron en un punto de venta del Distribuidor TPH. En ellos constan como datos del titular el nombre, dos apellidos y NIF del denunciante y una dirección postal en
***DIRECCION.3 de ***LOCALIDAD.1. Los datos bancarios para la domiciliación de los pagos en ambos contratos pertenecen a la entidad 2100 y a una cuenta finalizada en 000 que el denunciante no reconoce como suya. La denunciada facilitó, asimismo, la copia de un DNI del denunciante (idéntico al que el denunciante remitió a la AEPD) con fecha límite de validez 13/07/2020 (folios 361 y 362) pudiendo constatar que existe a simple vista una diferencia importante entre la firma que nos ofrece el DNI y la de los contratos.
Como se expuso en el acuerdo de inicio, habida cuenta de que XFERA adoptó una mínima diligencia con ocasión de la contratación de esos servicios a fin de acreditar la identidad del contratante, y pese a que la conducta en sí misma pudiera ser antijurídica -como sucedería en el caso de que, como parece haber ocurrido, un tercero suplantara la identidad del denunciante- no cabría exigir a la entidad responsabilidad administrativa sancionadora.
Sin embargo, XFERA no ha aportado, en relación con la línea ***TELEFONO.1 (i), ningún contrato que legitime el tratamiento de los datos personales del denunciante que la entidad llevó a cabo vinculado a aquélla. La entidad se ha limitado a afirmar que esta línea se dio de alta a través del mismo Distribuidor, TPH, en fecha 01/03/2016. Según éstos sería la primera contratación de las tres que XFERA efectuó a nombre del denunciante, pues las otras dos datan del 03/03/2016 y del 07/03/2016 (Hecho probado sexto)
XFERA MÓVILES no ha podido aportar ningún documento, en ningún soporte, del que se infiera que recabó y obtuvo el consentimiento del denunciante a la contratación del servicio que dio de alta a su nombre, ***TELEFONO.1 (i), ni tampoco documento alguno del que se pueda concluir que obró, en el presente caso, con la diligencia mínima exigible a fin de identificar a la persona que facilitó como suyos los datos personales que han sido objeto de tratamiento.
La denunciada ha justificado la omisión de ese documento en que TPH se ha negado a facilitárselo. Por tal motivo solicitó en sus alegaciones al acuerdo de inicio
que la AEPD recabara en pruebas esta documentación a TPH, prueba que fue desestimada por considerarla manifiestamente improcedente ya que implicaba trasladar a esta Agencia la carga probatoria que incumbe exclusivamente a la denunciada.
En definitiva, XFERA MÓVILES carecía de legitimación para el tratamiento de los datos del denunciante que llevó a cabo en relación con la línea ***TELEFONO.1 (i) No cabe amparar el tratamiento efectuado en el artículo 6.2 LOPD, pues ni ha acreditado que existiera un contrato a nombre del afectado ni que él fuese la persona que otorgó el consentimiento a la contratación. Xxxxxxx acredita haber obrado diligentemente y haber verificado la identidad de quien facilitó como suyos el nombre, apellidos y NIF del denunciante.
C. XFERA ha alegado en su defensa que la ausencia de documentación acreditativa de la contratación de la referida línea no puede analizarse ni valorarse, dice, “de forma aislada” “sin tener en cuenta las otras contrataciones” que se hicieron unos días después en el mismo Distribuidor y, en su opinión, por la misma persona.
Efectivamente la línea ***TELEFONO.1 (i) se habría contratado, a tenor de la información facilitada por XFERA, el 01/03/2016 en tanto que las otras dos son de fechas 3 y 7 xx xxxxx de 2016.
Lo único cierto, sin embargo, es que estamos en presencia de tres contratos independientes entre sí celebrados en días distintos, a través de un mismo Distribuidor y que respecto al más antiguo de los tres la operadora no ha aportado ningún documento que acredite la contratación y, por tanto, el consentimiento para el tratamiento de los datos personales asociados a aquél. Tampoco documento o elemento alguno del que pueda inferirse una actuación diligente de la denunciada en el cumplimiento de las obligaciones que le imponen la LOPD y normas de desarrollo. Pretender justificar que el tratamiento de los datos del denunciante asociados a la línea ***TELEFONO.1 (i) es legítimo porque XFERA ha aportado copia de los contratos firmados y del DNI del denunciante en relación con otras dos líneas distintas que fueron contratadas unos días después por una persona que también se identificó con el nombre, apellidos y NIF del denunciante y con el mismo domicilio, carece de soporte jurídico.
D. El nacimiento de responsabilidad sancionadora presupone la existencia del elemento de la culpabilidad en cualquiera de sus manifestaciones: dolo, culpa o culpa levísima. En el ámbito del Derecho Administrativo Sancionador no es posible imponer sanciones basadas en la responsabilidad objetiva del presunto infractor dado que las sanciones administrativas participan de la misma naturaleza que las penales, al ser una de las manifestaciones de la potestad punitiva del Estado y, como exigencia derivada de los principios de seguridad jurídica y legalidad penal consagrados en los artículos 9.3 y 25.1 de la CE, es imprescindible que este elemento esté presente como presupuesto para su imposición (STC 76/1999)
La entidad ha omitido la diligencia que, con carácter mínimo, es exigible para poder acreditar su legitimación para el tratamiento de los datos personales del denunciante vinculados a la contratación de la línea ***TELEFONO.1 (i).
Llegados a este punto procede recordar que según el contrato de Agencia suscrito entre XFERA MÓVILES y la Distribuidora TPH ésta debía darle traslado con
periodicidad trimestral de los originales de los contratos que celebraran los clientes, firmados por el titular, así como de la copia del DNI o pasaporte solicitado al cliente para validar su identidad y del resguardo bancario que hiciera prueba de su condición de titular de la cuenta bancaria de domiciliación de pagos.
La omisión, en relación con la línea controvertida, de toda la documentación precitada evidencia que XFERA MÓVILES no verificó si la Distribuidora había actuado con arreglo a las estipulaciones contractuales y si, efectivamente, le había remitido los documentos vinculados al contrato de telefonía. Documentos que constituían una prueba indispensable de la legitimidad del tratamiento de datos efectuado; prueba que XFERA debía obtener y conservar en su poder para estar en condiciones de demostrar que actuó con arreglo a la normativa de protección de datos al vincular los datos del denunciante a la línea controvertida.
Es más, a la luz de los hechos que constan en el expediente XFERA no sólo no verificó si tenía en su poder los medios necesarios para demostrar la legitimidad del tratamiento de datos personales efectuado al tiempo de dar de alta la línea de telefonía -del protocolo descrito en el contrato con TPH se desprende que bastaba con que la Distribuidora incorporase los datos a los sistemas de la operadora-. Xxxxxxx hizo esa comprobación en los tres meses siguientes (plazo máximo previsto para que los documentos pasaran de TPH a XFERA) ni más adelante, cuando tomó la decisión de vender la deuda atribuida al denunciante x XXXXX INVERSIONES Y RECUPERACIONES, S.L. Recordemos que XFERA MÓVILES ha declarado que la deuda fue cedida a esta entidad y que ese fue el motivo por el cual en fecha 19/04/2017 canceló la incidencia del fichero ASNEF.
En definitiva, en tanto XFERA MÓVILES trató los datos del denunciante vinculados al alta de una línea móvil sin recabar su consentimiento y sin actuar con la diligencia mínima exigible en el cumplimiento de la obligación impuesta por la LOPD, vulneró el artículo 6.1 LOPD, conducta subsumible en el tipo infractor del artículo 44.3.b) de dicha Ley Orgánica.
III
Por lo que respecta a la presunta infracción del artículo 4.3 de la LOPD que se imputa a XFERA han hacerse las siguientes consideraciones:
Las normas jurídicas reproducidas en el Fundamento de Derecho I ponen de manifiesto que la comunicación de los datos de un tercero a un fichero de solvencia patrimonial exige que la deuda sea cierta, vencida, exigible y que haya resultado impagada.
Como se expone en el Fundamento precedente, XFERA no ha acreditado que el denunciante fuera la persona que contrató el servicio de la línea ***TELEFONO.1 (i), lo que implica que tampoco ha acreditado su condición de deudor; esto es, que él sea el titular de la deuda que deriva de dicho contrato.
Paralelamente, consta en el expediente que XFERA informó los datos personales del denunciante al fichero ASNEF con fecha de alta 24/06/2016 por un saldo impagado de 3.064,91 euros y que a fecha 19/04/2017 esa incidencia permanecía aún incluida en el fichero.
XFERA, con carácter previo a la comunicación de los datos de un tercero a un fichero común, tenía la obligación de asegurarse de que se cumplían todos los requisitos a los que las normas de protección de datos supeditan la legalidad de tal comunicación; por lo que aquí interesa que la deuda informada era cierta, vencida y exigible respecto a la persona del denunciante (artículo 38.1.a. RLOPD)
Pues bien, en los Hechos Probados séptimo y noveno se contienen una relación de las facturas que la denunciada emitió a nombre del denunciante (entre marzo de 2016 y agosto de 2016) Del contenido de las facturas (Hecho probado noveno) se evidencia que, en todas ellas, se incluyen entre los conceptos facturados el servicio de la línea controvertida, ***TELEFONO.1 (i). Esto implica, por tanto, que en la deuda que XFERA informó a XXXXX asociada a los datos personales del denunciante estaba comprendido el importe de los servicios prestados a nombre del denunciante pero respecto a los cuales la denunciada no ha podido acreditar que fuera él quien prestó el consentimiento a la contratación ni tampoco que respecto a ella tuviera el denunciante la condición de deudor.
Insistir, por otra parte, en que el artículo 43 del RLOPD refuerza la diligencia que es exigible al acreedor que informa al fichero datos adversos de un tercero pues establece:
“El acreedor o quien actúe por su cuenta o interés deberá asegurarse que concurren todos los requisitos exigidos en los artículos 38 y 39 en el momento de notificar los datos adversos al responsable del fichero común. 2. El acreedor o quien actúe por su cuenta o interés será responsable de la inexistencia o inexactitud de los datos que hubiera facilitado para su inclusión en el fichero, en los términos previstos en la Ley Orgánica 15/1999, de 13 de diciembre”. (El subrayado es de la AEPD)
Se concluye de lo expuesto que los datos personales del denunciante fueron incluidos por XFERA en un fichero de morosos vinculados a una deuda a la que él era ajeno; deuda que no era cierta, ni vencida ni exigible desde la perspectiva del afectado por cuanto no se ha acreditado su condición de deudor. La información relativa al denunciante que XFERA comunicó a ASNEF no se ajustó al principio de exactitud y veracidad, corolario del principio de calidad del dato que proclama el artículo 4.3 de la LOPD.
La conducta anteriormente descrita, vulnera el principio de calidad del dato consagrado en el artículo 4.3 en relación con el 29.4 de la LOPD, infracción tipificada en el artículo 44.3.c) de la citada norma.
V
Parece conveniente hacer una breve referencia a las afirmaciones efectuadas por la denunciada en sus escritos de respuesta al requerimiento informativo y de alegaciones al acuerdo de inicio, dada la relevancia que quiere hacer derivar de ellas en aras de la aplicación del artículo 45.5.b) LOPD. Reacción diligente que a su juicio se concretaría en una pretendida “condonación de la deuda” al denunciante y en una “cancelación de la incidencia” asociada a sus datos en el fichero ASNEF.
La denunciada aduce (folio 6 de su escrito, 471 del expediente administrativo) que “…anuló las facturas emitidas al denunciante mucho antes de la notificación a YOIGO del requerimiento de información del Expediente nº E/05110/2017, y procedió
a la suspensión de todo procedimiento de recobro de la deuda así como a la finalización de los tratamientos de sus datos, incluidos su comunicación a ASNEF…”
Alega también (folio 4 de su escrito, 469 del expediente administrativo) que “antes de que el requerimiento de información del Expediente nº E/0510/2017 fuese notificado a YOIGO, mi representada ya había condonado la deuda con el Denunciante y había dado de baja sus datos en el fichero ….ASNEF.” Y añade que, “una vez que el requerimiento de información del Expediente nº E/05110/2017 fuese notificado a YOIGO, mi representada comunicó la denuncia interpuesta por el denunciante a la empresa SALUS INVERSIONES…” (El subrayado es de la AEPD)
Esta última afirmación ha de ponerse en relación con lo manifestado en el curso de las investigaciones previas en las que manifestó que “las facturas se encuentran condonadas en los sistemas de YOIGO por cesión de créditos realizada en fecha 19 xx xxxxx de 2017 a la empresa SALUS INVERSIONES…” (folio 425)
Hay una evidente la confusión de la entidad cuando se refiere a las consecuencias de un negocio jurídico lucrativo, como es la venta o cesión de un crédito -en este caso la deuda atribuida al denunciante y derivada del servicio de la línea ***TELEFONO.1 (i) que dio de alta a nombre del afectado sin legitimación para ello-, como “condonación” de la deuda.
En ningún caso pudo haberse condonado al denunciante la deuda que le atribuía y, al mismo tiempo, ceder la deuda a un tercer adquirente, SALUS INVERSIONES. Otra cosa distinta es que, en la medida en que cedió la deuda a una tercera entidad dejó de figurar en su haber y, en tanto XFERA no era ya formalmente titular del crédito tuvo que poner fin a las gestiones de cobro y a su comunicación a ficheros comunes.
La conducta de XFERA antes mencionada no sólo no permite apreciar la pretendida reacción diligente; más al contrario, lo que se observa es un nuevo tratamiento de los datos del denunciante -materializado en la comunicación a un tercero, el cesionario del crédito- sin legitimación para ello. Se añade a lo expuesto que, iniciadas las actuaciones de investigación previa, la denunciada no ha llegado a acreditar que, tal y como afirmó, había puesto en conocimiento de SALUS INVERSIONES la falta de certeza de la deuda vendida, pues de haberlo hecho no habría tenido ninguna dificultad en probar ese extremo, lo que le fue requerido en fase de prueba.
VI
El artículo 45 de la LOPD, apartados 1 a 5, según redacción introducida por la Ley 2/2011, de 4 xx xxxxx, de Economía Sostenible, establece:
“1. Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.
3. Las infracciones muy graves serán sancionadas con multa de 300.001 a
600.000 euros.
4. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:
a) El carácter continuado de la infracción.
b) El volumen de los tratamientos efectuados.
c) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
d) El volumen de negocio o actividad del infractor.
e) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
f) El grado de intencionalidad.
g) La reincidencia por comisión de infracciones de la misma naturaleza.
h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.
i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.
j) Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
5. El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos:
a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo.
b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.
d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.
e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.”
A. XFERA MÓVILES solicitó en sus alegaciones al acuerdo de inicio que se aplicara el artículo 45.5 LOPD, cuyo efecto jurídico es la imposición de la sanción con arreglo a la escala que precede en gravedad a aquella prevista para la infracción efectivamente cometida.
La denunciada ha solicitado que se aplique el apartado b, del precepto, “Cuando la entidad infractora haya regularizado la situación irregular de forma diligente”, pretensión que ha de ser rechazada.
Argumenta XFERA para justificar la estimación de esa atenuante cualificada que “anuló las facturas emitidas al Denunciante mucho antes de la notificación a YOIGO del requerimiento de información del Expediente E/5110/2017 y procedió a la suspensión de todo procedimiento de recobro de la deuda así como a la finalización de los tratamientos de datos, incluida la comunicación a ASNEF” (folio 471)
Pues bien, el requerimiento informativo de la Inspección se hizo en fecha 08/11/2017. A fecha 20/04/2017 figuraban los datos incluidos en el fichero de solvencia. Sentado lo anterior no puede obviarse que XFERA manifestó en su respuesta al requerimiento informativo de la Inspección que dio de baja la anotación en ASNEF el 19/04/2017 “con motivo de la cesión de deuda x XXXXX INVERSIONES Y RECUPERACIONES, S.L.”. En esa línea argumental hemos de recordar también que esta entidad manifestó que las deudas atribuidas al denunciante se encontraban “condonadas en los sistemas de YOIGO por cesión de créditos realizada el 19 xx xxxxx de 2017” x XXXXX INVERSIONES.
Así pues, resulta evidente que el motivo por el que XFERA dio de baja del fichero de solvencia los datos del denunciante y anuló la deuda que le atribuía no respondió a una reacción diligente ante la constatación por su parte de que había vulnerado la normativa de protección de datos sino a su interés empresarial. No existió en ningún caso -no consta acreditado- la condonación a la que se alude y que implicaría una extinción del crédito que afirma haber ostentado frente al denunciante. De ser cierta la pretendida condonación no cabría cesión de crédito alguna ya que la condonación es causa de extinción de la deuda y esa deuda no podría haber sido objeto de cesión x XXXXX. En definitiva, no están presentes en el asunto examinado los elementos que integran esa atenuante cualificada.
Respecto a la aplicación del artículo 45.5 a) LOPD que se solicita tampoco procede su estimación. Nos remitimos a tal fin al examen de las circunstancias descritas en el artículo 45.4 LOPD cuya aplicación en calidad de atenuantes se solicita: apartados b, c, d, e, f y h.
En relación con el apartado b) - volumen de tratamientos efectuados- que se invoca como atenuante en consideración a que se han visto afectados por la conducta infractora los datos de una única persona se indica que, por razones lógicas, esta circunstancia puede operar sólo como agravante y no como atenuante. La vulneración de la normativa de protección de datos respecto a uno solo de los datos personales o respecto a una única persona, es presupuesto indispensable para que la conducta infractora exista. Será a partir de entonces cuando podrá valorarse, atendiendo al volumen de los datos que han sido objeto de tratamiento, si es exponente de una mayor antijuridicidad o culpabilidad de la conducta. En cualquier caso, los datos personales tratados sin consentimiento son el NIF, nombre y dos apellidos, por lo que de apreciarse en el presente caso sería como agravante de la conducta enjuiciada.
Por lo que atañe a los apartados c), d) y f) del artículo 45.4 LOPD la AEPD estima que ambas operan como agravantes, por lo que nos remitimos a los comentarios que más adelante se recogen.
Sobre la pretensión de que se estime como atenuante el apartado e), ausencia de beneficios, indicar que la Audiencia Nacional, Sala de lo Contencioso Administrativo, en SAN de 17/04/2018 (Rec. 254/2017) rechazó la pretensión de la demandante, sancionada por la AEPD, de que se estimara esta circunstancia explicando que “En cuanto a la ausencia de beneficios, no cabe sino reiterar lo argumentado por la resolución recurrida, respecto a que lo relevante es que la actuación de Abanca sí estuvo motivada por la búsqueda de beneficio económico, por lo que el hecho de que aquél no llegara finalmente a obtenerse no puede servir de fundamento a una atenuación de culpabilidad o antijuridicidad de su conducta”. Este mismo espíritu es el que recoge la SAN de 31/03/2017 (Rec. 845/2015)
Tampoco es admisible estimar como atenuante el apartado h) del artículo 45.4 LOPD, la naturaleza de los perjuicios causados. Basta recordar que el denunciante conoció su inclusión en ficheros en 2017 cuando le denegaron una financiación; que ha estado incluido en un fichero de morosidad durante más diez meses y que, como ha señalado la Audiencia Nacional, SAN 16/02/2002, (Rec 1144/1999) “...Ha de decirse que la inclusión equivocada o errónea de una persona en el registro de morosos, es un hecho de gran trascendencia de la que se pueden derivar consecuencias muy negativas para el afectado, en su vida profesional, comercial e incluso personal, que no es necesario detallar. En razón a ello, ha de extremarse la diligencia para que los posibles errores no se produzcan, ...”
B. En aras a graduar el importe de la sanción que corresponde imponer por las dos infracciones de la LOPD de las que se responsabiliza a XFERA, además de no apreciar la aplicación del artículo 45.5 LOPD estimamos que concurren las siguientes circunstancias del artículo 45.4 LOPD en calidad de agravantes:
-“El carácter continuado de la infracción” (apartado a). Circunstancia que resulta aplicable tanto respecto a la vulneración del principio del consentimiento como del de calidad de los datos, pues los datos personales del denunciante (DNI, nombre y dos apellidos) han sido objeto de tratamiento sin legitimación para ello desde la fecha de alta de la línea, el 01/03/2016, y hasta al menos el 19/04/2017, cuando, dice la entidad, dio de baja la incidencia en ASNEF. Respecto al fichero ASNEF, habida cuenta de que la fecha de alta de la anotación fue el 23/06/2017, los datos del afectado permanecieron incluidos por XFERA, vulnerando el principio de exactitud y veracidad en relación con el artículo 38.1.a) RLOPD, durante casi diez meses.
-“La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal” (apartado c,) La actividad empresarial de XFERA, por su naturaleza, exige un continuo tratamiento de datos de carácter personal.
La Audiencia Nacional, en SAN de 17/10/2007 (Rec. 63/2006), ha exigido a aquellas entidades en las que el desarrollo de su actividad conlleva un continuo tratamiento de datos de clientes y terceros que observen un adecuado nivel de diligencia y precisa que “…el Tribunal Supremo viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el infractor no se comporta con la diligencia exigible. Y en la valoración del grado de diligencia ha de ponderarse especialmente la profesionalidad o no del sujeto, y no cabe duda de que, en el caso ahora examinado, cuando la actividad de la recurrente es de constante y abundante manejo de datos de carácter personal ha de insistirse en el rigor y el exquisito cuidado por ajustarse a las prevenciones legales al respecto”.
- “El volumen de negocio o actividad del infractor” (apartado d). Constituye un hecho notorio, que no precisa prueba, el importante volumen de negocio de esta entidad, que tiene la consideración de gran empresa del sector de telecomunicaciones.
- El grado de intencionalidad” (apartado, f) expresión que debe interpretarse como equivalente a “grado de culpabilidad”. La SAN de 12/11/2007 (Rec. 351/2006) indicó sobre esta cuestión que “(…) Cuando concurre una falta de diligencia, como aquí acontece, existe culpabilidad y la conducta merece sin duda un reproche sancionador sin que el hecho de que no exista actuación dolosa deba conllevar necesariamente una disminución aún mayor de la sanción cuando ésta ha sido impuesta en su grado mínimo”.
La falta de diligencia demostrada por XFERA en el cumplimiento de la obligación que le impone la LOPD respecto al tratamiento de los datos de terceros es, en el supuesto analizado, especialmente significativa. Esto, porque la entidad no sólo incumplió la obligación de recabar y obtener el consentimiento del titular de los datos en el momento inicial, sino que además tampoco verificó que el tratamiento efectuado fuera legítimo cuando procedió a comunicar a una tercera entidad (SALUS INVERSIONES) el supuesto crédito que decía ostentar frente al afectado derivado de una línea telefónica que había dado de alta sin recabar su consentimiento.
Se suma a lo expuesto que, por lo que concierne al artículo 4.3 en relación con el 29.4 y el 38.1.a, del RLOPD, el artículo 43.1 del RLOPD “refuerza” la diligencia exigible a quien informa datos de un tercero a un fichero de solvencia patrimonial al establecer que el acreedor “deberá asegurarse” que se cumplen esos requisitos cuando informa los datos personales a un fichero de morosidad.
De aplicación exclusiva a la infracción del principio de calidad de los datos tipificada en el artículo 44.3.c) LOPD, junto con las ya descritas, se aprecia la concurrencia de la agravante prevista en el artículo 45.4.g LOPD: “La reincidencia por comisión de infracciones de la misma naturaleza”
Disposición que ha de integrarse con el artículo 29.3 de la Ley 40/2015, de Régimen Jurídico del Sector Público, que al referirse a los criterios que serán objeto de especial consideración en la graduación de la sanción menciona, apartado d), “La reincidencia, por comisión en el término de un año de más de una infracción de la misma naturaleza cuando así haya sido declarado por resolución firme en vía administrativa.
Exponente de la agravante de reincidencia que opera en relación con la infracción tipificada en el artículo 44.3.c) LOPD, cabe citar entre otras resoluciones, las dictadas por la AEPD en los expedientes sancionadores PS/559/2017, firmada el 26/04/2018; el PS/00097/2017, firmada el 17/11/2017 o PS/00400/2016, firmada el 26/01/2017. En todas ellas se sancionó a XFERA por infracción del artículo 4.3 LOPD.>>
IV
Debido a razones de funcionamiento del órgano administrativo, por ende, no
atribuibles a la recurrente, hasta el día de la fecha no se ha emitido el preceptivo pronunciamiento de esta Agencia respecto a la pretensión del interesado.
De acuerdo con lo establecido en el artículo 24 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP) el sentido del silencio administrativo en los procedimientos de impugnación de actos y disposiciones es desestimatorio.
Con todo, y a pesar del tiempo transcurrido, la Administración está obligada a dictar resolución expresa y a notificarla en todos los procedimientos cualquiera que sea su forma de iniciación, según dispone el art. 21.1 de la citada LPACAP. Por tanto, procede emitir la resolución que finalice el procedimiento del recurso de reposición interpuesto.
V
En atención a la exposición precedente, habida cuenta de que en el presente recurso de reposición la recurrente no ha aportado nuevos hechos o argumentos jurídicos que permitan reconsiderar la validez de la resolución impugnada, procede desestimar el recurso formulado.
Vistos los preceptos citados y demás de general aplicación,
la Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: DESESTIMAR el recurso de reposición interpuesto por XFERA MÓVILES,
S.A. contra la resolución de esta Agencia Española de Protección de Datos dictada con fecha 12 de diciembre de 2018, en el procedimiento sancionador PS/00251/2018.
SEGUNDO: NOTIFICAR la presente resolución a la entidad XFERA MÓVILES, S.A., con NIF A82528548.
TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva una vez sea ejecutiva la presente resolución, de conformidad con lo dispuesto en el artículo 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº ES00 0000 0000 0000 0000 0000, abierta a nombre de la Agencia Española de Protección de Datos en el Banco CAIXABANK, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el artículo 50 de la LOPDPGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art.
48.6 de la LOPDPGDD, y de acuerdo con lo establecido en el artículo 123 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP), los interesados podrán interponer recurso contencioso-administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [xxxxx://xxxxxxxx.xxx.xx/xxxx-xxxxxxxxxxx- web/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada LPACAP. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.
Mar España Xxxxx
Directora de la Agencia Española de Protección de Datos