HECHOS
1/17
Procedimiento nº.: PS/00409/2009
ASUNTO: Recurso de Reposición Nº RR/00056/2010
Examinado el recurso de reposición interpuesto por la entidad Vodafone España,
S.A.U. contra la resolución dictada por el Director de la Agencia Española de Protección de Datos en el procedimiento sancionador PS/00409/2009 y con base en los siguientes,
PRIMERO: Con fecha 30/12/2009 se dictó resolución por el Director de la Agencia Española de Protección de Datos en el procedimiento sancionador PS/00409/2009, en virtud de la cual se imponía a la entidad Vodafone España, S.A.U. dos sanciones de 60.101,21 €, por la vulneración de lo dispuesto en los artículos 6.1 y 4.3 xx Xxx Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), ambas infracciones tipificadas como graves en el artículo 44.3.d), de conformidad con lo establecido en el artículo 45.2 y 5 de la citada Ley Orgánica.
SEGUNDO: Como hechos probados del citado procedimiento sancionador PS/00409/2009, quedó constancia de los siguientes:
<<HECHOS PROBADOS
PRIMERO: Con fecha 05/07/2007 se recibió escrito de denuncia de D.
A.A.A. contra Vodafone España, S.A.U. por la emisión de facturas utilizado sus datos personales sin que hubiera realizado ningún contrato de telefonía con esta operadora y por la inclusión de sus datos en un fichero de solvencia patrimonial y crédito (folios 3 – 4).
SEGUNDO: Con su denuncia, D. A.A.A. ha aportado copia de la siguiente documentación (en la que figura su nombre, apellidos, dirección postal):
a) Escrito de Vodafone España, S.A.U. de fecha 19/10/2005, reclamando el pago de una deuda de 484,93 euros a D. A.A.A. (folio 6).
b) Escrito de I.S.G.F. Informes Comerciales, S.L. de fecha 18/11/2005, reclamando a D. A.A.A. el pago de 484,93 euros en nombre de Vodafone España, S.A.U. (folio 8).
c) Escrito de Tacit & Asociados, de fecha 27/06/2006, reclamando a D.
A.A.A. el pago de 487,96 euros en nombre de Vodafone España,
S.A.U. (folio 7).
SEGUNDO: Vodafone España, S.A.U. ha informado que no consta ningún
c. Xxxxx Xxxx 0 00000 Xxxxxx xxx.xxxx.xx
servicio contratado por D. A.A.A. en los sistemas de la operadora y figura como titular de los datos de la facturación asociada a un servicio de titularidad de D.
B.B.B. (cuenta de cliente Vodafone 9***TELF1; teléfono 6***MOV1), que facilitó sus datos en el momento de la contratación (folios 28, 58 y 70).
TERCERO: Vodafone España, S.A.U. ha informado que con fecha 27/01/2005 se procedió a dar de alta un servicio de telefonía móvil en su modalidad de prepago correspondiente al número de teléfono 6***MOV1, y que dicho número fue migrado de su modalidad de prepago a pospago en fecha 22/08/2005, a través del servicio de televenta, facilitándose los datos de D. A.A.A. a efectos de facturación (nombre, apellidos, DNI, dirección, cuenta bancaria) (folios 143, 144).
CUARTO: Vodafone España, S.A.U. no ha aportado copia de contrato suscrito por D. A.A.A. o por D. B.B.B. para el servicio que generó la deuda reclamada ni grabación de la contratación telefónica.
QUINTO: D. A.A.A., a la vista de la documentación aportada por Vodafone España, S.A.U. que le fue remitida en fase de prueba, ha manifestado que nunca ha sido titular de la cuenta bancaria en la entidad financiera que figura en la citada documentación (folio 177).
SEXTO: En los ficheros de Vodafone España, S.A.U. figuran las siguientes facturas impagadas (folios 28 y 59):
Número factura | Fecha Factura | Importe |
***FACT1 | 05/09/2005 | 250,46 € |
***FACT2 | 05/10/2005 | 234,47 € |
***FACT3 | 05/11/2005 | 3,03 € |
SÉPTIMO:Vodafone España, S.A.U. ha informado que con fecha 16/10/2007 se realiza abono total de la deuda desde el Departamento de Calidad de Atención al Cliente y que con fecha 17/10/2007 D. A.A.A. no presenta saldo deudor y que con la misma fecha se ha enviado la solicitud de baja en el fichero de solvencia patrimonial y crédito “BADEXCUG” (folio 107).
OCTAVO: En el fichero de solvencia patrimonial y crédito “BADEXCUG” figura una incidencia a nombre de D. A.A.A., a instancia de Vodafone España, S.A.U., con fecha de alta 07/05/2006 y fecha de baja 21/10/2007, y por una deuda en esas fechas, de 487,96 euros (folios 118, 121 - 125).
NOVENO: En los sistemas de Vodafone España, S.A.U. figuran las siguientes anotaciones relativas a incidencias y/o contactos relativos a D. A.A.A.: (folios 60 – 61):
a) 21/10/2005: “El cliente reclama que tiene solamente un móvil vf d ppas que es el 6***MOV2 y le llego una factura de 55eur, se le inf. que corresponde a otra línea de ppes que esta a su nombre que es la 6***MOV1 (no coinciden datos de factura ni cuenta bancaria). El cliente asegura que su única línea es la que el posee y nunca solicitó, regaló o compró otra en vf. Como la línea de la incidencia se dio de alta en ppas el 27/1/2005 y se pasó a ppes el 22/08/2005 por 123 aparentemente ya que no hay sfid de alta, el cliente desea que se
3/17
solucione esto ya que no pagara la factura, quedara en confirmar si este msisdn es el que tenía en amena cuando le robaron el móvil y no duplicó la sim (fecha aprox de robo en dic de 2004”
b) 25/05/2006: no fraude, la deuda pdte por 487,96 € si pertenece a don A.A.A., ha enviado documentación OK, resolución de no fraude por este dpto. paso caso a cobros”>>
TERCERO: Vodafone España, S.A.U. ha presentado en fecha 29/01/2010 recurso de reposición en esta Agencia Española de Protección de Datos, recurso de reposición, en el que solicita que se declare la nulidad del presente procedimiento, el archivo del presente procedimiento por inexistencia de falta o infracción alguna imputable a Vodafone, y, subsidiariamente, que se imponga una sanción por ambas infracciones y que se establezca la cuantía de la misma con fundamentándolo, básicamente, en las siguientes alegaciones:
1. Vulneración del derecho a la tutela judicial efectiva, reconocida en el artículo 24 de la Constitución, por cuanto Vodafone. no ha recibido en la fecha de presentación del presente recurso, la documentación solicitada en el escrito de contestación a la propuesta de resolución.
2. Ausencia de infracción del artículo 6.1 de la LOPD. Hay pruebas suficientes que demuestran la existencia del consentimiento otorgado por parte del denunciante junto con las contradicciones vertidas por el mismo. El número de teléfono sobre el que se produjo la migración era titularidad del hijo del denunciante, y en ese momento se solicitó que el servicio continuara siendo titularidad del hijo del denunciante, asoció a dichos datos los del denunciante, facilitando datos reales, ciertos y veraces, y se envió en el proceso de migración documentación del denunciante (fotocopia del DNI y copia de una cartilla bancaria asociada al denunciante). Tampoco consta denuncia presentada por ninguno de los dos afectados.
3. Ausencia de infracción del artículo 4.3 de la LOPD. Se incluyeron en el fichero de solvencia patrimonial y crédito los datos de la persona que había asumido las obligaciones de pago por el consumo contratado y quien era titular de la cuenta bancaria asociada.
4. Aplicación de lo dispuesto en el artículo 4.4 del reglamento de procedimiento para el ejercicio de la potestad sancionadora, aprobado por el Real Decreto 1398/1993, de 4 xx xxxxxx. Por ello, cabe subsumir ambas infracciones en una sola, y por tanto imponer únicamente una sanción, correspondiente a la infracción más grave.
5. Aplicación de lo dispuesto en el artículo 45.5 de la LOPD, en consideración que los datos personales que tiene Vodafone del denunciante son en todo momento exactos y reales, y que era conocedor de la deuda que mantenía, el servicio continuó siendo de titularidad del hijo del denunciante, para lo que debí a conocer de forma precisa dichos datos, y finalmente, los datos del denunciante fueron excluidos del fichero “Badexcug” una vez subsanada la incidencia, por lo que éste no llegó a abonar cantidad alguna derivada del uso de dichos servicios.
c. Xxxxx Xxxx 0 00000 Xxxxxx xxx.xxxx.xx
6. Aplicación de lo dispuesto en el artículo 45.4 de la LOPD, ya que se cumplen las circunstancias para ello: 1) naturaleza de los derechos afectados, no se ha perjudicado gravemente al denunciante; 2) volumen de los tratamientos, sólo se refiere a los datos de un único cliente; 3) ausencia de beneficios; 4) inexistencia de intencionalidad; 5) ausencia de reincidencia, y 6) ausencia de perjuicios a personas interesadas y a terceros.
CUARTO: Con fecha 16/02/2010 se remitió a Vodafone la copia de los documentos solicitados, concediéndose un plazo adicional para la ampliación de las alegaciones efectuadas en su escrito de interposición del recurso, si la operadora lo estimase oportuno, a la vista de la documentación enviada.
QUINTO: Vodafone ha presentado escrito de alegaciones, registrado con fecha 08/03/2010, en el que reitera lo ya manifestado en su escrito de interposición de recurso, salvo lo siguiente:
1. Resulta clarificador el reconocimiento expreso de que el denunciante puso el objeto de controversia a nombre de su hijo, y por tanto, el que supuestamente facilitó los datos de ambos debería estar en disposición de todos ellos.
2. El hecho de que el denunciante manifieste que no ha tenido relación contractual con la operadora cuando la relación jurídica entre ambas partes existió, primero a través del servicio de prepago y posteriormente a través del servicio de pospago (mediante una migración del citado servicio de la modalidad de prepago) habiendo facilitado él mismo los datos relativos a su hijo.
En este escrito, Vodafone solicita que se decrete el archivo de las actuaciones, por inexistencia de falta o infracción alguna, y, subsidiariamente, que se proceda a imponer una única sanción por ambas infracciones y se establezca una sanción aplicando la escala relativa a las infracciones leves para ambas infracciones, graduando la misma de conformidad con lo dispuesto en el artículo 45.4 de la LOPD.
FUNDAMENTOS DE DERECHO
I
116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (en lo sucesivo LRJPAC).
II
5/17
<<II
El artículo 6.1 de la LOPD dispone lo siguiente:
“1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.
Por su parte, el apartado 2 del mencionado artículo contiene una serie de excepciones a la regla general contenida en el 6.1, estableciendo que “2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el xxx xxxxxxx a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.”
El tratamiento de datos sin consentimiento de los afectados constituye un límite al derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre (F.J. 7 primer párrafo) “…consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (...).”
Son pues elementos característicos del derecho fundamental a la protección de datos personales, los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos.
En este caso, los datos personales del denunciante fueron incorporados a los sistemas de información de Vodafone, asociados a los servicios detallados en los Hechos Probados, sin que haya quedado acreditado que la operadora dispusiera del consentimiento del denunciante para el tratamiento de sus datos personales (nombre, apellidos, DNI, dirección), ni siquiera de que éste hubiera sido informado por la operadora de que sus datos se incorporaban a sus ficheros asociados a un contrato de telefonía móvil.
En este sentido, procede citar la Sentencia de la Audiencia Nacional de fecha 21/12/2001 en la que declara que “de acuerdo con el principio que rige en materia probatoria (art. 1214 del Código Civil) la Agencia de Protección de Datos probó el hecho constitutivo que era el tratamiento automatizado de los datos personales de D (nombre, apellidos y domicilio), y a la recurrente incumbía el hecho impeditivo o
c. Xxxxx Xxxx 0 00000 Xxxxxx xxx.xxxx.xx
extintivo, cual era el consentimiento del mismo.
Es decir,... debía acreditar el consentimiento del afectado para el tratamiento automatizado de datos personales, o justificar que el supuesto examinado concurre alguna de las excepciones al principio general del consentimiento consagrado en el art. 6.1 de la Ley Orgánica 5/1992. Y nada de esto ha sucedido”.
Por tanto, corresponde a Vodafone acreditar que cuenta con el consentimiento del denunciante para el tratamiento de sus datos personales, máxime cuando ésta niega haberlo otorgado, y cuando no consta que se haya efectuado ninguna comprobación en el momento de la contratación telefónica.
Los datos personales del denunciante fueron registrados en los ficheros de Vodafone y fueron tratados, emitiendo facturas por servicios no contratados por el afectado, requerimientos de pago, y para ser incluidos en el fichero de solvencia patrimonial y crédito “Badexcug”
En consecuencia, Vodafone ha efectuado un tratamiento de los datos personales del denunciante, sin que haya acreditado en el procedimiento que cuente con el consentimiento del afectado para el tratamiento de los mismos, ni que cuente con habilitación legal para ello.
Dicho tratamiento de datos vulnera el principio del consentimiento recogido en el artículo 6 de la LOPD, por cuanto el mismo ni se realizó con el consentimiento del denunciante ni se ha realizado con la concurrencia de ninguna de las circunstancias previstas en el artículo 6.2 de la LOPD, que hubieran permitido a Vodafone tratar los datos del denunciante, puesto que no era titular del contrato que habilitaría el tratamiento de sus datos personales, contrato del que la operadora no ha podido aportar ni grabación telefónica y documento escrito.
Por todo lo que antecede, ha quedado acreditado que Vodafone ha infringido el artículo 6.1 de la LOPD
III
Vodafone ha manifestado que la contratación se efectuó a través del servicio de televenta, con fecha 22/08/2005, en que se produjo la migración de la modalidad de prepago a posventa, manifestando que en ese momento el contratante aportó los datos del denunciante para la facturación del servicio contratado.
El sistema de contratación telefónica es un método válido y admitido en derecho, encontrándose regulado por el Real Decreto 1906/1999, de 17 de diciembre, por el que se regula la contratación telefónica o electrónica con condiciones generales en desarrollo del artículo 5.3 de la Ley 7/1998, de 13 xx xxxxx, de condiciones generales de la contratación.
El artículo 5.3 de la citada Ley 7/1998 establece que “en los casos de contratación telefónica o electrónica será necesario que conste en los términos que reglamentariamente se establezcan la aceptación de todas y cada una de las cláusulas del contrato, sin necesidad de firma convencional. En este supuesto, se enviará inmediatamente al consumidor justificación escrita de la contratación efectuada, donde constarán todos los términos de la misma” (el subrayado es de la Agencia Española de Protección de Datos).
El desarrollo reglamentario de este artículo a través del mencionado Real Decreto
7/17
1906/1999, en el que se ratifica la obligación de confirmación documental de la contratación efectuada por vía telefónica, electrónica o telemática, disponiendo en su artículo 5.1 y 2 lo siguiente:
“1. La carga de la prueba sobre la existencia y contenido de la información previa de las cláusulas del contrato; de la entrega de las condiciones generales; de la justificación documental de la contratación una vez efectuada; de la renuncia expresa al derecho de resolución; así como de la correspondencia entre la información, entrega y justificación documental y al momento de sus respectivos envíos, corresponde al predisponente.
2. A estos efectos, y sin perjuicio de cualquier otro medio de prueba admitido en derecho, cualquier documento que contenga la citada información aún cuando no se haya extendido en soporte papel, como las cintas de grabaciones sonoras, los disquetes y, en particular, los documentos electrónicos y telemáticos, siempre que quede garantizada su autenticidad, la identificación fiable de los manifestantes, su integridad, la no alteración del contenido de lo manifestado, así como el momento de su emisión y recepción, será aceptada en su caso, como medio de prueba en los términos resultantes de la legislación aplicable...” (el subrayado es de la Agencia Española de Protección de Datos).
En este sentido se pronuncia, al hablar de la contratación telefónica, la Sentencia de la Audiencia Nacional, de 31/05/2006, Recurso 539/2004, en su Fundamento de Derecho Cuarto, cuando señala “Por otra parte es el responsable del tratamiento (por todas, sentencia de esta Sala de 25 de octubre de 2002 Rec. 185/2001) a quien corresponde asegurarse de que aquel a quien se solicita el consentimiento, efectivamente lo da, y que esa persona que está dando el consentimiento es efectivamente el titular de esos datos personales, debiendo conservar la prueba del cumplimiento de la obligación a disposición de la Administración, encargada de velar por el cumplimiento de la Ley”, y continúa, ”Resulta, por tanto, que tal empresa demandante no sólo no ha aportado ningún elemento probatorio que acredite la celebración telefónica del contrato, sino que tampoco ha acreditado el cumplimiento de las garantías y cautelas que determinan las normas descritas” (el subrayado es de la Agencia Española de Protección de Datos).
Asimismo, el artículo 4.1 del citado Real Decreto 1906/1999 establece: “1.Cumplidas las obligaciones a que se refieren los artículo 2 y 3, el adherente
dispondrá de un plazo de siete días hábiles, según el calendario oficial de su lugar de
residencia habitual, para resolver el contrato sin incurrir en penalización ni gasto alguno, incluido los correspondientes a la devolución del bien. El ejercicio del derecho a que se refiere este apartado no estará sujeto a formalidad alguna, bastando que se acredite en cualquier forma admitida en derecho.” (el subrayado es de la Agencia Española de Protección de Datos).
En el presente caso, Vodafone no ha aportado grabación telefónica ni contrato suscrito relativo a la migración a pospago, ni ha aportado prueba alguna de que contara con el consentimiento del denunciante para el tratamiento de sus datos, ni consta que realizara ninguna comprobación de que dispusiera del consentimiento de éste hasta que recibió su reclamación.
A pesar de no haber tomado ninguna cautela para asegurarse de que disponía del consentimiento del denunciante para tratar sus datos, la operadora ha realizado sin su
c. Xxxxx Xxxx 0 00000 Xxxxxx xxx.xxxx.xx
consentimiento un tratamiento de sus datos personales al incluirlos y mantenerlos en sus ficheros, asociarlos a un servicio presuntamente contratado por un tercero, realizar la emisión de las facturas citadas y para comunicar la deuda a agencias de recobro y a un fichero de solvencia patrimonial y crédito, por lo que ha incurrido en la infracción del artículo 6.1 de la LOPD.
IV
Se imputa a Vodafone una infracción del artículo 4.3 en relación con el 29.4 de la LOPD.
El artículo 4.3 de la citada Ley dispone lo siguiente:
“3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.
La obligación establecida en el artículo 4 trascrito impone la necesidad de que los datos personales que se recojan en cualquier fichero sean exactos y respondan, en todo momento, a la situación actual de los afectados, siendo los responsables de los ficheros quienes responden del cumplimiento de esta obligación.
El artículo 29 de la LOPD regula de forma específica los ficheros establecidos para prestar servicios de información sobre solvencia patrimonial y crédito, y distingue dentro de ellos dos supuestos, uno de los cuales son los ficheros en los que se tratan datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. Así, dispone en este sentido, en su apartado 2: “Podrán tratarse también datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley”. Añadiendo el párrafo 4 del mismo artículo que “sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquellos”.
La Instrucción 1/1995, de 1 xx xxxxx, de la Agencia Española de Protección de Datos, relativa a la prestación de servicios de información sobre solvencia patrimonial y crédito, abunda en este precepto y, en su Norma Primera, dispone lo siguiente:
“Norma primera. Calidad de los datos objeto de tratamiento.
1. La inclusión de los datos de carácter personal en los ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias, a los que se refiere el artículo 28 de la Ley Orgánica 5/1992” (artículo 29 de la LOPD), deberá efectuarse solamente cuando concurran los siguientes requisitos:
a) Existencia previa de una deuda cierta, vencida y exigible, que haya resultado impagada.
b) Requerimiento previo de pago a quien corresponda, en su caso, el cumplimiento de la obligación.
2. No podrán incluirse en los ficheros de esta naturaleza datos personales sobre
9/17
los que exista un principio de prueba documental que aparentemente contradiga alguno de los requisitos anteriores. Tal circunstancia determinará igualmente la desaparición cautelar del dato personal desfavorable en los supuestos en que ya se hubiera efectuado su inclusión en el fichero.
3. El acreedor o quien actúe por su cuenta e interés deberá asegurarse que concurren todos los requisitos exigidos en el número 1 de esta norma en el momento de notificar los datos adversos al responsable del fichero común.
4. La comunicación del dato inexistente o inexacto, con el fin de obtener su cancelación o modificación, deberá efectuarse por el acreedor o quien actúe por su cuenta al responsable del fichero común en el mínimo tiempo posible, y en todo caso en una semana. Dicho plazo es independiente del establecido en el artículo 15.2 del Real Decreto 1332/1994, de 20 xx xxxxx, y que se aplica al fichero del acreedor”.
Es, por tanto, el acreedor el responsable de que los datos cumplan los requisitos establecidos en el artículo 4 de la LOPD, puesto que como acreedor es el único que tiene la posibilidad de incluir los datos en el fichero y de instar la cancelación de los mismos, toda vez que es quien conoce si la deuda realmente existe o si ha sido saldada.
Por tanto, de acuerdo con lo señalado, es requisito indispensable para que los datos del deudor puedan ser incluidos en un fichero de los creados al amparo del artículo 29.2, que quede acreditada la existencia de una deuda cierta vencida y exigible, y que ésta haya sido requerida previamente de pago antes de comunicar los datos del deudor al responsable del fichero común.
En este caso, Vodafone, por una parte, ha emitido facturas asociadas a los datos personales del denunciante por servicios que éste no había contratado, por lo que se han imputado al afectado unas deudas que no pueden estimarse correctas, y ante el impago de las citadas facturas, esa entidad informó sus datos personales al fichero de solvencia patrimonial “Badexcug”. Hay que destacar que el titular del contrato no es denunciante, por lo que resulta incomprensible que Vodafone incluyera sus datos en el fichero citado en vez de los datos del titular de los servicios contratados.
Los hechos anteriormente relatados son contrarios al principio de calidad de datos consagrado en el artículo 4.3, y en relación con el 29.4 de la LOPD, toda vez que Vodafone comunicó al fichero de solvencia citado los datos personales del denunciante, sin que dichas inscripciones hayan respondido a la situación actual del mismo.
V
Consta acreditado en esta Agencia que las entidades asociadas a los ficheros de solvencia patrimonial y crédito como “Badexcug” suministran periódicamente las relaciones de las altas, bajas y modificaciones de los datos de sus clientes para que tales actualizaciones queden registradas en el citado fichero, siendo las entidades informantes las que deciden sobre el alta o la cancelación de los datos de sus clientes del fichero de morosidad.
Los datos personales de los denunciantes son datos que figuran en sus propios ficheros automatizados.
Adicionalmente, son comunicados al responsable del fichero de solvencia a través de cintas magnéticas que implican un tratamiento automatizado de los datos tratados,
c. Xxxxx Xxxx 0 00000 Xxxxxx xxx.xxxx.xx
cedidos, e incorporados al fichero común de información sobre solvencia patrimonial.
La vigente LOPD atribuye la condición de responsables de las infracciones a los responsables de los ficheros (artículo 43), concepto que debe integrarse con la definición que de los mismos recoge el artículo 3.d). Este precepto, innovando respecto de la Ley Orgánica 5/1992, incluye en el concepto de responsable tanto al que lo es del fichero como al del tratamiento de datos personales.
En este sentido se pronuncia la Audiencia Nacional en su Sentencia de 18/01/2006, Recurso 0236/2004, “Y que duda cabe que la LOPD comprende bajo su régimen sancionador, al que suministra los datos al responsable del fichero, que es quien en realidad sabe la situación en que se encuentra el crédito, si ha sido o no satisfecho, en que condiciones y en que momento ha tenido lugar. En definitiva es el conocedor de la situación de solvencia en que se encuentra el afectado. Y en caso de que se produzca una modificación de dicha situación, debe informar al responsable del fichero para que este refleje con veracidad la situación actual del afectado”
Conforme al citado artículo. 3.d) de la LOPD, el responsable del fichero o del tratamiento es “la persona física o jurídica (...) que decide sobre la finalidad, contenido y uso del tratamiento”.
El propio artículo 3, en su apartado c), delimita en qué consiste el tratamiento de datos incluyendo en tal concepto “las operaciones o procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”.
El Tribunal Supremo en su reciente Sentencia de 26/01/2005, confirma el criterio anteriormente expuesto al señalar que “junto al responsable del fichero –que era en la Ley 5/1992- quien estaba sujeto al régimen sancionador establecido en dicha ley (art. 42) en la nueva Ley 15/1999 aparece un nuevo personaje, el responsable del tratamiento, como posible sujeto pasivo de la potestad sancionadora de la que hoy se llama –a partir de la Ley 62/2003, de 30 de diciembre- Agencia Española de Protección de Datos (artículo 43), Véase lo que dicen uno y otro precepto:
Ley 5/1992 <<Art. 42. Responsables: 1. Los responsables de los ficheros estarán sujetos al régimen sancionador establecido en la presente Ley>>.
Ley 15/1999 << Art. 43. Responsables: 1- Los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador establecido en la presente ley>>.
Y esto es así porque la nueva Ley Orgánica –a diferencia de la vieja Ley Orgánica, que atribuía la potestad de decidir sobre la finalidad, contenido y uso del tratamiento únicamente al responsable del fichero- reconoce que esa decisión pueda tomarla –y así ocurre muchas veces- el responsable del tratamiento.
He aquí el nuevo texto: Ley 15/1999. <<Artículo 3. A los efectos de la presente Ley se entenderá por: [...] d) Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento>>.
No se trata como se ve de un mero cambio de redacción, de un simple giro gramatical, o una innovación puramente estilística. Es algo más profundo: estamos ante un cambio esencial en el modo de afrontar la regulación de las relaciones que se
11/17
entablan entre quienes manejan los datos y el titular de los mismos.”
Es preciso, por tanto, determinar si, en el presente caso, Vodafone puede ser considerado responsable del tratamiento. Esta entidad trató automatizadamente los datos relativos al denunciante en sus propios ficheros y los comunicó al fichero “Badexcug” decidiendo sobre la finalidad, contenido y uso del tratamiento.
De lo anterior se deduce que las comunicaciones de los importes de las facturas señaladas al fichero citado implica que Vodafone facilitó una información que no respondía a la situación exacta, veraz y actual del denunciante, lo que supone una clara vulneración del principio de calidad de datos, de la que debe responder Vodafone, por ser responsable de la veracidad y calidad de los datos existentes en sus ficheros y de los que suministra para que se incluyan y mantengan en ficheros de solvencia patrimonial y crédito.
La conclusión que se desprende es que Vodafone es responsable de la infracción del artículo 4.3 en relación con el artículo 29.4 de la LOPD, en los términos previstos en el artículo 43 en relación con el artículo 3.d) y c) de la citada Ley Orgánica.
VI
El artículo 44.3.d) de la LOPD considera infracción grave: “Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.”
La Audiencia Nacional ha manifestado, en su Sentencia de 22/10/03, que “la descripción de conductas que establece el artículo 44.3d) de la Ley Orgánica 15/1999 cumple las exigencias derivadas del principio de tipicidad, a juicio de esta Sala, toda vez que del expresado precepto se desprende con claridad cuál es la conducta prohibida. En efecto, el tipo aplicable considera infracción grave “tratar de forma automatizada los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la Ley”, por tanto, se está describiendo una conducta –el tratamiento automatizado de datos personales o su uso posterior- que precisa, para configurar el tipo, que dicha conducta haya vulnerado los principios que establece la Ley Orgánica. Ahora bien, estos principios no son de aquellos que deben inferirse de dicha regulación legal, sino que aparecen claramente determinados y relacionados en el título II de la Ley, concretamente, por lo que ahora interesa, en el artículo 6 se recoge un principio que resulta elemental en la materia, que es la necesidad de consentimiento del afectado para que puedan tratarse automatizadamente datos de carácter personal. Por tanto, la conducta ilícita por la que se sanciona a la parte recurrente como responsable del tratamiento consiste en usar datos sin consentimiento de los titulares de los mismos….”
La Audiencia Nacional, en Sentencia dictada el 27/10/2004, ha declarado: “Sucede así que, como ya dijimos en la Sentencia de 8 de octubre de 2003 (recurso 1.821/01) el mencionado artículo 44.3 d) de la Ley Orgánica 15/1999, aun no siendo, ciertamente, un modelo a seguir en lo que se refiere a claridad y precisión a la hora de tipificar una conducta infractora, no alberga una formulación genérica y carente de contenido como afirma la demandante. La definición de la conducta típica mediante la expresión “tratar los datos de carácter personal...” no puede ser tachada de falta de contenido pues nos remite directamente a cualquiera de las concretas actividades que
c. Xxxxx Xxxx 0 00000 Xxxxxx xxx.xxxx.xx
el artículo 3.d) de la propia Ley incluye en la definición de “tratamiento de datos” (recogida, grabación, conservación, elaboración,... de datos de carácter personal). Y tampoco cabe tachar de excesivamente genérico o impreciso el inciso relativo a que el tratamiento o uso de los datos se realice “... con conculcación de los principios y garantías establecidos en la presente Ley...”, pues tales principios y garantías debidamente acotados en el Título II del propio texto legal bajo las rúbricas de Principios de la Protección de Datos (artículos 4 a 12) y Derechos de las Personas (artículos 13 a 19)”.
El cumplimiento de las exigencias previstas viene determinado por la importancia de la inclusión y mantenimiento de los datos personales en dichos ficheros, cuestión que ha sido tratada en numerosas sentencias por parte de la Audiencia Nacional, entre otras, en la Sentencia dictada el 16/02/2002, la Sala de lo Contencioso Administrativo, Sección Primera, Número de recurso 1144/1999, en el Fundamento de Derecho Cuarto, señala: “...Ha de decirse que la inclusión equivocada o errónea de una persona en el registro de morosos, es un hecho de gran trascendencia de la que se pueden derivar consecuencias muy negativas para el afectado, en su vida profesional, comercial e incluso personal, que no es necesario detallar. En razón a ello, ha de extremarse la diligencia para que los posibles errores no se produzcan,...”.
Los dos principios cuya vulneración se imputa a Vodafone, el del consentimiento y el de calidad de los datos, se configuran como principios básicos en materia de protección de datos, y así se recoge en numerosas Sentencias de la Audiencia Nacional, entre otras, las de fechas 25/05/01 y 05/04/02.
En este caso, Vodafone ha incurrido en las infracciones descritas ya que ha vulnerado ambos principios, consagrados en los artículos 4.3 y 6.1 de la LOPD, cuando mantuvo datos incorrectos del denunciante en sus ficheros, cuando informó, para su registro en el fichero “Badexcug” los datos del denunciante asociados a una deuda que no le correspondía, y por tratar los datos del afectado sin su consentimiento, que encuentran su tipificación en el artículo 43.3.d) de la citada Ley Orgánica.
VII
El artículo 45.2, 4 y 5 de la LOPD establece lo siguiente:
2. Las infracciones graves serán sancionadas con multa de 60.101,21 € a 300.506,05 €.
4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
5. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate.”
La Sentencia de 21/01/2004 de la Audiencia Nacional, en su recurso 1939/2001,
13/17
señaló que dicho precepto <<…no es sino manifestación del llamado principio de proporcionalidad (artículo 131.1 de la LRJPAC), incluido en el más general del prohibición de exceso, reconocido por la jurisprudencia como principio general del Derecho. Ahora bien, la presente regla debe aplicarse con exquisita ponderación y sólo en los casos en los que la culpabilidad y la antijuridicidad resulten sustancialmente atenuadas, atendidas las circunstancias del caso concreto. Lo cual insistimos puede darse, por excepción, en casos muy extremos (de aquí la expresión “especialmente cualificada”) y concretos.
VODAFONE ha solicitado la aplicación del artículo 45.4 y 5 de la LOPD, teniendo en cuenta que los datos del denunciante eran correctos, que éste conocía la deuda, que sus datos fueron excluidos una vez subsanada la incidencia. Añade que no ha habido intencionalidad ni reincidencia, que no se ha perjudicado gravemente al denunciante, que los datos tratados se refieren a un solo cliente y que la operadora no ha obtenido beneficio alguno.
Ahora bien, hay que destacar, en lo que se refiere a la importancia de la inclusión y mantenimiento de los datos personales en un fichero de morosidad, ha sido tratada en numerosas sentencias por parte de la Audiencia Nacional. Así en la Sentencia dictada el 16/02/2002, por la Sala de lo Contencioso Administrativo, Sección Primera, Número de recurso 1144/1999, en el Fundamento de Derecho Cuarto se señala: “...Ha de decirse que la inclusión equivocada o errónea de una persona en el registro de morosos, es un hecho de gran trascendencia de la que se pueden derivar consecuencias muy negativas para el afectado, en su vida profesional, comercial e incluso personal, que no es necesario detallar. En razón a ello, ha de extremarse la diligencia para que los posibles errores no se produzcan,...”
Tampoco puede aceptarse a estos efectos la manifestación efectuada en el sentido de que los datos del denunciante fueron excluidos del fichero de solvencia patrimonial una vez subsanada la incidencia, puesto que permanecieron en el mismo durante un periodo prolongado de tiempo, alrededor de quince meses.
Por tanto, no se considera que concurran las circunstancias necesarias para que pueda aplicarse, en el presente supuesto, lo dispuesto en el artículo 45.5. de la LOPD.
En relación a los criterios de graduación de las sanciones recogidas en el artículo
45.4 de la LOPD, y, en especial a la ausencia de intencionalidad acreditada en el presente procedimiento, procede la imposición de las sanciones en su cuantía mínima.
>>
III
Ha alegado Vodafone que se ha vulnerado el derecho a la tutela judicial efectiva al no haber recibido en la fecha de presentación del recurso la documentación solicitada.
Como se ha expuesto anteriormente, se ha remitido a la operadora la copia de los documentos solicitados y ésta ha podido ampliar el contenido de las alegaciones que han motivado la petición efectuada en el escrito de interposición de su recurso de reposición.
Por ello, no se ha causado efectiva indefensión a Vodafone y, por tanto, procede desestimar la presente alegación de la operadora.
IV
c. Xxxxx Xxxx 0 00000 Xxxxxx xxx.xxxx.xx
En lo que se refiere a la alegación efectuada por Vodafone, en el sentido de que cabe subsumir ambas infracciones, la del artículo 6.1 y la del 4.3 de la LOPD, en una sola y, por tanto, imponer la correspondiente a la primera, que originó la inclusión de los datos del denunciante en el fichero “Asnef”, el artículo 4.4 del Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora, aprobado por el Real Decreto 1398/1993, de 4 xx xxxxxx, establece que “En defecto de regulación específica establecida en la norma correspondiente, cuando de la comisión de una infracción derive necesariamente la comisión de otra u otras, se deberá imponer únicamente la sanción correspondiente a la infracción más grave cometida”.
A este respecto, la Sentencia de la Audiencia Nacional de 18/01/2009 (Nº de Recurso: 151/2007; Id Cendoj: 28079230012009100079), señala que el citado artículo “exige, para la aplicación del concurso medial, una necesaria derivación de unas infracciones respecto de otra u otras y viceversa, por lo que resulta indispensable que las unas no puedan cometerse sin ejecutar las otras, tal es el sentido que ha de conferirse a la expresión reglamentaria de que <<una infracción derive necesariamente la comisión de otra>>. Solo en tal caso puede seguirse la consecuencia propia del concurso medial y es que únicamente se imponga la sanción correspondiente a la infracción mas grave cometida. Lo que no concurre en el caso examinado pues ninguna de las contravenciones administrativas sancionadas es un medio para la perpetración de la otra. Ambas pueden realizarse con independencia absoluta, porque protegen principios diferentes, en un caso el consentimiento (artículo 6.1 de la Ley 15/1999 ), y, en otro, la calidad el dato (artículo 4.3 de la citada LO), para la salvaguarda del poder de disposición del titular de los datos personales que integra el derecho fundamental a la protección de los datos.
Por lo tanto, en este caso, no procede la aplicación del precepto trascrito, dado que del tratamiento de los datos del denunciante sin consentimiento no se deriva, necesariamente, la vulneración del principio de calidad de los datos tratados, dado que France Telecom no se limitó únicamente al tratamiento de los datos de éste, sino que, además, comunicó a un fichero de solvencia patrimonial y crédito una información que no era cierta, sin asegurarse de la veracidad de la misma, y sin el previo requerimiento de pago. Son, por tanto, dos infracciones totalmente diferentes e independientes, sin que la comisión de una de ellas implique, necesariamente, la comisión de la otra. Además, France Telecom pudo haber actuado con mayor diligencia, ya que con anterioridad al envío de los datos del afectado al fichero “Asnef” tuvo conocimiento de las manifestaciones del cliente de que había enviado un burofax de baja en diciembre de 2006, sin que conste ni haya sido alegado que hubiera efectuado comprobación alguna o que se hubiera reclamado al afectado una copia del citado escrito.” (el subrayado es de la Agencia Española de Protección de Datos).
Por tanto, dicha alegación debe ser desestimada.
V
Añade Vodafone que la persona que llevó a cabo la migración se valió de documentación asociada al denunciante que éste no había perdido o que no le había sido sustraída, convirtiendo un servicio prepago asociado a su propio hijo en pospago, manteniendo la misma titularidad, pero poniendo como datos de facturación los correspondientes al padre del titular, datos confirmados mediante el envío de una copia de un documento bancario, así como del DNI del denunciante, documento que como venimos reiterando no ha sido sustraído en ningún momento al denunciante y al que su
15/17
hijo tenía acceso de forma clara y notoria.
La sentencia de la Audiencia Nacional de 18/06/2009 (Nº de Recurso 579/2008; Id Cendoj: 28079230012009100360), razona lo siguiente:
“Argumenta en la demanda que ya desde el año 1987 el denunciante estaba contractualmente vinculado con ella para la prestación del servicio de telefonía contratado. En consecuencia, disponía ya desde entonces de los datos para prestar el servicio, entre ellos el DNI, que es el personal que ahora se cuestiona como indebidamente tratado. No hay por tanto vulneración del principio de consentimiento incardinable en el articulo 6.1 LOPD, se añade, sino que sí ha existido consentimiento.
Frente a dicha argumentación indicar, de un lado, que ninguna incidencia puede tener, respecto de los hechos enjuiciados, el que la relación contractual entre Telefónica y el Sr. ***NOMBRE.1 del año 1987, pues la falta de consentimiento se circunscribe al tratamiento de los datos personales de dicho afectado para la contratación de la línea de ADSL de Telefónica y no para cualquier otro producto o servicio que el mismo pueda contratar con tal empresa de telefonía.
Añadir, por otra parte, que a pesar de dichas argumentación de la demanda, consta acreditado en los hechos probados sexto y noveno consignados con anterioridad, los cuales no han sido desvirtuados mediante prueba alguna en contrario que ni ha aportado copia del contrato del Servicio ADSL + Mantenimiento + Antivirus suscrito por D. ***NOMBRE.1, ni dicho contrato ha sido tampoco aportado por Locutel (agente comercial de tal recurrente) sin que ésta última tampoco presente copia ni grabación de la llamada realizada, a tal afectado, el 23/01/2006.
En definitiva, y si bien dicho denunciante en todo momento ha manifestado que no suscribió el repetido contrato de prestación del servicio ADSL con Telefónica, por lo que no dio su consentimiento para el cambio de operadora de dicho servicio, de la prueba practicada en autos tampoco hay evidencias de dicha formalización del contrato y, por tanto, de la referida prestación del consentimiento inequívoco por parte del Sr.
***NOMBRE.1 . (…).
Así pues, la negativa del denunciante, en el sentido de no haber cumplimentado ningún contrato con la entidad de actora, traslada a ésta última la carga de la prueba, sin que haya podido probar la obtención del consentimiento del interesado, por lo que debe considerarse vulnerado el principio de consentimiento, recogido en el artículo 6.1de la LOPD “.
El denunciante contactó con Vodafone con fecha 21/10/2005 comunicando que nunca ha contratado la línea que ha generado las facturas reclamadas, y que la operadora le informó que si bien la línea estaba a su nombre no coinciden datos de factura ni cuenta bancaria (folio 60). Realiza otra llamada en noviembre de 2005, reiterando que ha sido un fraude en el alta de la línea (folio 71). En igual sentido figura otra llamada anotada con fecha 02/05/2006 (folio 60), y finalmente presenta una reclamación ante un organismo de Consumo en julio de 2007 (folio 61).
Desde muy pronto el denunciante ha comunicado a la operadora que no ha efectuado la contratación de la línea que ha generado la deuda reclamada, y en el mismo sentido se ha reiterado durante la tramitación del procedimiento, ratificando que no ha contratado con Vodafone (únicamente terminales de prepago) y que nunca ha tenido relación con la entidad en la que figura la cuenta a la que se giraron los recibos ni ha sido titular de ésta, anunciando acciones contra la misma.
c. Xxxxx Xxxx 0 00000 Xxxxxx xxx.xxxx.xx
A pesar de la pronta comunicación del afectado, la reiterada negativa de éste en cuanto al consentimiento otorgado a la operadora, ésta no ha acreditado que el denunciante hubiera dado su consentimiento al tratamiento de sus datos ni para que le fueran girados al cobro unos recibos en una cuenta bancaria (que no reconoce), sin que haya ha aportado contrato ni grabación en el que conste el consentimiento del denunciante.
Por ello, se estima procedente desestimar la presente alegación de Vodafone.
VI
Por lo tanto, en el presente recurso de reposición, Vodafone España, S.A.U. no ha aportado nuevos hechos o argumentos jurídicos que permitan reconsiderar la validez de la resolución impugnada.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: DESESTIMAR el recurso de reposición interpuesto por Vodafone España, S.A.U. contra la Resolución de esta Agencia Española de Protección de Datos dictada con fecha 30/12/2009 en el procedimiento sancionador PS/00409/2009.
SEGUNDO: NOTIFICAR la presente resolución a la entidad Vodafone España, S.A.U..
Madrid, 28 xx xxxxx de 2010
EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
17/17
Fdo.: Xxxxxx Xxxxx Xxxxxxxx