HECHOS
Procedimiento nº.: PS/00135/2018
Recurso de Reposición Nº RR/00755/2018
Examinado el recurso de reposición interpuesto por la entidad XFERA MÓVILES, S.A., contra la resolución dictada por la Directora de la Agencia Española de Protección de Datos en el procedimiento sancionador PS/00135/2018 y en consideración a los siguientes
HECHOS
PRIMERO: Con fecha 11 de octubre de 2018 se dictó resolución por la Directora de la Agencia Española de Protección de Datos en el procedimiento sancionador PS/00135/2018 en virtud de la cual se imponían a la entidad XFERA MÓVILES, S.A., dos sanciones de 40.000 euros cada una por vulnerar, respectivamente, los artículos
6.1 y 4.3, en relación con el 29.4, de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD), tipificados en los artículos 44.3.b) y 44.3.c) de la LOPD, de conformidad con lo establecido en los artículos 45.5 y 45.1 de la citada Ley Orgánica.
Dicha resolución, que fue notificada a XFERA MÓVILES, S.A., en fecha 17/11/2018, fue dictada previa la tramitación del correspondiente procedimiento sancionador, de conformidad con lo dispuesto en el artículo 127 del reglamento de desarrollo de la LOPD aprobado por el Real Decreto 1720/2007, de 21 de diciembre.
SEGUNDO: Como hechos probados del citado procedimiento sancionador, PS/00135/2018, se dejó constancia de los siguientes en la resolución recurrida:
<<PRIMERO: A.A.A., con DNI ***DNI.1 y domicilio en ***DIRECCION.1, según consta en la copia de su documento de identidad (folio 3) denuncia la inclusión de sus datos en ficheros de solvencia informados por XFERA MÓVILES, S.A., empresa de la que nunca ha sido cliente, por una deuda que no le pertenece. (Folios 1 y 4 a 7)
SEGUNDO: La denunciante manifiesta que, a raíz de que en octubre de 2017 le denegasen la financiación de una compra, se dirigió a EQUIFAX IBÉRICA, S.L., ante quien ejercitó los derechos de acceso y cancelación, conociendo entonces que estaba incluida en ese fichero por la denunciada. Aporta copia de la respuesta de EQUIFAX IBÉRICA, S.L., al acceso solicitado, en la que consta que a fecha 09/10/2017, asociado a su identificador, existe una incidencia informada por XFERA MÓVILES, S.A., por un producto de telecomunicaciones, en calidad de titular de una deuda de 310,68 euros, siendo la fecha de alta de la anotación el 15/02/2013.
Asociado al NIF, nombre y dos apellidos de la denunciante consta un domicilio en ***DIRECCION.2. (Folio 13)
TERCERO: Obra en el expediente copia del resguardo de LEXNET que acredita la
presentación ante la Oficina de reparto y registro de Instrucción de ***LOCALIDAD.1, dirigida al Juzgado de Instrucción, de una denuncia por estafa interpuesta por la denunciante y enviada a través de la citada aplicación por el Letrado B.B.B. el 18/10/2017 a las 20:23 horas (Folio 21)
CUARTO: Obra en el expediente copia del escrito dirigido al Juzgado de Instrucción de ***LOCALIDAD.1 al que por turno corresponda de una denuncia cuyos hechos coinciden con los relatados en la interpuesta ante esta Agencia. El escrito está firmado digitalmente por el Letrado en fecha “2017.10.18” a las “20:05:54+02´00´” (Folios 22 a 26)
QUINTO: Xxxxx en el expediente aportados por XFERA MÓVILES diversas impresiones de pantalla de sus ficheros relacionadas con los hechos que nos ocupan:
a) En la pantalla “Cliente” constan los datos personales de la denunciante: nombre, dos apellidos y NIF. Vinculado a ella un domicilio en ***DIRECCION.2. Como fecha de nacimiento el “17/03/1975”, que no coincide con la de la denunciante. (Folio 41)
b) En la pantalla “Pedido” la siguiente información: Como “estado pedido”, “entregado”; “Nº Pedido” 8949086; “Modalidad de contrato”, “Pospad”; “ID vendedor” “Web” y como “Fecha solicitud” el “18/09/2012”. (Folio 41)
c) En la pantalla “Entrega” se indica: En fecha 20/09/2012 a las 09:48 “Pedido recibido en el operador logístico DEXTRA”. En fecha 20/09/2012 a las 11:45 “Pedido preparado. A la espera de expedidor. DEXTRA” y como “Mensajero” “ASM”. En fecha 21/09/2012 a las 20:50 “Pedido entregado. DEXTRA” y como “Mensajero” “ASM”. (Folio 41)
d) Dos capturas de pantalla (folio 42) de las que resulta que la línea
***TELEFONO.1 se contrató a través de la Web siendo el cliente A.A.A., el método de pago post pago y la fecha de creación el 19/09/2012. La contratación con XXXXX habría finalizado el 03/01/2013.
SEXTO: XFERA MÓVILES emitió, durante la vigencia del contrato suscrito a nombre de la denunciante, cuatro facturas en las que constan los datos personales de la afectada: nombre, apellidos y NIF y una dirección postal que no se corresponde con la de la denunciante. Fueron emitidas en fecha 01/10/2012; 01/11/2012; 01/12/2012; 01/02/2013 (Folios 50 a 57)
SÉPTIMO: XFERA MÓVILES declara que la contratación de la línea a nombre de la denunciante se efectuó a través de internet mediante un procedimiento que describe en los folios 44 y 45 del expediente. Añade que, en el año 2012, en que se efectúa la contratación, “el operador logístico encargado de las entregas de los productos adquiridos en venta a distancia” era la empresa “20:20 Mobile España, S.A.U”, en la actualidad BRIGHSTAR, con la que suscribió un contrato en mayo de 2009 (Folio 44)
OCTAVO: XFERA MÓVILES no ha aportado ni copia del DNI del contratante; ni la copia xxx xxxxxxx de entrega al destinatario de la venta efectuada a distancia. Expone que la empresa expedidora ha manifestado que “dado el tiempo transcurrido no conserva el citado documento”. (Folio 44)
NOVENO: El procedimiento que XFERA MÓVILES tuvo implantado para la
contratación por internet cuando acontecieron los hechos denunciados es, en síntesis, el siguiente:
- Se realiza a través de la página xxxx://xxx.xxxxx.xxx “donde el cliente accede al servidor seguro de la tienda online xxxx://xxxxxx.xxxxx.xxx” para consultar ofertas y características de los productos, así como diversa información.
- Posteriormente se solicitan sus datos personales, imprescindibles para gestionar el alta: nombre, apellidos, DNI o equivalente, dirección postal, teléfono de contacto y email; su consentimiento para el envío de información comercial y número de cuenta bancaria de domiciliación de pago si optó por la modalidad de “Contrato”.
- Se informa de las condiciones generales de la venta y se solicita expresamente la aceptación para la tramitación del pedido online.
- Se presenta un resumen del pedido para la confirmación de los datos. Se muestra una confirmación de la compra con el número de pedido y los datos principales y se le envía un email de confirmación de compra.
- Una vez recibido el email de confirmación “se contacta con el cliente por teléfono para establecer la cita de entrega del pedido”. “La entrega del pedido …se realiza por la entidad Correos y Telégrafos o por SEUR, que solicita la firma xxx xxxxxxx de entrega previa exhibición del DNI del denunciante o documento equivalente” (Folios 44 y 45)
DÉCIMO: De la documentación aportada por EQUIFAX IBÉRICA, S.L., que obra en el expediente quedan acreditados los siguientes extremos:
a)
- XFERA MÓVILES, S.A., comunicó al fichero ASNEF una incidencia asociada al NIF, nombre y dos apellidos de la denunciante, por una deuda impagada de 310,68 euros.
- La fecha de alta de la incidencia (fecha de visualización) es el 12/03/2013 y la fecha de baja el 21/10/2017
- La fecha de los vencimientos impagados, primero y último, es 04/10/2012 y 05/02/2013.
- El domicilio asociado a la afectada es ***DIRECCION.2. (Folios 120 y 124 a 130)
b)
- EQUIFAX IBÉRICA, S.L., en escrito dirigido a la denunciante de fecha 13/10/2017, responde a su petición de cancelación informándole que no puede ser atendida al haber confirmado la existencia de la deuda y la permanencia en el fichero la entidad. Aporta impresión de pantalla de sus sistemas en la que consta que en fecha 11/10/2017 XFERA MÓVILES confirma la incidencia (Folios 131 y 140)
UNDÉCIMO: De la documentación aportada por EXPERIAN BUREAU DE CRÉDITO, S.A., que obra en el expediente quedan acreditados los siguientes extremos:
- XFERA MÓVILES comunicó al fichero de solvencia patrimonial BADEXCUG, asociada al NIF, nombre y dos apellidos de la denunciante, una incidencia por un saldo pendiente de 310,68 euros (operación número
4569690) (Folios 144 y 148 a 152)
- La incidencia se dio de alta el 17/02/2013 y de baja el 22/10/2017 por “proceso automático semanal de actualización de datos”
- El domicilio atribuido a la afectada que la entidad informante comunicó a BADEXCUG era ***DIRECCION.2 (Folio 147)
DUODÉCIMO: La denunciada ha manifestado que anuló la deuda al tener noticia de la reclamación de la afectada. Aporta captura de pantalla de sus sistemas relativa a las comunicaciones mantenidas con la denunciante (folio 43) en la que figura una anotación de fecha 18/10/2017 a las 12:38: “Condonamos deuda de 310,68 euros de la línea que a día xx xxx está dada de baja. Quedamos a la espera de recibir denuncia”.>>
TERCERO: XFERA MÓVILES, S.A., (en los sucesivo, la recurrente) ha presentado en esta Agencia Española de Protección de Datos, en fecha 18 de noviembre de 2018, recurso de reposición.
Cabe señalar en relación con la fecha de interposición del recurso que el día 17/11/2018, en el que, en principio, finalizaba el plazo de interposición, era inhábil, por lo que de conformidad con el artículo 30.5 de la Ley 39/2015 de Procedimiento Administrativo Común de las Administraciones Públicas (en adelante LPACAP) el plazo se entiende prorrogado al primer día hábil siguiente.
Como fundamentos del recurso la recurrente reitera los argumentos expuestos a lo largo del procedimiento y hace, además, estas consideraciones:
-1. Sobre el consentimiento de la denunciante al tratamiento de sus datos: La recurrente recuerda que la AEPD le sancionó por una infracción del artículo 6.1 LOPD, por haber tratado los datos personales de la denunciante sin su consentimiento, y en relación con esta cuestión alude a la prueba que propuso y que le fue denegada por la instructora del expediente. Dice a ese respecto:
“…la Resolución, reafirmando el rechazo a las pruebas que fueron propuestas por mi representada en el momento procesal oportuno, obvia y no tiene en cuenta que los documentos que acreditan la validación de la identidad de la persona contratante obran en poder del operador logístico 20.20 MOBILE (ESPAÑA) S.A.U., y de la empresa de mensajería ASM, circunstancia clave en el caso que nos ocupa”. (El subrayado es de la AEPD)
La recurrente añade que ha quedado “totalmente desamparada por la AEPD” al no haberle permitido solicitar al operador logístico 20.20 Mobile y a la empresa de mensajería ASM pruebas claves, habida cuenta de que “éstos no acceden voluntariamente a su entrega pese a que contractualmente se obligaron a ello”. Esta circunstancia, a su juicio, podría haber vulnerado “el principio de tutela judicial efectiva” pues, según dice, para poder aportar al procedimiento las citadas pruebas la recurrente se ve obligada a emprender las acciones legales oportunas frente a las mencionadas entidades.
Expresa su discrepancia con el proceder de la instrucción del expediente al haber rechazado la práctica de las pruebas citadas y argumenta que únicamente
pueden ser rechazadas (ex artículo 77.3 LPACAP) cuando sen manifiestamente improcedentes o innecesarias y las pruebas que XFERA propuso eran de “absoluta utilidad para esclarecer si realmente mi mandante ha cometido la infracción de la LOPD que se le imputa, lo que ha generado a XFERA una situación de indefensión absolutamente insalvable”.
De lo expuesto concluye que, en contra de la tesis que sustenta la resolución sancionadora, sí desplegó la diligencia mínima exigible “pues tenía implementado un protocolo de validación de la identidad del contratante tal y como quedó acreditado en el escrito de contestación al Requerimiento de Información …E/0660/2017, concretamente dentro de su apartado 6, páginas 4 y 5”.
2.- Respecto a la diligencia debida desplegada, la recurrente hace estas consideraciones:
Explica que trató los datos personales de la denunciante en el marco de un negocio jurídico, la contratación de unos servicios, “al que una tercera persona -que todo nos indica que suplantó la identidad de la Denunciante y facilitó como propios sus datos personales- otorgó el consentimiento”.
Y añade que, posteriormente, incluyó los datos personales de la denunciante vinculados a una deuda a la que era ajena en un fichero de solvencia patrimonial y afirma que “conservó” a disposición de la AEPD la documentación acreditativa a la que se refiere el artículo 38.3. RLOPD, por lo que estima que obró con la diligencia debida.
De la anterior consideración concluye que no interviene falta u omisión de la diligencia debida por parte de XFERA.
3.- Respecto a la comunicación de los datos de la denunciante al fichero de solvencia patrimonial, niega la comisión de una infracción del artículo 4.3 LOPD toda vez que, dice, la inclusión se efectuó conforme a lo exigido en la legislación vigente, artículo 29 de la LOPD y 37 y siguientes del RLOPD.
La recurrente hace las siguientes afirmaciones: a) “…nos encontramos ante datos de carácter personal relativos al incumplimiento de obligaciones dinerarias (…) que es determinante para enjuiciar la solvencia económica de la Denunciante”. b) “Nos encontramos con la existencia previa de una deuda cierta, vencida, exigible que ha resultado impagada…”.c) “Sí se realizó requerimiento previo de pago a quien correspondía el cumplimiento de la obligación, ..a la Denunciante”.
4.- Respecto a las circunstancias atenuantes que a su juicio debieron de ser aplicadas:
Muestra su rechazo a las conclusiones que respecto a las circunstancias modificativas de la responsabilidad se apreciaron en la resolución impugnada e invoca la aplicación del principio de proporcionalidad (artículo 29 LPACAP).
Del tenor de su escrito se concluye que solicita la aplicación en calidad de atenuantes de estos factores descritos en la LOPD, artículo 45.4:
-Apartado b), pues, dice, los datos tratados han sido mínimos, únicamente los datos de la denunciante.
- Apartado c) Rechaza la interpretación hecha en la resolución de esta circunstancia
-Apartado d) Rechaza que la AEPD dé por sentado esa circunstancia y considere que es un hecho notorio.
- Apartado e) No sólo no ha obtenido beneficios, sino que ha sido una de las perjudicadas por los hechos acaecidos.
-Apartado f) Ni existe intencionalidad de la entidad ni ha obrado con falta de diligencia.
-Apartado h) Los perjuicios causados han sido nulos y no están acreditados.
-Apartado i) Insiste en que tiene implantados procedimientos efectivos y suficientes en la recogida y tratamiento de los datos personales antes de que se produjeran los hechos constitutivos de la infracción.
FUNDAMENTOS DE DERECHO
I
Es competente para resolver el presente recurso la Directora de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 123 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en lo sucesivo LPACAP).
II
El primero de los alegatos de la recurrente versa sobre la infracción del principio del consentimiento, artículo 6.1 LOPD. La argumentación de la entidad se centra en considerar que obró diligentemente en la validación de la identidad de la persona que contrató con ella por internet y que facilitó como propios los datos personales de la denunciante y que si no ha podido aportar la documentación que acredite tal extremo es debido a que la instructora del expediente le denegó la práctica de las pruebas propuestas: que recabara de las entidades 20.20 MOBILE ESPAÑA, S.A.U. y ASM (actualmente, Brighstar 2020 España, S.A. y General Logistics Systems Spain, S.A., respectivamente) los documentos que demostraban que se verificó la identidad de la persona receptora del envío y que ésta era la misma persona que figuraba como titular de la línea dada de alta.
Por lo que atañe a la denegación de la prueba propuesta por la recurrente nos remitimos a lo manifestado por esta Agencia en la resolución impugnada.
Sobre la cuestión de fondo planteada, basta indicar que la documentación que obra en el expediente y los fundamentos jurídicos de la resolución desacreditan por completo la argumentación que la recurrente esgrime.
Como se recoge en la resolución, incumbe a la entidad que trata los datos la carga de acreditar que la persona que facilita los datos personales es quien dice ser y la carga de conservar esos documentos a disposición de la AEPD. En el presente caso, la contratación de la línea telefónica vinculada a los datos personales de la denunciante (recordemos, el nombre, dos apellidos y NIF, no así el domicilio) se efectuó a través de internet.
XFERA declaró sobre este particular que, según el protocolo que tenía
implementado, la identidad de la persona que celebraba un contrato a través de internet se validaba en el momento en el que se realizaba la entrega del pedido, mediante la firma xxx xxxxxxx previa exhibición de su DNI.
En la descripción que en el curso de las actuaciones previas hizo la entidad del procedimiento implantado para la contratación por internet cuando acontecieron los hechos, indicó (ver en tal sentido el Hecho probado noveno, último punto, folios 44 y
45 del expediente administrativo): “Una vez recibido el email de confirmación “se contacta con el cliente por teléfono para establecer la cita de entrega del pedido”. “La entrega del pedido se realiza por la entidad Correos y Telégrafos o por SEUR, que solicita la firma xxx xxxxxxx de entrega previa exhibición del DNI del denunciante o documento equivalente”. (El subrayado es de la AEPD)
Posteriormente, en el escrito de alegaciones al acuerdo de inicio, XFERA manifestó que la entrega del pedido “fue gestionada por cuenta de YOIGO, por el operador logístico 20.20 MOBILE (ESPAÑA), S.A.U., quien antes de realizar la entrega de la tarjeta SIM asociada a la numeración ***TELEFONO.1 procedió a identificar a la persona contratante titular de dicha línea.” Añadió que la “entrega de la tarjeta SIM” se realizó por la empresa de mensajería ASM el 25/09/2012, en la dirección que la persona contratante facilitó a YOIGO y que los documentos que acreditan que validó la identidad del contratante obran en poder del operador logístico 20.20 MOBILE (ESPAÑA), S.A.U. y de la empresa de mensajería ASM.
A ese respecto indicó que 20.20 MOBILE (ESPAÑA), S.A.U., había asumido contractualmente la obligación de comprobar que la receptora era la misma persona que figuraba como titular de la línea.
Ahora bien, como se detalla en la resolución impugnada, a tenor del contrato que XFERA suscribió en 2009 con los operadores logísticos (cláusula 3.4.5.) “…el operador logístico deberá conservar y archivar todos los albaranes de entrega, de modo que sea posible acreditar la efectiva entrega del pedido; que YOIGO (XFERA) podrá revisar los albaranes debiendo abonar 3 euros por cada albarán revisado cuando el número solicitado supere el 1% de los generados diariamente y que el operador logístico mantendrá almacenados y a disposición de YOIGO los albaranes por un periodo de cinco años.” (El subrayado es de la AEPD)
Resulta por ello, que en la fecha en la que la denuncia entró en la AEPD, el 03/11/2017, ya habían transcurrido cinco años desde la entrega del pedido (el 25/09/2012) en nombre de XFERA a la persona que se identificó con los datos personales de la afectada. Y que, conforme a las estipulaciones contractuales, el operador logístico únicamente estaba obligado a “mantener almacenados y a disposición” de la entidad los albaranes durante un periodo de cinco años.
Recordemos, por otra parte, que XFERA estuvo tratando los datos personales de la afectada sin legitimación para ello hasta, al menos, el 22/10/2017, fecha en la que canceló la incidencia del fichero BADEXCUG, y que en esa fecha ya había transcurrido el periodo de los cinco años acordado con el operador logístico para la conservación de los albaranes de entrega.
Se concluye, por tanto, que XFERA no tenía en su poder la documentación
necesaria para acreditar su legitimación para el tratamiento de datos personales realizado y que cuando el escrito de denuncia entró en esta Agencia no tenía ya opción a solicitar esos documentos al operador logístico con el que había contratado, pues se había cumplido el plazo máximo estipulado en el contrato durante el que estaba obligado a conservar la referida documentación. Obviamente, cuando XFERA propuso como prueba que la AEPD requiriese tal documentación a la empresa con la que contrató, el plazo mencionado se había cumplido con creces.
En definitiva, como sostiene la resolución, y en contra de lo afirmado por la recurrente, no se ha aportado en el curso del procedimiento administrativo ningún documento que pruebe que XFERA, con ocasión de la contratación a nombre de la denunciante, desplegó la diligencia mínima exigible para verificar la identidad de la persona que facilitó como suyos los datos personales de la afectada.
En sus alegaciones segunda y tercera la recurrente afirma que “conservó” a disposición de la AEPD la documentación a la que se refiere el artículo 38.3. RLOPD; que la inclusión de los datos personales de la denunciante en los ficheros ASNEF y BADEXCUG se efectuó conforme a lo exigido en la legislación vigente, artículo 29 de la LOPD y 37 y siguientes del RLOPD, y niega haber infringido el artículo 4.3 LOPD.
Sin embargo, estas afirmaciones quedan desvirtuadas por la documentación que obra en el expediente. En tanto XFERA no ha acreditado que la afectada y denunciante hubiera otorgado el consentimiento a la contratación de un servicio móvil ni que hubiera actuado diligentemente en la contratación, verificando la identidad de la contratante, no cabe afirmar que la deuda generada por dicho servicio fuera “cierta, vencida y exigible” en relación a la persona de la denunciante. Ni se cumple por tanto el primer requisito del artículo 38.1 RLOPD, el apartado a), ni es cierto que como sostiene la recurrente haya “conservado” a disposición de la Agencia la documentación a la que se refiere el artículo 38.3 RLOPD.
Pese a lo afirmado por la recurrente no nos encontramos ante una deuda cierta, vencida y exigible. No se discute, ni es ese el objeto del expediente sancionador, si XFERA prestó efectivamente un servicio -el que se asoció a los datos personales de la afectada sin legitimación para ello- ni tampoco que se generase una deuda derivada de aquél. El artículo 38.1.a) del RLOPD se refiere a una deuda cierta, vencida y exigible desde la perspectiva del titular de los datos que son objeto de comunicación al fichero de solvencia y, evidentemente, en el supuesto que nos ocupa, tal requisito no se cumplió.
Menos aceptable es aún la afirmación de la recurrente cuando en su escrito de recurso llega a declarar que requirió el pago a la afectada con carácter previo a la inclusión de sus datos personales en los ficheros de solvencia ASNEF y BADEXCUG, cuando ni siquiera el domicilio de la afectada constaba en los registros de la entidad, pues el que aparecía incluido no era de la afectada sino el de una tercera persona, tan distinto que ni siquiera coincidía la Comunidad Autónoma.
La última alegación de la recurrente se refiere a la indebida aplicación del principio de proporcionalidad por una, a su juicio, incorrecta valoración de las circunstancias atenuantes que debían haberse apreciado.
Antes de entrar en el análisis de esta cuestión parece conveniente recordar, como exponente del respeto de la resolución impugnada al principio de proporcionalidad, que en ella se estimó y aplicó el artículo 45.5.b) LOPD, lo que determinó que la sanción se impusiera, para ambas infracciones, de acuerdo con la escala de las infracciones leves. Ahora bien, no puede obviarse que la entidad infractora mantuvo en sus ficheros y trató los datos personales de la afectada sin legitimación para ello durante más de cinco años y que sus datos permanecieron incluidos en los ficheros de solvencia patrimonial ASNEF y BADEXCUG sin cumplir los requisitos del artículo 38.1 del RLOPD durante más de cuatro años.
En respuesta a las consideraciones de la recurrente respecto a las circunstancias modificativas de la responsabilidad descritas en los apartados b), e), f),
h) e i) del artículo 45.4 LOPD nos remitimos al Fundamento de Derecho V, punto B) de la resolución impugnada.
A propósito de las circunstancias descritas en los apartados c) y d) del artículo
45.4 LOPD -circunstancias que la resolución recurrida valoró como agravantes- señalar lo siguiente:
XFERA muestra su desacuerdo con la interpretación que la AEPD hace del apartado c) del artículo 45.4 LOPD –“La vinculación de la actividad del infractor con el tratamiento de datos de carácter personal”-. Sin embargo, esta interpretación es literal y no cabe duda de que la contratación de un servicio telefónico, en la actualidad, sea fijo o móvil, ya sea de prepago o de contrato, requiere que se traten datos personales por la operadora que interviene en la contratación.
A propósito del apartado d) del artículo 45.4 LOPD, sostiene la recurrente que la Agencia da por sentado esta circunstancia por considerarlo un hecho notorio. Sin embargo, la resolución impugnada, además de señalar que XFERA es una gran empresa del sector de telecomunicaciones con implantación en todo el territorio nacional y que respecto a esta cuestión estamos ante un “hecho notorio” añadió: “En este sentido ya en el año 2014 la cifra de negocio de la operadora superaba los cien millones de euros por lo que formaba parte del grupo de 14 operadoras nacionales designadas por la CNMC para participar en la financiación del servicio universal de telecomunicaciones.”
III
Muchas de las cuestiones que ahora invoca la recurrente fueron analizadas y desestimadas en la resolución recurrida, Fundamentos de Derecho II a V, ambos inclusive. Habida cuenta de lo anterior y de que la recurrente reitera los argumentos expuestos en el curso del expediente se transcriben los Fundamentos jurídicos precitados:
<<II
Los principios generales de protección de datos regulados en los artículos 4 a 12 de la LOPD, que integran el Título II de la citada Ley Orgánica, constituyen el contenido esencial de este derecho fundamental.
El artículo 6 LOPD bajo la rúbrica “Consentimiento del afectado” establece:
“1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.
2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de la Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; (…).
El artículo 6 de la LOPD consagra el principio del consentimiento o autodeterminación, piedra angular en la construcción del derecho fundamental a la protección de datos. Conforme al citado precepto el tratamiento de datos sin contar con el consentimiento de su titular o sin otra habilitación amparada en la Ley constituye una vulneración de este derecho, pues sólo el consentimiento, con las excepciones contempladas en la ley, legitima el tratamiento de los datos personales.
El Tribunal Constitucional, en su Sentencia 292/2000, de 30 de noviembre (Fundamento Jurídico 7), se refiere al contenido esencial de este derecho y expone que “consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. (…)”
El artículo 4 de la LOPD se ocupa de la “Calidad de los datos” y establece en el apartado 3:
“Los datos de carácter personal serán exactos y puestos al día de forma que responsan con veracidad a la situación actual del afectado”.
El artículo 29 de la Ley Orgánica 15/1999 señala en sus apartados 2 y 4: “Podrán tratarse también datos de carácter personal relativos al cumplimiento o
incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos en la presente Ley”.
“Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquellos”.
El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la LOPD se ocupa (capítulo I del Título IV) de los “Ficheros de información sobre solvencia patrimonial y crédito” y dispone en el artículo 38, bajo la rúbrica “Requisitos para la inclusión de los datos”:
“1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos: a) Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada (….)
.
El artículo 38 apartado 3 añade que “El acreedor o quien actúe por su cuenta o interés estará obligado a conservar a disposición del responsable del fichero común y de la Agencia Española de Protección de Datos documentación suficiente que acredite el cumplimiento de los requisitos establecidos en este artículo y del requerimiento previo al que se refiere el artículo siguiente”.
La vulneración de los artículos 6.1 y 4.3 de la LOPD se tipifica como infracción grave en el artículo 44.3., apartados b) y c), respectivamente. Precepto que dispone:
44.3. Son infracciones graves: (…)
b) Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo.
c) Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave”.
III
Se atribuye a XFERA MÓVILES en el presente expediente sancionador la comisión de dos infracciones de la LOPD, artículos 6.1 y 4.3, concretadas en el tratamiento de los datos personales de la denunciante sin su consentimiento -pues dio de alta a su nombre un servicio de telefonía móvil que la afectada niega haber contratado- y en la posterior inclusión de sus datos en los ficheros de solvencia patrimonial ASNEF y BADEXCUG asociados a una deuda a la que ella era ajena.
Por lo que concierne a la infracción del artículo 6.1 de la LOPD se hacen estas consideraciones.
A. A tenor del artículo 6 LOPD el tratamiento de datos personales exige recabar el consentimiento de su titular; consentimiento que la ley obliga a que sea “inequívoco”, esto es, que no admita duda o equivocación.
El principio del consentimiento o autodeterminación recogido en el artículo 6 LOPD es la piedra angular en la construcción del derecho fundamental a la protección de datos. A través del consentimiento prestado al tratamiento de sus datos personales el titular ejerce de forma efectiva el poder de control y de disposición sobre ellos. En esa línea el Tribunal Constitucional, en su STC 292/2000, de 30 de noviembre (Fundamento Jurídico 7), señala que “(…)Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el
estado o un particular (…)” (El subrayado es de la AEPD)
La LOPD exige que el titular de los datos sea quien otorgue el consentimiento inequívoco al tratamiento, pues a él, y no a un tercero, le corresponde el poder de disposición sobre ellos. Con toda claridad el artículo 3.h) de la LOPD, al definir el consentimiento, se refiere a la manifestación de voluntad que el interesado hace respecto a los “datos que le conciernan”.
El tratamiento de los datos personales sin el consentimiento de su titular, o sin otra habilitación amparada en la Ley, constituye una vulneración de este derecho. Sólo el consentimiento, con las excepciones contempladas en la ley, legitima el tratamiento de los datos personales. El apartado 2 del artículo 6 LOPD dispensa de la necesidad de recabar el consentimiento del afectado cuando el tratamiento se refiera a las partes de un contrato o precontrato y sea necesario para su mantenimiento o cumplimiento. Esto, porque el consentimiento para tratar los datos personales está implícito en el consentimiento otorgado a la contratación, pero, únicamente, en la medida en que el referido tratamiento sea el preciso para la ejecución del contrato y si quien facilita los datos personales con ocasión de la contratación ha sido efectivamente su titular.
B. El objeto de la denuncia que nos ocupa es, entre otros, el tratamiento de los datos personales de la denunciante efectuado por XFERA sin su consentimiento; tratamiento que consistió en incorporarlos a sus ficheros asociados a la contratación de una línea de telefonía móvil ***TELEFONO.1 con fecha de alta 19/09/2012.
Tratamiento que está debidamente acreditado en el expediente habida cuenta de que la documentación que lo integra demuestra que los datos de la denunciante, nombre, dos apellidos y NIF (no así su dirección postal) se incorporaron a los registros informáticos de XFERA MÓVILES vinculados a la contratación de la línea de móvil
***TELEFONO.1. El domicilio postal que se atribuye a la denunciante no es el suyo, que está ubicado en la provincia de ***LOCALIDAD.1, sino otro radicado en
***LOCALIDAD.2 (hecho probado primero).
Nos remitimos en ese sentido a los hechos probados segundo y quinto y a los folios 41 y 42 que son capturas de pantalla de los registros de la operadora con los datos de la afectada. Es también exponente del tratamiento de datos objeto de la denuncia la emisión de varias facturas a nombre de la denunciante por la contratación a su nombre del servicio vinculado a la línea controvertida. Obran en el expediente cuatro facturas -emitidas el 01/10/2012 por 10 euros; el 01/11/2012 por 20,89 euros; el 01/12/2012 por 20,89 euros y el 01/02/2013 por importe de 238,01 euros- a nombre de la denunciante en las que consta su NIF, nombre y apellidos.
La denunciante ha negado la contratación de cualquier servicio con la operadora denunciada. Ha expresado su negativa en el escrito de denuncia que presentó ante la AEPD -en la que declaró que nunca había sido cliente de XXXXX-; en la denuncia que presentó el 18/10/2017, por un presunto delito de estafa, ante los Juzgados de Instrucción de ***LOCALIDAD.1 y en la reclamación que formuló ante la operadora, de la que existe constancia documental, pues XFERA MÓVILES facilitó a la Agencia con su respuesta al requerimiento informativo de la Inspección impresiones de pantalla de sus sistemas informáticos en las que se alude a las reclamaciones que la
denunciante efectuó ante la entidad. Existe una nota con la reclamación de fecha 17/10/2017 y la indicación de que la denunciante reclama por suplantación de identidad respecto a los datos de DNI, nombre y dos apellidos y que no reconoce como suya la línea por la que le reclaman cinco facturas pendientes con un importe de 310,68 euros (folio 44)
XFERA MÓVILES, por su parte, manifestó en la respuesta al requerimiento informativo de la Inspección que la denunciante contrató con ella a través de la página web la línea de telefonía móvil.
Con el propósito de que la denunciada pudiera demostrar que recabó y obtuvo el consentimiento de la denunciante para el tratamiento de sus datos, en definitiva, que consintió la contratación de la línea controvertida, se le requirió por la Inspección de Datos, en el curso de las actuaciones de investigación previa, para que “si la contratación se había realizado por internet” aportase información del “procedimiento implementado para validar la identidad del contratante”, la “documentación que permitiera acreditar el consentimiento prestado en la contratación” y la que acreditara la “validación realizada sobre la identidad del contratante” (folio 32)
Sin embargo, XXXXX MÓVILES no ha aportado ningún documento, en ningún soporte, del que se infiera que recabó y obtuvo el consentimiento de la denunciante a la contratación del servicio que dio de alta a su nombre. Ni tampoco documento alguno del que se pueda concluir que obró, en el presente caso, con la diligencia mínima exigible a fin de identificar a la persona que facilitó como suyos los datos personales que han sido objeto de tratamiento.
La Audiencia Nacional viene considerando que cuando el titular de los datos niega la contratación corresponde la carga de la prueba a quien afirma su existencia. Reiteradamente ha manifestado que el responsable del tratamiento de datos de terceros debe recabar y conservar la documentación necesaria para acreditar el consentimiento del titular. Citamos, por todas, la SAN de 31/05/2006 (Rec. 539/2004) que en su Fundamento de Derecho Cuarto dice:
“Por otra parte es al responsable del tratamiento (por todas, sentencia de esta Sala de 25 de octubre de 2002 Rec. 185/2001) a quien corresponde asegurarse de que aquel a quien se solicita el consentimiento, efectivamente lo da, y que esa persona que está dando el consentimiento es efectivamente el titular de esos datos personales, debiendo conservar la prueba del cumplimiento de la obligación a disposición de la Administración, encargada de velar por el cumplimiento de la Ley” (El subrayado es de la AEPD)
XFERA MÓVILES ha descrito el “procedimiento implantado para la contratación por internet” (Folios 44 y 45). Los trámites que lo integran se detallan en el Hecho Probado noveno de esta resolución, de los que destacamos los siguientes: Se solicitan a través de la página web los datos personales imprescindibles para gestionar el alta; se informa de las condiciones generales de la venta y se solicita expresamente la aceptación para la tramitación del pedido online; se ofrece un resumen del pedido para la confirmación de los datos y se envía al cliente un email de confirmación de compra. Recibido el email de confirmación “se contacta con el cliente por teléfono para establecer la cita de entrega del pedido” y que “La entrega del
pedido …se realiza por la entidad Correos y Telégrafos o por SEUR, que solicita la firma xxx xxxxxxx de entrega previa exhibición del DNI del denunciante o documento equivalente”.
Pues bien, según XFERA MÓVILES, el protocolo implantado para validar la identidad de la persona que celebra un contrato a través de internet tiene lugar en el momento en que se realiza la entrega del pedido.
El contrato suscrito entre XFERA y el operador logístico 20:20 Mobile España,
S.A.U. en 2009, vigente en 2012, cuando tuvo lugar la contratación atribuida a la afectada, dispone en la estipulación 3.4.6 que el operador logístico deberá proceder a la comprobación de la identidad del cliente en el momento de la entrega del pedido solicitando al cliente la exhibición de un documento original acreditativo de la identidad (DNI, Tarjeta de Extranjero o pasaporte) debiendo cancelar la entrega si el documento exhibido hubiera correspondido a una persona distinta de la que realizó el pedido.
Además, la cláusula 3.4.5., del citado contrato, referente a los albaranes de entrega, dice que a la entrega de un pedido el destinatario deberá firmar y fechar los albaranes de transporte; que el operador logístico deberá conservar y archivar todos los albaranes de entrega, de modo que sea posible acreditar la efectiva entrega del pedido; que XXXXX (XFERA) podrá revisar los albaranes debiendo abonar 3 euros por cada albarán revisado cuando el número solicitado supere el 1% de los generados diariamente y que el operador logístico mantendrá almacenados y a disposición de YOIGO los albaranes por un periodo de cinco años.
Sin embargo, XXXXX no ha aportado ninguna prueba de que tal y como afirma hubiera identificado a la persona que contrató el servicio. Ni ha aportado la grabación de la conversación telefónica que según su protocolo precede a la entrega, ni, lo que es fundamental, pues es en ese trámite cuando supuestamente se idéntica al contratante, la copia xxx xxxxxxx de entrega del pedido. Esta entrega debía estar precedida de la verificación de que el receptor y el contratante eran la misma persona, para lo cual debía aquél exhibir el original de DNI o pasaporte.
La actividad probatoria de XXXXX ha consistido únicamente en afirmar que la identificación del contratante se realizó con ocasión de la entrega del pedido que se gestionó por cuenta de YOIGO por el operador logístico, aunque “la entrega de la tarjeta SIM fue realizada por la empresa de mensajería ASM el 25/09/2012, a las 20:50 en la dirección que la persona contratante facilitó a YOIGO”.
La omisión xxx xxxxxxx de entrega se ha justificado por la denunciada señalando que las entidades implicadas se han negado a facilitarlo dado el tiempo transcurrido. Por esa razón ha tratado que fuera esta Agencia quien recabara los documentos. Así, en sus alegaciones al acuerdo de inicio propuso como prueba que la AEPD pidiera a las empresas 20:20 Mobile España, S.A.U., y ASM la documentación acreditativa de haber contrastado la identidad del receptor del envío, en nombre de XFERA MÓVILES, de acuerdo con el contrato de prestación de servicio suscrito con ella.
La solicitud de prueba fue desestimada por ser manifiestamente improcedente. La diligencia que es exigible al responsable del fichero que trata datos personales de terceros en relación con la obligación del artículo 6 LOPD conlleva que obtenga y
conserve los documentos que le permitan acreditar que su actuación fue ajustada a Derecho, sin que pueda eximirle de responsabilidad que ese incumplimiento esté motivado por la actuación xxx xxxxxxx con quien contrató. Menos aun cuando, como aquí acontece, las estipulaciones contractuales permitían a XFERA solicitar los documentos a esas entidades en un plazo de cinco años, plazo que se computa desde la fecha de la entrega del pedido, momento en el que se procedería supuestamente a validar la identidad del destinatario, (el 19/09/2012) y que por tanto, en la fecha en la que la afectada interpuso denuncia (el 03/11/2017) ya había vencido.
Como se indicó en la propuesta de resolución y en el escrito de denegación de prueba, a través de la solicitud de que fuera la AEPD quien recabara de las entidades Mobile 20.20 España, S.A. y ASM la documentación que XFERA MÓVILES no había aportado, pretendía trasladar a esta Agencia la prueba del cumplimiento de sus obligaciones, cuando es esa una carga procesal que sólo a ella le incumbe.
C. A la luz de lo expuesto resulta acreditado, por una parte, que la entidad denunciada estuvo tratando los datos personales de la afectada durante un largo periodo de tiempo -entre el 19/09/2012 y el 22/10/2017-, más de cinco años, y, por otra, no consta que hubiera recabado el consentimiento de la titular para la contratación ni que hubiera desplegado con ocasión de aquélla la diligencia mínima exigible a fin de estar en condiciones de probar la identidad de la persona que los facilitó como suyos. Conducta que resulta contraria al principio del consentimiento recogido en el artículo 6.1 LOPD.
Hemos de precisar que el tratamiento de datos de la afectada por XFERA se inicia en la fecha en que dio de alta a su nombre la línea de telefonía móvil, el 19/09/2012, y que, sin perjuicio de que el contrato se hubiera dado por terminado en 2013, el tratamiento de sus datos continuó en el tiempo, al menos, hasta el 22/10/2017, fecha en la que XFERA MÓVILES cancela del fichero BADEXCUG la incidencia que había comunicado.
La Audiencia Nacional ha manifestado reiteradamente que el responsable del tratamiento de datos personales de terceros debe recabar y conservar la documentación necesaria para acreditar el consentimiento del titular. Puede traerse x xxxxxxxx en tal sentido una antigua SAN, de 11/05/2001, que señalaba: “...quien gestiona la base, debe estar en condiciones de acreditar el consentimiento del afectado, siendo carga de la prueba del mismo su justificación, y la entidad recurrente en ningún momento ha realizado esfuerzo probatorio tendente a la acreditación del consentimiento de las personas en las que se basa la sanción” (El subrayado es de la AEPD).
D. XFERA MÓVILES no ha actuado en el tratamiento de los datos personales de la denunciante con la diligencia que exige el cumplimiento de las obligaciones impuestas por la normativa de protección de datos.
El elemento subjetivo de la culpabilidad es esencial para exigir en el ámbito del Derecho Administrativo Sancionador responsabilidad por el ilícito cometido, pues no cabe en este marco imponer sanciones basadas en la responsabilidad objetiva del presunto infractor. El Tribunal Constitucional en su Sentencia 76/1999 afirma que las sanciones administrativas participan de la misma naturaleza que las penales, al ser
una de las manifestaciones del ius puniendi del Estado y que, como exigencia derivada de los principios de seguridad jurídica y legalidad penal consagrados en los artículos 9.3 y 25.1 de la CE, es imprescindible su presencia para imponerlas.
A la necesidad de que exista responsabilidad, entendida como elemento subjetivo de la infracción, ya sea en forma de culpa –en cualquiera de sus manifestaciones, culpa leve, grave o gravísima- o de dolo se refiere el artículo 28.1 de la Ley 40/2015, de Régimen Jurídico de las Administraciones Públicas señala que “Sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas y jurídicas, así como, cuando una Ley les reconozca capacidad de obrar, los grupos de afectados, las uniones y entidades sin personalidad jurídica y los patrimonios independientes o autónomos, que resulten responsables de los mismos a título de dolo o culpa.”
La doctrina de la Audiencia Nacional sobre esta materia es exigir a aquellas entidades en las que el desarrollo de su actividad conlleva un continuo tratamiento de datos de clientes y terceros que observen un adecuado nivel de diligencia. En la SAN de 17/10/2007 (Rec. 63/2006), la Sala de lo contencioso-administrativo precisó que “….el Tribunal Supremo viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el infractor no se comporta con la diligencia exigible. Y en la valoración del grado de diligencia ha de ponderarse especialmente la profesionalidad o no del sujeto, y no cabe duda de que, en el caso ahora examinado, cuando la actividad de la recurrente es de constante y abundante manejo de datos de carácter personal ha de insistirse en el rigor y el exquisito cuidado por ajustarse a las prevenciones legales al respecto”.
Especialmente significativa es también la SAN de 29/04/2010 que, a propósito de la contratación fraudulenta, indicó en su Fundamento Jurídico sexto: “La cuestión no es dilucidar si la recurrente trató los datos de carácter personal de la denunciante sin su consentimiento, como si empleó o no una diligencia razonable a la hora de tratar de identificar a la persona con la que suscribió el contrato”. (El subrayado es de la AEPD)
Son también dignas de mención las consideraciones que la SAN de 30/05/2015 (Rec. 163/2014) hace en relación con el modo de atribución de la responsabilidad a las personas jurídicas en el marco del procedimiento sancionador (al que expresamente se refiere la Ley 40/2015 en su artículo 28) Esta SAN conecta la reprochabilidad a una persona jurídica de una determinada conducta con el hecho de que aquella hubiera o no dispensado una eficaz protección al bien jurídico protegido por la norma. Y en el presente caso, a la vista de la ausencia total de prueba aportadas por XFERA no queda acreditado que de 30/05/2015 (Rec. 163/2014) con relación al modo de atribución de la responsabilidad a las personas jurídicas hubiera actuado diligentemente en el cumplimiento de la obligación que le impone el artículo
6.1 LOPD.
Así las cosas, la conducta de XFERA MÓVILES, materializada en el tratamiento de los datos personales de la denunciante –NIF, nombre y dos apellidos- unida a la grave falta de diligencia demostrada vulnera el artículo 6 de la LOPD y es subsumible en el tipo infractor del artículo 44.3.b), precepto que dispone:
“Son infracciones graves (…) Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo”.
IV
Se atribuye a XFERA MÓVILES una infracción del artículo 4.3 de la LOPD, en relación con el artículo 29.4, en relación con la cual han de hacerse las siguientes reflexiones:
Las normas jurídicas reproducidas en el Fundamento de Derecho II ponen de manifiesto que la comunicación de los datos de un tercero a un fichero de solvencia patrimonial exige que la deuda sea cierta, vencida, exigible y que haya resultado impagada. Conviene recordar, además, que el acreedor que informa los datos al fichero es el responsable de comprobar que tal inclusión se ajusta a los requisitos establecidos en el artículo 4 de la LOPD y su normativa de desarrollo. En tal sentido ha de traerse x xxxxxxxx la disposición del artículo 43.1 del RLOPD que establece:
“1. El acreedor o quien actúe por su cuenta o interés deberá asegurarse que concurren todos los requisitos exigidos en los artículos 38 y 39 en el momento de notificar los datos adversos al responsable del fichero común.
2. El acreedor o quien actúe por su cuenta o interés será responsable de la inexistencia o inexactitud de los datos que hubiera facilitado para su inclusión en el fichero, en los términos previstos en la Ley Orgánica 15/1999, de 13 de diciembre”. (El subrayado es de la AEPD)
Constituye un hecho probado que XXXXX MÓVILES trató los datos personales de la denunciante (su nombre, apellidos y NIF) asociados a la contratación de un servicio de telefonía móvil con fecha de alta 19/09/2012.
Como se ha expuesto en el Fundamento Jurídico precedente esa entidad no ha podido acreditar que la afectada hubiera otorgado el consentimiento a la contratación de los servicios. No se discute que esos servicios llegaron a prestarse por XFERA MÓVILES y que el impago de su coste generó una deuda que no fue atendida. La cuestión relevante es, sin embargo, otra: en tanto no ha acreditado que la denunciante fuera la persona que contrató el servicio no ha quedado tampoco acreditada su condición de deudora. Así pues, la deuda generada “no es cierta”, ni vencida ni exigible respecto a la persona de la denunciante.
Ante el impago de las facturas XFERA MÓVILES comunicó a los ficheros de solvencia patrimonial ASNEF y BADEXCUG una incidencia asociada al NIF de la afectada por un importe de 310,68 euros.
La deuda asociada a la denunciante se comunicó a ASNEF con fecha de alta 12/03/2013 y se dio de baja el 21/10/2017. XFERA MÓVILES mantuvo incluidos los datos personales de la denunciante durante más de cuatro años y siete meses sin legitimación para ello, toda vez que la deuda comunicada a ese fichero de solvencia no cumplía el requisito del artículo 38.1.a, RLOPD. Lo mismo cabría decir respecto a
la comunicación de los datos de la denunciante al fichero BADEXCUG asociados a una deuda a la que ella era ajena, siendo la fecha de alta de la inclusión el 17/02/2013 y la fecha de baja el 22/10/2017.
En definitiva, los datos personales de la denunciante fueron incluidos por la denunciada en dos ficheros de solvencia patrimonial vinculados a una deuda que no le pertenecía; deuda que no era cierta, ni vencida ni exigible desde la perspectiva de la afectada por cuanto la entidad informante, XFERA MÓVILES, no ha podido acreditar su condición de deudora. Resulta por ello que la información que la entidad comunicó a ASNEF y a BADEXCUG no se ajustó al principio de exactitud y veracidad, corolario del principio de calidad del dato que proclama el artículo 4.3 de la LOPD pues incumplía el requisito del artículo 38.1.a, RLOPD.
Indicar también que el RLOPD refuerza la diligencia que es exigible al acreedor que comunica datos de un tercero a un fichero de solvencia patrimonial en tanto que, en su artículo 43.1, prevé que en el momento de comunicar los datos adversos al fichero de solvencia se asegure de que están presentes todos los requisitos a los que el artículo 38.1 supedita tal comunicación. Y el artículo 38.3 RLOPD le obliga a conservar documentación suficiente para acreditar el cumplimiento de tales requisitos. Consideraciones que evidencian que en el presente caso XFERA MÓVILES omitió la diligencia mínima exigible atendidas las circunstancias que concurren.
La conducta anteriormente descrita, vulnera el principio de calidad del dato consagrado en el artículo 4.3 en relación con el 29.4 de la LOPD y en relación, asimismo, con el artículo 38.1.a) del RLOPD, infracción tipificada en el artículo 44.3.c) de la citada norma.
V
El artículo 45 de la LOPD, apartados 1 a 5, establece:
“1. Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.
3. Las infracciones muy graves serán sancionadas con multa de 300.001 a
600.000 euros.
4. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:
a) El carácter continuado de la infracción.
b) El volumen de los tratamientos efectuados.
c) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
d) El volumen de negocio o actividad del infractor.
e) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
f) El grado de intencionalidad.
g) La reincidencia por comisión de infracciones de la misma naturaleza.
h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.
i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.
j) Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
5. El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos:
a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo.
b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.
d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.
e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.”
La Sentencia de 21/01/2004 de la Audiencia Nacional, en su recurso 1939/2001, señaló que dicho precepto <<…no es sino manifestación del llamado principio de proporcionalidad (artículo 131.1 de la LRJPAC), incluido en el más general de prohibición de exceso, reconocido por la jurisprudencia como principio general del Derecho. Ahora bien, la presente regla debe aplicarse con exquisita ponderación y sólo en los casos en los que la culpabilidad y la antijuridicidad resulten sustancialmente atenuadas, atendidas las circunstancias del caso concreto. Lo cual insistimos puede darse, por excepción, en casos muy extremos (de aquí la expresión “especialmente cualificada”) y concretos.
El artículo 45.5 de la LOPD deriva del principio de proporcionalidad de la sanción y permite establecer su cuantía “aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate". Para ello es necesario que concurra bien una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, o bien alguna otra de las circunstancias que el precepto cita.
A. Al igual que se apreció en el acuerdo de inicio del expediente se estima en esta propuesta de resolución que concurre en el supuesto que nos ocupa, respecto a las dos infracciones de la normativa de protección de datos de las que se responsabiliza a XFERA, la atenuante cualificada del artículo 45.5. b) LOPD: “Cuando la entidad infractora haya regularizado la situación irregular de forma diligente”.
En la documentación aportada por la operadora, procedente de sus registros
informáticos, existe una anotación de fecha 18/10/2017 que versa sobre la reclamación formulada por la denunciante en la que se indica que condona la deuda de 310,68 euros de la línea asociada a ella, ***TELEFONO.1. YOIGO afirma que recibida la denuncia puso fin a la comunicación de datos al fichero de solvencia siendo la última comunicación a ASNEF en relación con la deuda atribuida a la denunciante la de fecha 11/10/2017. Extremo que coincide con la información facilitada por XXXXX, según la cual los datos personales de la denunciante se dieron de baja de ese fichero el 21/10/2017. Respecto a BADEXCUG, la cancelación de la incidencia a nombre de la denunciante se produjo el 22/10/2017 por proceso automático semanal de actualización de datos. La actuación de XFERA MÓVILES regularizando la situación irregular provocada aconteció antes de que se interpusiera denuncia ante esta Agencia, lo que aconteció el 13/04/2018.
El efecto jurídico que deriva de la aplicación del artículo 45.5 LOPD es la imposición de la sanción de acuerdo con la escala prevista para las infracciones que preceden en gravedad a la infracción realmente cometida, por lo que las sanciones que corresponde imponer en el presente caso deberán estar comprendidas dentro de los márgenes que el artículo 45.1 LOPD fija para las infracciones leves: de 900 a
40.000 euros.
La graduación del importe de la sanción, dentro de la escala prevista para las infracciones leves (ex artículo 45.1 LOPD), ha de hacerse con arreglo a las circunstancias descritas en el artículo 45.4 LOPD.
X. XXXXX, tanto en sus alegaciones al acuerdo de inicio como en las alegaciones a la propuesta de resolución ha mostrado su rechazo con la valoración que de esta circunstancias se hizo en el acuerdo de inicio y en la propuesta de resolución a efectos de determinar el importe de la sanción, calificando esa valoración de “gravemente errónea y equivocada”. Así, rechaza que concurran como agravantes las circunstancias descritas en los apartados c) y d) del artículo 45.4 LOPD y solicita que se aprecien como atenuantes las recogidas en los apartados b); e); f); h) e i) del citado precepto.
En relación con el apartado b) - volumen de tratamientos efectuados- que se invoca como atenuante en consideración a que se han visto afectados por la conducta infractora los datos de una única persona, de la denunciante, advertir que, por razones lógicas, esta circunstancia sólo puede operar como agravante y no como atenuante.
La vulneración de la normativa de protección de datos respecto a una única persona es presupuesto indispensable para que la conducta infractora exista. Será a partir de entonces cuando podrá valorarse, atendiendo al volumen de los datos que han sido objeto de tratamiento, si ese volumen es exponente de una mayor antijuridicidad o culpabilidad de la conducta infractora.
Sobre la pretensión de que se estime como atenuante el apartado e), ausencia de beneficios, pues alega que no sólo no ha obtenido beneficios sino que ha resultado perjudicada por la suplantación de identidad, hemos traer x xxxxxxxx la Sentencia de la Audiencia Nacional, Sala de lo Contencioso Administrativo, de 17/04/2018 (Rec. 254/2017) que rechazó la pretensión de la demandante, sancionada por la AEPD, de que se estimara esta circunstancia en calidad de atenuante. La SAN argumenta que “En cuanto a la ausencia de beneficios, no cabe sino reiterar lo argumentado por la
resolución recurrida, respecto a que lo relevante es que la actuación de Abanca sí estuvo motivada por la búsqueda de beneficio económico, por lo que el hecho de que aquél no llegara finalmente a obtenerse no puede servir de fundamento a una atenuación de culpabilidad o antijuridicidad de su conducta”. Este mismo espíritu es el que recoge la SAN de 31/03/2017 (Rec. 845/2015)
Respecto al apartado f) del artículo 45.4 LOPD, “grado de intencionalidad”, hemos de decir que esa circunstancia, pese a su tenor literal, se refiere a la culpabilidad en sentido amplio, comprensiva tanto del dolo, la culpa e incluso la culpa levísima. La SAN de 12/11/2007 (Rec. 351/2006) indicó sobre esta cuestión que “(…) Cuando concurre una falta de diligencia, como aquí acontece, existe culpabilidad y la conducta merece sin duda un reproche sancionador sin que el hecho de que no exista actuación dolosa deba conllevar necesariamente una disminución aún mayor de la sanción cuando ésta ha sido impuesta en su grado mínimo”. Así pues, habiendo quedado acreditada la grava falta de diligencia de XFERA con ocasión de las conductas infractoras de las que es responsable no procede estimar tal circunstancia en calidad de atenuante.
Tampoco procede estimar como atenuantes las circunstancias recogidas en los apartados h) e i) del artículo 45.4 LOPD. Con relación a esta última no hay elementos de juicio para afirmar que el protocolo que la entidad ha declarado tener implementado para la contratación online tuviera virtualidad para cumplir su objetivo. A tenor de esas estipulaciones XFERA MÓVILES no exige que se le remita la documentación acreditativa de la identidad del contratante limitándose el contrato a prever que los documentos (los albaranes) se mantengan en poder del proveedor de servicios contratado durante cinco años y que XFERA podrá si lo desea acceder a ellos. Estipulación que explica que XFERA no tenga en su poder la documentación que acredita el cumplimiento diligente de la normativa de protección de datos más aún cuando en la fecha en la que pidió a la proveedora de servicios que le hiciera entrega de los documentos había vencido el plazo durante el que estaba obligada a conservarla sin que ese extremo hubiera resuelto a XFERA a poner fin al citado tratamiento o a recabar anticipadamente copia de los documentos que tiene la obligación de conservar.
A propósito de la circunstancia del apartado h, del artículo 45.4 LOPD, no puede afirmarse que la afectada no hubiera no haya sufrido perjuicios, lo que es imprescindible si pretendemos estimarla como atenuante. Basta recordar que la denunciante conoció su inclusión en ficheros en 2017 cuando le denegaron una financiación; que ha estado incluida en dos ficheros de morosidad durante más de cuatro años y que como ha señalado la Audiencia Nacional, SAN 16/02/2002, (Rec 1144/1999) “...Ha de decirse que la inclusión equivocada o errónea de una persona en el registro de morosos, es un hecho de gran trascendencia de la que se pueden derivar consecuencias muy negativas para el afectado, en su vida profesional, comercial e incluso personal, que no es necesario detallar. En razón a ello, ha de extremarse la diligencia para que los posibles errores no se produzcan, ...”
En la valoración del importe de las sanciones esta Agencia estima la concurrencia de las siguientes circunstancias agravantes:
-“El carácter continuado de la infracción”, apartado a):
Circunstancia que es de aplicación en aquellos casos en los que la infracción cometida tenga carácter permanente, naturaleza que la Audiencia Nacional atribuye tanto a la infracción del principio de consentimiento como de calidad de los datos. En el supuesto analizado esta agravante tiene una especial cualificación por el prolongado periodo de tiempo durante el que persistieron las conductas infractoras.
En ese sentido el tratamiento de los datos personales de la afectada por YOIGO, sin legitimación para ello, se inició el 25/09/2012, fecha en la que dio de alta a su nombre la línea móvil, y finalizó, como muy pronto, el 22/10/2017 pues hasta esa fecha no se dieron de baja de BADEXCUG los datos de la denunciante asociados a la deuda a la que era ajena. Así pues, el tratamiento de datos por la denunciada vulnerando el principio del consentimiento se mantuvo durante más de cinco años. Por lo que respecta a la infracción del principio de calidad de los datos recordar que XFERA mantuvo incluidos en los ficheros de solvencia ASNEF y BADEXCUG los datos de la denunciante asociados a una deuda que no le pertenecía durante más de cuatro años: desde la fecha de inclusión, el 14/02/2013, hasta al menos el 22/10/2017.
El prolongado periodo de tiempo durante el que YOIGO trató sin legitimación los datos personales de la denunciante y los mantuvo en un fichero de solvencia sin cumplir los requisitos a los que el RLOPD supedita tal inclusión, es la razón por la cual se atribuye a esta circunstancia agravante una especial relevancia y significación en la determinación del importe de la sanción.
- “La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal” (apartado c,) La actividad empresarial desarrollada por la denunciada exige, por su propia naturaleza, un continuo tratamiento de datos de carácter personal de los clientes.
- “El volumen de negocio o actividad del infractor” (apartado d,). XFERA MÓVILES es una gran empresa del sector de telecomunicaciones con implantación en todo el territorio nacional. Sobre tal cuestión basta indicar que estamos ante un “hecho notorio” por lo que no es preciso prueba alguna. En este sentido ya en el año 2014 la cifra de negocio de la operadora superaba los cien millones de euros por lo que formaba parte del grupo de 14 operadoras nacionales designadas por la CNMC para participar en la financiación del servicio universal de telecomunicaciones.
- “La reincidencia por comisión de infracciones de la misma naturaleza” (apartado g): Precepto que ha de integrarse con la norma del artículo 29.3. d) de la Ley 40/2015, de Régimen Jurídico del Sector Público, que al referirse a la aplicación del principio de proporcionalidad advierte que se deberán tomar en consideración, entre otros criterios, “La reincidencia, por comisión en el término de un año de más de una infracción de la misma naturaleza cuando así haya sido declarado por resolución firme en vía administrativa”.
Sobre este particular podemos recordar que YOIGO ha sido sancionada por la AEPD en diversas ocasiones. Así, por infracción del artículo 6.1 LOPD en los expedientes sancionadores PS/0005/2017 (resolución de fecha 14/07/2017) y PS/318/2017 (resolución de fecha 16/01/2018). Por vulneración del artículo 4.3 LOPD en los procedimientos PS/400/2016 (resolución de fecha 26/01/2017), PS/0097/2017 (resolución firmada el 11/09/2017) y PS/318/2017 (resolución de fecha 16/01/2018).
>>
En consecuencia, en el presente recurso de reposición, el recurrente no ha aportado nuevos hechos o argumentos jurídicos que permitan reconsiderar la validez de la resolución impugnada.
Vistos los preceptos citados y demás de general aplicación,
la Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: DESESTIMAR el recurso de reposición interpuesto por XFERA MÓVILES, S.A. (YOIGO) contra la Resolución de esta Agencia Española de Protección de Datos dictada con fecha 11 de octubre de 2018, en el procedimiento sancionador PS/00135/2018.
SEGUNDO: NOTIFICAR la presente resolución a la entidad XFERA MÓVILES, S.A.,
con NIF, A 82528548.
TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva una vez sea ejecutiva la presente resolución, de conformidad con lo dispuesto en el artículo 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº ES00 0000 0000 0000 0000 0000, abierta a nombre de la Agencia Española de Protección de Datos en el Banco CAIXABANK, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del reglamento de desarrollo de la LOPD aprobado por el Real Decreto 1720/2007, de 21 diciembre.
Contra esta resolución, que pone fin a la vía administrativa, se podrá interponer en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto según lo previsto en el artículo 46.1 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo
dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta del referido texto legal.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [xxxxx://xxxxxxxx.xxx.xx/xxxx-xxxxxxxxxxx- web/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada LPACAP. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.
Mar España Xxxxx
Directora de la Agencia Española de Protección de Datos