HECHOS
Procedimiento nº.: PS/00034/2012
ASUNTO: Recurso de Reposición Nº RR/00649/2012
Examinado el recurso de reposición interpuesto por la entidad A.A.A.. contra la resolución dictada por el Director de la Agencia Española de Protección de Datos en el procedimiento sancionador, PS/00034/2012, y en base a los siguientes,
HECHOS
PRIMERO: Con fecha 13 de julio de 2012, se dictó resolución por el Director de la Agencia Española de Protección de Datos en el procedimiento sancionador, PS/00034/2012 , en virtud de la cual se imponía a la entidad A.A.A.., una sanción de
30.000 €, por la vulneración de lo dispuesto en el artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), infracción tipificada como grave en el artículo 44.3.b) de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.
Dicha resolución, que fue notificada al recurrente en fecha 17/07/2012, fue dictada previa la tramitación del correspondiente procedimiento sancionador, de conformidad con lo dispuesto en el artículo 127 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD.
SEGUNDO: Como hechos probados del citado procedimiento sancionador, PS/00034/2012, quedó constancia de los siguientes:
<<PRIMERO: Con fecha 04/02/2011 tiene entrada en la Agencia Española de Protección de Datos un escrito remitido por el denunciante en el que manifiesta que recibió de FRANCE TELECOM un contrato de la línea H.H.H. y un terminal asociado sin haberlo contratado. Además le reclaman por el impago de dos facturas (folio 1)
SEGUNDO: Consta en el expediente copia del cliente de un contrato clientes particulares telefonía móvil de FRANCE TELECOM correspondiente a la línea H.H.H. en el que constan los datos personales (nombre y apellidos, DNI y xxxxxxxxx) del denunciante. El contrato incluye la adquisición a precio promocional de un terminal. El contrato, junto con el terminal, fue recibido en su domicilio por el denunciante que no lo firmó (folios 2-3)
TERCERO: En los sistemas de FRANCE TELECOM consta los datos personales del denunciante como titular de la línea H.H.H. con fecha de activación 20/04/2008 y cancelación 10/12/2010 (folios 59-60)
CUARTO: FRANCE TELECOM no ha aportado prueba acreditativa de la contratación por el denunciante de la línea H.H.H. (folios 17-42, 59-82)
QUINTO: FRANCE TELECOM emitió al denunciante las siguientes facturas de la línea
H.H.H.:
- Factura de fecha 21/11/2010: 49,97 €, no pagada y anulada el 23/05/2011 .
- Factura de fecha 21/12/2010: 46,76 €, no pagada.y anulada el 23/05/2011 (folios 4, 62, 65)
SEXTO: En los sistemas de FRANCE TELECOM se recogen comunicaciones y contactos que han existido entre con el denunciante con la siguiente información:
“El Día 25/10/2010 contacta cliente con el servicio de atención al cliente, se deja constancia de: "RENOVÉ POS H.H.H. INFO CL Q SE COMUINIQUE AL 470 PARA REALIZAR EL CAMBIO DE TITURALIDAD. ESTADO PEDIDO 7491370 EN PLATAFORMA, INFO QUE SE COMIUNIQUE PARA REALIZAR UN NUEVO PEDIDO CUANDO EL PEDIDO SE ENCUENTRE EN LOS ALMACENES."
El Dia 25/10/2010 contacta cliente con el servicio de atención al cliente, se deja constancia de: "TELEVENTA H.H.H. CL NOS INFORMA QUE NO HA REBIDO EL MÓVIL VERIFICO QUE EL PEDIDO ESTA A NOMBRE DEL CL C.C.C.
***NÚMERO.1 C.C.C. C.C.C., TAL FIGURA EN BSCS Y EN SIEBLE LO QUE COMPRUEBA QUE EL CL QUE LLAMA NO ES EL TITULAR LO QUE LEINFO AL CL QUE SI QUIERE PUEDE LLAMAR AL 470 SOLICITANDO LA MODIFICACIÓN DE LOS DATOS PERSONALES EN TODOS NUESTRIS SISTEMAS PARA QUE PUEDA GESTIONAR EL CAMBIO DE TITULARIDAD Y PUEDA DAR USO A LA LINEA,"
El Día 03/11/2010 contacta cliente con el servicio de atención al cliente para saber cuando le recogerán el terminal que le enviaron.
El Dia 05/11/2010 contacta cliente con el servicio de atención al cliente, se deja constancia de: "***NÚMERO.1 \\ EL TT \\ H.H.H. \\ INDICA QUE LOS DATOS PERSONALES ESTÃN ERRÓNEOS REMITO AL 470."
El dia 01/12/2010 contacta cliente con el servicio de atención al cliente y se deja constancia de: "eshop y******* cliente solicita cancelar el pedido porque persiste el problema de tarjeta de residencia con otro nombre en sistemas y 470 no lo ha podido resolver, según lo manifiesta el mismo"
El día 01/12/2010 se gestiona la incidencia ***INCIDENCIA.1 en la que se solicita que se corrijan los datos.
El dia 04/12/2010 contacta cliente con el servicio de atención al cliente, se deja constancia de: "***NÚMERO.1: INFO: FACTURA IMPAGADA"
El dia 12/01/2011 contacta distribuidor con el servicio de atención al cliente en nombre de C.C.C. y las gestiones que se realizaron fueron: "ATAC VALOR 12/01/11, MOBATISA
DTB INTENTA TRAMITAR ALTA A UN CLIENTE QUE INDICA QUE NO DISPONE DE LINEAS EN ORANGE, PERO ARPA LO RECONOCE COMO CLIENTE. COMPRUEBO EN BSCS QUE CONSTA UNA LINEA ASOCIADA A ESTE NIE A NOMBRE DE OTRA PERSONA: ***NÚMERO.1 B.B.B.. H.H.H. CON HOTLINE COBROS ACTIVO DESDE EL 07/12/10. ASOCIADA A SFID
******* "RETENCIÓN MIGRACIONES DE PREPAGO" TELEVENTA OPERACIONES.
EN BIBLIOTECA GED NO CONSTA DOCUM PARA LA LINEA H.H.H. NI PARA LA
T. RESIDENCIA D.D.D.
COMPRUEBO QUE EN LA LIBRETA DE ANOTACIONES EN BSCS, CONSTA MODIFICACIÓN REALIZADA EL 08/11/10:
ID-Document no: E.E.E. -> D.D.D.
Contract responsible: X -> Y
SOLICITO COPIA NIE. DEJO PDTE DE RECIBIR.
DTB INDICA QUE EL CLIENTE NO QUIERE CONTINUAR CON LA GESTIÓN. CANCELO PETICIÓN DE DOCUM.
DATOS DTB:
SFID: ***SFID.1 PC: M.M.M.
TC: F.F.F.
CLTE QUE RECLAMA:
CLTE: C.C.C.
NIE: D.D.D.
CLTE EN BSCS:
TFNO: H.H.H.
NOMBRE: B.B.B. »
El dia 04/04/2011 se envía el siguiente mensaje al cliente: "Orange Informa: El plazo para abonar su factura se agota. Para no perder la numeración + Penalización + medidas de recobro contacte urgentemente con 900******"
El dia 04/05/2011 contacta cliente con atención al cliente y se indica que el cliente no esta de acuerdo con cobro de facturas de la linea no la reconoce se abre incidencia n°
***INCIDENCIA.1 en la que se efectúa la siguiente gestión:
"CLIENTE. C.C.C.
DNI. D.D.D.
C.C. D.D.D.
FAVOR VERIFICAR CONTRATACIÓN DE LA LINEA H.H.H. YA QUE EL CLIENTE NO RECONOCE ACTIVACIÓN SE VERIFICA EN GED Y NO HAY CONTRATO A NOMBRE DE EL NI DE NADIE,
EN INCIDENCIAS ANTERIORES DICEN QUE ES ERROR EN DATOS PERO NO LOS VOLCAN CORRECTAMENTE FAVOR DAR DE BAJA ESTA LINEA EN EL CONTRATO DE C.C.C. PORQUE NO ES TT Y TODOS LOS DATOS QUE ESTÃN EN EL CONTRATO POSPAGO ESTÃN ASOCIADOS A AL SUPUESTO TT. GRACIAS"
"BO COBROS R5 PERSONAL:
CLIENTE NO RECONOCE LA LINEA H.H.H. , ENVIÓ A GF CORRESPONDIENTE."
"NO PROCEDE RECLAMACIÓN POR FRAUDE. EXISTE ERROR DE VOLCADO DE DATOS. NO COINCIDE EL N° DE TJ DE RESIDENCIA PERO EN BSCS LA LINEA CONSTA A NOMBRE DEL TIT. CORRECTO B.B.B.. EL CUAL RECLAMA QUE INCIDENCIAS ANTERIORES QUE NO LE HA LLEGADO EL TERMINAL, QUE CONSTA ENTREGADO A OTRA PERSONA Y CON RECOGIDA POSTERIOR."
El dia 09/05/2011 se abre incidencia n° ***INCIDENCIA.2 para la corrección de los datos personales, pero se indica que lo ha de gestionar unidad de negocio y se cierra la incidencia.
El día 23/05/2011 contacta cliente con el servicio de atención al cliente y se le informa que ya no consta deuda a su nombre.”>>
TERCERO: A.A.A.. ha presentado en fecha 17/08/2012 en el servicio de correos, fecha de entrada 22/08/2012 en esta Agencia Española de Protección de Datos, recurso de reposición fundamentándolo, básicamente, en HUECO
FUNDAMENTOS DE DERECHO
I
Es competente para resolver el presente recurso el Director de la Agencia
Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (en lo sucesivo LRJPAC).
II
En relación con las manifestaciones efectuadas por A.A.A.., reiterándose básicamente, en las alegaciones ya presentadas a lo largo del procedimiento sancionador, debe señalarse que todas ellas ya fueron analizadas y desestimadas en los Fundamentos de Derecho del II al X, ambos inclusive, de la Resolución recurrida, tal como se transcribe a continuación:
<<II
Como cuestión previa debe resolverse la alegación formulada por FRANCE TELECOM en el sentido de considerar prescrita la infracción que se le imputa, para lo cual habrá que estar a lo dispuesto en el artículo 47 de la LOPD, que establece, en sus apartados 1, 2 y 3, lo siguiente:
“1. Las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves al año.
2. El plazo de prescripción comenzará a contarse desde el día en que la infracción se hubiera cometido.
3. Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reanudándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis meses por causas no imputables al presunto infractor”.
Alega FRANCE TELECOM que la infracción se cometió el 20/04/2008, fecha en que causaron alta en sus sistemas los datos del denunciante, fecha a partir de la cual operaría el plazo de prescripción de la infracción consistente en el tratamiento sin consentimiento de los datos del denunciante. Apoya este argumento en sentencias dictadas por la Audiencia Nacional en casos en los que se imputaban infracciones distintas (deber de información, vulneración del deber xx xxxxxxx) a la del presente caso (tratamiento sin consentimiento) Yerra en su razonamiento la operadora por cuanto el tratamiento sin consentimiento al mantener en sus sistemas dichos datos y girarle facturas en relación con un servicio (línea H.H.H.) que la operadora no ha acreditado su contratación, y en consecuencia no estaba habilitada para el tratamiento de datos a ese fin, se efectuó hasta al menos el 21/12/2010 en que se emitió factura de dicha línea que había sido cancelada el 10/12/2010. Habida cuenta que el acuerdo de inicio del procedimiento sancionador fue notificado el 30/01/2012 no se ha producido la prescripción de la infracción al no superar el plazo establecido en el citado artículo 47.1 de la LOPD. En este sentido cace traer al caso la sentencia de la Audiencia Nacional de fecha 20/10/2011 que desestima el Recurso 134/2010 interpuesto por FRANCE TELECOM y que señala: “En cuanto a la prescripción de la infracción del principio del consentimiento (respecto a la que se plantea la prescripción), se sustenta en el transcurso del plazo de más de dos años, asignado por el artículo 47 LOPD para la prescripción de las infracciones graves, que computa la actora desde la fecha de emisión de la última de las facturas 26 de febrero de 2007 hasta la notificación del la incoación del procedimiento sancionador a la recurrente el 8 xx xxxxx de 2009, al considerar que no puede hablarse de infracción continuada con invocación de la STS de
16 xx xxxxx de 2010 .
Para analizar dicha cuestión hay que tomar como punto xx xxxxxxx, que las infracciones graves prescriben, según el artículo 47.1 LOPD a los dos años, plazo que comienza a computarse desde el día en que la infracción se hubiera cometido -artículo 47.2 de la citada Ley - y se interrumpe por la iniciación del procedimiento sancionador con conocimiento del interesado -apartado 3 del citado artículo 47 -.
La infracción en cuestión consiste en vulneración del principio del consentimiento, por tratamiento de datos por parte de France Telecom sin el consentimiento del afectado, al seguir tratando los datos del denunciante en sus ficheros, como si continuara siendo cliente de la entidad, pese a la solicitud de baja formulada, siguiendo girándole facturas y no dándole de baja en sus ficheros como tal cliente hasta el 21 xx xxxxxx de 2007.
Este tipo de infracciones, conforme reiterada doctrina de la Sala, participa de la naturaleza de las denominadas infracciones permanentes (que no continuada), en las que la conducta de un único ilícito se mantiene más allá del hecho inicial consistente en el acceso del dato personal a los ficheros de la recurrente, extendiéndose durante todo el periodo temporal en que el dato permanece registrado y es tratado sin consentimiento del denunciante en relación con unos determinados servicios, lo que implica que el plazo de prescripción no se inicia hasta que no cesa la citada situación de infracción perseguida ( SSAN , 21 de septiembre 2001 (Rec. 95/2000 ), 21 de noviembre 2007 (Rec.117/2006 ); 23 xx xxxxx de 2008 (Rec.274/2007 ), 00 xx xxxx 0000 (Rec. 337/2009
), 00 xx xxxxxxx 0000 (Rec. 64/2010 ) etc.
Por tanto, habiéndose estado tratando los datos de carácter personal del denunciante en el sistema de
información de France en relación con unos servicios hasta el 21 xx xxxxxx de 2007, en que fueron dados de baja y habiéndose notificado la incoación del acuerdo de inicio a France Telecom el 8 xx xxxxx de 2009, resulta claro que no ha transcurrido entre ambas fechas el plazo de 2 años que para la prescripción de las infracciones graves establece el artículo 47 de la LOPD .
Finalmente añadir que la STS de 00 xx xxxxx 0000 invocada por la recurrente, se refiere al cómputo
del plazo de prescripción en un supuesto de cesión inconsentida de datos, que es un supuesto distinto, por lo que la doctrina en ella fijada no resulta extrapolable al caso de autos.”
Se alega que la infracción del artículo 4.3 de la LOPD no constituye una infracción permanente, cuestión sobre la que no cabe pronunciarse esta Agencia ya que se imputa a FRANCE TELECOM la infracción del artículo 6.1 de la LOPD.
Por tanto, debe desestimarse esta alegación de FRANCE TELECOM.
III
Respecto a la prueba solicitada por FRANCE TELECOM debe señalarse que la práctica o no de la misma en nada incide en la infracción imputada por cuanto no se examina en el presente procedimiento la existencia de contrato del denunciante con FRANCE TELECOM respecto de la línea G.G.G., sino el tratamiento de datos del denunciante efectuado en relación con la línea H.H.H.. La existencia de la línea G.G.G.
activada a nombre del denunciante, y que la Agencia no pone en duda, autoriza a FRANCE TELECOM para el tratamiento de datos del denunciante en relación esa concreta línea y para el desarrollo de la citada relación contractual, pero de ningún modo puede considerarse un consentimiento “genérico” del denunciante para el tratamiento de sus datos en ulteriores relaciones contractuales, como es el caso de la denunciada línea H.H.H..
IV
Se imputa a FRANCE TELECOM el tratamiento sin consentimiento de los datos personales de la denunciante. El artículo 6 de la LOPD, determina:
“1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.
2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el xxx xxxxxxx a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.
4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado”.
El tratamiento de datos sin consentimiento constituye un límite al derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre, (F.J. 7 primer párrafo), “...consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (...)”.
Son pues elementos característicos del derecho fundamental a la protección de datos personales, los derechos del afectado a consentir sobre la recogida y tratamiento de sus datos personales y a saber de los mismos.
Se puede afirmar, tal y como tiene sentado consolidada jurisprudencia del
Tribunal Supremo - por todas las Sentencias de 8 de febrero de 1.964, 00 xx xxxx xx 0.000 x 00 xx xxxxx de 1.991 - en interpretación del artículo 1.253 del Código Civil, que existen tres modos o formas básicas del consentimiento: expreso, manifestado mediante un acto positivo y declarativo de la voluntad; tácito, cuando pudiendo manifestar un acto de voluntad contrario, éste no se lleva a cabo, es decir, cuando el silencio se presume o se presupone como un acto de aquiescencia o aceptación; y presunto, que no se deduce ni de una declaración ni de un acto de silencio positivo, sino de un comportamiento o conducta que implica aceptación de un determinado compromiso u obligación. A efectos de la Ley Orgánica 15/1999 y con carácter general, son admisibles las dos primeras formas de prestar el consentimiento.
En este sentido la Sentencia de la Audiencia Nacional de 21 de noviembre de 2007 ( Rec 356/2006) en su Fundamento de Derecho Quinto señala que “ por lo demás, en cuanto a los requisitos del consentimiento, debemos señalar que estos se agotan en la necesidad de que este sea “inequívoco”, es decir, que no exista duda alguna sobre la prestación de dicho consentimiento, de manera que en esta materia el legislador, mediante el articulo 6.1 de la LO de tanta cita, acude a un criterio sustantivo, esto es, nos indica que cualquiera que sea ,la forma que revista el consentimiento éste ha de aparecer como evidente, inequívoco – que no admite duda o equivocación- , pues éste y no otro es el significado del adjetivo utilizado para calificar al consentimiento. Por tanto, el establecimiento de presunciones o la alusión a la publicidad de sus datos en otro lugar resulta irrelevante, pues dar carta de naturaleza a este tipo de interpretaciones pulverizaría esta exigencia esencial del consentimiento, porque dejaría de ser inequívoco para ser “equivoco”, es decir, su interpretación admitiría varios sentidos y, por esta vía, se desvirtuaría la naturaleza y significado que desempeña como garantía en la protección de los datos, e incumpliría la finalidad que está llamado a verificar, esto es, que el poder de disposición de los datos corresponde únicamente a su titular”
V
De conformidad con lo expuesto ut supra, la jurisprudencia y el propio artículo 6 de la LOPD, exige que el responsable del tratamiento de los datos cuente con el consentimiento para el tratamiento de dichos datos personales, entendido estos de conformidad con las definiciones contenidas en el artículo 3 de la LOPD como:
Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.”
Consentimiento del interesado como “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”.
Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.”
La vigente LOPD atribuye la condición de responsables de las infracciones a los responsables de los ficheros (art. 43), concepto que debe integrarse con la definición que de los mismos recoge el artículo 3.d). Este precepto, innovando respecto de la Ley Orgánica 5/1992, incluye en el concepto de responsable tanto al que lo es del fichero
como al del tratamiento de datos personales.
Es preciso, por tanto, determinar si en el presente caso la actividad desarrollada por FRANCE TELECOM puede subsumirse o no en tales definiciones legales, es decir, si es responsable del fichero y/o tratamiento, y en caso afirmativo si está o no legitimada para el tratamiento de datos del denunciante, y por ende verificar la prestación del consentimiento de ésta o la ausencia del mismo.
VI
Consta en los sistemas de información de FRANCE TELECOM los datos personales del denunciante asociados a servicios que presta aquella.
Los sistemas de información de la denunciada han de conjugarse con la definición de fichero, que de conformidad con el articulo 3.b) como “todo conjunto organizado de datos de carácter personal, cualquiera que fuera la forma o modalidad de su creación, almacenamiento, organización y acceso. Se puede afirmar por tanto, que FRANCE TELECOM tiene en sus ficheros, los datos personales de la denunciante.
Todo esto sitúa a FRANCE TELECOM como responsable del fichero y se evidencia un tratamiento de datos, de conformidad con las definiciones legales señaladas en el fundamento jurídico anterior.
Por lo que de conformidad con el artículo 43 de la LOPD, FRANCE TELECOM se sitúa bajo el régimen de responsabilidad de la ley orgánica de tanta cita.
VII
En el presente caso el denunciante niega haber contratado con FRANCE TELECOM el servicio de la línea H.H.H. y la operadora no ha aportado prueba alguna que acredite lo contrario, más allá de que los datos del denunciante figuran en sus ficheros como titular de la citada línea. Así pues en ausencia de relación contractual acreditada debe existir un consentimiento del denunciante para que FRANCE TELECOM trate sus datos para dar de alta la citada línea y facturar el servicio, consentimiento que no se ha acreditado.
Por tanto, se considera que FRANCE TELECOM ha vulnerado el principio de consentimiento previsto en el artículo 6.1 de la LOPD al no haber acreditado que contara con el consentimiento inequívoco de la denunciante para la utilización de sus datos personales, ni tampoco ha justificado que se hayan producido las causas recogidas en el artículo 6.2 de la LOPD que habilitarían el tratamiento efectuado por FRANCE TELECOM de sus datos de carácter personal. A este respecto, la Sentencia de la Audiencia Nacional de 11 xx xxxx de 2001, dispone que “...quien gestiona la base, debe estar en condiciones de acreditar el consentimiento del afectado, siendo carga de la prueba del mismo su justificación, y la entidad recurrente en ningún momento ha realizado esfuerzo probatorio tendente a la acreditación del consentimiento de las personas en las que se basa la sanción”
A este respecto es preciso traer al caso, la Sentencia de la Audiencia Nacional de fecha 18/05/2005, en cuyos Fundamentos de Derecho Quinto y Sexto señala lo siguiente:
“En primer lugar, se ha de señalar, como hemos mantenido en distintas sentencias, que el principio del consentimiento o autodeterminación constituye uno de los fundamentos esenciales de la normativa que regula el tratamiento automatizado de los datos personales de un individuo. La garantía de dicho principio radica en que el afectado preste su consentimiento consciente e informado, a fin de que esa recepción de datos y su posterior tratamiento sean lícitos, no admitiéndose vaguedades respecto a la formalización de ese consentimiento y respecto a que sea claro e indubitado ...
A lo largo del discurso mantenido por la parte actora, tanto en vía administrativa, como ahora en sede judicial, se aprecia con claridad que la misma en ningún caso ha cuestionado datos de los hechos probados del acto recurrido que son esenciales para la resolución del presente pleito. Así, no ha negado, ni por ende desvirtuado, el hecho de que, en varios contratos de los que los afectados han dicho que su firma no es la suya, la que aparece estampada no se parece, a primera vista, a la de los mismos, ni que, efectivamente, no obstante serle remitidos por las distribuidoras diariamente los contratos, la misma no poseía las fotocopias de los DNI de los clientes que supuestamente firmaban esos contratos, a pesar de lo que establece la cláusula 6.2.2 del contrato que mantenía xxx, ahora xxx, con las distribuidoras y que se recoge textualmente en esos hechos probados cuya veracidad no ha sido cuestionada por la recurrente.
Esos hechos probados constituyen, en un primer momento, una clara vulneración del mencionado principio del consentimiento que informa la vigente Ley Orgánica de Protección de Datos (LOPD), pues evidentemente la hoy recurrente, desde el momento en que da de alta al supuesto usuario del servicio que la misma presta con base en esos contratos que le ha entregado la distribuidora, está ya llevando a cabo un tratamiento de datos personales que requiere necesariamente el consentimiento inequívoco del afectado, lo que le obliga a comprobar de forma diligente la identidad de la persona con la que contrata. Ello, aparte de que lo exige el sentido común, también lo obligaba el propio contrato que suscribió dicha entidad con las distribuidoras cuando establecía que éstas le tenían que remitir fotocopia de DNI del usuario en cuestión. Como se ha expuesto, con la inspección llevada a cabo por la Agencia de Protección de Datos se probó que la entidad actora carecía de esas fotocopias. A ello se ha de añadir lo también acreditado de que los siete usuarios referidos han alegado que no firmaron esos contratos y que su firma, en muchos casos, no coincidía con la suya, lo cual se podía haber verificado en su momento con la aportación de la fotocopia del carné de identidad; incluso en un caso a la fecha de la supuesta firma del contrato el usuario ya había fallecido. Sin embargo, y como comprobaron los funcionarios de la Agencia, la demandante dio de alta en el servicio de preasignación a esos siete denunciantes, si bien en sus ficheros se hacia referencia a la posibilidad de un posible fraude.
En este sentido señala la sentencia citada ut supra que “En su demanda la actora reitera su posición de atribuir la culpa de esos hechos ciertos a las distribuidoras, lo cual, ligado a lo dicho de que en sus ficheros se hacía mención a un posible fraude, significa un reconocimiento implícito de los hechos, pero es que ella es la responsable, obviamente, de tratar los datos personales de los usuarios sin su consentimiento, porque no hay que olvidar que en esos contratos quienes aparecen como partes son la misma, en cuanto prestadora del servicio, y el usuario que lo recibe, y no quien media en su celebración, por lo que, se insiste, aparte de que lo obligaba el contrato que tenía firmado con la distribuidora, quien trata de forma automatizada esos datos, a
consecuencia de dar de alta al afectado, es la única, a tenor de los establecido en el art. 6.2 de la LOPD, que debe asegurarse de que recibe el consentimiento inequívoco de este último. La mera no exigencia de la fotocopia del DNI del supuesto usuario ya constituye, como mínimo, la falta de observancia que llevaría a la recurrente a responsabilizarla de esa infracción, pero esta Sala considera que esa culpabilidad va más allá, pues constituye una clara falta de diligencia, porque si no se ha recibido esa documentación, debería, antes de dar a nadie de alta en un servicio, comprobar por otros medios, aunque sea de forma telefónica, etc, que esa era la persona que realmente había pedido el alta en el servicio”. ( el subrayado es de la Agencia Española de Protección de Datos).
VIII
En base a lo expuesto en los fundamentos de derecho anteriores FRANCE TELECOM ha realizado un tratamiento de los datos personales del denunciante sin su consentimiento al haber quedado acreditado que la entidad imputada trató los datos de carácter personal de la misma en sus propios ficheros, de los que la operadora tiene la consideración de responsable, utilizándolos para emisión de facturas.
El denunciante niega tener relación contractual con FRANCE TELECOM relativa a la línea H.H.H., y ésta no ha podido acreditar la existencia de la misma, ni dar razón del tratamiento de sus datos personales en sus ficheros sin que medie contrato ni consentimiento del mismo.
En la sentencia de la Audiencia Nacional de fecha 21/12/2001 se declara que “de acuerdo con el principio que rige en materia probatoria (art. 1214 del Código Civil) la Agencia Española de Protección de Datos probó el hecho constitutivo que era el tratamiento automatizado de los datos personales de D. ... (nombre, apellidos y domicilio), y a la recurrente incumbía el hecho impeditivo o extintivo, cual era el consentimiento del mismo.
Es decir, ... debía acreditar el consentimiento del afectado para el tratamiento automatizado de datos personales, o justificar que el supuesto examinado concurre alguna de las excepciones al principio general del consentimiento consagrado en el art.
6.1 de la Ley Orgánica 5/1992. Y nada de esto ha sucedido”.
Cabe cuestionar si ha existido culpabilidad en la comisión de la conducta infractora. En este sentido, no cabe duda de que la culpabilidad constituye nota esencial en materia sancionadora -artículo 130 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del procedimiento Administrativo Común (en lo sucesivo LRJPAC)- y que la llamada responsabilidad objetiva no tiene cabida en Derecho administrativo sancionador.
Efectivamente, el artículo 130.1 de la LRJPAC dispone que “sólo pueden ser sancionadas por hechos constitutivos de infracción administrativa los responsables de los mismos, aún a título de simple inobservancia”. Esta simple inobservancia no puede ser entendida como la admisión en el Derecho administrativo sancionador de la responsabilidad objetiva, pues la doctrina del Tribunal Constitucional (Sentencias 15/1999, de 0 xx xxxxx, x 00/0000, xx 00 xx xxxxx) x xx xxxxxxxxxxxxxx mayoritaria de nuestro Tribunal Supremo (por todas Sentencia de 23 de enero de 1998), así como las
exigencias inherentes a un Estado de Derecho, exigen que el principio de culpabilidad requiera la existencia de dolo o culpa.
El Tribunal Supremo (Sentencias de 16 y 22 xx xxxxx de 1991) considera que del elemento de la culpabilidad se desprende “que la acción u omisión, calificada de infracción sancionable administrativamente, ha de ser, en todo caso, imputable a su autor, por dolo o imprudencia, negligencia o ignorancia inexcusable.”
La Audiencia Nacional, en Sentencia de 29 xx xxxxx de 2001, en materia de protección de datos de carácter personal, ha declarado que “basta la simple negligencia o incumplimiento de los deberes que la Ley impone a las personas responsables de ficheros o del tratamiento de datos de extremar la diligencia...”.
El Tribunal Supremo (Sentencias de 5 de julio de 1998 y 2 xx xxxxx de 1999) viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el sujeto infractor no se comporta con la diligencia exigible. Diligencia cuyo grado de exigencia se determinará en atención a las circunstancias concurrentes en cada caso, tales como el especial valor del bien jurídico protegido o la profesionalidad exigible al infractor. En este sentido, la citada Sentencia de 5 xx xxxxx de 1998 exige a los profesionales del sector “un deber de conocer especialmente las normas aplicables”.
Aplicando la anterior doctrina, la Audiencia Nacional exige a las entidades que operan en el mercado de datos una especial diligencia a la hora de llevar a cabo el uso o tratamiento de tales datos o la cesión a terceros. Y ello porque siendo el de la protección de datos un derecho fundamental (Sentencia del Tribunal Constitucional 292/2000), los depositarios de estos datos debe ser especialmente diligente y cuidadoso a la hora de operar con ellos y deben optar siempre por la interpretación más favorable a la protección de los bienes jurídicos protegidos por la norma. En este sentido, entre otras, Sentencias de la Audiencia Nacional de fechas 00 xx xxxxxxx x 00 xx xxxxxxxxxx de 202 y 13 xx xxxxx y 18 xx xxxx de 2005).
Asimismo, en cuanto a la buena fe, la Audiencia Nacional en su Sentencia de 24 xx xxxx de 2002 ha señalado que “la buena fe en el actuar, para justificar la ausencia de culpa –como se hace en el presente caso-; basta con decir que esa alegación queda enervada cuando existe un deber específico de vigilancia derivado de la profesionalidad del infractor. En esta línea tradicional de reflexión, la STS de 12 xx xxxxx de 1975 y 00 xx xxxxx xx 0000, xxxxxxxx xx xxxxxxxxx xx xxxxx xx, cuando sobre el infractor pesan deberes de vigilancia y diligencia derivados de su condición de profesional”.
Conforme a este criterio, es evidente que FRANCE TELECOM no actuó de en cumplimiento de los deberes que la LOPD impone, por cuando no efectuó comprobación alguna relativa a la acreditación de la contratación por cuanto de ser así habría detectado que no obraba en su poder contrato firmado por el denunciante, y aún así dio de alta en sus sistemas la línea denunciada y emitió facturas.
Asimismo, la Audiencia Nacional en Sentencia de 01/02/2006, señaló, en cuanto a la prueba de la existencia de un consentimiento inequívoco, lo siguiente: “Es necesario tomar en consideración que lo que la Ley Orgánica 15/99 exige es que el consentimiento para el tratamiento de datos sea prestado de modo inequívoco, adjetivo
que debe predicarse tanto de la forma de prestarse (que se preste de forma inequívoca y que no existan dudas sobre que el titular de los datos ha consentido en el tratamiento de los mismos) como de la acreditación de que se ha prestado (que no existan dudas de que el interesado ha consentido en la prestación de su consentimiento)”.
Luego, debemos reiterar que corresponde a FRANCE TELECOM como responsable del tratamiento estar en condiciones de acreditar que ha obtenido el consentimiento de la denunciante, pues, salvo aquellas excepciones establecidas en el artículo 6.2 de la LOPD, solamente el consentimiento justifica y legitima dicho tratamiento; en definitiva, le corresponde aportar la prueba de que dicho consentimiento ha sido prestado. No puede admitirse la alegación de FRANCE TELECOM de que contaba con el consentimiento del denunciante para el tratamiento de sus datos por cuanto era titular de otra línea por cuanto tal consentimiento (o su exceptuación) lógicamente corresponde a la concreta línea para el cual se prestó, sin que puede constituir un consentimiento “genérico” para el tratamiento de datos personales en otras relaciones contractuales, cuya existencia no se ha probado, como es el presente caso. De este modo no cabe la práctica de la prueba consistente en que el denunciante testifique sobre su titularidad de otra línea porque en nada afecta al fondo de la cuestión analizada en este procedimiento.
No obstante, de la documentación obrante en el expediente consta que el denunciante niega haber prestado el consentimiento para el tratamiento de sus datos personales en la contratación de la línea H.H.H. y, además, dicha entidad no ha aportado prueba fehaciente de la que se infiera lo contrario.
Por lo tanto, en el presente caso se puede concluir, dada la falta de acreditación por FRANCE TELECOM de la referida contratación y ante la ausencia de cobertura legal necesaria que ampararía dicho tratamiento sin consentimiento a tenor del artículo
6.2 de la LOPD, que por parte de la entidad imputada se ha vulnerado el principio del consentimiento recogido en el artículo 6.1 de la citada Ley Orgánica.
IX
El artículo 44.3.b) de la LOPD en su redacción dada por la Ley 2/2011, de 4 xx xxxxx, de Economía Sostenible (Disposición final quincuagésimo sexta), tipifica como infracción grave: “Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo”.
FRANCE TELECOM trató los datos personales del denunciante sin su consentimiento por lo que ha vulnerado el principio del consentimiento previsto en el artículo 6 de la LOPD. La conculcación de este principio supone la comisión de la infracción grave prevista en el transcrito artículo 44.3.b).
X
El artículo 45 de la LOPD, en la redacción dada por la Ley 2/2011, de 4 xx xxxxx, de Economía Sostenible, establece, en sus apartados 1 a 5, lo siguiente:
“1. Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.
3. Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros.
4. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:
a) El carácter continuado de la infracción.
b) El volumen de los tratamientos efectuados.
c) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
d) El volumen de negocio o actividad del infractor.
e) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
f) El grado de intencionalidad.
g) La reincidencia por comisión de infracciones de la misma naturaleza.
h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.
i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de Ios datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.
j) Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
5. El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos:
a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo.
b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.
d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.
e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.»
La Sentencia de 21/01/2004 de la Audiencia Nacional, en su recurso 1939/2001, señaló que dicho precepto <<…no es sino manifestación del llamado principio de proporcionalidad (artículo 131.1 de la LRJPAC), incluido en el más general del prohibición de exceso, reconocido por la jurisprudencia como principio general del Derecho. Ahora bien, la presente regla debe aplicarse con exquisita ponderación y sólo en los casos en los que la culpabilidad y la antijuridicidad resulten sustancialmente atenuadas, atendidas las circunstancias del caso concreto. Lo cual insistimos puede darse, por excepción, en casos muy extremos (de aquí la expresión “especialmente
cualificada”) y concretos.
Conviene recordar que desde el punto de vista material, la culpabilidad consiste en la capacidad que tiene el sujeto obligado para obrar de modo distinto y, por tanto, de acuerdo con el ordenamiento jurídico. Por tanto, lo relevante es la diligencia desplegada en la acción por el sujeto, lo que excluye la imposición de una sanción, únicamente en base al mero resultado, es decir al principio de responsabilidad objetiva.
No obstante lo anterior, la Sentencia de la Audiencia Nacional dictada el 21 de septiembre de 2005, Recurso 937/2003, establece que “Además, en cuanto a la aplicación del principio de culpabilidad resulta que (siguiendo el criterio de esta Sala en otras Sentencias como la de fecha 21 de enero de 2004 dictada en el recurso 113/2001) que la comisión de la infracción prevista en el art. 77.3 d) puede ser tanto dolosa como culposa. Y en este sentido, si el error es muestra de una falta de diligencia, el tipo es aplicable, pues aunque en materia sancionadora rige el principio de culpabilidad, como se infiere de la simple lectura del art. 130 de la Ley 30)1992, lo cierto es que la expresión “simple inobservancia” permite la imposición de la sanción, sin duda en supuestos doloso, y asimismo en supuestos culposos, bastando la inobservancia del deber de cuidado”.
En lo que respecta a la falta de perjuicios causados a la denunciante, la Audiencia Nacional, en Sentencia de 19/10/2005, declara que “Los perjuicios directamente causados o beneficios obtenidos por la entidad recurrente son circunstancias que no admiten ser incluidas dentro de los que deben ser objeto de valoración al amparo de lo previsto por el artículo 45 de la LO 15/1999”.
Las alegaciones realizadas, y las medidas adoptadas, acreditan que FRANCE TELECOM regularizó la situación de manera diligente por cuanto habiéndose dado de baja la línea el 10/12/2010 anulándose las dos facturas emitidas en fechas 21/11/2010 y 21/12/2010, si bien esta última factura se emitió con posterioridad a la reclamación del denunciante y que consta en los sistemas de FRANCE TELECOM el 25/10/2010. Por tanto, se considera que concurren las circunstancias necesarias para que pueda aplicarse, en el presente supuesto, lo dispuesto en el artículo 45.5 de la LOPD.
Por todo ello, procede imponer, por las infracciones imputadas, una multa cuyo importe se encuentre entre 900 € y 40.000 €, en aplicación de lo previsto en el apartado 1 del citado artículo 45, al tener la infracción imputada la consideración de grave, pero aplicarse la escala relativa a las infracciones leves por aplicación del artículo
45.5 de la LOPD. En el presente caso, teniendo en consideración los criterios de graduación de las sanciones establecidos en el artículo 45.4, y en particular la no emisión de nuevas facturas tras reclamación del denunciante, y la ausencia de beneficios obtenidos y perjuicios causados, se impone una multa de 30.000 € por la infracción del artículo 6.1 de la LOPD.”
III
Por lo tanto, en el presente recurso de reposición, A.A.A.. no ha aportado nuevos hechos o argumentos jurídicos que permitan reconsiderar la validez de la resolución impugnada.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: DESESTIMAR el recurso de reposición interpuesto por A.A.A.. contra la Resolución de esta Agencia Española de Protección de Datos dictada con fecha 13 de julio de 2012, en el procedimiento sancionador PS/00034/2012.
SEGUNDO: NOTIFICAR la presente resolución a la entidad A.A.A...
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD.
Contra esta resolución, que pone fin a la vía administrativa, se podrá interponer en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto según lo previsto en el artículo 46.1 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta del referido texto legal.