HECHOS

Procedimiento nº.: PS/00579/2011

ASUNTO: Recurso de Reposición Nº RR/00520/2012

Examinado el recurso de reposición interpuesto por la entidad FRANCE TELECOM ESPAÑA S.A. contra la resolución dictada por el Director de la Agencia Española de Protección de Datos en el procedimiento sancionador PS/00579/2011 y en virtud de los siguientes,

HECHOS

PRIMERO: Con fecha 29 xx xxxx de 2012 se dictó resolución por el Director de la Agencia Española de Protección de Datos en el procedimiento sancionador, PS/00579/2011, en virtud de la cual se imponía a la entidad FRANCE TELECOM ESPAÑA S.A., una sanción de 100.000 € (cien mil euros) por vulneración de lo dispuesto en los artículos 6.1 y 4.3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), infracciones tipificadas como graves en los artículos 44.3.b) y 44.3.c), de conformidad con lo establecido en el artículo 45.2 de la citada Ley Orgánica.

Dicha resolución, que fue notificada al recurrente en fecha 31 xx xxxx de 2012, fue dictada previa la tramitación del correspondiente procedimiento sancionador, de conformidad con lo dispuesto en el artículo 127 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD.

SEGUNDO: Como hechos probados del citado procedimiento sancionador, PS/00579/2011, se dejó constancia de los siguientes:

<<PRIMERO: La denunciante, Dña A.A.A., con NIF ***NIF.1 (según consta en la copia de su documento de identidad que obra al folio 1 bis del expediente), manifiesta que cuando gestionaba una operación de crédito con su entidad bancaria tuvo conocimiento de que sus datos personales figuraban incluidos en el fichero de morosidad BADEXCUG, informados por la operadora Orange, empresa con la que no tiene ninguna relación comercial, (folios 1 a 3).

SEGUNDO: La denunciante interpuso denuncia ante la Comisaria de Policía de San Xxxxxxxxx el 18 de noviembre de 2010, en la que relató lo siguiente:

“Que denuncia los hechos ocurridos (…) el 15/09/2010 en ESTABLECIMIENTO COMERCIAL DE SAN XXXXXXXXX (….) fue a su entidad bancaria con la intención de informarse sobre la obtención de un crédito y en la misma le informaron que se encontraba incluida en los ficheros de morosos “Experian” y “Credit bouro”, por al parecer el impago de alguna transacción económica”.

“Que dado lo anterior ha realizado las correspondientes gestiones y ha podido conocer que figura en ambos ficheros de morosos con una deuda de 379,7 euros con la empresa

de telefonía Orange, figurando como dirección la calle (C/..........................1), 8, 6 X Xxxxx de Mallorca, sin que la denunciante haya estado nunca en dicha ciudad, ni tenga ninguna relación comercial con la empresa de telefonía citada”.

“Que (….) ha podido conseguir de la compañía telefónica Orange la factura y contratos de los que proviene la deuda, figurando en la misma el nombre y el DNI correcto de la denunciante y la dirección citada xx Xxxxx de Mallorca, así como que la factura sería pagada en la cuenta de Banesto número ***CCC.1, desconociendo la declarante a quién pertenece dicho número de cuenta ya que no dispone de una en dicha entidad bancaria. (…)

“Que la citada factura también recoge que la operación comercial fue por el alta de los números de teléfono ***TEL.1 y ***TEL.2, así como un terminal de telefonía Nokia 6300”. (Folio 4)

TERCERO: La denunciante presentó reclamación contra la operadora denunciada, por estos mismos hechos, en la Consejería de Industria, Comercio y Turismo del Gobierno Xxxxx, el 25 de noviembre de 2010, (folios 2 y 3).

CUARTO: La denunciante ejerció el derecho de cancelación de sus datos ante F.T. mediante escrito enviado por correo certificado con acuse de recibo el 27 de octubre de 2010 (folios 6 y 20).

F.T. respondió a la petición de cancelación mediante carta fechada el 9 de noviembre de 2010 en la que dijo textualmente: “Tras recibir su solicitud de cancelación de datos personales, sentimos informarles que la misma no puede ser tramitada por existir una obligación de pago pendiente por su parte con FRANCE TELECOM ESPAÑA, S.A. en relación con el servicio de telefonía móvil…..”, (folio 18)

Los documentos mencionados fueron aportados también por la operadora denunciada, (ver folios 54 a 56)

QUINTO: La denunciante ha aportado los documentos que obran en los folios 11 a 16, que según relató en la denuncia presentada en la Comisaría de Policía el 18 de noviembre de 2010 le fueron remitidos por la operadora:

a) - Tres copias del documento denominado “contrato clientes particulares telefonía móvil”, con los siguientes datos e información, (folios 13 a 16):

- Como datos del punto de venta figura: “TIENDA MOVIL ORANGE”.

- Como datos del cliente: nombre ***NOMBRE-AAA; apellidos: ***APELLIDOS- AAA; dirección: (C/..........................1) , nº 8, escalera 6 C; localidad: MALLORCA; provincia: BALEARES; código postal: ***CP.1; DNI: ***NIF.1.

- Como datos de pago consta la siguiente información: “forma de pago: Recibo domiciliado”; entidad financiera ****sucursal ****DC ** cuenta ***CCC.1.

- Como datos del terminal, figura “marca/modelo Nokia 6300”.

- El apartado destinado “datos de los servicios contratados”, en los que se debería indicar el “nº de teléfono Orange” y “nº tarjeta SIM”, está vacío, sin que conste información de ninguna clase.

- El apartado destinado a la firma está vacío, sin que conste ninguna firma.

- Como fecha figura el “06/03/2006”.

Las tres copias aportadas (folios 13 a 16), son documentos idénticos entre sí y tienen el mismo código xx xxxxxx (***CÓDIGO.1). Los documentos están mecanografiados.

b)- Copia de una factura, número ***FACTURA.1, de fecha 21 de septiembre de 2008. En ella aparece el nombre, dos apellidos y número de NIF de la denunciante. Como dirección figura “CALLE D EN (C/..........................1) 8 6B, ***CP.1 PALMA DE

MALLORCA, BALEARES”. En la factura, por un importe de 313,20 €, se incluye un desglose de cargos y una mención a dos números de teléfono: TEL.1 y TEL.2, (folios 11 y 12)

SEXTO: F.T. ha remitido a esta Agencia en fase de prueba copia de los mismos documentos contractuales aportados por la denunciante, (ver folios 106 a 109).

La operadora dice aportar “Copias de los dos contratos celebrados por la cliente,

…… (vid. documentos anexos nº 1 y 2”, (folio 99). (El subrayado es de la AEPD).

Los anexos 1 y 2 mencionados se corresponden respectivamente con los folios 106-107 y 108-109 del expediente. Ambos documentos son idénticos a los aportados por la afectada con su denuncia (folios 13,14y 15), y como ya se hizo constar en el hecho probado quinto a), éstos son totalmente idénticos entre sí.

SÉPTIMO: F.T. ha aportado copia de los documentos que denomina “ acuses de recibo de los teléfonos móviles; están firmados por la denunciante (vid. documentos anexos nº 3 y 4)”, (folio 99)

Estos documentos se corresponden con los folios 110 y 111 del expediente y son dos albaranes de entrega en los que aparece como remitente URAVOX, S.L. y como fecha “06/03/2008”. La destinataria del envío que figura en ellos es la denunciante y la dirección de envío la misma que se refleja en los documentos contractuales, sita en Palma de Mallorca.

Los albaranes no están firmados por la denunciante sino por “B.B.B.”. (Folios 110 y 111)

OCTAVO: F.T. ha manifestado en su escrito prueba, respecto a los contratos a nombre de la denunciante, que “ el distribuidor asociado fue la tienda on line de Orange”, (folio 99).

NOVENO: Las impresiones de pantalla aportadas por F.T. procedentes de sus registros informáticos reflejan la siguiente información:

- Respecto a la línea ***TEL.1, código producto Amena ***NÚMERO.1, figura activada en fecha 10 xx xxxxx de 2008 y desactivada por impago el 30 xx xxxxxx de 2008. (Folio 100)

- Respecto a la línea ***TEL.2, código producto Amena ***NÚMERO.2, figura activada en fecha 10 xx xxxxx de 2008 y desactivada por impago el 30 xx xxxxxx de 2008. (Folio 101)

- Las facturas emitidas fueron las siguientes:

* ***FACTURA.2, de 21 xx xxxxx de 2008, por importe de 45,82 €

* ***FACTURA.3, de 21 xx xxxxx de 2008, por importe de 20,68 €

* ***FACTURA.1, de 21 de septiembre de 2008, por importe de

313,200 € (Folio 101)

DÉCIMO: Resulta acreditado que F.T. informó al fichero BADEXCUG los datos personales de la denunciante, nombre, dos apellidos y número de DNI, por una supuesta deuda, en dos ocasiones:

- 1ª incidencia: Fechas de alta y baja, 11 xx xxxxx de 2009 y 13 de septiembre de 2009, por proceso semanal de actualización de datos. El saldo deudor era de 379,70 €.

- 2ª incidencia: Fechas de alta y baja 11 xx xxxxx 2010 y 6 de febrero de 2011, por proceso semanal de actualización de datos. El saldo deudor era de 379,70 € . (Folios 30,34 a 36).

UNDÉCIMO: La denunciante ejerció ante Experian Bureau de Crédito, S.A., responsable del fichero Badexcug, el derecho de acceso a sus datos mediante carta certificada de fecha 18 de octubre de 2010, (folios 31,39 a 43). Xxxxxxxx respondió mediante carta remitida el 20 de octubre de 2010, (folios 44 a 47)>>

TERCERO: FRANCE TELECOM ESPAÑA, S.A. ( en lo sucesivo F.T. o la recurrente) ha presentado recurso de reposición en fecha 29 xx xxxxx de 2012, que tuvo entrada en esta Agencia Española de Protección de Datos el 4 de julio de 2012, fundamentándolo, básicamente, en los mismos argumentos expuestos en el curso del procedimiento sancionador. A saber, la incompetencia de la AEPD para valorar los hechos sobre los que versa el expediente; la prescripción de la infracción imputada; la existencia de una cuestión prejudicial penal que obligaba a la AEPD a acordar la suspensión del procedimiento administrativo; la vulneración del principio de presunción de inocencia; la inexistencia de las infracciones de los artículos 6.1 y 4.3 de la LOPD; la existencia de un concurso en consideración a la XXXX de 11 de febrero de 2010 y, con carácter subsidiario la aplicación del artículo 45.5, apartado a), de la LOPD.

FUNDAMENTOS DE DERECHO

Es competente para resolver el presente recurso el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (en lo sucesivo LRJPAC).

En relación con las manifestaciones efectuadas por F.T. en las que reitera las

alegaciones presentadas a lo largo del procedimiento sancionador, debe señalarse que fueron analizadas y desestimadas en los Fundamentos de Derecho II al VII, ambos inclusive, de la Resolución recurrida, tal como se transcribe a continuación:

<< II

Corresponde analizar, en primer término, por motivos de lógica argumental, las cuestiones previas planteadas por la representación de F.T. relativas a la supuesta incompetencia de esta Agencia para conocer los hechos sobre los que versa el expediente sancionador, a la prescripción de la infracción del artículo 6.1 de la LOPD que se le imputa y a la existencia de una cuestión prejudicial penal.

A) F.T. considera que la AEPD carece de competencia para valorar los hechos que son objeto de la denuncia y a este respecto manifiesta que “la determinación de si ha existido o no contratación y la determinación de la existencia o inexistencia de la deuda o facturación indebida, constituyen cuestiones de naturaleza civil, sustraídas a la competencia de la Agencia Española de Protección de Datos, según dispone el artículo 37 de la Ley Orgánica 15/1999 (…)”.

Invoca a tal fin el artículo 22 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, y añade que “….a dicha competencia (se refiera a la atribuida por la L.O. 6/1985 a los Jueces y Tribunales del orden jurisdiccional civil) nada obsta el que la Agencia Española de Protección de Datos tenga atribuidas las funciones de velar por el cumplimiento de la legislación sobre protección de datos, controlar su aplicación y ejercer la potestad sancionadora, pues el despliegue de sus funciones exige la previa determinación por los Tribunales de Justicia de la existencia de los presupuestos necesarios antes referidos”; concluyendo de lo anterior que cualquier resolución sancionadora que pudiera recaer en el presente procedimiento sería nula de pleno derecho conforme a lo prevenido en artículo 62.1 b) de la Ley 30/1992.

La tesis sustentada por F.T. , que niega la competencia de la AEPD sobre los hechos objeto de este expediente, no es admisible, pues es contraria al criterio manifestado por la Audiencia Nacional en diversas Sentencias en las que reiteradamente ha venido considerando que la Agencia, en el ejercicio de las funciones que legalmente tiene encomendadas, puede ponderar las circunstancias que rodean el supuesto concreto en orden a determinar, únicamente, si se ha producido una vulneración de la normativa sectorial de protección de datos. Esto, porque en ningún caso podría justificarse que la AEPD incumpliera los deberes que le vienen legalmente impuestos, en particular en los artículos 37.1.a) y g) de la LOPD, argumentado una indebida incursión de este organismo en cuestiones civiles; máxime, cuando tal valoración, cuya naturaleza la Jurisprudencia ha calificado de prejudicial y carente de efectos jurídicos frente a terceros, es imprescindible para que ejerza las funciones que por ley tiene encomendadas.

La doctrina sentada por la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, entre otras, en la Sentencia de 17 de octubre de 2007, indica en su Fundamento de Derecho Tercero: “Y, en fin, respecto a la falta de competencia, también de la Agencia, para hacer juicios o apreciaciones de orden civil, o mercantil, sobre la naturaleza de la obligación y la certeza de la deuda, debemos señalar que la Instrucción

1/1995, de 1 xx xxxxx, autoriza a la citada Agencia para salvaguardar la calidad de los datos personales que acceden a los ficheros de solvencia patrimonial, en relación con las obligaciones dinerarias a que alude el artículo 29 de la Ley Orgánica 15/1999. (…) Por tanto, la regulación legal y el contenido de la expresada instrucción impiden avalar la tesis que sostiene la parte recurrente en su escrito de demanda, pues, como hemos señalado, no es posible, a los efectos ahora examinados, pretender que, al socaire de una indebida incursión en cuestiones civiles, la Agencia incumpla los deberes legalmente impuestos dejando de sancionar conductas que incurren en los ilícitos administrativos previstos en la Ley Orgánica 15/1999, cuando someramente, y sin entrar en arduas y sofisticadas cuestiones civiles, constan acreditadas las características que la Instrucción establece para la inclusión de los datos en los ficheros de solvencia patrimonial”.

Igualmente significativa resulta la Sentencia de la Audiencia Nacional de 3 de julio de 2007, en cuyo Fundamento de Derecho segundo expone: “Comienza el recurrente la defensa de su pretensión alegando la incompetencia de la Agencia de Protección de Datos ya que la controversia versa sobre la existencia o no de un determinado contrato y esta cuestión es de naturaleza esencialmente civil y, por consiguiente, sustraída a su competencia, según dispone el art. 37 de la LOPD. En realidad el Director de la Agencia de Protección de Datos no ha resuelto sobre la procedencia o improcedencia de la deuda, sino que su resolución se centra en considerar infringidos determinados preceptos de la LOPD, anudando como consecuencia a dichas infracciones la imposición de una sanción. Xxxxx leer la parte dispositiva de la resolución impugnada para constatar lo que se acaba de afirmar. Y sin duda es plenamente competente para dictar esta resolución. Otra cosa es que para ejercer su competencia haya de realizar valoraciones fácticas o jurídicas cuya naturaleza podríamos calificar de prejudicial, y sobre las que no podría adoptar una decisión definitiva con efectos frente a terceros. Si el principio de calidad del dato recogido en la LOPD exige que los datos tratados por un tercero referidos a una persona sean exactos y veraces, la Administración encargada específicamente de hacer cumplir esta normativa, a los solos efectos de considerar cumplido o infringido este principio puede hacer una valoración de exactitud y veracidad de un determinado dato, en este caso de la certeza de una deuda, sin que ello signifique un apartamiento de sus normas de competencia. Este motivo de impugnación debe ser rechazado”.( El subrayado es de la Agencia Española de Protección de Datos)

Por las razones indicadas la cuestión previa examinada no puede prosperar.

B) F.T invoca la prescripción de la infracción del artículo 6.1 de la LOPD que se le imputa y manifiesta que se ha superado ampliamente el plazo de prescripción que para las infracciones graves establece el artículo 47 de la LOPD (dos años). A tal fin considera término inicial del plazo de prescripción la fecha en la que las líneas (TEL.1 y TEL.2) se dieron de baja, esto es el 30 xx xxxxxx de 2008.

Es necesario traer x xxxxxxxx la XXXX de 24 xx xxxxx de 2010 ( Rec. 539/2007) que

F.T. conoce bien, por cuanto fue ella la parte recurrente, Sentencia que despeja las dudas que pudiera tener la denunciada acerca de cuál es el término inicial para el cómputo del plazo. El Fundamento de Derecho Tercero de la referida SAN declara:

“Sostiene asimismo la demandante que se ha producido la prescripción de

ambas infracciones imputadas, de los artículos 6.1 y 4.3 de la LOPD, argumentándose que han transcurrido más de dos años desde que se cometieron las mismas, (…)

Nos encontramos en cualquier caso en el supuesto ante las denominadas infracciones permanentes, respecto de las que esta Sala ha declarado con reiteración, ya desde la SAN de 21 de septiembre de 2001 (Rec. 95/200), que(..) se caracterizan porque la conducta constitutiva de un único ilícito se mantiene durante un espacio prolongado de tiempo, lo que implica que el plazo de prescripción no se inicia “al no haber cesado la situación de infracción perseguida” -STS de 18 de febrero de1985”. Criterio que también han seguido, entre otras, las SSAN (1ª) de 22 de febrero de 2006 (Re. 343/2004), 21 de noviembre de 2007 (Rec. 117/2006), 11 de diciembre de 2008 (Rec. 574/2007).

Concepto jurídico plenamente aplicable al supuesto litigioso tomando en consideración que tanto el tratamiento de datos sin consentimiento como la inclusión indebida de los mismos en Asnef se mantuvo durante un periodo prolongado de tiempo, por lo que habrá que estar a la fecha de finalización y no de inicio, de dichas conductas, para el cómputo del plazo de prescripción. Y a tal fin resulta, según se desprende de las actuaciones practicadas que los datos personales del denunciante figuraron de alta, asociados a la misma presunta deuda, hasta el 28 de febrero de 2005, por lo que necesariamente ha de considerarse esta fecha a efectos de comisión de la infracción.” (El subrayado es de la AEPD).

En consecuencia, en el supuesto que nos ocupa, el término inicial del plazo de prescripción de la infracción debe coincidir con la fecha en que “cesa la situación de infracción perseguida”, sin que sea posible situarlo -como F.T. pretende- en la fecha en que se dieron de baja las líneas controvertidas, es decir el 30 xx xxxxxx de 2008. Esto por dos razones. La primera porque según consta acreditado en el expediente (ver folio 101) la última factura girada al afectado es de fecha 21 de septiembre de 2008. Y la segunda y fundamental, porque la infracción cuya prescripción se invoca sanciona el tratamiento de datos sin consentimiento y, tal y como se ha acreditado, los datos del denunciante permanecieron incluidos en el fichero BADEXCUG al menos hasta el 6 de febrero de 2011, (hecho probado décimo).

Como la entidad denunciada conoce perfectamente el mantenimiento de una incidencia en un fichero de esa naturaleza lleva a cabo únicamente si la empresa informante continúa actualizando periódicamente la información comunicada al mismo. En definitiva, para que los datos personales comunicados por F.T. al fichero de morosidad sigan activos es presupuesto indispensable que sigan siendo objeto de tratamiento en los ficheros de la compañía y además se confirmen los mismos al fichero de morosidad con cierta regularidad. De no actuar así se provocaría la baja de la incidencia, como ocurrió en el presente asunto respecto a la primera inclusión que F.T. realizó en Badexcug, cuya baja tuvo lugar, por proceso semanal de actualización de datos, el 13 de septiembre de 2009. Pese a ello, F.T. comunicó de nuevo los datos al citado fichero en fecha 11 xx xxxxx de 2010, lo que demuestra sin lugar a dudas que los datos continuaban siendo tratados en sus ficheros sin legitimación para ello.

En consecuencia, habida cuenta de que el acuerdo de inicio se notificó a F.T. el 2 de diciembre de 2011 y que los datos de la denunciante se dieron de baja del fichero Badexcug el 6 de febrero de 2011, resulta obvio que en la fecha de apertura de este

expediente no había transcurrido el plazo de prescripción fijado por el artículo 47 de la LOPD.

En atención a los argumentos expuestos esta cuestión previa no puede prosperar.

C) La representación de F.T. invoca también la existencia de una cuestión prejudicial penal en el asunto que nos ocupa y considera que, al amparo del artículo 114 de la Ley de Enjuiciamiento Criminal y 7 del R.D. 1398/1993, debe de suspenderse el curso y la tramitación de este expediente sancionador hasta que recaiga Sentencia firme en la causa criminal que se está tramitando. A tal efecto informa que en el Juzgado de Instrucción número 1 de San Xxxxxxxxx se siguen las Diligencias Previas 3792/2010 por estos hechos.

Sostiene en primer término la representación de F.T. que la Agencia debería solicitar al órgano jurisdiccional penal que esté conociendo del procedimiento la “comunicación sobre las actuaciones adoptadas” a la que se refiere el artículo 7 del R.D. 1398/1993. Y advierte que si la AEPD no solicita la referida comunicación de las actuaciones penales, la resolución sancionadora que pudiera recaer adolecería de nulidad por aplicación de los artículos 62 y siguientes de la Ley 30/1992.

Resulta conveniente reproducir el texto del artículo 7 del R.D. 1398/1993, precepto que dispone:

“1. En cualquier momento del procedimiento sancionador en que los órganos competentes estimen que los hechos también pudieran ser constitutivos de ilícito penal, lo comunicarán al Ministerio Fiscal, solicitándole testimonio sobre las actuaciones practicadas respecto de la comunicación.

En estos supuestos, así como cuando los órganos competentes tengan conocimiento de que se está desarrollando un proceso penal sobre los mismos hechos, solicitarán del órgano judicial comunicación sobre las actuaciones adoptadas.

2. Recibida la comunicación, y si se estima que existe identidad de sujeto, hecho y fundamento entre la infracción administrativa y la infracción penal que pudiera corresponder, el órgano competente para la resolución del procedimiento acordará su suspensión hasta que recaiga la resolución judicial.” (El subrayado es de la AEPD)

Pues bien, sobre la cuestión prejudicial penal planteada basta señalar que en ningún caso podría existir triple identidad, (de sujeto, hecho y fundamento) entre la infracción administrativa que se valora en este expediente sancionador y la posible infracción o infracciones penales que se deriven de las Diligencias Previas practicadas por el órgano jurisdiccional. Triple identidad a cuya concurrencia la norma (artículo 7 del R.D. 1398/1993) supedita que el órgano competente para resolver el expediente sancionador acuerde la suspensión del mismo. Esto, porque ni el fundamente jurídico de las infracciones penal y administrativa sería el mismo (el bien jurídico protegido es diferente en ambos casos), ni tampoco coincidirían, como parece obvio, el sujeto activo de la infracción penal y el de la infracción administrativa. Por las mismas razones no se considera necesario solicitar al Juzgado de Instrucción nº 1 de San Xxxxxxxxx, tal y como pide la representación de la denunciada, la comunicación de las actuaciones procesales llevadas a cabo.

En atención a los argumentos expuestos esta cuestión previa no puede prosperar.

III

La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, en su artículo 6, apartados 1 y 2, bajo la rúbrica “consentimiento del afectado”, dispone:

“1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6,de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el xxx xxxxxxx a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

El artículo 4.3 de la LOPD, referente a la “calidad de los datos”, establece:

“3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado”.

El artículo 29 de la Ley Orgánica 15/1999 señala en sus apartados 2 y 4:

“Podrán tratarse también datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos en la presente Ley”.

“Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquellos”.

Estos preceptos deben integrarse con la definición legal de “tratamiento de datos” y “consentimiento del interesado” que ofrecen, respectivamente, los artículos 3, c) y 3, h) de la LOPD: “operaciones y procedimientos técnicos, de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”; “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”.

Por su parte, el R.D. 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de Protección de Datos de

Carácter Personal, (en lo sucesivo RLOPD), en su artículo 38 y bajo la rúbrica “Requisitos para la inclusión de los datos” dispone:

“1. Solo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:

a) Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada (…).”

IV

Sobre la infracción del artículo 6.1 de la LOPD que se imputa a F.T. procede hacer las siguientes consideraciones:

A) El artículo 6 de la Ley Orgánica 15/1999 consagra el “principio del consentimiento o autodeterminación”, piedra angular en la construcción del derecho fundamental a la protección de datos que alude a la necesidad de contar con el consentimiento del afectado para que puedan tratarse sus datos personales. Conforme al citado precepto, el tratamiento de datos sin consentimiento o sin otra habilitación amparada en la Ley constituye una vulneración de este derecho, pues únicamente el consentimiento, con las excepciones contempladas en la ley, legitima el tratamiento.

El Tribunal Constitucional, en su Sentencia 292/2000, de 30 de noviembre (Fundamento Jurídico 7), se refiere al contenido esencial de este derecho fundamental y expone que “consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (…)” (El subrayado es de la AEPD)

B) De acuerdo con las disposiciones trascritas en el Fundamento de Derecho II el tratamiento de los datos personales de un tercero exige contar con el consentimiento previo e inequívoco de su titular, exigencia de la que se dispensa al responsable del fichero - entre otros supuestos previstos en la Ley Orgánica 15/1999-, cuando el tratamiento en cuestión se refiera a las partes de un contrato o precontrato y sea necesario para su mantenimiento o cumplimiento, (artículo 6.2 de la citada Ley Orgánica).

Es un hecho probado que en los ficheros de F.T. las líneas de telefonía móvil números ***TEL.1 y ***TEL.2, sobre las que gira esta controversia, estaban vinculadas a los datos personales de la denunciante (nombre y apellidos y número de NIF), quien figuraba en los ficheros de la compañía como su titular. Las líneas mencionadas figuran activadas, asociadas a los datos personales de la afectada, el 10 xx xxxxx de 2008 y

dadas de baja por impago el 30 xx xxxxxx de 2008, (folios 100 y 101, hecho probado noveno).

Resulta asimismo acreditado que F.T. giró diversas facturas (tres en total) vinculadas a esas líneas de telefonía en las que consta el nombre, apellidos y DNI de la denunciante, (hecho probado noveno, folio 101).

Es esencial a los efectos que nos ocupan determinar si la entidad denunciada contaba con el consentimiento inequívoco de la titular de los datos para el tratamiento realizado o si, al menos, F.T. adoptó las medidas que la diligencia exige a fin de acreditar que la persona de quien recabó y obtuvo el consentimiento al tratamiento era su titular; única hipótesis en la que el tratamiento que ha venido haciendo de los datos de la afectada tendría amparo legal.

Con este propósito se solicitó a F.T., tanto durante las actuaciones previas de inspección como durante la fase de prueba, que aportara la Agencia copia del documento, cualquiera que fuese el soporte en el que conste, que acreditara que contaba con el consentimiento de la Sra A.A.A. para el tratamiento de sus datos vinculado al alta de las líneas de telefonía móvil números ***TEL.1 y ***TEL.2.

En particular se le requirió durante las actuaciones previas de inspección “copia de los contratos suscritos por el afectado, incluyendo condiciones generales y particulares aplicables” si la contratación se realizó por escrito; para el caso de que se hubiera celebrado telefónicamente copia completa de la grabación; y si el contrató se celebró a través de internet “acreditación de las marcas realizadas por los contratantes para otorgar su consentimiento y detalle de las medidas adoptadas para garantizar la identidad del contratante”, (folio 25).

Pues bien, la operadora, después de haber solicitado ampliación del plazo para responder al requerimiento informativo debido a la “extensión del expediente” (folio 48), se limitó a responder que la denunciante había solicitado la cancelación de sus datos en fecha 27 de octubre de 2010; a informar de la respuesta de F.T. a esa petición y a señalar que había anulado las facturas al no existir consumos, de forma que en esa fecha, 12 de julio de 2011, no disponía en sus ficheros de datos personales de la afectada. En definitiva F.T. no aportó ningún documento que pudiera amparar el tratamiento que de los datos personales de la afectada había venido realizando.

Posteriormente, al evacuar el trámite de prueba, la operadora denunciada vino a reconocer que la contratación de las líneas controvertidas se había efectuado telemáticamente, dado que afirmó “el distribuidor asociado fue la tienda on line de Orange”, (folio 99). Por otra parte la denunciada, después de aportar impresiones de pantalla en las que se refleja que las líneas controvertidas se habían dado de alta asociadas al nombre, dos apellidos y NIF de la denunciante, asignándole un domicilio en Palma de Mallorca, declaró que aportaba “ Copias de los dos contratos celebrados por la cliente”. Documentos, identificados por F.T. como anexos 1 y 2 que se corresponden con los folios 106 y 108 del expediente.

Los documentos mencionados deben ser objeto de un análisis detallado. En primer lugar los supuestos “dos” contratos son en realidad uno solo, ya que las copias aportadas son absolutamente idénticas entre sí, incluso tienen el mismo código xx

xxxxxx (***CÓDIGO.1). Por otra parte son también exactamente iguales a la copia (tres copias idénticas) que la denunciante acompañó a su denuncia y que F.T. le había facilitado. Como se ha puesto de manifiesto en los hechos probados (ver hechos probados quinto a, y sexto), estos teóricos documentos contractuales carecen de elementos esenciales; elementos necesarios no solo para determinar el objeto de la contratación, sino también para demostrar que efectivamente se prestó el consentimiento a la misma.

Llama la atención que en estas copias de los supuestos contratos los apartados destinados a recoger esa información aparezcan en blanco. Así, están vacíos los espacios destinados a la firma del contratante y al servicio contratado. Por otra parte los documentos escritos aportados (que responden a un formulario de contrato escrito celebrado presencialmente en un distribuidor) carecen de razón de ser si damos por bueno lo manifestado por F.T., que la contratación se celebró telemáticamente.

Llegados a este punto es necesario indicar que el sistema de contratación telemática es un método válido y admitido en derecho del que se ocupa el Real Decreto 1906/1999, por el que se regula la contratación telefónica o electrónica con condiciones generales en desarrollo del artículo 5.3 de la Ley 7/1998, de 13 xx xxxxx, de condiciones generales de la contratación.

El artículo 5.3 de la citada Ley 7/1998 establece que “en los casos de contratación telefónica o electrónica será necesario que conste en los términos que reglamentariamente se establezcan la aceptación de todas y cada una de las cláusulas del contrato, sin necesidad de firma convencional. En este supuesto, se enviará inmediatamente al consumidor justificación escrita de la contratación efectuada, donde constarán todos los términos de la misma” (el subrayado es de la AEPD).

El R.D. 1906/1999 reitera la obligación de confirmar documentalmente la contratación efectuada por vía telefónica, electrónica o telemática y dispone en su artículo 5.1 y 2 lo siguiente:

“1. La carga de la prueba sobre la existencia y contenido de la información previa de las cláusulas del contrato; de la entrega de las condiciones generales; de la justificación documental de la contratación una vez efectuada; de la renuncia expresa al derecho de resolución; así como de la correspondencia entre la información, entrega y justificación documental y el momento de sus respectivos envíos, corresponde al predisponente.

2.A estos efectos, y sin perjuicio de cualquier otro medio de prueba admitido en derecho, cualquier documento que contenga la citada información aún cuando no se haya extendido en soporte papel, como las cintas de grabaciones sonoras, los disquetes y, en particular, los documentos electrónicos y telemáticos, siempre que quede garantizada su autenticidad, la identificación fiable de los manifestantes, su integridad, la no alteración del contenido de lo manifestado, así como el momento de su emisión y recepción, será aceptada en su caso, como medio de prueba en los términos resultantes de la legislación aplicable...” (El subrayado es de la AEPD).

Por otra parte es fundamental insistir que es a la entidad que trata los datos a quien incumbe la carga de la prueba del consentimiento y que la LOPD exige que sea el titular de los datos quien preste su consentimiento inequívoco; pues a él, y no a un tercero, le corresponde el poder de disposición sobre ellos. Con toda claridad el artículo

3.h de la LOPD, al definir el consentimiento, se refiere a la manifestación de voluntad

que el interesado hace respecto a los “datos que le conciernan”.

La doctrina sentada por la Audiencia Nacional sobre la carga de la prueba ha seguido la misma orientación. Ya en su Sentencia de 21 de diciembre de 2001 el Tribunal expuso que “ ….. de acuerdo con el principio que rige en materia probatoria (art. 1214 del Código Civil) la Agencia de Protección de Datos probó el hecho constitutivo que era el tratamiento automatizado de los datos personales de D…. (nombre, apellidos y xxxxxxxxx), y a la recurrente incumbía el hecho impeditivo o extintivo, cuál era el consentimiento del mismo.

Es decir, ……debía acreditar el consentimiento del afectado para el tratamiento automatizado de datos personales, o justificar que el supuesto examinado concurre alguna de las excepciones al principio general del consentimiento consagrado en el art.

6.1 de la Ley Orgánica 5/1992. Y nada de esto ha sucedido”.

En la misma línea cabe citar la XXXX de 31 xx xxxx de 2006, Recurso 539/2004, en cuyo Fundamento de Derecho Cuarto se indica: “Por otra parte es al responsable del tratamiento (por todas, sentencia de esta Sala de 25 de octubre de 2002 Rec. 185/2001) a quien corresponde asegurarse de que aquel a quien se solicita el consentimiento, efectivamente lo da, y que esa persona que está dando el consentimiento es efectivamente el titular de esos datos personales, debiendo conservar la prueba del cumplimiento de la obligación a disposición de la Administración, encargada de velar por el cumplimiento de la Ley” .

Más recientemente la XXXX de 27 de enero de 2011, (Rec 349/2009), ratifica el criterio precedente y en su Fundamento de Derecho Tercero expone: “…constituye doctrina reiteradísima y consolidada de la Sala, derivada del calificativo de inequívoco que acompaña en el artículo 6 LOPD a la prestación del consentimiento por el titular de los datos, que la negativa del afectado, en el sentido de no haber cumplimentado ningún contrato con la entidad que trata dichos datos personales, traslada a este último la carga de la prueba”. (El subrayado es de la AEPD).

Tomando en consideración que la denunciada no ha presentado ninguna prueba que demuestre que la denunciante, Sra, A.A.A., hubiera consentido la contratación de las líneas de telefonía móvil controvertidas a la que figuran asociados en sus ficheros sus datos personales, ni ha aportado tampoco prueba alguna que demuestre que la entidad articuló los mecanismos encaminados a acreditar la identidad de la persona que prestó el consentimiento a la contratación de las líneas telefónicas - medidas que son exigibles tanto al amparo del R.D. 1906/1999 como a tenor de la diligencia que es preciso desplegar en el desarrollo de su actividad profesional-, estimamos que la conducta de F.T. anteriormente descrita, vulnera el principio del consentimiento que proclama el artículo 6.1 de la LOPD, infracción tipificada en el artículo 44.3.b) de la citada Ley Orgánica que dispone: “Son infracciones graves, (..): b) Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo”.

V

Por lo que respecta a la presunta infracción del artículo 4.3 de la LOPD que se imputa a F.T. deben hacerse las siguientes consideraciones:

A) Los principios generales de protección de datos regulados en los artículos 4 a 12, que integran el Título II de la Ley Orgánica 15/1999, constituyen el contenido esencial de este derecho fundamental. La Audiencia Nacional en diversas sentencias (entre otras SAN de 24 xx xxxxx de 2004 y 7 de julio de 2006) ha señalado que los principios generales contenidos en el Título II de la LOPD definen las pautas a las que debe atenerse la recogida, tratamiento y uso de los datos de carácter personal. En este sentido, la XXXX de 25 de julio de 2006 manifiesta: “…dichos principios sirven para delimitar el marco en el que debe desenvolverse cualquier uso o cesión de los datos de carácter personal y para integrar la definición de los tipos de infracción definidos en el artículo 44 de la LOPD, pues este precepto aborda la tipificación de las distintas infracciones mediante una remisión a los principios definidos en la propia Ley”. Entre tales principios se recoge –artículo 4.3- el de exactitud o veracidad, a través del cual se trata de garantizar y proteger la calidad de la información sometida a tratamiento -exacta y puesta al día- por la que debe velar quien recoge y trata datos de carácter personal.

La Directiva 95/46 CE, del Parlamento Europeo y del Consejo, que traspone la LOPD, establece en su artículo 6. I. d) que “Los Estados miembros dispondrán que los datos personales sean….d) exactos, y cuando sea necesario, actualizados. Deberán tomarse todas las medidas razonables para que los datos inexactos o incompatibles, con respeto a los fines para los que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o rectificados”, indicando el apartado 6.2 que “Corresponderá a los responsables del tratamiento garantizar el cumplimiento de los dispuesto en el apartado I”

B) Las normas jurídicas reproducidas en el Fundamento de Derecho II ponen de manifiesto que la comunicación de los datos de un tercero a un fichero de solvencia patrimonial exige, por una parte, que la deuda sea cierta, vencida, exigible y que haya resultado impagada, y por otra, que se haya requerido de pago al deudor antes de informar los datos a la entidad responsable de la gestión del fichero. Conviene recordar, además, que es el acreedor que informa los datos al fichero el responsable de comprobar que éstos se ajustan a los requisitos establecidos en el artículo 4 de la LOPD y su normativa de desarrollo.

Consta acreditado en esta Agencia que las entidades asociadas a los ficheros de solvencia patrimonial suministran periódicamente las relaciones de altas, bajas y modificaciones de los datos de sus clientes para que tales actualizaciones queden registradas en el fichero, siendo las entidades informantes las que deciden sobre el alta, el mantenimiento y la cancelación de los datos de los clientes de los referidos ficheros.

C) En el presente caso constituye un hecho probado que F.T. incorporó a sus sistemas informáticos los datos personales de la denunciante (su nombre, apellidos y número de DNI) asociados a dos líneas de telefonía móvil de las que ella no era titular, toda vez que, como se ha expuesto en el Fundamento Jurídico precedente, la operadora no ha acreditado que la afectada hubiera otorgado el consentimiento inequívoco al que la LOPD supedita la legalidad del tratamiento de los datos personales de un tercero.

Por tal razón, el tratamiento de esos datos, materializado además en la emisión de tres facturas por un servicio que la denunciante no contrató, - facturas ***FACTURA.2, de 21 xx xxxxx de 2008, por importe de 45,82 €; ***FACTURA.3, de 21 xx xxxxx de

2008, por importe de 20,68 €; y ***FACTURA.1, de 21 de septiembre de 2008, por importe de 313,200 €-, determinó que la operadora le imputara una deuda que, respecto a la Sra. A.A.A., no era cierta, ni vencida ni exigible.

Posteriormente, ante el impago de la deuda generada, F.T. comunicó al fichero de solvencia patrimonial BADEXCUG con fecha de alta 11 xx xxxxx de 2009 una incidencia asociada a sus datos personales por un saldo deudor de 379,70 €. Esta incidencia se dio de baja en fecha 13 de septiembre de 2009, (hecho probado décimo, folios 30 y 34).

Sin embargo, F.T. procedió a incluir en Badexcug por segunda vez los datos personales de la afectada vinculados a una deuda de la que no era responsable. Esta segunda incidencia se dio de alta el 11 xx xxxxx de 2010 y de baja el 6 de febrero de 2011, (hecho probado décimo).

En consecuencia, los datos de la denunciante fueron incluidos por F.T. en el fichero de morosidad vinculados a una deuda a la que era ajena; deuda que no era cierta, ni vencida ni exigible desde la perspectiva de la afectada, por cuanto no tenía la condición de deudora. De manera que la información comunicada por la operadora a Badexcug no se ajustó al principio de exactitud y veracidad, corolario del principio de calidad del dato, que proclama el artículo 4.3, en relación con el 29.4 de la LOPD, y con el artículo 38 del Reglamento de desarrollo de la LOPD. El artículo 38.1 del RLOPD establece que solo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado si concurren determinados requisitos, señalando entre ellos la existencia previa a la comunicación de la incidencia de una deuda cierta, vencida y exigible que haya resultado impagada. Condición que como se ha puesto de manifiesto en el presente caso no se ha cumplido, toda vez que la deuda que F.T. vinculó a la denunciante e informó a Xxxxxxxx no cumplía respecto a ella la condición de “deuda cierta”, en tanto no contrató con la operadora el servicio de telecomunicaciones que se le atribuye ni adeudaba a aquella importe alguno. Se concluye por tanto que F.T. mantuvo los datos personales de la Sra. A.A.A., sin justificación legal para ello, en un fichero de morosidad, durante más de 14 meses.

Por otra parte, es digno de destacar -en cuanto incide en la culpabilidad de la entidad imputada-, que la denunciante ejerció ante F.T. el derecho a la cancelación de sus datos personales y que la entidad denegó su petición mediante carta fechada el 9 de noviembre de 2010 en la que dijo textualmente: “Tras recibir su solicitud de cancelación de datos personales, sentimos informarles que la misma no puede ser tramitada por existir una obligación de pago pendiente por su parte con FRANCE TELECOM ESPAÑA, S.A. en relación con el servicio de telefonía móvil…..”, (folio 18). Pues bien, F.T. no canceló los datos de sus ficheros sino que los mantuvo varios meses después de haber recibido la solicitud de cancelación, exactamente durante casi tres meses más. La cancelación de los datos del fichero Badexcug, que se hizo efectiva el 6 de febrero de 2011, se produjo con posterioridad a la interposición de la denuncia de la afectada ante la AEPD ( que data del 13 de diciembre de 2010), y después de que la afectada hubiera reclamado ante la Consejería de Industria, Comercio y Turismo del Gobierno Xxxxx, lo que aconteció el 25 de noviembre de 2010 (hecho probado tercero).

La conducta anteriormente descrita vulnera el principio de calidad del dato

consagrado en el artículo 4.3 en relación con el 29.4 de la LOPD y el 38.1.a, del RLOPD, infracción tipificada en el artículo 44.3.c) de la citada norma, que dispone: “Son infracciones graves, (..) c) Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo”.

VI

Corresponde examinar a continuación si la conducta de F.T., a cuyo examen se dedican los Fundamentos Jurídicos precedentes y que estimamos vulnera los artículos

6.1 y 4.3 de la LOPD, puede subsumirse en los tipos sancionadores contemplados en los artículos 44.3.b y 44.3.c y si, en tal caso, ambas infracciones son imputables a la operadora mencionada.

A) Respecto a la primera de estas cuestiones cabe señalar que, una vez constatado que la entidad realizó la acción típica – infracción de los principios del consentimiento y de calidad del dato–, procede analizar si concurre el elemento subjetivo de la culpabilidad cuya presencia es esencial para exigir en el ámbito del Derecho Administrativo Sancionador responsabilidad por el ilícito cometido, pues no cabe en este marco imponer sanciones basadas en la responsabilidad objetiva del presunto infractor. Así, en STC 76/1999 el Alto Tribunal afirma que las sanciones administrativas participan de la misma naturaleza que las penales, al ser una de las manifestaciones del ius puniendi del Estado y que, como exigencia derivada de los principios de seguridad jurídica y legalidad penal consagrados en los artículos 9.3 y 25.1 de la CE, es imprescindible la presencia de este elemento para imponerlas.

El artículo 130.1 de la LRJPAC recoge el principio de culpabilidad en el marco del procedimiento administrativo sancionador y dispone: “Sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aun a título de simple inobservancia. Del tenor del artículo 130.1 de la LRJPAC se concluye que bastará la “simple inobservancia” para apreciar la presencia de culpabilidad a título de negligencia, expresión que alude a la omisión del deber de cuidado que exige el respeto a la norma.

Conviene traer x xxxxxxxx en este caso la Sentencia de la Audiencia Nacional de 17 de octubre de 2007 (Rec. 63/2006), en la que el Tribunal expone que “....el ilícito administrativo previsto en el artículo 44.3.d) de la LOPD se consuma, como suele ser la norma general en las infracciones administrativas, por la concurrencia de culpa leve. En efecto, el principio de culpabilidad previsto en el artículo 130.1 de la Ley 30/1992 dispone que solo pueden ser sancionadas por hechos constitutivos de infracciones administrativas los responsables de los mismos, aún a título de simple inobservancia. Esta simple inobservancia no puede ser entendida como la admisión en Derecho administrativo sancionador de la responsabilidad objetiva ”

La jurisprudencia exige a aquellas entidades en las que el desarrollo de su actividad conlleva un continuo tratamiento de datos de clientes y terceros que observen un adecuado nivel de diligencia. En la Sentencia anteriormente citada la Audiencia Nacional precisó que “….el Tribunal Supremo viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el infractor no se comporta con la diligencia exigible. Y en la valoración del grado de

diligencia ha de ponderarse especialmente la profesionalidad o no del sujeto, y no cabe duda de que, en el caso ahora examinado, cuando la actividad de la recurrente es de constante y abundante manejo de datos de carácter personal ha de insistirse en el rigor y el exquisito cuidado por ajustarse a las prevenciones legales al respecto”.

Centrándonos en el supuesto que analizamos el elemento subjetivo de la culpabilidad se concreta en la falta de diligencia observada por F.T. en dos ocasiones distintas. Falta de diligencia al tiempo de realizar la contratación, es decir con ocasión de dar de alta las líneas controvertidas, -toda vez que como resulta de los expuesto la operadora no adoptó ninguna medida, a las que viene obligada tanto por la normativa de protección de datos como por el R.D. 1906/1999 que desarrolla la Ley 7/1998, de 13 xx xxxxx, de condiciones generales de la contratación (artículo 5.3), a fin de garantizar que quien presta el consentimiento es efectivamente el titular de los datos tratados-. Y falta de diligencia también en un momento posterior, al tiempo de comunicar los datos personales de la afectada al fichero de información sobre solvencia patrimonial y crédito. A consecuencia de lo cual los datos de la denunciante permanecieron incluidos en Badexcug, sin justificación legal para ello, durante más de 14 meses.

B) Respecto a la segunda de las cuestiones planteadas, la Ley Orgánica 15/1999 en su artículo 43.1 indica que “los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador establecido en la presente Ley”. Por su parte, el artículo 3 d) del citado texto legal considera “responsable del fichero o tratamiento” a la “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”. En consecuencia, F.T., en cuanto responsable del fichero al que se incorporaron los datos personales de la afectada vinculados a dos productos de telecomunicaciones sin su consentimiento, y responsable del tratamiento de estos datos materializado en su inclusión en el fichero de morosidad, es responsable de las infracciones de los artículos

6.1 y 4.3 de la LOPD

VII

El artículo 45 de la LOPD, apartados 1 a 5, según redacción introducida por la Ley 2/2011, de 4 xx xxxxx, de Economía Sostenible, dispone:

“1. Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.

2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.

3. Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros.

4. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:

a) El carácter continuado de la infracción.

b) El volumen de los tratamientos efectuados.

c) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.

d) El volumen de negocio o actividad del infractor.

e) Los beneficios obtenidos como consecuencia de la comisión de la infracción.

f) El grado de intencionalidad.

g) La reincidencia por comisión de infracciones de la misma naturaleza.

h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.

i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de Ios datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.

j) Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.

5. El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos:

a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo.

b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.

c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.

d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.

e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.»

El apartado 45.5 de la LOPD deriva del principio de proporcionalidad de la sanción y permite fijar su cuantía “…aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate". Para ello es necesario la concurrencia de, o bien una cualificada disminución de la culpabilidad del imputado, o bien de la antijuridicidad del hecho, o bien de alguna otra de las circunstancias que el mismo precepto cita.

En tal sentido la XXXX de 21 de enero de 2004 (recurso 1939/2001), señaló que dicho precepto “…no es sino manifestación del llamado principio de proporcionalidad (artículo 131.1 de la LRJPAC), incluido en el más general del prohibición de exceso, reconocido por la jurisprudencia como principio general del Derecho. Ahora bien, la presente regla debe aplicarse con exquisita ponderación y sólo en los casos en los que la culpabilidad y la antijuridicidad resulten sustancialmente atenuadas, atendidas las circunstancias del caso concreto. Lo cual insistimos puede darse, por excepción, en casos muy extremos (de aquí la expresión “especialmente cualificada”) y concretos.

F.T., por su parte, ha solicitado la aplicación del artículo 45.5 de la LOPD y ha invocado en ese sentido el Acta 952/2006 de la Inspección de la Agencia que refleja las medidas implementadas en orden a la tutela debida de los derechos de los clientes a la protección de datos personales. Ha puesto de manifiesto también las siguientes circunstancias que, en su opinión, son exponente de una menor antijuridicidad y culpabilidad: a) que el perjuicio causado al denunciante es inexistente; b) que una vez que hubo conocido los hechos procedió con carácter inmediato a cancelar el aprovisionamiento; c) que la aplicación del artículo 45.5 sería congruente con la doctrina jurisprudencial reflejada en la XXXX de 27 de octubre de 2006, según la cual los simples

errores de las compañías en los que se vean afectados datos personales de sus clientes no determinan, automáticamente, la existencia de una infracción en materia de protección de datos.

Ninguna de las consideraciones expuestas puede ser atendida. Por lo que atañe al Acta 952/2006 de la Inspección de la Agencia, nos remitimos al criterio que sobre esta cuestión viene manteniendo la Audiencia Nacional y que se refleja con claridad en su Sentencia de 24 de septiembre de 2009, Fundamento Jurídico sexto. En cuanto a la doctrina jurisprudencial expuesta, entre otras, en la Sentencia de la A.N. de 27 de octubre de 2006, conforme a la cual los simples errores en la operativa de las compañías no determinan automáticamente la existencia de una infracción en materia de protección de datos personales- tampoco puede servir de fundamento a la aplicación del artículo 45.5 de la Ley Orgánica 15/1999, pues a la vista de los hechos probados la conducta de la entidad es difícilmente calificable de “mero error”. La Audiencia Nacional ha declarado en diversas sentencias (por todas XXXX de 25 de octubre de 2002), “… que dada la importancia del bien jurídico protegido, la privacidad de las personas, quienes se dediquen a actividades que impliquen el tratamiento de datos personales deben ser especialmente diligentes y cuidadosos a la hora de tratarlos…”.

El último de los alegatos de la denunciada en aras a obtener la aplicación de la atenuante privilegiada del artículo 45.5 de la LOPD es que una vez que hubo conocido los hechos procedió con carácter inmediato a cancelar el aprovisionamiento, por lo que tal conducta debería encuadrarse en la circunstancia contemplada en el apartado b) del precepto. Sin embargo, los hechos probados no permiten calificar de rápida y diligente la respuesta de F.T. hasta el punto que pueda justificar la aplicación del efecto jurídico previsto en el artículo 45.5 de la LOPD. Esto, porque F.T. no reaccionó con inmediatez nada más tener noticia de los hechos acontecidos, dado que, como se refleja en los hechos probados, la denunciante se dirigió a F.T. solicitando la cancelación de sus datos el 27 de octubre de 2010 y la operadora le respondió el 9 de noviembre de 2010 denegando la cancelación. La denunciante presentó también reclamación en la Consejería de Industria, Turismo y Comercio del Gobierno Xxxxx el 25 de noviembre de 2010 y denuncia en la Policía el 18 de noviembre de 2010. Es más, F.T. tras denegar a la afectada la cancelación que le había solicitado, continuó tratando sus datos personales sin legitimación para ello y los mantuvo incluidos en el fichero de morosidad BADEXCUG hasta el 6 de febrero de 2011. En atención a lo expuesto estimamos que no es posible valorar tal conducta como exponente de una reacción diligente de la entidad que sea susceptible de justificar la aplicación del efecto jurídico contemplado en el artículo 45.5 de la LOPD.

Por lo expuesto, al tener la infracción cometida la consideración de infracción grave, procede imponer una multa cuyo importe oscile entre 40.001 € y 300.000 €, en aplicación de lo señalado en el apartado 2 del citado artículo 45.

En cuanto a los criterios de graduación de las sanciones contemplados en el artículo 45.4 de la LOPD, consideramos que concurren diversas circunstancias que operan como agravantes de la conducta que ahora se enjuicia. Entre ellas cabe citar el carácter continuado de la infracción imputada, (apartado a) del artículo 45.4); y el importante volumen de negocio de F.T. (apartado d), del artículo 45.4), dado que se trata de uno de los tres grande operadores del país por cuota xx xxxxxxx, hecho notorio sobre el que no es necesaria prueba. Están presentes también las circunstancias

recogidas en los apartados siguientes del artículo 45.4 ya citado: apartado c), que versa sobre la vinculación de la actividad profesional de F.T. con la realización de tratamientos de datos de carácter personal, pues el desarrollo de su actividad empresarial exige un constante tratamiento de datos personales tanto de clientes como de terceros; y la circunstancia descrita en el apartado g), del precepto: “La reincidencia por comisión de infracciones de la misma naturaleza”. A tal efecto y a título de ejemplo pueden citarse las siguientes resoluciones sancionadoras dictadas por el Director de la AEPD por haber infringido esta entidad los artículos 6.1 y 4.3 de la LOPD; resoluciones que han devenido firmes: R/02861/2011, firmada el 23 de diciembre de 2001 y recaída en el PS/00362/2011; R/02839/2011, firmada el 23 de diciembre de 2011 y recaída en el PS/00359/2011; y R/02548/2011, firmada el 25 de noviembre de 2011 y recaída en el PS/00258/2011.

En el presente caso, valorados los criterios de graduación de las sanciones previstos en el artículo 45.4 de la LOPD, cuya presencia ha quedado acreditada, y habida cuenta de que no concurre ninguna de las circunstancias que se mencionan en el artículo 45.5 de esta norma, se acuerda imponer a FRANCE TELECOM ESPAÑA,

S.A. una multa de 50.000 € (cincuenta mil euros) por cada una de las infracciones, artículos 6.1 y 4.3 de la LOPD, de las que es responsable.>>

III

Como se advierte en el Hecho Tercero de esta resolución todas las cuestiones que F.T. plantea en su recurso fueron ya convenientemente examinadas en la resolución impugnada. No obstante, es necesario hacer algunas puntualizaciones respecto a algunos de los argumentos que ahora esgrime en su defensa.

La prescripción de la infracción del artículo 6.1 LOPD fue analizada en el Fundamento de Derecho II, B) de la resolución recurrida. En el escrito de recurso F.T. vuelve a plantearla y trae x xxxxxxxx la XXXX de 11 de febrero de 2010, cuyo pronunciamiento incide directamente en el cómputo de los plazos de prescripción de la infracción del artículo 6.1 LOPD, toda vez que hace coincidir el término inicial de dicho cómputo ( dies a quo) con la fecha en la que las líneas se dieron de baja. En atención a ello y puesto que las líneas controvertidas fueron “desactivadas” en agosto de 2008 entiende prescrita la infracción en la fecha en la que se acordó la iniciación del expediente sancionador, el 2 de diciembre de 2011.

En respuesta a este alegato de la recurrente basta decir que, como F.T. conoce, la Sentencia que invoca no coincide con la doctrina mantenida de modo constante y reiterado por la Audiencia Nacional. Con posterioridad ha habido numerosas resoluciones judiciales de la Sala de lo Contencioso Administrativo de la Audiencia que siguen el criterio del que la Agencia se ha hecho eco en la resolución que recurre. Así, la XXXX de 24 xx xxxxx de 2010, ( Rec. 539/2007), que F.T. conoce bien, por cuanto fue ella la parte recurrente, que despeja las dudas que pudiera tener acerca del término inicial para el cómputo del plazo. En el Fundamento de Derecho Tercero de la referida SAN se indica:

“Sostiene asimismo la demandante que se ha producido la prescripción de ambas infracciones imputadas, de los artículos 6.1 y 4.3 de la LOPD, argumentándose que han

transcurrido más de dos años desde que se cometieron las mismas, (…)

Tampoco es admisible el argumento de la recurrente según el cual la AEPD ha vulnerado el principio de presunción de inocencia al haber aplicado erróneamente la regla de distribución de la carga de la prueba de las obligaciones para exigir a F.T. que acredite que es inocente.

La cuestión relativa a la carga de la prueba ha sido expuesta en la resolución impugnada con apoyo de una prolija referencia jurisprudencial que confirma el criterio seguido por la Agencia. Basta a tal efecto recordar la XXXX de 27 de enero de 2011, (Rec 349/2009) cuyo Fundamento de Derecho Tercero expone: “…constituye doctrina reiteradísima y consolidada de la Sala, derivada del calificativo de inequívoco que acompaña en el artículo 6 LOPD a la prestación del consentimiento por el titular de los datos, que la negativa del afectado, en el sentido de no haber cumplimentado ningún contrato con la entidad que trata dichos datos personales, traslada a este último la carga de la prueba”. (El subrayado es de la AEPD).

Finalmente debe indicarse que no procede estimar la pretensión de la recurrente de que se reduzca el importe de la sanción impuesta, dado que no se aprecia ninguna de las circunstancias que justifican la aplicación del artículo 45.5 LOPD. A tal fin nos remitimos al Fundamento Jurídico VII de la resolución impugnada.

Por lo tanto, en el presente recurso de reposición, F.T. no ha aportado nuevos hechos o argumentos jurídicos que permitan reconsiderar la validez de la resolución impugnada.

Vistos los preceptos citados y demás de general aplicación,

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: DESESTIMAR el recurso de reposición interpuesto por FRANCE TELECOM ESPAÑA S.A. contra la Resolución de esta Agencia Española de Protección de Datos dictada con fecha 29 xx xxxx de 2012, en el procedimiento sancionador PS/00579/2011.

SEGUNDO: NOTIFICAR la presente resolución a la entidad FRANCE TELECOM ESPAÑA S.A.

De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD.

Contra esta resolución, que pone fin a la vía administrativa, se podrá interponer en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto según lo previsto en el artículo 46.1 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta del referido texto legal.

Xxxx Xxxx Xxxxxxxxx Xxxxxxx

Director de la Agencia Española de Protección de Datos

Document Metadata

Table of Contents

HECHOS

Document Metadata

HECHOS

MALLORCA, BALEARES”. En la factura, por un importe de 313,20 €, se incluye un desglose de cargos y una mención a dos números de teléfono: ***TEL.1 y ***TEL.2, (folios 11 y 12)

<< II

III

IV

V

VI

VII

Document Metadata

MALLORCA, BALEARES”. En la factura, por un importe de 313,20 €, se incluye un desglose de cargos y una mención a dos números de teléfono: TEL.1 y TEL.2, (folios 11 y 12)