HECHOS
1/17
Procedimiento nº.: PS/00570/2010
ASUNTO: Recurso de Reposición Nº RR/00427/2011
Examinado el recurso de reposición interpuesto por la entidad VODAFONE ESPAÑA, S.A. contra la resolución dictada por el Director de la Agencia Española de Protección de Datos en el procedimiento sancionador PS/00570/2010, y en base a los siguientes,
PRIMERO: Con fecha 17 xx xxxx de 2011, se dictó resolución por el Director de la Agencia Española de Protección de Datos en el procedimiento sancionador PS/00570/2010 en virtud de la cual se imponía a la entidad denunciada una sanción de 50.000€ (cincuenta mil euros), por vulneración de lo dispuesto en el artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), infracción tipificada como grave en el artículo 44.3.b), de conformidad con lo establecido en el artículo 45.2 de la citada Ley Orgánica.
SEGUNDO: Como hechos probados del citado procedimiento sancionador, PS/00570/2010, se dejó constancia en la resolución recurrida de los siguientes:
<< PRIMERO: El denunciante, D. A.A.A., con NIF ***NIF.1, – según acredita la copia de su documento nacional de identidad que obra en el folio 2 -, dio de alta, a su nombre, la línea ***TEL.1 y contrató el servicio “Vodafone en tu casa” asociado a la misma, el 29 de julio de 2009, (folios 6 a 9, 31 a 35 y 27).
SEGUNDO: Respecto a la línea de teléfono móvil de la que el denunciante es titular, (número ***TEL.1), obra en los registros informáticos de la denunciada la siguiente información:
- El número de “Cuenta de Instalación” es el ***NÚMERO.1.
- La contratación de la línea se efectuó a través del SFID *********, que identifica al distribuidor Indatel Profesional S.L. con CIF *********, (folios 50 y 52)
- La contratación se efectuó con ocasión de la portabilidad desde Telefónica de España, S.A.U. de su línea de telefonía fija (***TEL.2), a la que quedó
x. Xxxxx Xxxx 0 00000 Xxxxxx xxx.xxxx.xx
asociada la línea de teléfono móvil contratada con Vodafone.
- Los datos bancarios del denunciante asociados a este producto son
***CCC.1, (folio 26).
TERCERO: El denunciante recibió en su domicilio y a su nombre la factura número
***FACTURA.1, emitida por Vodafone el 1 de noviembre de 2009, asociada a una línea (número ***TEL.3) que él no había contratado, por un importe de 2.530, 05 €, cuya copia aporta con su escrito de denuncia, folios 10 a 14) .
CUARTO: Vodafone ha manifestado que en sus ficheros consta, asociada a los datos personales del denunciante, el alta de la línea número ***TEL.3, (folio 20).
Ha declarado que la línea tiene asociada una deuda de 2.530,05 €, pero que al tratarse de un servicio calificado de fraudulento se han tomado las medidas pertinentes para anular la deuda y no reclamarla, por lo que no hay facturas pendientes de pago.
QUINTO: Vodafone ha manifestado, (folio 97) que el 26 de octubre de 2009 procedió a desactivar temporalmente el servicio, momento a partir del cual no se produjeron más llamadas ni se generó consumo alguno, y que la desactivación de la línea tuvo lugar el 10 de diciembre de 2009 tras el estudio completo del caso.
SEXTO Las impresiones de pantalla procedentes de registros informáticos de Vodafone ofrecen la siguiente información relativa a la línea controvertida, ***TEL.3:
- La línea figura dada de alta en la modalidad de PREPAGO el 24 de septiembre de 2009, a las 14.57 h. por el SFID CL 737000.
- La línea figura dada de alta en la modalidad CONTRATO el 24 de octubre de 2009, a las 22.45 h.
- La línea figura dada de BAJA el día 10 de diciembre de 2009 “del Dpto. de Fraude RACEBackoffice desactivo permanente por PC”. (Folio 27)
SÉPTIMO: La impresión de pantalla del “Histórico de Consultas” relativo a la línea controvertida, (***TEL.3) que obra en el expediente al folio 129, ofrece la siguiente información:
- Como Producto, “***TEL.3”; Acción, “0058”; “El servicio se activó el día 24/09/2009 14:57.34 por el SFID ********”; como Usuario, “portalcomer”; como Xxxxx, “24/09/2009”.
- Como Producto, “***TEL.3”; Acción, “0054; “Cambio de datos de persona de contacto del servicio ***TEL.3 el día Thu Sep 24 14:57:38 MEST 2009 por portalco”; como Usuario, “portalcomer”; como Fecha, “24/09/2009”.
- Como Producto, “***TEL.3”; Acción,”0012”; “Modificación del DNI del contacto de KE****** a KE******, el día Thu Sep 24 14:57:38 MEST 2009 por portalcome”;como Usuario, “portalcomer”; como Fecha, “24/09/2009”.
- Como Producto, “***TEL.3”; Acción, “0068”; “El servicio ***TEL.3 prepago con alta el día Oct. 24 2009 22:45 PM, pasa a pospago con un saldo de 10. 0400 EURO”; como usuario figura “A.AUTOM”; como fecha “24/10/2009”.
(El subrayado es de la AEPD).
3/17
OCTAVO: Vodafone ha manifestado que el alta de ambos servicios de telefonía móvil está asociada al SFID *********, SFID que corresponde al distribuidor Indatel Profesional, S.L.
Vodafone ha aportado documentos que acreditan que el SFID ********* está vinculado a Indatel Profesional, S.L., con CIF B- ********, (folio 9). Ha aportado también una copia del contrato de Agencia Exclusiva Particulares, (folios 53 a 76)
NOVENO: Se requirió a Vodafone, durante las actuaciones inspectoras, para que aportara copia del soporte que acredite el consentimiento del denunciante para la contratación de la línea número ***TEL.3, a lo que la entidad respondió:
“ …en cuanto al contrato de alta correspondiente al número de teléfono móvil
***TEL.3, tras contactar con el distribuidor, éste nos ha dado traslado de que efectivamente se trató de un alta fraudulenta que se efectuó, durante el fin de semana del 24 y 25 de octubre de 2009, teniendo constancia de la misma a través del departamento de fraude de Vodafone el 26 de octubre de 2009,….”, (folio 20).
DÉCIMO: En fase de prueba se solicitó a Vodafone copia del documento escrito en el que conste el consentimiento del denunciante para el tratamiento de sus datos personales asociado a la línea de telefonía móvil ***TEL.3 en la modalidad pospago, respondiendo la denunciada:
“ A este respecto ponemos en conocimiento de la Agencia que, tras las averiguaciones pertinentes, no ha sido localizado el contrato escrito relativo al servicio objeto de la controversia”, (folio 128).
UNDÉCIMO: Vinculada a la línea controvertida, ***TEL.3, Vodafone giró la factura número CI ***FACTURA.1, de fecha 1 de noviembre de 2009, por un importe de 2.530,05€.
Obran en el expediente copias de la referida factura en los folios 10 a 14, 41 y 42, y 44 a 48. En ella se indican el nombre, apellidos y dirección del denunciante. En la casilla del NIF se indica “****”, que coincide con la letra y los tres últimos dígitos del NIF del que es titular el denunciante. En el apartado “forma de pago” se hace constar “Transferencia”, y como cuenta de ingreso, los siguientes dígitos: ***CCC.2”.
DUODÉCIMO: Indatel ha manifestado en relación con la línea ***TEL.3, que la contratación en la modalidad de pospago se realizó el sábado 23 de octubre de 2009 a las 22.45 horas mediante un acceso no autorizado a la plataforma de activaciones de Vodafone España, S.A. utilizando su SFID *********J y su clave de acceso.
Expone que a esas claves sólo tienen acceso los empleados y que se trata de una herramienta para realizar su trabajo diario.
DECIMOTERCERO: Indatel ha manifestado, respecto al alta de la línea ***TEL.3, que la activación no se produjo en horario de trabajo, por cuanto se realizó un sábado por la
x. Xxxxx Xxxx 0 00000 Xxxxxx xxx.xxxx.xx
noche (a las 23.45 h) y el horario del distribuidor es de 10.00h a 14.00h.
Ha declarado que hasta el lunes 26 de octubre no pudieron ver las activaciones y que ese día, a las 8.30 horas, el Departamento del Fraude de Vodafone les informó que en la madrugada del 25 de octubre se habían activado fraudulentamente tres líneas con su SFID y que la alarma saltó por el excesivo consumo acumulado en solo veinticuatro horas por la línea que es objeto de la denuncia. Añade que Vodafone hizo limpieza de las claves y le asignó otras.>>
TERCERO: VODAFONE ESPAÑA, S.A., (en lo sucesivo la recurrente o Vodafone), ha presentado en fecha 17 xx xxxxx de 2011, en esta Agencia Española de Protección de Datos, recurso de reposición, fundamentándolo, básicamente, en los mismos argumentos expuestos en el curso del expediente sancionador.
Se aprecia que el escrito de recurso es particularmente insistente en dos cuestiones: Por una parte, en la actuación diligente que supuestamente habría demostrado la entidad. Por otra, en la consideración de que, “si en el sistema de gestión de altas de Vodafone, IRIS, tuvo lugar el alta de una línea fraudulenta” esta sería “la consecuencia directa de la falta de diligencia por parte del Distribuidor Indatel en las medidas y procedimientos de seguridad en materia de protección de datos. Medidas y procedimientos de seguridad exigidos y plasmados en la relación contractual establecida entre Indatel y Vodafone”.
Además, la diligencia que la recurrente afirma haber demostrado en el supuesto de hecho que nos ocupa justifica también su pretensión de que se aplique la atenuante privilegiada prevista en el artículo 45.5 de la LOPD, para el caso de que no se estime íntegramente el recurso. A tal fin, menciona la Resolución dictada por el Director de esta Agencia el 19 xx xxxx de 2009, PS/ 00622/2008, en la que en atención a la gran diligencia demostrada por la entidad, -toda vez que solo habían transcurridos tres días entre las fechas de alta y baja de la línea- , se aplicó el artículo 45.5 de la LOPD, imponiendo la sanción por infracción del artículo 6.1 de la citada Ley Orgánica dentro del intervalo que para las infracciones leves contempla el artículo 45.1 de la citada norma.
FUNDAMENTOS DE DERECHO
I
116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (en lo sucesivo LRJPAC).
II
5/17
En relación con las manifestaciones efectuadas por la recurrente, en las que reitera básicamente las alegaciones ya presentadas a lo largo del procedimiento sancionador, debe señalarse que todas ellas fueron analizadas y desestimadas en los Fundamentos de Derecho de II al VII, ambos inclusive, de la Resolución recurrida, tal y como se transcribe a continuación:
<< II
La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, en su
artículo 6.1., bajo la rúbrica “consentimiento del afectado”, dispone:
“1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.
2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de la Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6,de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el xxx xxxxxxx a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado”.
Estos preceptos deben integrarse con la definición legal de “tratamiento de datos” y “consentimiento del interesado” que ofrecen, respectivamente, los artículos 3, c) y 3, h) de la LOPD: “operaciones y procedimientos técnicos, de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”; “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”.
El artículo 6 de la Ley Orgánica 15/1999 consagra el “principio del consentimiento o autodeterminación”, piedra angular en la construcción del derecho fundamental a la protección de datos, que alude a la necesidad de contar con el consentimiento del afectado para que puedan tratarse sus datos personales. Conforme al citado precepto, el tratamiento de datos sin consentimiento o sin otra habilitación amparada en la Ley constituye una vulneración de este derecho, pues únicamente el consentimiento, con las excepciones previstas, legitima el tratamiento.
El Tribunal Constitucional, en su Sentencia 292/2000, de 30 de noviembre (Fundamento Jurídico 7), se refiere al contenido esencial de este derecho y expone que “consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado
x. Xxxxx Xxxx 0 00000 Xxxxxx xxx.xxxx.xx
o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (…)” .
Son, por tanto, elementos característicos del derecho fundamental a la protección de los datos personales el derecho del afectado a consentir su recogida y uso y a saber de los mismos.
De acuerdo con las disposiciones trascritas, el tratamiento de los datos personales de un tercero exige contar con el consentimiento previo e inequívoco de su titular, exigencia de la que se dispensa al responsable del tratamiento,- entre otros supuestos previstos en el artículo 6.2 de la Ley Orgánica 15/1999-, cuando el tratamiento en cuestión se refiera a un contrato suscrito entre las partes y sea necesario para su mantenimiento o cumplimiento.
III
Respecto a la infracción imputada a Indatel Profesional, S.L.
A través de la documentación que obra en el expediente resulta acreditado que Indatel celebró con Vodafone un “Contrato de Agencia Exclusiva Particulares” el 1 xx xxxxx de 2007, cuya copia obra en los folios 53 a 74. Así mismo consta acreditado que se asignó a Indatel, con CIF B-********, (folio 105), por la operadora Vodafone, el SFID
********, (folio 52).
En la documentación aportada por Vodafone relativa al histórico del servicio, (impresión de pantalla que obra en el folio 129 del expediente administrativo), no aparece vinculada la línea controvertida con el SFID de Indatel. Más al contrario, se hace alusión a otro SFID, el ********, a través del cual la línea se activó en la modalidad de prepago el 29 de septiembre de 2009, por tanto casi un mes antes de que los hechos que nos ocupan hubieran acontecido.
El único documento del que se desprende la vinculación de la línea controvertida con el SFID de Indatel es el aportado por Vodafone (folio 51 del expediente) durante las actuaciones previas de inspección. De esta impresión de pantalla llama la atención que la fecha que figura como alta de la línea ***TEL.3 es el “02/11/2009”, que no coincide con la información proporcionada por la operadora quien sitúa el alta el día 24 de octubre de 2009, (folio 97).
Indatel ha manifestado que Vodafone le comunicó el día 26 de octubre de 2009, a las 8.30 horas, que se había dado de alta una línea con su SFID, con los datos personales de uno de sus clientes. Así lo ha corroborado también la operadora Vodafone, quien tanto en sus alegaciones al acuerdo de inicio, (folios 98 y 99), como a la propuesta de resolución, ( alegación primera de los Fundamentos de Hecho) expone
7/17
que desde el Departamento de Fraude de Vodafone se pusieron en contacto con Indatel para advertirles que la línea dada de alta a nombre del Sr. A.A.A. con el número
***TEL.3 se trataba de un alta fraudulenta, ya que en el transcurso de 24 horas desde su activación se facturó un total de 2530,05 €.
En aras a determinar si la conducta de Indatel Profesional es subsumible en el tipo sancionador previsto en el artículo 44.3.b) de la LOPD, (antes de la reforma operada por la Ley 2/2011, artículo 44.3.d,), por infracción del articulo 6.1 de la citada Ley Orgánica, deben de tomarse en consideración determinados aspectos relevantes que constan acreditados en la documentación que obra en el expediente. Así, el hecho probado quinto precisa, en relación con la línea controvertida, que ésta se dio de alta en la modalidad de contrato el “24 de octubre de 2009, a las 22.45 h.”. Por otra parte, el 24 de octubre del año 2009 era sábado, de forma que, con independencia de que sea o no cierto lo afirmado por la representación de Indatel sobre el horario de apertura del establecimiento, que lo sitúa entre las 10 horas y las 14.00 horas, lo cierto es que difícilmente pudo activarse la línea desde dicho establecimiento a las 22.45 horas, cuando es obvio que se encuentra cerrado.
Se añaden a lo anterior otras cuestiones significativas. Por una parte, Vodafone procedió, sin más, a activar la línea controvertida desde que los datos se volcaron – según manifiesta- en el sistema IRIS de la compañía a través de la clave (SFID) asignado a Indatel, sin plantear controles de ninguna clase pese a la hora intempestiva, las 22.45 de un sábado, en la que se había producido. Por otra parte, Vodafone, una vez detectado el fraude, lo que sucedió el día 26 de octubre, lunes, a las 8.30 horas, procedió a resetear las claves de su distribuidor, pero no tenemos ninguna noticia de que hubiera concluido que el origen de las altas fraudulentas tenga su causa en una actuación deficiente o un incumplimiento contractual por parte de Indatel. Es más, el distribuidor ha informado que Vodafone no le impuso la sanción estipulada de 300 € por línea, prevista para aquellos casos en los que se da de alta una línea fraudulenta con intervención del distribuidor. Efectivamente así viene estipulado en el apartado III, Penalizaciones, del Contrato de Servicio Postventa de Vodafone suscrito con Indatel Profesional, S.L. que estaf entidad ha aportado.
La información que obra en el expediente instruido por la Agencia no permite afirmar que el alta de la línea controvertida asociada a los datos personales del denunciante, hecho sobre el que versa este expediente sancionador, tenga su origen en una actuación irregular de la distribuidora Indatel. En consecuencia, ante la ausencia de pruebas en las que sustentar la imputación dirigida contra esta entidad, se estima procedente acordar el ARCHIVO de las presentes actuaciones respecto a INDATEL PROFESIONAL, S.L.
IV
Respecto a la infracción imputada a Vodafone España S.A.
En el presente caso, los hechos probados acreditan que los datos personales del denunciante, su nombre y dos apellidos, el número de NIF y su domicilio, se incorporaron a los ficheros de Vodafone asociados a la línea de teléfono móvil ***TEL.3.
x. Xxxxx Xxxx 0 00000 Xxxxxx xxx.xxxx.xx
El denunciante niega haber dado de alta la citada línea y haber contratado el servicio asociado a ella, de cuya existencia tuvo noticia al recibir en su domicilio y a su nombre una factura emitida por Vodafone el 1 de noviembre de 2009, por un importe de 2.530,05 €, (folios 10 a 14 entre otros), motivo por el cual en fecha 19 de noviembre de 2009 se dirigió por escrito a Vodafone e Indatel informando de lo acontecido y solicitando la cancelación del dato incorrecto así como el envío de toda la documentación relativa a la línea controvertida, (folios 3 y 4).
Resulta acreditado, igualmente, que el alta de la línea ***TEL.3 se produjo el 24 de octubre de 2009 a las 22.45 h, mediante una portabilidad de prepago a contrato, y se realizó a través del SFID *********, SFID del que es titular Indatel Profesional S.L., distribuidor oficial de Vodafone como resulta del contrato de “Agencia Exclusiva Particulares” suscrito entre ambas entidades cuya copia obra en el expediente (hecho probado tercero).
Pues bien, en aras a verificar la existencia de un contrato entre el denunciante y la operadora denunciada respecto a la línea controvertida, ***TEL.3, que amparase el tratamiento de sus datos personales que Vodafone había venido efectuando, se solicitó a ésta, tanto durante las actuaciones previas de inspección como durante la fase de prueba, una copia del soporte que acreditara el consentimiento del denunciante para la contratación de la citada línea. Vodafone respondió al requerimiento informativo de la Agencia: “ …en cuanto al contrato de alta correspondiente al número de teléfono móvil
***TEL.3, tras contactar con el distribuidor, éste nos ha dado traslado de que efectivamente se trató de un alta fraudulenta que se efectuó, durante el fin de semana del 24 y 25 de octubre de 2009, teniendo constancia de la misma a través del departamento de fraude de Vodafone el 26 de octubre de 2009,….”, (folio 20, hecho probado cuarto).
En respuesta a la diligencia probatoria practicada, Vodafone manifestó: “A este respecto ponemos en conocimiento de la Agencia que, tras las averiguaciones pertinentes, no ha sido localizado el contrato escrito relativo al servicio objeto de la controversia”, (folio 128, hecho probado quinto).
En esta línea debe destacarse que, según se desprende de la documentación que obra en el expediente, Vodafone activó la línea controvertida sin más trámite que el volcado en el sistema IRIS de los datos personales del denunciante, con el SFID de su distribuidor Indatel, sin verificar de ningún modo que quien supuestamente prestaba el consentimiento a esa contratación era el verdadero titular de los datos, y lo que resulta fundamental, la activación se realizó en una franja horaria (un sábado a las 22.45 horas) en la que es evidente que el distribuidor no presta servicio.
La falta de pruebas que acrediten que el denunciante consintió que la operadora denunciada tratara sus datos en relación con la línea controvertida sobre la que versa la denuncia, y la ausencia de todo documento que permita demostrar que Vodafone articuló alguna medida encaminada a asegurarse de que quien prestó el consentimiento en la contratación era el verdadero titular de los datos que le fueron facilitados, pone de manifiesto que esta operadora no ajustó su comportamiento, en el presente caso, a la diligencia que la actividad profesional que desarrolla exige, a fin de
9/17
garantizar el respeto al derecho fundamental a la protección de los datos personales.
En este sentido debemos traer x xxxxxxxx la XXXX de 31 xx xxxx de 2006, Recurso 539/2004, en su Fundamento de Derecho Cuarto, señala: “Por otra parte es al responsable del tratamiento (por todas, sentencia de esta Sala de 25 de octubre de 2002 Rec. 185/2001) a quien corresponde asegurarse de que aquel a quien se solicita el consentimiento, efectivamente lo da, y que esa persona que está dando el consentimiento es efectivamente el titular de esos datos personales, debiendo conservar la prueba del cumplimiento de la obligación a disposición de la Administración, encargada de velar por el cumplimiento de la Ley” (El subrayado es de la AEPD).
Se añade a lo anterior una circunstancia que demuestra que la falta de diligencia de la que adolece la actuación de Vodafone se perpetuó en el tiempo, pues después de haber tenido conocimiento de que la línea se había activado fraudulentamente, extremo del que se percató, según ha relatado, en un plazo de 24 a 48 horas y del que era plenamente consciente el día 26 de octubre a las 8.30 horas (toda vez que fue entonces cuando informó a su Distribuidor Indatel de esta circunstancia), siguió tratando los datos personales del afectado en sus ficheros, asociados a un servició que él no había contratado, como lo acredita que en fecha 1 de noviembre de 2009 le emitiese una factura por importe de 2.530,05€ y que la línea se mantuviera de alta en los registros informáticos de Vodafone hasta el 10 de diciembre de 2009.
La circunstancia de que, tal y como indica la operadora, hubiera procedido a desactivar la línea dos días después del alta ( el 26 de octubre), impidiendo con ello que se generara más consumo, no altera el hecho incontrovertido de que los datos del afectado continuaran tratándose en sus ficheros, asociados a un producto que él no había contratado, hasta el 10 de diciembre de 2009, tratamiento para el que Vodafone no estaba legitimado, toda vez que no contaba con el consentimiento del afectado.
La representación de Vodafone objeta frente la infracción imputada que los datos del denunciante figuraban en sus ficheros con el consentimiento del denunciante, porque éste los había facilitado voluntariamente con ocasión de la contratación de la línea de la que sí es titular, por lo que el tratamiento en el que se concreta la conducta infractora tendría amparo en el artículo 6.2 de la LOPD.
En este sentido debemos recordar que, como se expone en el Fundamento de Derecho I de esta propuesta, el artículo 6.2 de la LOPD dispensa al responsable del tratamiento de contar con el consentimiento previo e inequívoco del titular de los datos cuando el tratamiento efectuado se refiera a un contrato suscrito entre las partes y sea necesario para su “mantenimiento o cumplimiento”. Frente a la tesis que la denunciada sustenta, debe indicarse que, en ningún caso, puede encuadrarse en esa excepción del artículo 6.2 de la Ley Orgánica 15/1999 el tratamiento realizado por la entidad y sobre el que versa este expediente sancionador, por cuanto el mismo no es fruto del desenvolvimiento o cumplimiento de la relación jurídica que en su día establecieron el denunciante y la operadora, - que el 00 xx xxxxx xx 0000 xxxxxx xx xxxx xx xxxxx ***TEL.1-, sino que el tratamiento de datos que nos ocupa dio lugar al establecimiento de una relación jurídica independiente, asociada a la línea controvertida, ( ***TEL.3) que el denunciante no había consentido.
x. Xxxxx Xxxx 0 00000 Xxxxxx xxx.xxxx.xx
En definitiva, la operadora denunciada no ha aportado prueba alguna de que el denunciante hubiera prestado su consentimiento al tratamiento de los datos personales efectuado por ella en relación con la línea ***TEL.3, ni tampoco la concurrencia de alguna circunstancia que le dispense de la obligación de acreditar el consentimiento inequívoco del titular de los datos, de manera que el tratamiento en el que se concreta el objeto de la infracción imputada a Vodafone no puede considerarse legítimo a la luz de la normativa de protección de datos.
La conducta anteriormente descrita, imputable a Vodafone, constituye una vulneración del principio del consentimiento que consagra el artículo 6.1 de la LOPD.
V
La Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, ( en lo sucesivo LRJPAC), –que, al decir de su Exposición de Motivos (punto 17) recoge “los principios básicos a que debe someterse el ejercicio de la potestad sancionadora de la Administración y los correspondientes derechos que de tales principios se derivan para los ciudadanos extraídos del Texto Constitucional y de la ya consolidada jurisprudencia sobre la materia”- acoge el principio de retroactividad de la norma sancionadora más favorable, estableciendo en el artículo 128.2 que “las disposiciones sancionadoras producirán efecto retroactivo en cuanto favorezcan al presunto infractor”.
Por tal razón, si bien los hechos que constituyen el presupuesto fáctico de la imputación se encuadraban, al tiempo de su comisión , en el tipo sancionador previsto en el artículo 44.3.d) de la LOPD, infracción grave para la que el artículo 45.2 de la LOPD preveía una sanción de multa de 60.101,21 € a 300.506,05 €, estimamos que, en virtud del principio de retroactividad in bonam partem o retroactividad de la disposición sancionadora más favorable, debemos optar, en el presente caso, por aplicar las disposición más beneficiosa para las entidad denunciada introducida por la reforma operada en la Ley Orgánica 15/1999 a través de la Ley 2/2011, de 4 xx xxxxx, de Economía Sostenible, publicada en el BOE el 5 xx xxxxx de 2011 y que entró en vigor al día siguiente a su publicación.
De acuerdo con las previsiones de la LOPD, redacción introducida por la Ley 2/2011, el artículo 44.3.b) tipifica como infracción grave “Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo”. A tenor del artículo 45.2 las infracciones graves serán sancionadas con multa de 40.001 a
300.000 euros.
En el presente asunto se imputa a Vodafone la vulneración del principio del consentimiento, artículo 6.1, de la LOPD; infracción que tras la reforma introducida por la Ley 2/2011 se encuentra tipificada en el artículo 44.3.b) de la Ley Orgánica 15/1999.
11/17
VI
Procede a continuación abordar si la conducta observada por Vodafone, que estimamos vulnera el artículo 6.1 de la LOPD, puede subsumirse en el tipo sancionador previsto en el artículo 44.3.b) de la citada norma y, si en tal caso, esta infracción es imputable a la citada entidad.
A) Respecto a la primera de las cuestiones planteadas, una vez constatado que Vodafone realizó la acción típica – infracción del principio del consentimiento- debemos analizar si concurre el elemento subjetivo de la culpabilidad
La presencia de este elemento es esencial para exigir, en el ámbito del Derecho Administrativo Sancionador, responsabilidad por el ilícito cometido, pues no cabe en este marco imponer sanciones basadas en la responsabilidad objetiva del presunto infractor. Así, en STC 76/1999 el Alto Tribunal afirma que las sanciones administrativas participan de la misma naturaleza que las penales, al ser una de las manifestaciones del ius puniendi del Estado, y que, como exigencia derivada de los principios de seguridad jurídica y legalidad penal consagrados en los artículos 9.3 y 25.1 de la CE, es imprescindible la presencia de este elemento para imponerlas.
El artículo 130.1 de la LRJPAC recoge el principio de culpabilidad en el marco del procedimiento administrativo sancionador y dispone: “Sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aun a título de simple inobservancia”.
Del tenor del artículo 130.1 de la LRJPAC se concluye que bastará la “simple inobservancia” para apreciar la presencia de culpabilidad a título de negligencia, expresión que alude a la omisión del deber de cuidado que exige el respeto a la norma.
Conviene traer x xxxxxxxx en este caso la Sentencia de la Audiencia Nacional de 17/10/2007 (Rec. 63/2006), en la que el Tribunal expone que “ el ilícito administrativo
previsto en el artículo 44.3.d) de la LOPD se consuma, como suele ser la norma general en las infracciones administrativas, por la concurrencia de culpa leve. En efecto, el principio de culpabilidad previsto en el artículo 130.1 de la Ley 30/1992 dispone que solo pueden ser sancionadas por hechos constitutivos de infracciones administrativas los responsables de los mismos, aún a título de simple inobservancia. Esta simple inobservancia no puede ser entendida como la admisión en Derecho administrativo sancionador de la responsabilidad objetiva ” (El subrayado es de la AEPD)
La citada Sentencia exige a aquellas entidades en las que el desarrollo de su actividad conlleva un continuo tratamiento de datos de clientes y terceros que observen un adecuado nivel de diligencia, e indica a este respecto: “….el Tribunal Supremo viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el infractor no se comporta con la diligencia exigible. Y en la valoración del grado de diligencia ha de ponderarse especialmente la profesionalidad o no del sujeto, y no cabe duda de que, en el caso ahora examinado, cuando la actividad de la recurrente es de constante y abundante manejo de datos de carácter personal ha de insistirse en el rigor y el exquisito cuidado por ajustarse a las prevenciones legales al
x. Xxxxx Xxxx 0 00000 Xxxxxx xxx.xxxx.xx
respecto”. (El subrayado es de la AEPD)
En el presente caso, el elemento subjetivo de la culpabilidad se concreta en la falta de diligencia observada en el cumplimiento de la normativa de protección de datos. Por una parte, Vodafone dio de alta la línea controvertida sin tener constancia de la identidad de la persona que prestaba el consentimiento.
A mayor abundamiento, Vodafone, después de conocer que el alta de la línea había sido fraudulenta, (hecho que aconteció el 26 de octubre) continuó tratando ilegítimamente los datos del denunciante en sus ficheros hasta el punto de que se dieron de baja el 10 de diciembre de 2009 y le emitió factura el 1 de noviembre de 2009 por un importe de 2530 euros, si bien es cierto que ni le requirió el pago de la citada deuda ni sus datos fueron incluidos en ficheros de morosidad.
B) Respecto a la segunda de las cuestiones planteadas, la Ley Orgánica 15/1999 en su artículo 43.1 indica que “los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador establecido en la presente Ley”.
Por su parte, el artículo 3 d) del citado texto legal considera “responsable del fichero o tratamiento” a la “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”.
VII
El artículo 45 de la LOPD, en la redacción dada por la Ley 2/2011, de 4 xx xxxxx, de Economía Sostenible, establece, en sus apartados 1 a 5, lo siguiente:
“1. Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.
3. Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros.
4. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:
a) El carácter continuado de la infracción.
b) El volumen de los tratamientos efectuados.
c) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
d) El volumen de negocio o actividad del infractor.
e) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
f) El grado de intencionalidad.
g) La reincidencia por comisión de infracciones de la misma naturaleza.
h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.
i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación
13/17
en la recogida y tratamiento de Ios datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.
j) Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
5. El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos:
a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo.
b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.
d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.
e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.»
El apartado 45.5 de la LOPD deriva del principio de proporcionalidad de la sanción y permite establecer la cuantía “…aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate", pero para ello es necesario la concurrencia de, o bien una cualificada disminución de la culpabilidad del imputado, o bien de la antijuridicidad del hecho, o bien de alguna otra de las circunstancias que el mismo precepto cita.
Las circunstancias referidas no se dan en el presente caso, lo que impide apreciar la existencia de motivos para la aplicación de la facultad contemplada en el artículo 45.5, debido, por un lado, a que no obra en el expediente ningún elemento que lleve a apreciar la concurrencia de alguna de las circunstancias previstas en los apartados c),
d) y e) del referido artículo y, por otro, a la especial diligencia y conocimiento de la normativa de protección de datos que se ha de exigir a las entidades profesionales cuando, como ocurre con la entidad imputada, el tratamiento de datos personales constituye parte habitual y esencial de su actividad. Las empresas que por su actividad están habituadas al tratamiento de datos personales deben ser especialmente diligentes y cuidadosas al realizar operaciones con ellos y deben optar siempre por la interpretación más favorable a la salvaguarda del derecho fundamental a la protección de datos (como de forma reiterada sostiene la Audiencia Nacional, entre otras en Sentencia de 26 de noviembre de 2008).
Vodafone solicita la aplicación del artículo 45.5 de la LOPD y resalta a este fin la diligencia observada en su actuación. Así, en sus alegaciones a la propuesta de resolución recuerda “la rápida y efectiva respuesta de Vodafone en el presente caso, cuando en un periodo de 24 a 48 horas se advirtió que la línea ***TEL.3 podría tratarse
x. Xxxxx Xxxx 0 00000 Xxxxxx xxx.xxxx.xx
de un alta fraudulenta debido al gran consumo generado en ese periodo” y destaca las acciones realizadas: a) comunicar a Indatel la situación, al ser éste el distribuidor a través del cual se dio de alta la línea; b) desactivar temporalmente el servicio para impedir la realización de llamadas y la generación de más consumo; c) continuar con la investigación iniciada que finalizaría con la cancelación definitiva de la línea.
Pese a lo expuesto por Vodafone en aras a justificar la aplicación de la atenuante privilegiada del artículo 45.5 de la LOPD, no puede admitirse en el presente caso que existiera por parte de la entidad infractora una actuación diligente a fin de regularizar la situación creada, ( apartado b, del citado precepto). Más al contrario, como se recoge en el Fundamento de Derecho IV la conducta infractora de Vodafone se perpetuó en el tiempo, puesto que después de haber tenido conocimiento de que la línea se había activado fraudulentamente, extremó del que se percató, según ha relatado, en un plazo de 24 a 48 horas y del que era plenamente consciente el día 26 de octubre a las 8.30 horas, (toda vez que fue entonces cuando informó a su distribuidor Indatel de esta circunstancia), siguió tratando los datos personales del afectado en sus ficheros, asociados a un servicio que él no había contratado, como lo acredita que en fecha 1 de noviembre de 2009 le emitiese una factura por importe de 2.530,05 € y que la línea controvertida no se diera de baja definitivamente hasta el 10 de diciembre de 2009. El hecho de que desactivara la línea dos días después del alta, si bien impidió que se generase más consumo, no altera el extremo fundamental de que los datos del afectado figurasen vinculados a una línea que continuaba activa y para cuyo tratamiento Vodafone no estaba legitimado, pues no contaba con el consentimiento del afectado.
Por todo ello, procede imponer una multa cuyo importe se encuentre entre
40.001 € y 300.000 €, en aplicación de lo previsto en el apartado 2 del citado artículo 45, al tener la infracción imputada la consideración de infracción grave.
En el presente caso, en aras a graduar la sanción que corresponde imponer, deben valorarse las siguientes circunstancias previstas en el artículo 45.4 de la LOPD. Por una parte, el carácter continuado de la infracción, la vinculación de la actividad de la entidad infractora con la realización de tratamientos de datos de carácter personal y, en relación con Vodafone España S.A., el importante volumen de negocio de la misma. Por otra, la ausencia de intencionalidad de la entidad en la comisión de la infracción y la ausencia de beneficios obtenidos por Vodafone como consecuencia de la comisión de la infracción.
En consideración a lo expuesto, al amparo de lo establecido en el 45.4 de la LOPD se acuerda imponer a Vodafone España, S.A. una multa de 40.001€ por la infracción del artículo 6.1 de la LOPD de la que es responsable.
Sin perjuicio de las consideraciones precedentes se estima necesario hacer una breve mención a dos cuestiones sobre las que, en particular, insiste la recurrente en su escrito de recurso. Esto, a pesar de que tales cuestiones ya fueron planteadas por Vodafone en los escritos de alegaciones presentados en el curso del procedimiento y de
15/17
que la AEPD se ha pronunciado oportunamente sobre las mismas, tanto en la resolución recurrida como en la propuesta de resolución.
Vodafone afirma que, en el supuesto que nos ocupa, actuó diligentemente y que “desde el mismo momento en que Vodafone tuviera la sospecha de que este caso podría enmarcarse en un supuesto de alta fraudulenta (26/10/2009) se actuó de manera inmediata para proceder a la desactivación temporal, situación que impide al titular realizar llamadas desde la línea en cuestión pero no recibirlas”.
Frente a este argumento de la recurrente cabe objetar que, como ya se indicó en la resolución ahora recurrida, es en relación con el tratamiento inconsentido de los datos del afectado (infracción del artículo 6.1 de la LOPD por la que fue sancionada), con el que Vodafone no ha demostrado en ningún caso una actuación que pueda calificarse de diligente. Esto, porque como se expone en la resolución dictada por la AEPD, los datos personales del afectado continuaron siendo tratados por la entidad pese a que desde el 26 de octubre tuvo conocimiento de que existía un alta fraudulenta. En ningún caso puede admitirse que la práctica de las investigaciones llevadas a cabo, que al parecer se inician el 26 de octubre y concluyen el 10 de diciembre, justifiquen que la única medida adoptada a fin de restablecer al denunciante en los derechos que han sido cercenados sea bloquear la línea de forma que el “cliente” no pueda realizar llamadas pero sí recibirlas. Esta conducta no merec el calificativo de diligente desde la perspectiva del derecho fundamental que ha sido vulnerado, vulneración concretada en el tratamiento de los datos personales del afectado, asociados a una línea de teléfono que él no contrató, sin su consentimiento. Sobre todo si tenemos en cuenta que Vodafone pudo comprobar, cuando se puso en contacto con el distribuidor, el mismo día 26 de octubre, para informarle que se había producido un alta probablemente fraudulenta, que no existía un documento escrito suscrito por el afectado que dejara constancia de que había consentido el tratamiento de sus datos personales. Sin embargo, esta ausencia total de soporte probatorio del consentimiento del titular de los datos no le condujo a la cancelación de estos en relación con la citada línea, sino que los datos continuaron vinculados a la línea de teléfono que él no contrató hasta el 10 de diciembre y, consiguientemente le giró una factura el 1 de noviembre. Se añade a lo anterior que en fecha 19 de noviembre de 2009 el denunciante solicitó a Vodafone la “cancelación” de sus datos en relación con la línea fraudulenta. De manera que la conducta desplegada por Vodafone no puede estimarse como exponente de una actuación diligente desde la perspectiva que a esta Agencia le corresponde valorar.
La recurrente trae x xxxxxxxx en apoyo de su pretensión la Resolución de la AEPD recaída en el PS/622/2008, en la que la Agencia consideró que la operadora había actuado diligentemente y apreció la concurrencia de la atenuante cualificada del artículo
45.5 de la LOPD. Sin embargo, la lectura de los hechos probados del citado expediente pone de relieve que no existe el pretendido paralelismo entre ambos supuestos, dado que en el caso que se enjuicia en el PS/622/2008 transcurrieron solo tres días entre el alta y la baja de una línea fraudulenta, en tanto que en el asunto que nos ocupa el alta de la línea aconteció el 24 de octubre de 2009 (hecho probado séptimo) y la baja el 10 de diciembre de 2009, (hecho probado quinto); además Vodafone emitió el 1 de noviembre de 2009 una factura a nombre del denunciante asociada a la línea fraudulenta.
x. Xxxxx Xxxx 0 00000 Xxxxxx xxx.xxxx.xx
Otra de las cuestiones sobre las que la recurrente insiste en su escrito de recurso es la consideración de que si tuvo lugar en el sistema de altas de Vodafone (IRIS) un alta fraudulenta “esta sería “la consecuencia directa de la falta de diligencia por parte del Distribuidor Indatel en las medidas y procedimientos de seguridad en materia de protección de datos. Medidas y procedimientos de seguridad exigidos y plasmados en la relación contractual establecida entre Indatel y Vodafone”.
A este respecto debemos recordar lo siguiente: la responsabilidad en la que Xxxxxxx hubiera podido incurrir no exime a Vodafone de la que a ella le incumbe. Por otra parte, cuando Vodafone informa a Indatel, de la activación fraudulenta de varias líneas el sábado por la noche, con las claves de acceso de Indatel, pudo verificar también si se habían cumplido o no las previsiones establecidas en el contrato de distribución, a tenor del cual el distribuidor deberá recabar del cliente con carácter imprescindible un contrato suscrito por él y la copia de su documento de identificación y de la cuenta corriente o libreta de ahorro. De haber verificado este hecho, condición esencial para el alta de la línea según el citado contrato de distribución, y ante su ausencia, debería haber dado de baja la línea. Por otra parte, también el contrato de distribución estipula sanciones de 300 euros, a imponer por la operadora a las empresas distribuidoras para el caso de que su actuación poco diligente hubiera podido incidir en un alta de línea fraudulenta; sin que en el supuesto que nos ocupa se tenga noticia de que Vodafone hubiera sancionado al distribuidor por tal motivo. Se añade a lo anterior que, a tenor de lo comunicado en su día tanto por Xxxxxxx como por Vodafone, fue la misma operadora Vodafone quien procedió el mismo día 26 de octubre al reseteo de claves del distribuidor una vez detectados los hechos fraudulentos.
IV
Por lo tanto, en el presente recurso de reposición, VODAFONE no ha aportado nuevos hechos o argumentos jurídicos que permitan reconsiderar la validez de la resolución impugnada.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: DESESTIMAR el recurso de reposición interpuesto por VODAFONE ESPAÑA, S.A. contra la Resolución de esta Agencia Española de Protección de Datos dictada con fecha 17 xx xxxx de 2011, en el procedimiento sancionador PS/00570/2010.
SEGUNDO: NOTIFICAR la presente resolución a la entidad VODAFONE ESPAÑA, S.A..
17/17
medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD.
Madrid, 19 de julio de 2011
EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Fdo.: Xxxx Xxxx Xxxxxxxxx Xxxxxxx