Sentencia ADMINISTRATIVO Audiencia Nacional, Sala de lo Contencioso, Sección 1, Rec 136/2019 de 22 de Julio de 2020

Encabezamiento

A U D I E N C I A N A C I O N A L

Sala de lo Contencioso-Administrativo

SECCIÓN PRIMERA

Núm. de Recurso: 0000136 /2019

Tipo de Recurso: PROCEDIMIENTO ORDINARIO

Núm. Registro General: 01127/2019

Demandante: COMMCENTER S.A

Procurador: ADELA GIL SANZ MADROÑO

Demandado: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Abogado Del Estado

Ponente IIma. Sra.:Dª. NIEVES BUISAN GARCÍA

S E N T E N C I A Nº :

IImo. Sr. Presidente:

D. EDUARDO MENÉNDEZ REXACH

Ilmos. Sres. Magistrados:

Dª. LOURDES SANZ CALVO

D. FERNANDO DE MATEO MENÉNDEZ

Dª. NIEVES BUISAN GARCÍA

Madrid, a veintidos de julio de dos mil veinte.

Vistos por la Sala, constituida por los Sres. Magistrados reseñados al margen, los autos del recurso contencioso-administrativo número 136/2019, interpuesto por la Procuradora de los Tribunales doña Adela Gil Sanz Madroño, en nombre y representación de Commcenter S.A., contra la resolución de la Directora de la AEPD de 27 de noviembre de 2018 que desestima el recurso de reposición contra la anterior Resolución de 3 de octubre de 2018 Ha sido parte demandada LA ADMINISTRACIÓN DEL ESTADO, representada por el Abogado del Estado. La cuantía del recurso se fijó en 40.001.- euros.

Antecedentes

PRIMERO. -Por la entidad recurrente se interpuso recurso contencioso administrativo mediante escrito presentado en plazo, acordándose su tramitación de conformidad con las normas establecidas en la Ley 29/1998, y la reclamación del expediente administrativo.

SEGUNDO.-En el momento procesal oportuno Commcenter SA formalizó la demanda mediante escrito presentado el 23 de abril de 2019 en el que, tras alegar los hechos y fundamentos de derecho que estimó procedentes, terminó suplicando se dictara sentencia en la que se tuviera interpuesta la presente DEMANDA contra la Resolución de la Agencia Española de Protección de Datos por la que se desestima el Recurso de Reposición RR/00734/2018 relativo al procedimiento sancionador PS/00243/2018 de conformidad con lo establecido en el artículo 52 de la LRJCA .

TERCERO. -El Sr. Abogado del Estado contestó la demanda mediante escrito presentado el 18 de junio de 2019 en el que, tras alegar los hechos y los fundamentos jurídicos que estimó aplicables, terminó suplicando se dictara sentencia en la que se desestimara del recurso, confirmando íntegramente la resolución impugnada.

CUARTO. -Habiéndose solicitado el recibimiento del pleito a prueba, se acordó el mismo mediante Auto de 27 de junio de 2019 practicándose la documental propuesta y admitida con el resultado que obra en las actuaciones.

No considerándose necesaria la celebración de vista pública, y tampoco trámite de conclusiones a las partes, quedaron conclusas las actuaciones.

QUINTO. -Se señaló para votación y fallo de este recurso el día 21 de julio de 2020, fecha en la que tuvo lugar la deliberación y votación, habiendo sido ponente la Ilma. Magistrada doña Nieves Buisán García, quien expresa el parecer de la Sala.

Fundamentos

PRIMERO. -Se impugna en el presente recurso contencioso-administrativo, por COMMCENTER, S.A la Resolución de la Directora de la AEPD de 27 de noviembre de 2018 que desestima el recurso de reposición contra la anterior Resolución de 3 de octubre de 2018 que sanciona a dicha entidad por infracción del artículo 9.1 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, con multa de 40.001 € (cuarenta mil un euro) de conformidad con lo establecido en el artículo 45.2 LOPD.

Resolución que se sustenta en los siguientes hechos probados más trascendentes:

- El 13/02/2018 Don Jesús María presenta denuncia ante la AEPD por haber recibido en su cuenta de correo electrónico ' DIRECCION000', 14 solicitudes de financiación de productos de telefonía de distintos clientes con la entidad Telefónica Consumer Finance, S.A.U.

- Solicitudes de financiación en las que constan los datos personales de los solicitantes, el nombre del establecimiento en que se adquieren los productos (COMMCENTER), los datos económicos, las condiciones del préstamo, cuentas de domiciliación bancaria, firma de los solicitantes, etc.

- COMMCENTER es distribuidor oficial y exclusivo de MOVISTAR. Mediante escrito de 16/05/2018 ha aportado el contrato suscrito para la prestación del servicio de gestión de solicitudes de financiación que fue concertado el 10/11/2011 entre TELEFONICA MOVILES DE ESPAÑA, S.A. y FINCONSUM, EFC, S.A. Contrato que contiene cláusula OCTAVA relativa a Confidencialidad y Protección de Datos.

- Los clientes que adquieren productos en la tienda tienen la opción de financiar su compra. Operación financiera para la que COMMCENTER dispone de una aplicación WEB facilitada por Telefónica Consumer Finance, a través de la cual se gestionan las solicitudes. El acceso a dicha aplicación requiere la introducción de un código de usuario y una contraseña que es único para cada tienda y compartido por todos los empleados de la misma tienda.

- Mediante escrito de 19/06/2018 la recurrente expone que 'todo apunta a que lo realmente acontecido es que, a la hora de rellenar en el formulario de solicitud de financiación de algunos clientes, una de sus trabajadoras (...), ha rellenado el campo de la dirección de email genéricamente con el correo electrónico DIRECCION000 . Una cuenta que la trabajadora podría creer inexistente, al referirse a la provincia donde se encuentra sita la tienda desde la que operaba con la única intención de no ver bloqueado con el procedimiento de financiación pero que realmente pertenecía al denunciante sin que se tuviese constancia al respecto'.

SEGUNDO. -La parte actora sustenta su pretensión impugnatoria de la demanda, en síntesis, en las siguientes consideraciones:

El acceso por el que se ha sancionado a la recurrente debe considerarse autorizado en todos los casos, ya que fueron los mismos afectados quienes dieron conformidad y validez a dicha cuenta de correo electrónico, haciéndola pasar como propia.

La AEPD vulnera el principio de la carga de prueba ( artículo 217 LEC) cuando impone la sanción sin aportar el debido informe que desacredite la idoneidad de las medidas de seguridad implementadas por COMMCENTER, S.A y que exponga de forma fundamentada los presuntos defectos técnicos y de seguridad en la custodia de los datos personales por los cuales se sanciona a dicha actora.

Lo que provocó el hecho sancionado no fue una deficiencia técnica subsanable, sino un sabotaje de facto, pactado entre el cliente y la empleada (aunque sin mala fe) en la manifestación de la certeza de los datos aportados.

La actora hizo todo lo que Ley impone para la protección de los datos de carácter personal de sus clientes, inclusive, formando a sus empleados en materia de Protección de Datos ( artículo 89 del Real Decreto 1720/2007, de 21 de diciembre). Fue por la voluntad de falsear datos, responsabilidad del afectado, y no un defecto en los mecanismos de seguridad de COMMCENTER, S.A., lo que provocó que las solicitudes de financiación de 14 clientes terminaran en el correo electrónico del Sr. Jesús María. COMMCENTER, S.A. no tiene culpa alguna de lo sucedido ni podría haberlo evitado mediante una aplicación técnica superior o más intensiva.

Ausencia de perjuicio a los afectados :Los hechos sancionados corresponden a un volumen de datos poco significativo teniendo en cuenta la gravedad de la sanción y su elevada cuantía. Podría tratarse como un único acceso a un conjunto de datos, eliminando así la nota de reiteración en la sanción impuesta. Deberían ser considerados responsables, al menos en parte, los clientes que confirmaron la dirección de correo ' DIRECCION000' como dirección personal válida en sus solicitudes de financiación.

Quien envía el correo no es Commcenter, sino la aplicación que es propiedad de Telefónica Consumer Finance de forma automatizada. COMMCENTER actúa en calidad de Encargado de Tratamiento por cuenta de TELEFÓNICA MÓVILES ESPAÑA. Los datos personales recogidos por la actora son introducidos mediante código de Encargado de Tratamiento (ET) y clave de acceso, dentro del servidor del Responsable de Tratamiento. Responde a un procedimiento seguro impuesto por el responsable del fichero que cumple con todas las directrices relativas a la protección de datos.

Los empleados de COMMCENTER (como Encargada de Tratamiento) rellenan los formularios de solicitud de forma remota, sin que dichos datos se almacenen en el ordenador del establecimiento, sino que quedan dentro de la esfera de control de TELEFÓNICA MÓVILES, en el interior de sus servidores a los que se ha accedido a través de Internet. Una vez el cliente valida los datos aportados en el formulario de turno, firma la solicitud de financiación o de contrato de línea pertinente, y la aplicación de TELEFÓNICA, desde sus propios servidores, manda de forma automatizada dos copias de la documentación.

El procedimiento queda fuera de la esfera de control de COMMCENTER. Todo se realiza bajo las directrices, medidas y sistemas de una empresa externa que impone mediante contrato la forma en que la recurrente debe realizar el rellenado y envío de datos, así como la confirmación por parte del cliente.

TERCERO. -Se aduce en la demanda que COMMCENTER actúa en calidad de Encargada de Tratamiento por cuenta de TELEFÓNICA MÓVILES, siendo esta ultima la única responsable de los hechos acontecidos.

Ya la Sentencia del Tribunal Supremo de 5 de junio de 2004, que confirma en casación para Unificación de Doctrina, la de esta AN de 16 de octubre de 2003, haciéndose eco de lo argumentado por esta Sala refiere la diferenciación de dos responsables en función de que el poder decisión vaya dirigido al fichero o al propio tratamiento de datos. Así, el responsable del fichero es quien decide la creación del fichero y su aplicación, y también su finalidad, contenido y uso, es decir, quien tiene capacidad de decisión sobre la totalidad de los datos registrados en dicho fichero. El responsable del tratamiento, sin embargo, es el sujeto al que cabe imputar las decisiones sobre las concretas actividades de un determinado tratamiento de datos, esto es, sobre una aplicación específica. Se trataría de todos aquellos supuestos en los que el poder de decisión debe diferenciarse de la realización material de la actividad que integra el tratamiento.

Con ello, como asimismo argumenta la STS de 26 de abril de 2005 (casación para Unificación de Doctrina 217/2004), el legislador español pretende adaptarse a las exigencias de la Directiva 95/46/CE, que tiene como objetivo dar respuesta legal al fenómeno, que cada vez es más frecuente, de la llamada externalización de los servicios informáticos, donde actúan múltiples operadores, muchos de ellos insolventes, creados con el objetivo de buscar la impunidad o irresponsabilidad de los que le siguen en los eslabones siguientes de la cadena.

En la actualidad, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (por el que se deroga la Directiva 95/46/CE, y de aplicación directa a partir del 25 de mayo de 2018) distingue asimismo entre las figuras del responsable y del encargado del tratamiento.

La primera se define en el apartado 7) del artículo 4 como ' persona física o jurídica (...) que determine los fines y medios del tratamiento'. Y el encargado de tratamiento en el apartado 8) del mismo artículo 4 como aquel que 'trate datos personales por cuenta del responsable del tratamiento'.

Ello en relación con los artículos 24 y 28 del mismo Reglamento Europeo de Protección de Datos. Responsable y encargado del tratamiento de datos que, sin lugar a dudas, resultan asimismo responsables de las infracciones en materia de protección de datos, en tal nuevo marco normativo, de conformidad con lo previsto en el artículo 82.2 del repetido Reglamento (UE) 2016/679 a cuyo tenor : Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento. Un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del presente Reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable.

Aplicando dicha doctrina al supuesto enjuiciado tenemos, de un lado, que la lectura del documento adjuntado como num. 6, que es el contrato celebrado entre la entidad actora y Telefónica Consumer Finance, evidencia que en ningún momento se habla de 'encargada de tratamiento' sino de distribuidora. Y en cualquier caso que, conforme a la doctrina expuesta, la concurrencia en el supuesto de un responsable del tratamiento (Telefónica Móviles) en absoluto exime de responsabilidad a la entidad ahora recurrente, en cuanto la misma es responsable de la seguridad de su establecimiento y las personas que trabajan en el mismo con independencia de la actuación infractora que, en su caso, haya podido imputarse a la responsable del tratamiento, por lo que no puede ser exonerada de responsabilidad.

Se desprende de todo lo anterior que la concurrencia, en el presente supuesto, de un responsable del tratamiento (Telefónica Móviles) en absoluto exime de responsabilidad a la entidad ahora recurrente, en cuanto la misma es responsable de la seguridad de su establecimiento y las personas que trabajan en el mismo con independencia de la actuación infractora que, en su caso, haya podido imputarse a la responsable del tratamiento, por lo que la misma no puede ser exonerada de responsabilidad.

CUARTO.-Entrando en el examen de la infracción imputada a Commcenter SA, esta es la del artículo 9.1 de la Ley Orgánica de Protección de Datos a cuyo tenor el responsable del fichero y, en su caso, el encargado del tratamiento '...deberán adoptar las medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.'

Infracción que se conceptúa como grave en el apartado h) del Artículo 44.3 de la misma LOPD, que tipifica como tal ' Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen'.

Asimismo, el Reglamento de desarrollo de la LOPD, aprobado por Real Decreto 1720/2007, de 21 de diciembre, que regula en su Título IV las medidas de seguridad define en el artículo 5.2.b) la autenticación como el procedimiento de comprobación de la identidad de un usuario; el mismo artículo, letra h), define la identificación como el procedimiento de reconocimiento de la identidad de un usuario.

Esta misma Sala, resolviendo supuestos anteriores en los que los hechos se tipificaron también como infracción de tal deber de seguridad, ha establecido la siguiente doctrina ( SSAN de 28-5-2009 (Rec. 499/2008) y de 27-6-2013 (Rec. 519/2011):

No basta, entonces, con la adopción de cualquier medida, pues deben ser las necesarias para garantizar aquellos objetivos que marca el precepto. Y, por supuesto, no basta con la aprobación formal de las medidas de seguridad, pues resulta exigible que aquéllas se instauren y pongan en práctica de manera efectiva. Así, de nada sirve que se aprueben unas instrucciones detalladas sobre el modo de proceder para la recogida y destrucción de documentos que contengan datos personales si luego no se exige a los empleados la observancia de aquellas instrucciones. En el caso que nos ocupa ha quedado acreditado que la entidad ahora demandante no prestó la diligencia necesaria en orden a la efectiva observancia de aquellas medidas de seguridad, pues de otro modo no se explica que los documentos en los que figuran datos de carácter personal apareciesen publicados en una revista de amplia difusión en la que se afirmaba que habían sido encontrados en la basura.

Hemos considerado, en consecuencia, que se impone una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros. En definitiva, la entidad recurrente es, por disposición legal, una deudora de seguridad en materia de datos, y por tanto debe dar una explicación adecuada y razonable de cómo los datos personales han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas, pues también es responsable de que las mismas se cumplan y se ejecuten con rigor. En definitiva, toda responsable de un fichero (o encargado de tratamiento) debe asegurarse de que dichas medidas o mecanismos se implementen de manera efectiva en la práctica sin que, bajo ningún concepto, datos bancarios, o cualesquiera otros datos de carácter personal, puedan llegar a manos de terceras personas.

QUINTO.-La aplicación de la anterior doctrina al supuesto de autos implica que la infracción del deber de seguridad deba ser apreciada por la Sala, pues ha resultado acreditado y no desvirtuado mediante prueba alguna en contrario que Commcenter, al contratar los servicios y/o productos de telefonía, incumplió su obligación de comprobar de forma fehaciente, tal y como resulta obligado a tenor de la normativa de protección de datos expuesta, la veracidad de la documentación aportada por los clientes.

De modo negligente, en las solicitudes de financiación figuraba una dirección de correo electrónico que no correspondía a los clientes-solicitantes ( a pesar de ser un dato que necesariamente debía figuran en tales solicitudes), solicitudes en todas las cuales se estableció como dirección de correo electrónico la de DIRECCION000 , que correspondía al denunciante. La consecuencia de ello fue que se permitió el acceso no autorizado por parte de terceros, al menos a 14 solicitudes de financiación, en las que obraban datos personales de los clientes (nombre y apellidos, datos económicos, de domiciliación bancaria y firma) con claro incumplimiento del deber de seguridad regulado en el artículo 9. 1 LOPD en relación con lo previsto en el artículo 93 de dicha LOPD en relación con el artículo 5.2.b) del Reglamento de desarrollo de la LOPD.

SEXTO.- Razones, todas las anteriores, que conllevan la desestimación de la pretensión actora, a quien han de imponerse las costas procesales causadas, a tenor del artículo 139 de la Ley de la Jurisdicción, en su redacción actual.

Fallo

Que desestimando el recurso contencioso administrativo interpuesto por la representación procesal de Commcenter SA frente a la resolución de la Directora de la Agencia Española de Protección de Datos de 27 de noviembre de 2018 que desestima el recurso de reposición contra la anterior Resolución de 3 de octubre de 2018 que impone a dicha entidad una sanción de 40.001 euros confirmamos dicha resolución, dada su conformidad a Derecho, con imposición de costas a la parte actora.

La presente sentencia es susceptible de recurso de casación, que deberá prepararse ante esta Sala en el plazo de 30 días contados desde el siguiente al de su notificación; en el escrito de preparación del recurso deberá acreditarse el cumplimiento de los requisitos establecidos en el art. 89.2 de la Ley de la Jurisdicción justificando el interés casacional objetivo que presenta.

Así por esta nuestra Sentencia, lo pronunciamos, mandamos y firmamos.

PUBLICACIÓN.- Dada, leída y publicada fue la anterior Sentencia en audiencia pública. Doy fe. Madrid a.

EL LETRADO DE LA ADMINISTRACIÓN DE JUSTICIA.