Sentencia ADMINISTRATIVO Audiencia Nacional, Sala de lo Contencioso, Sección 1, Rec 615/2017 de 22 de Marzo de 2019

Encabezamiento

A U D I E N C I A N A C I O N A L

Sala de lo Contencioso-Administrativo

SECCIÓN PRIMERA

Núm. de Recurso: 0000615 /2017

Tipo de Recurso: PROCEDIMIENTO ORDINARIO

Núm. Registro General: 06728/2017

Demandante: Ezequiel

Procurador: MARCOS JUAN CALLEJA GARCÍA

Demandado: AGENCIA PROTECCIÓN DE DATOS

Codemandado: DARIO DE BURGOS

Abogado Del Estado

Ponente IImo. Sr.:D. FERNANDO DE MATEO MENÉNDEZ

S E N T E N C I A Nº:

IImo. Sr. Presidente:

D. EDUARDO MENÉNDEZ REXACH

Ilmos. Sres. Magistrados:

Dª. FELISA ATIENZA RODRIGUEZ

Dª. LOURDES SANZ CALVO

D. FERNANDO DE MATEO MENÉNDEZ

Dª. NIEVES BUISAN GARCÍA

Madrid, a veintidos de marzo de dos mil diecinueve.

Vistos por la Sala, constituida por los Sres. Magistrados relacionados al margen, los autos del recurso contencioso-administrativo número 615/17, interpuesto por el Procurador de los Tribunales don Marcos Juan Calleja García, en nombre y representación de DON Ezequiel , contra la resolución de 30 de octubre de 2017 de la Directora de la Agencia Española de Protección de Datos, que confirma en reposición la resolución de 12 de septiembre de 2017, por la que se acordó no iniciar procedimiento administrativo. Han sido partes LA ADMINISTRACIÓN DEL ESTADO, representada por el Abogado del Estado, y la mercantil DIARIO DE BURGOS SA., representado por la Procuradora de los Tribunales doña María Cendra Guinea. La cuantía del recurso quedó fijada en indeterminada.

Antecedentes

PRIMERO .- Admitido el recurso y previos los oportunos trámites procedimentales, se confirió traslado a la parte actora para que, en el término de veinte días formalizara la demanda, lo que llevó a efecto mediante escrito presentado el día 23 de marzo de 2018 en el que, tras exponer los hechos y fundamentos de derecho que estimó oportunos, terminó solicitando que se dictara sentencia estimatoria del recurso, declarando no conforme a derecho la resolución de la Directora de la Agencia Española de Protección de Datos, de fecha 30 de octubre de 2017.

SEGUNDO .- Formalizada la demanda se dio traslado de la misma a las partes demandadas para que la contestaran en el plazo de veinte días, lo que realizaron mediante los pertinentes escritos, alegando los hechos y fundamentos jurídicos que estimaron pertinentes, solicitando la desestimación del recurso, con expresa imposición de costas a la parte recurrente.

TERCERO .- Mediante Auto de 19 de julio de 2018 se denegó el recibimiento del recurso a prueba, no siendo recurrido por las partes. Por diligencia de ordenación de 19 de enero de 2019, quedaron las actuaciones conclusas para sentencia, señalándose para votación y fallo el día 19 de marzo del presente año, fecha en que tuvo lugar.

SIENDO PONENTEel Magistrado Ilmo. Sr. Don FERNANDO DE MATEO MENÉNDEZ.

Fundamentos

PRIMERO .- El demandante impugna la resolución de 30 de octubre de 2017 de la Directora de la Agencia Española de Protección de Datos, que confirma en reposición la resolución de 12 de septiembre de 2017, por la que se acordó no iniciar procedimiento administrativo.

El 26 de julio de 2017 el demandante procedió a la presentación de un escrito, en su condición de representante del Club Baloncesto Tizona S.A.D., ante la Federación de Baloncesto de Castilla y León, en solicitud de determinada información federativa respecto del Club Baloncesto Miraflores. En el encabezamiento del citado escrito, figuraban, entre otros datos, su nombre y apellidos y su D.N.I., y al final del mismo, la rúbrica o firma del suscribiente. Dicho escrito se envió mediante correo certificado, y fue entregado en la Federación de Baloncesto de Castilla y León el día 26 de julio de 2017.

De forma casi inmediata a su recepción por el citado organismo federativo, empezó a circular en las redes sociales, copia íntegra del escrito, en el que figuraba el sello de entrada en el registro de la Federación de Baloncesto de Castilla y León. Por otra parte, el 27 de julio el Diario de Burgos publicó, tanto en su edición impresa como en sus formatos digitales y en su aplicación para teléfonos móviles, tabletas y demás elementos con sistema operativo Android o similares, y elaborada por el redactor, señor Justino , la noticia de la presentación del citado escrito de solicitud de información, incluyendo copia del mismo, si bien se había eliminado el sello de entrada en la Federación de Baloncesto de Castilla y León.

El 30 de agosto de 2017 el aquí actor, presentó ante la Agencia Española de Protección de Datos, reclamación frente a la Federación de Baloncesto de Castilla y León, El Diario de Burgos y don Justino , por la difusión no consentida de sus datos por terceros a través de Internet, que fue archivada por dicha Agencia.

SEGUNDO .- El actor alega, en síntesis, lo siguiente: Que resulta aplicable la normativa de protección datos, ya que existe protección como dato de carácter personal en todo caso del D.N.I., de las personas físicas aun cuando fueran representantes de personas jurídicas. Que los datos personales, incluido el D.N.I. del recurrente, según la Agencia, carecen de protección por encontrarse dichos datos de antemano accesibles en Internet, lo cual no es cierto. Así, existe una única página en Internet en el que aparecen los datos personales, incluido el D.N.I., del demandante. Pero dicho enlace, es la notificación de carácter personal, nunca en su condición de representante de ninguna entidad jurídica deportiva o empresarial, en relación con una multa de tráfico impuesta en el año 1999 en un número del Boletín Oficial de la Rioja.

TERCERO.- La Agencia de Protección de Datos archiva la denuncia del actor en base a que, nos encontramos ante el tratamiento de los datos del recurrente vinculados con su condición de representante de una entidad deportiva, es decir, corno representante de una entidad jurídica. A partir de lo anterior, se añade que queda fuera del ámbito de aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), vigente a la sazón, y, por tanto, del ámbito de actuación de la Agencia, aquellos tratamientos de datos que se refieran representantes de personas jurídicas, como es el presente caso, referidas a dicha condición y en ejercicio de la representación con la que cuentan, por lo que los hechos denunciados quedarían fuera de las competencias de la Agencia.

En lo relativo a lo que afecta al dato del D.N.I. del recurrente, se dice que el dato referido al D.N.I. se configura en un dato que es accesible de antemano, en Internet, es decir, no estamos ante la revelación de un dato que no sea conocido, sea inaccesible o no haya sido expuesto previamente, sino que, a partir de la actividad profesional del denunciante, el dato de su D.N.I. ha sido expuesto previamente en enlaces accesibles por cualquier usuario de Internet a través del correspondiente buscador.

Debemos partir que, tal y como se recoge en nuestra Sentencia de 4 de octubre de 2013, recurso contencioso-administrativo 2/2013 , que, fue posteriormente confirmada por la Sentencia del Tribunal Supremo de 24 de noviembre de 2014 -recurso nº. 3.763/2013 -, nos encontramos ante un derecho fundamental, la protección de datos de carácter personal, que difiere de los garantizados en el art. 18.1 de la Constitución , y del que solo son titulares las personas físicas, es decir, a los seres humanos, tal y como se reconoce tanto en la LOPD como en la derogada Directiva 95/46, a lo que hay que añadir, el vigente Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016,

Por otro lado, en el derecho a la protección de datos de carácter personal quedan incluidos datos de los profesionales individuales, como se deriva del art. 2 del Real Decreto 1.720/2007, de 21 de diciembre , y así se puso de manifiesto por el Tribunal Supremo en la Sentencia de 20 de febrero de 2007 -recurso nº. 732/2003 -.

Como decíamos al respecto en nuestra Sentencia de 12 de mayo de 2011 -recurso nº. 31/2010 -, se trata del problema de la aplicación o no de la normativa sobre protección de datos a aquellos supuestos en que los datos se refieran a personas físicas, pero que lleven a cabo una actividad mercantil o profesional. Se añadía que: " Para ello es imprescindible recordar algunas de las consideraciones de la STC 292/2000, de 30 de noviembre , que establece que (FJ 6º) el objeto de protección del derecho fundamental a la protección de datos no se reduce solo a los datos íntimos de la persona sino a cualquier tipo de datos personales, sean o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está el art. 18.1 CE (6), sino los datos de carácter personal. Por consiguiente, también alcanza a aquellos datos personales públicos, que por el hecho de serlo, de ser accesibles al conocimiento de cualquiera, no escapan al poder de disposición del afectado, porque así lo garantiza su derecho a la protección de datos (pues) los datos amparados son todos aquellos que identifiquen o permitan la identificación de la persona pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias constituye una amenaza para el individuo.

No puede concluirse, por tanto, que los empresarios individuales y profesionales estén en su conjunto excluidos del ámbito de protección de la LOPD, sino que se hace necesario diferenciar (y la línea divisoria es confusa y difusa) cuando un dato del empresario o profesional, se refiere a la vida privada de la persona y cuando a la empresa o profesión, pues solo en el primer caso cabe aplicar la protección de la LO 15/1999. Labor de diferenciación que puede basarse en dos criterios distintos y complementarios:

Uno, el criterio objetivo de la clase y la naturaleza de los datos tratados, según estén en conexión y se refieran a una esfera (la íntima y personal) o a otra (la profesional) de la actividad. Otro, el de la finalidad del tratamiento y circunstancias en que éste se desarrolla, criterio éste que operaría en aquellos casos en que alguno de los datos profesionales coincida con los particulares (por ej. coincidencia de domicilio privado con el de la empresa, o cuando no se pueda acreditar si una deuda es de la empresa o si es personal del interesado)".

Acorde con lo expuesto, y haciendo hincapié en que la LOPD tiene por objeto garantizar y proteger los datos personales entendiendo por tales, art. 3.a) de dicha Ley ' cualquier información concerniente a persona física identificadas o identificables',esta Sala ha considerado, en ocasiones anteriores en que se ha planteado la misma controversia, que bajo determinadas circunstancias dicha Ley sí ampara los datos personales de los profesionales en tanto que no dejaban por ello de ser personas físicas. Así, ha ocurrido en nuestra Sentencia de 21 de noviembre de 2002 -recurso nº. 881/2000 -, en relación datos personales de arquitectos en el mercado de la construcción; en la Sentencia de 25 de junio de 2003 -recurso nº. 1.099/2000 -, en relación con datos personales de promotores en la construcción de su propia vivienda, y en la Sentencia de 11 de febrero de 2004 - recurso nº.119/2002 -, y ya bajo la vigencia de la actual LOPD, hemos entendido que el dato del afectado, aunque se refería al lugar de ejercicio de su profesión, concretamente un despacho de abogados, era un dato de una persona física con una actividad profesional cuya protección caía en la órbita de la Ley Orgánica 15/1999.

En el mismo sentido, tal y como nos recuerda la Sentencia de 9 de junio de 2011 -recurso nº. 147/2010 -,precisábamos en nuestra Sentencia de 14 de febrero de 2007 -recurso nº. 186/2005 -, que: ' Si cualquier persona física tiene derecho a la protección de los datos personales, no parece que puedan ser excluidos de tal protección los datos personales de todas aquellas personas físicas que, obviamente conservando tal condición, también tengan la condición de profesionales, pues la adicción de esta circunstancia no les priva de sus derechos como ciudadanos, salvo que estos profesionales organicen su actividad bajo fórmulas mercantiles y que se acredite que los datos eran ajenos a su esfera privada y ostentaban una clara vinculación con la actividad mercantil'.

En esta línea en nuestra Sentencia de 8 de mayo 2009 -recurso nº. 514/2007 -, nos pronunciamos sobre la no aplicabilidad de la LOPD a un supuesto en que se identificaba el nombre de una persona con el de sus sociedades y se refería a deudas de las citadas sociedades vinculadas a dicha persona. Criterio que ha sido reiterado posteriormente en la Sentencia de 16 de julio 2009 -recurso nº. 504/2008 -.

Finalmente, hemos reiterado la doctrina expuesta en las de Sentencias de 31 de enero de 2019 - recurso nº. 542/2017-, de 15 de julio de 2016 - recurso nº. 225/2014-, de 19 de junio de 2104 - recurso nº. 253/2013 -, y de 25 de octubre de 2013 - recurso nº. 145/2012 -, en la que se cita como precedentes, entre otros, nuestras Sentencias de 12 de mayo de 2011 - recurso nº. 31/2010-, de 10 de septiembre de 2009 - recurso nº. 89/2008 -, y de 29 de marzo de 2006 - recurso nº. 348/2004 -.

Así las cosas, en el supuesto que nos ocupa, sin perjuicio de que el denunciante sea el Presidente del Club de Baloncesto Tizona S.A.D., y como tal su representante, lo cierto es que los datos personales recogidos en el escrito que se remitió a la Federación de Baloncesto de Castilla y León, y luego recogidos por el Diario de Burgos, se refieren a la persona del denunciante, como es el nombre y su D.N.I., además del citado club de baloncesto. Es por ello, que, con independencia de su condición de presidente del citado club de baloncesto, los datos hacen referencia a datos de carácter personal de la persona física, y no de una persona jurídica, que afectan a la esfera particular del mismo en cuanto identifican y permiten la identificación de su persona, y cuyo conocimiento o empleo por terceros puede afectar a uno de los derechos inherentes a su persona. Por lo que nos encontramos dentro del ámbito de aplicación de la normativa de protección de datos, resultando aplicable la misma al caso que nos ocupa.

Po otro lado, según la Agencia el dato del D.N.I. del recurrente, ha sido expuesto previamente en enlaces accesibles por cualquier usuario de Internet a través del correspondiente buscador. Y tal y como se reconoce por el recurrente, es por la notificación de carácter personal, nunca en su condición de representante de ninguna entidad jurídica deportiva o empresarial, de una multa de tráfico impuesta en el año 1999 en un número del Boletín Oficial de la Rioja.

El concepto de dato de carácter personal aparece definido en el art. 3.a) de la LOPD , como 'cualquier información referente a personas físicas identificadas o identificables'.

Por su parte el art. 5 del Reglamento de desarrollo de la citada Ley, aprobado por Real Decreto 1.720/2007, de 21 de diciembre , define en su apartado 1.f) los datos de carácter personal, como 'cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier tipo concerniente a personas físicas identificadas o identificables'. Y en el apartado 1.o) se define persona identificable, como 'toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier comunicación referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados'.

Por otro lado, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), define 'datos personales', como 'toda información sobre una persona física identificada o identificable ('el interesado'); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona'.

Así las cosas, como de manera reiterada ha declarado esta Sala, como en la Sentencia de 27 de octubre de 2004 -recurso nº. 1.112/2002 -, el D.N.I. es un dato de carácter personal amparado por la LOPD, aunque aparentemente no tiene relación externa con el nombre y apellido de su titular, máxime en el caso que nos ocupa, en que se encuentra ligado con el nombre y apellidos del titular. No siendo admisible, lo declarado por la Agencia, de que el D.N.I. del reclamante se encontraba accesible en Internet, pues ello es debido a que aparece en el Boletín Oficial de La Rioja, por una multa de tráfico impuesta al aquí actor en el año 1999, y, además, no por ello deja de ser el D.N.I. un dato de carácter personal.

En consecuencia, en virtud de lo expuesto, procede estimar el recurso contencioso-administrativo, que la Agencia Española de Protección de Datos incoe actuaciones inspectoras a fin de llevar a cabo las actuaciones previas de investigación necesarias, para determinar si concurren circunstancias que justifiquen la iniciación de un procedimiento sancionador frente a quienes resultasen responsables de los hechos denunciados

CUARTO.- A tenor del art. 139.1 de la Ley de la Jurisdicción procede imponer las costas procesales a las partes demandadas.

VISTOSlos artículos citados, y demás de general y pertinente aplicación.

Fallo

Que procede estimar el recurso contencioso-administrativo interpuesto por el Procurador de los Tribunales don Marcos Juan Calleja García, en nombre y representación de DON Ezequiel , contra la resolución de 30 de octubre de 2017 de la Directora de la Agencia Española de Protección de Datos, que confirma en reposición la resolución de 12 de septiembre de 2017, por la que se acordó no iniciar procedimiento administrativo, declaramos la nulidad de las citadas resoluciones por no ser conformes a derecho, acordando en su lugar, que la Agencia Española de Protección de Datos incoe actuaciones inspectoras a fin de llevar a cabo las actuaciones previas de investigación necesarias, para determinar si concurren circunstancias que justifiquen la iniciación de un procedimiento sancionador frente a quienes resultasen responsables de los hechos denunciados; con expresa imposición de las costas procesales a las partes demandadas.

La presente sentencia es susceptible de recurso de casación, que deberá prepararse ante esta Sala en el plazo de 30 días contados desde el siguiente al de su notificación; en el escrito de preparación del recurso deberá acreditarse el cumplimiento de los requisitos establecidos en el art. 89.2 de la Ley de la Jurisdicción justificando el interés casacional objetivo que presenta.

Así, por esta nuestra Sentencia, lo pronunciamos, mandamos y firmamos.

PUBLICACIÓN.- Dada, leída y publicada fue la anterior Sentencia en audiencia pública. Doy fe. Madrid a.

LA LETRADA DE LA ADMINISTRACIÓN DE JUSTICIA.