Inicio
Sentencia Administrativo ...il de 2015

Última revisión
19/06/2015

Sentencia Administrativo Nº 201/2015, Audiencia Nacional, Sala de lo Contencioso, Sección 1, Rec 13/2014 de 28 de Abril de 2015

Tiempo de lectura: 35 min

Tiempo de lectura: 35 min

Relacionados:

Orden: Administrativo

Fecha: 28 de Abril de 2015

Tribunal: Audiencia Nacional

Ponente: QUINTANA CARRETERO, JUAN PEDRO

Nº de sentencia: 201/2015

Núm. Cendoj: 28079230012015100168

Núm. Ecli: ES:AN:2015:1843

Núm. Roj: SAN  1843:2015

Resumen:
No encontrada materia3-1536

Encabezamiento

A U D I E N C I A N A C I O N A L

Sala de lo Contencioso-Administrativo

SECCIÓN PRIMERA

Núm. de Recurso: 0000013 /2014

Tipo de Recurso: PROCEDIMIENTO ORDINARIO

Núm. Registro General: 00273/2014

Demandante: EDITORIAL EVEREST, S.A.

Procurador: ALBERTO ALFARO MATOS

Letrado: MARIELA YVANCA FERNÁNDEZ FERNÁNDEZ

Demandado: AGENCIA PROTECCIÓN DE DATOS

Abogado Del Estado

Ponente IImo. Sr.:D. JUAN PEDRO QUINTANA CARRETERO

S E N T E N C I A Nº:

IImo. Sr. Presidente:

D. EDUARDO MENÉNDEZ REXACH

Ilmos. Sres. Magistrados:

Dª. LOURDES SANZ CALVO

D. FERNANDO DE MATEO MENÉNDEZ

D. JUAN PEDRO QUINTANA CARRETERO

Madrid, a veintiocho de abril de dos mil quince.

Vistos por esta Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional los autos del recurso contencioso-administrativo numero 13/2014, interpuesto por el Procurador don Alberto Alfaro Matos, en nombre y representación de Editorial Everest, S.A., en cuya defensa ha intervenido la Abogada doña Mariela Yvanca Fernández Fernández, contra la resolución de fecha 18 de noviembre de 2013, dictada en el procedimiento PS/00071/2013 por el Director de la Agencia Española de Protección de Datos, por la que se desestima el recurso de reposición interpuesto contra la resolución del mismo órgano de fecha 28 de julio de 2013, por la que se impone a Editorial Everest, S.A., una multa de 50.000 euros por la comisión de una infracción tipificada en el artículo 44.3.c) en relación con el artículo 4.3, ambos de la LOPD . Ha sido parte demandada en las presentes actuaciones la Administración del Estado, representada y defendida por la Abogacía del Estado.

Antecedentes

PRIMERO.-Por la parte recurrente se interpuso recurso contencioso-administrativo mediante escrito presentado el 17 de enero de 2014, acordándose mediante decreto de 5 de febrero de 2014 su tramitación de conformidad con las normas establecidas en la Ley 29/1998 y la reclamación del expediente administrativo, tras subsanar el defecto en que incurrió en la interposición del recurso.

Mediante auto de 18 de marzo de 2014 en la pieza separada de medidas cautelares fue acordada la suspensión de ejecutividad de la resolución recurrida, condicionada a que la parte recurrente garantizara el pago de la sanción de multa impuesta.

SEGUNDO.-En el momento procesal oportuno la parte actora formalizó la demanda mediante escrito presentado el 5 de junio de 2014, en el que, tras alegar los hechos y fundamentos de derecho que estimó procedentes, terminó suplicando se dictara sentencia estimatoria de su pretensión y se declara nula o se anule la resolución recurrida, subsidiariamente, se revoque la resolución recurrida y se ordene que se dicte otra por la que se acuerde apercibir a la demandante con arreglo al artículo 45.6 LOPD y, subsidiariamente, e imponga la sanción correspondiente a las infracciones leves en su grado mínimo en aplicación del artículo 45.5 LOPD , concretamente 900 euros, con imposición de costas a la Administración demandada.

Las alegaciones de la parte demandante en defensa de su pretensión son, en síntesis, las siguientes:

1.- Vulneración del principio de tipicidad ante la inexistencia de infracción por no tener los datos tratados por la demandante la consideración de datos de carácter personal a los que resulte de aplicación la LOPD, de conformidad con lo dispuesto en el artículo 2.3 del Real Decreto 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 1/1999, de 13 de diciembre, pues fueron tratados en consideración a la condición de empresario individual del denunciante y la relación comercial que mantenía con Editorial Everest, S.A..

2.- Vulneración del principio de presunción de inocencia, dada la inexistencia de la comisión de la infracción sancionada, pues cuando se incluyó la deuda del denunciante en Asnef se trataba de una deuda cierta y fue cancelada el 29 de marzo de 2012, es decir, dentro del plazo de diez días que prevé el artículo 8.5 del RLOPD, una vez firme la sentencia dictada por el Juzgado de Primera Instancia número 2 de Mataró desestimatoria de la demanda interpuesta por Editorial Everest, S.A., de fecha 19 de octubre de 2011 , que lo fue el 20 de marzo de 2012 -transcurrido el plazo para recurrir la diligencia de ordenación de declaración de firmeza de la sentencia por declararse desierto el recurso de apelación preparado por Editorial Everest, S.A.-.

3.- Infracción del artículo 45 LOPD , al resultar de aplicación tanto su apartado sexto como su apartado quinto, dadas las circunstancias concurrentes en el caso.

TERCERO.-El Sr. Abogado del Estado contestó a la demanda mediante escrito presentado el 16 de julio de 2014, en el que, tras alegar los hechos y los fundamentos de derecho que estimó oportunos, terminó suplicando se dictara sentencia desestimatoria del recurso contencioso-administrativo, confirmándose el acto administrativo impugnado, con imposición de costas a la parte recurrente.

Las alegaciones de la Administración demandada en sustento de su pretensión son, en síntesis que la resolución administrativa recurrida es conforme a Derecho, reiterando los razonamientos expresados en la misma.

CUARTO.-La cuantía del recurso ha sido fijada en 50.000 euros por diligencia de ordenación de 31 de julio de 2014.

Habiéndose solicitado el recibimiento del pleito a prueba, se acordó dicho trámite mediante auto de 12 de septiembre de 2014, y se ha practicado la prueba admitida de la propuesta por las partes, con el resultado que consta en los autos.

Concluso el término probatorio, se dio traslado a las partes, por su orden, para que formularan conclusiones, trámite que evacuaron mediante la presentación de sendos escritos en los que concretaron y reiteraron sus respectivos pedimentos.

QUINTO.-Conclusas las actuaciones, se señaló para votación y fallo de este recurso el día 21 de abril de 2015, fecha en que tuvo lugar la deliberación y votación, habiendo sido ponente el Ilmo. Magistrado don JUAN PEDRO QUINTANA CARRETERO, quien expresa el parecer de la Sala.

Fundamentos

PRIMERO.-El presente recurso contencioso-administrativo tiene por objeto la resolución de fecha 18 de noviembre de 2013, dictada en el procedimiento PS/00071/2013 por el Director de la Agencia Española de Protección de Datos, por la que se desestima el recurso de reposición interpuesto contra la resolución del mismo órgano de fecha 28 de julio de 2013, por la que se impone a Editorial Everest, S.A., una multa de 50.000 euros por la comisión de una infracción tipificada en el artículo 44.3.c) en relación con el artículo 4.3, ambos de la LOPD .

La resolución sancionadora recurrida atribuye a la demandante la comisión de una infracción del principio de calidad del dato, en atención a la inclusión por parte de Editorial Everest, S.A. en el fichero de solvencia Asnef de los datos del denunciante, en particular su nombre y apellidos ( Tomás ) y su número de NIF, asociados a varias deudas que no eran ciertas, siendo las fechas de alta y baja de las anotaciones el 16 de julio de 2009 y el 29 de marzo de 2012 -430,78 euros-, el 16 de julio de 2009 y el 29 de marzo de 2012 -256,82 euros-, el 17 de diciembre de 2007 y el 7 de abril de 2009 -256,82 euros- y el 19 de noviembre de 2007 y el 7 de abril de 2009 -614,67 euros-, respectivamente.

El denunciante con fecha 27 de marzo de 2009 ejercitó el derecho de cancelación de sus datos de carácter personal ante Asnef-Equifax, entidad que el día 2 de abril de 2012 le informó que habían procedido a la baja de dichos datos.

Mediante sentencia del Juzgado de Primera Instancia número 2 de Mataró, de fecha 19 de octubre de 2011 fue desestimada la demanda interpuesta por Editorial Everest, S.A. contra don Tomás , en reclamación de pago de una serie de facturas emitidas, cuyo importe ascendía a 871,49 euros, al no acreditarse la entrega de las mercancías facturadas por aquella sociedad a cargo de éste.

SEGUNDO.-La primera de las alegaciones de la parte demandante en defensa de su pretensión consiste en la vulneración por la resolución recurrida del principio de tipicidad, ante la inexistencia de infracción, por no tener los datos tratados por la demandante la consideración de datos de carácter personal a los que resulte de aplicación la Ley Orgánica 1/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), de conformidad con lo dispuesto en el artículo 2.3 del Real Decreto 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 1/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (RLOPD) pues fueron tratados en consideración a la condición de empresario individual del denunciante y la relación comercial que mantenía con Editorial Everest, S.A.

La Agencia Española de Protección de Datos sustenta su resolución en que la protección de los datos de carácter personal que dispensa la LOPD resulta de aplicación al denunciante, en aplicación del artículo 1 de la LOPD y el artículo 2.3 de su reglamento, pues excluye del régimen de aplicación de la protección de datos personales a los empresarios individuales cuando hagan referencia a ellos en su calidad de comerciantes, lo que no acontece en este caso, según su parecer, dado que los datos del denunciante comunicados -nombre y apellidos y NIF- identifican al mismo tiempo al titular de la empresa y a la persona física del denunciante, con independencia de que se trate de un empresario individual que es cliente de la denunciada.

La cuestión controvertida ha de ser resuelta siguiendo nuestra consolidada doctrina, expuesta con detalle en la sentencia de 4 de octubre de 2013, recurso contencioso-administrativo 1/2013 , que, como veremos, ha sido posteriormente reiterada, y corroborada por la STS de 24 de noviembre de 2014, Rec. 3763/2013 , y resumimos a continuación.

Veamos, por lo que respecta al régimen normativo sobre la cuestión hemos de señalar lo siguiente:

-El art. 18.4 de la Constitución establece que 'la Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos'.

- Posteriormente, se dictó la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que adaptó nuestro ordenamiento a lo dispuesto por la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y derogó la hasta entonces vigente Ley Orgánica 5/1992, de 29 de octubre.

En el art. 1 de dicha norma se establece: 'La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar' .

En el art. 3.a) se definen los datos de carácter personal como 'cualquier información concerniente a personas físicas identificadas o identificables'.

Finalmente, la Disposición Transitoria Primera establece que 'la Agencia Española de Protección de Datos será el organismo competente para la protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal respecto de los tratamientos establecidos en cualquier Convenio Internacional del que sea parte España que atribuya a una autoridad nacional de control esta competencia, mientras no se cree una autoridad diferente para este cometido en desarrollo del Convenio'.

- Por su parte, en los apartados 2 y 3 del art. 2 del Real Decreto 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, se dispone:

' 2. Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.

3. Asimismo, los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal'.

A lo expuesto debe añadirse que nuestra Constitución no contiene ningún pronunciamiento general acerca de la titularidad de derechos fundamentales de las personas jurídicas, aunque ninguna norma, ni constitucional ni de rango legal, impide que puedan ser sujetos de los derechos fundamentales.

Por consiguiente, el reconocimiento, en ocasiones expreso y en ocasiones implícito, que desde el punto de vista constitucional existe respecto de la titularidad de las personas jurídicas de determinados derechos fundamentales, necesita ser delimitada y concretada a la vista de cada derecho fundamental, es decir, en atención a que la naturaleza concreta del derecho fundamental considerado permita su titularidad a una persona moral y su ejercicio por ésta. Así se desprende de la STC 139/1995, de 26 de septiembre , que reconoce que las personas jurídicas pueden ser titulares del derecho al honor, pues puede ver lesionado su derecho al honor a través de la divulgación de hechos concernientes a su entidad, cuando la difame o la haga desmerecer en la consideración ajena. En el mismo sentido, también se pronuncia la Sentencia del Tribunal Constitucional 183/1995, de 11 de diciembre .

Ahora bien, no deben confundirse los derechos reconocidos en el apartado 1 del art. 18 de la Constitución con el derecho fundamental garantizado en el apartado 4 del citado precepto constitucional, derechos que son diferentes como ha puesto de relieve el Tribunal Constitucional, en la Sentencia 292/2000, de 30 de noviembre , al declarar lo siguiente:

'... el art. 18.4 CE contiene, en los términos de la STC 254/1993 , un instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los restantes derechos de los ciudadanos que, además, es en sí mismo 'un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos, lo que la Constitución llama la informática', lo que se ha dado en llamar 'libertad informática' (FJ 6, reiterado luego en las SSTC 143/1994 , FJ 7 , 11/1998 , FJ 4 , 94/1998 , FJ 6 , 202/1999 , FJ 2). La garantía de la vida privada de la persona y de su reputación poseen hoy una dimensión positiva que excede el ámbito propio del derecho fundamental a la intimidad ( art. 18.1 CE ), y que se traduce en un derecho de control sobre los datos relativos a la propia persona. La llamada 'libertad informática' es así derecho a controlar el uso de los mismos datos insertos en un programa informático ('habeas data') y comprende, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención ( SSTC 11/1998 , FJ 5 , 94/1998 , FJ 4).

Este derecho fundamental a la protección de datos, a diferencia del derecho a la intimidad del art. 18.1 CE , con quien comparte el objetivo de ofrecer una eficaz protección constitucional de la vida privada personal y familiar, atribuye a su titular un haz de facultades que consiste en su mayor parte en el poder jurídico de imponer a terceros la realización u omisión de determinados comportamientos cuya concreta regulación debe establecer la Ley, aquella que conforme al art. 18.4 CE debe limitar el uso de la informática, bien desarrollando el derecho fundamental a la protección de datos ( art. 81.1CE ), bien regulando su ejercicio ( art. 53.1 CE ). La peculiaridad de este derecho fundamental a la protección de datos respecto de aquel derecho fundamental tan afín como es el de la intimidad radica, pues, en su distinta función, lo que apareja, por consiguiente, que también su objeto y contenido difieran.

(...) La función del derecho fundamental a la intimidad del art 18.1 CE es la de proteger frente a cualquier invasión que pueda realizarse en aquel ámbito de la vida personal y familiar que la persona desea excluir del conocimiento ajeno y de las intromisiones de terceros en contra de su voluntad (por todas STC 144/1999, de 22 de julio , FJ 8). En cambio, el derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado. En fin, el derecho a la intimidad permite excluir ciertos datos de una persona del conocimiento ajeno, por esta razón, y así lo ha dicho este Tribunal (SSTC 134/1999, de 15 de julio , FJ 5 ; 144/1999 , FJ 8 ; 98/2000, de 10 de abril , FJ 5 ; 115/2000, de 10 de mayo , FJ 4), es decir, el poder de resguardar su vida privada de una publicidad no querida. El derecho a la protección de datos garantiza a los individuos un poder de disposición sobre esos datos. Esta garantía impone a los poderes públicos la prohibición de que se conviertan en fuentes de esa información sin las debidas garantías; y también el deber de prevenir los riesgos que puedan derivarse del acceso o divulgación indebidas de dicha información. Pero ese poder de disposición sobre los propios datos personales nada vale si el afectado desconoce qué datos son los que se poseen por terceros, quiénes los poseen, y con qué fin.

De ahí la singularidad del derecho a la protección de datos, pues, por un lado, su objeto es más amplio que el del derecho a la intimidad, ya que el derecho fundamental a la protección de datos extiende su garantía no sólo a la intimidad en su dimensión constitucionalmente protegida por el art. 18.1 CE , sino a lo que en ocasiones este Tribunal ha definido en términos más amplios como esfera de los bienes de la personalidad que pertenecen al ámbito de la vida privada, inextricablemente unidos al respeto de la dignidad personal ( STC 170/1987, de 30 de octubre , FJ 4), como el derecho al honor, citado expresamente en el art. 18.4 CE , e igualmente, en expresión bien amplia del propio art. 18.4 CE , al pleno ejercicio de los derechos de la persona. El derecho fundamental a la protección de datos amplía la garantía constitucional a aquellos de esos datos que sean relevantes para o tengan incidencia en el ejercicio de cualesquiera derechos de la persona, sean o no derechos constitucionales y sean o no relativos al honor, la ideología, la intimidad personal y familiar a cualquier otro bien constitucionalmente amparado.

De este modo, el objeto de protección del derecho fundamental a la protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está la protección que el art. 18.1 CE otorga, sino los datos de carácter personal. Por consiguiente, también alcanza a aquellos datos personales públicos, que por el hecho de serlo, de ser accesibles al conocimiento de cualquiera, no escapan al poder de disposición del afectado porque así lo garantiza su derecho a la protección de datos. También por ello, el que los datos sean de carácter personal no significa que sólo tengan protección los relativos a la vida privada o íntima de la persona, sino que los datos amparados son todos aquellos que identifiquen o permitan la identificación de la persona, pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para el individuo.

Pero también el derecho fundamental a la protección de datos posee una segunda peculiaridad que lo distingue de otros, como el derecho a la intimidad personal y familiar del art. 18.1 CE . Dicha peculiaridad radica en su contenido, ya que a diferencia de este último, que confiere a la persona el poder jurídico de imponer a terceros el deber de abstenerse de toda intromisión en la esfera íntima de la persona y la prohibición de hacer uso de lo así conocido ( SSTC 73/1982, de 2 de diciembre , FJ 5 ; 110/1984, de 26 de noviembre , FJ 3 ; 89/1987, de 3 de junio , FJ 3 ; 231/1988, de 2 de diciembre , FJ 3 ; 197/1991, de 17 de octubre , FJ 3, y en general las SSTC 134/1999, de 15 de julio , 144/1999, de 22 de julio , y 115/2000, de 10 de mayo ), el derecho a la protección de datos atribuye a su titular un haz de facultades consistente en diversos poderes jurídicos cuyo ejercicio impone a terceros deberes jurídicos, que no se contienen en el derecho fundamental a la intimidad, y que sirven a la capital función que desempeña este derecho fundamental: garantizar a la persona un poder de control sobre sus datos personales, lo que sólo es posible y efectivo imponiendo a terceros los mencionados deberes de hacer. A saber: el derecho a que se requiera el previo consentimiento para la recogida y uso de los datos personales, el derecho a saber y ser informado sobre el destino y uso de esos datos y el derecho a acceder, rectificar y cancelar dichos datos. En definitiva, el poder de disposición sobre los datos personales ( STC 254/1993 , FJ 7)'.

De modo que, reiteramos, el contenido del derecho a la protección de datos de carácter personal aparece definido y su protección jurídica expresada por la doctrina del Tribunal Constitucional ( STC 292/2000, de 30 de noviembre ) en los siguientes términos:

'... un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. (...) el significado y el contenido el derecho a la protección de datos personales se corroboran, atendiendo al mandato del art. 10.2 CE , por lo dispuesto en los instrumentos internacionales que se refieren a dicho derecho fundamental. Como es el caso de la Resolución 45/95 de la Asamblea General de las Naciones Unidas donde se recoge la versión revisada de los Principios Rectores aplicables a los Ficheros Computadorizados de Datos Personales. En el ámbito europeo, del Convenio para la Protección de las Personas respecto al Tratamiento Automatizado de Datos de Carácter Personal hecho en Estrasburgo el 28 de enero de 1981, del que hemos dicho en la STC 254/1993 , FJ 4, que no se limita 'a establecer los principios básicos para la protección de los datos tratados automáticamente, especialmente en sus arts. 5, 6, 7 y 11', sino que los completa 'con unas garantías para las personas concernidas, que formula detalladamente su art. 8', al que han seguido diversas recomendaciones de la Asamblea del Consejo de Europa.

Por último, otro tanto ocurre en el ámbito comunitario, con la Directiva 95/46, sobre Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y la Libre Circulación de estos datos, así como con la Carta de Derechos Fundamentales de la Unión Europea del presente año, cuyo art. 8 reconoce este derecho, precisa su contenido y establece la necesidad de una autoridad que vele por su respeto. Pues todos estos textos internacionales coinciden en el establecimiento de un régimen jurídico para la protección de datos personales en el que se regula el ejercicio de este derecho fundamental en cuanto a la recogida de tales datos, la información de los interesados sobre su origen y destino, la facultad de rectificación y cancelación, así como el consentimiento respecto para su uso o cesión. Esto es, como antes se ha visto, un haz de garantías cuyo contenido hace posible el respeto de este derecho fundamental'.

A lo expuesto en esta última Sentencia respecto a la normativa comunitaria tenemos que añadir el art. 16 del Tratado de Funcionamiento de la Unión Europea que dispone:

'1.Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.

2. El Parlamento Europeo y el Consejo establecerán, con arreglo al procedimiento legislativo ordinario, las normas sobre protección de las personas físicas respecto del tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la Unión, así como por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del Derecho de la Unión, y sobre la libre circulación de estos datos. El respeto de dichas normas estará sometido al control de autoridades independientes.

Las normas que se adopten en virtud del presente artículo se entenderán sin perjuicio de las normas específicas previstas en el art. 39 del Tratado de la Unión Europea '.

Igualmente, el Reglamento ( CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos, en el art. 1.1 establece: 'Las instituciones y los organismos creados por los Tratados constitutivos de las Comunidades Europeas o en virtud de dichos Tratados, en lo sucesivo denominados «instituciones y organismos comunitarios», garantizarán, de conformidad con el presente Reglamento, la protección de los derechos y las libertades fundamentales de las personas físicas, y en particular su derecho a la intimidad, en lo que respecta al tratamiento de los datos personales, y no limitarán ni prohibirán la libre circulación de datos personales entre ellos o entre ellos y destinatarios sujetos al Derecho nacional de los Estados miembros adoptado en aplicación de la Directiva 95/46/CE ' .

Por otro lado, el derecho fundamental a la protección de datos de carácter personal al que hace referencia el artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea, se halla íntimamente ligado al derecho al respeto de la vida privada, consagrado en el artículo 7 de dicha Carta, y así lo pone de manifiesto el Tribunal de Justicia (CE) Gran Sala, en la Sentencia de 9 de noviembre de 2010, nº C-92/2009 y C-93/2009, que declaró lo siguiente: '... procede considerar, por una parte, que el respeto del derecho a la vida privada en lo que respecta al tratamiento los datos de carácter personal, reconocido por los artículos 7 y 8 de la Carta, se aplica a toda información sobre una persona física identificada o identificable (véase, en particular, TEDH, sentencias Amann c. Suiza de 16 de febrero de 2000, Recueil des arrêts et décisions 2000-II, § 65, y Rotaru c. Rumanía de 4 de mayo de 2000, Recueil des arrêts et décisions 2000-V, § 43) y, por otra parte, que las limitaciones al derecho a la protección de los datos de carácter personal que pueden establecerse legítimamente corresponden a las toleradas en el contexto del artículo 8 del CEDH '.Esta sentencia autoriza la publicación de datos de personas jurídicas como beneficiarias de ayudas públicas, declarando que el derecho a la protección de datos de estas presenta diferencias importantes con el derecho a la protección de datos de carácter personal de las personas físicas.

En consecuencia, conforme a lo expuesto, nos encontramos ante un derecho fundamental, la protección de datos de carácter personal, que difiere de los garantizados en el art. 18.1 de la Constitución , y del que solo son titulares las personas físicas, es decir, a los seres humanos, tal y como se reconoce tanto en la LOPD como en la citada Directiva 95/46, así como en Convenios Internacionales suscritos por España anteriormente aludidos.

Aunque el Convenio Europeo del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, prevé la posibilidad en el art. 3 del mismo de extender la protección a las informaciones relativas a agrupaciones, asociaciones, fundaciones, sociedades, compañías o cualquier otro organismo compuesto directa o indirectamente de personas físicas, tengan o no personalidad jurídica, España no hizo uso de dicha posibilidad en el Instrumento de ratificación de 27 de enero de 1984 del reseñado Convenio, ni en la Ley Orgánica 5/1992, de 29 de octubre, de regulación del Tratamiento Automatizado de los Datos de carácter personal, ni en la vigente Ley Orgánica de Protección de Datos de Carácter Personal.

Cabe añadir que en el derecho a la protección de datos de carácter personal quedan incluidos los datos de los profesionales individuales, como se deriva del artículo 2 del Real Decreto 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, y así se puso de manifiesto por el Tribunal Supremo en la Sentencia de 20 de febrero de 2007 -recurso nº. 732/2003 - y también por esta Sala.

Como decíamos al respecto en nuestra sentencia de 12 de mayo de 2011, Rec. 31/2010 , se trata del problema de la aplicación o no de la normativa sobre protección de datos a aquellos supuestos en que los datos se refieran a personas físicas, pero que lleven a cabo una actividad mercantil o profesional.

En esta sentencia recordábamos algunas de las consideraciones de la STC 292/2000, de 30 de noviembre , al establecer que el objeto de protección del derecho fundamental a la protección de datos no se reduce solo a los datos íntimos de la persona sino a cualquier tipo de datos personales, sean o no íntimos, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está el art. 18.1 CE , sino los datos de carácter personal, entendidos como todos aquellos que identifiquen o permitan la identificación de la persona pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias constituye una amenaza para el individuo, aunque fueran datos personales públicos, y por ello accesibles al conocimiento de cualquiera.

Y, añadíamos en nuestra sentencia de 12 de mayo de 2011 que no puede concluirse, por tanto, que los empresarios individuales y profesionales estén en todo caso y en su conjunto excluidos del ámbito de protección de la LOPD, sino que se hace necesario diferenciar, aunque la línea divisoria sea difusa, cuando un dato del empresario o profesional, se refiere a la vida privada de la persona y cuando a la empresa o profesión, pues solo en el primer caso cabe aplicar la protección de la LO 15/1999. Esta tarea de diferenciación puede basarse en dos criterios distintos y complementarios:

Uno, el criterio objetivo de la clase y la naturaleza de los datos tratados, según estén en conexión y se refieran a la esfera íntima y personal o a la esfera profesional de la actividad. Otro, el de la finalidad del tratamiento y circunstancias en que éste se desarrolla, criterio éste que operaría en aquellos casos en que alguno de los datos profesionales coincidiera con los datos particulares del profesional o empresario (por ej. coincidencia de domicilio privado con el de la empresa, o cuando no se pueda acreditar si una deuda es de la empresa o si es personal del interesado).

En definitiva, el hecho de que las personas jurídicas, así como empresarios individuales y profesionales en los términos expuestos, no puedan ser titulares del derecho a la protección de datos regulado en la LOPD en desarrollo del art. 18.4 de la Constitución , no implica vulneración alguna del citado precepto constitucional. El derecho a la protección de datos que se reconoce en el citado precepto constitucional, extiende su protección no a los datos íntimos de la persona -que se protegen en el derecho a la intimidad- sino simplemente a los datos de carácter personal. Se pretende garantizar a la persona física el control sobre sus datos personales, sobre su uso y destino con el propósito de impedir su tráfico ilícito y lesivo para la dignidad del afectado.

Por otro lado, debe destacarse que en el citado art.18.4 de la Constitución se utiliza el término 'ciudadanos', que, según una de las acepciones en singular que recoge el Diccionario de la Real Academia de la Lengua, 'es el habitante de las ciudades antiguas o de Estados Modernos, como sujeto de derechos políticos y que intervine, ejercitándolos, en el gobierno del país'. Es decir, parece estar haciendo referencia a personas físicas, ello con independencia de la diversa terminología que con cierta imprecisión emplea la Constitución sobre los titulares de los derechos fundamentales, a saber: 'los españoles' en el encabezamiento de la Sección 2ª, del capítulo segundo; 'Todos' (arts. 15 y 24.2); 'Todas las personas ' ( arts. 17.1 , 24.1 , 27.1 y 28.1); 'nadie ' ( art.16.2 y 17.1); 'los individuos ' ( art.16.1); 'los ciudadanos ' ( arts. 23.1 y el ya aludido art. 18.4).

Finalmente, lo expuesto no significa que el art. 18.4 de la Constitución no contemple a los socios individuales de las personas jurídicas, ya que como personas físicas que son sí se encuentran amparados por el derecho fundamental a la protección de datos de carácter personal, pero no la persona jurídica que han constituido los socios conforme a la legislación aplicable. Asimismo, en todo caso, los datos de la sociedad recurrente que contengan información sobre personas físicas, incluidos los socios, son objeto de protección ya que son éstas las directamente afectadas.

Acorde con dicha doctrina, y haciendo hincapié en que la LOPD tiene por objeto garantizar y proteger los datos personales entendiendo por tales, ex artículo 3.a) de dicha Ley 'cualquier información concerniente a persona física identificadas o identificables',esta Sala ha considerado, en ocasiones anteriores en que se ha planteado la misma controversia, que bajo determinadas circunstancias dicha Ley sí ampara los datos personales de los profesionales en tanto que no dejaban por ello de ser personas físicas. Así ha ocurrido en nuestra sentencia de 21 de noviembre de 2002, Rec. 881/2000 , en relación datos personales de arquitectos en el mercado de la construcción; en la sentencia de 25 de junio de 2003, Rec. 1099/2000 , en relación con datos personales de promotores en la construcción de su propia vivienda, y en la sentencia de 11 de febrero de 2004, Rec. 119/2002 , y ya bajo la vigencia de la actual LOPD , hemos entendido que el dato del afectado, aunque se refería al lugar de ejercicio de su profesión, concretamente un despacho de abogados, era un dato de una persona física con una actividad profesional cuya protección caía en la órbita de la Ley Orgánica 15/1999.

En el mismo sentido, tal y como nos recuerda la sentencia de 9 de junio de 2011, Rec. 147/2010 , precisábamos en nuestra sentencia de 14 de febrero de 2007, Rec. 186/2005 , que 'Si cualquier persona física tiene derecho a la protección de los datos personales, no parece que puedan ser excluidos de tal protección los datos personales de todas aquellas personas físicas que, obviamente conservando tal condición, también tengan la condición de profesionales, pues la adicción de esta circunstancia no les priva de sus derechos como ciudadanos, salvo que estos profesionales organicen su actividad bajo fórmulas mercantiles y que se acredite que los datos eran ajenos a su esfera privada y ostentaban una clara vinculación con la actividad mercantil'.

En esta línea en nuestra sentencias de 8 de mayo 2009, Rec. 514/2007 , nos pronunciamos sobre la no aplicabilidad de la LOPD a un supuesto en que se identificaba el nombre de una persona con el de sus sociedades y se refería a deudas de las citadas sociedades vinculadas a dicha persona. Criterio que ha sido reiterado posteriormente en la sentencia de 16 de julio 2009, Rec. 504/2008 .

Por último, hemos reiterado la doctrina expuesta en la sentencia de 25 de octubre de 2013, Rec. 145/2012 , que cita como precedentes, entre otros, nuestras sentencias de 12 de mayo de 2011 , Rec. 31/2010, de 10 de septiembre de 2009 , Rec. 89/2008 , y de 29 de marzo de 2006 , Rec. 348/2004 .

En el supuesto que nos ocupa la cuestión controvertida afecta a determinada información relativa a unas deudas atribuidas al denunciante que resultaron no ser ciertas, derivadas de la compra a Editorial Everest, S.A. de determinadas mercancías por parte de aquel en su condición de empresario individual, quien regentaba una librería. De modo que el nombre y apellidos del denunciante, así como su NIF, fueron anotados en un fichero de solvencia asociados a tales deudas a solicitud de Editorial Everest, S.A.

Pues bien, conforme a la doctrina expuesta y considerando que la inclusión de los datos del denunciante en el fichero de solvencia tuvo por causa la relación comercial existente entre la sociedad mencionada y aquel, y que se hacía referencia a ellos en la condición de comerciante del mismo, hemos de concluir que no gozan de la protección dispensada por la Ley Orgánica de Protección de Datos de Carácter Personal.

El hecho de que los datos personales objeto de tratamiento consistan en el nombre y apellidos y el NIF del denunciante no conlleva necesariamente que no se encuentren excluidos del ámbito de protección de la LOPD, especialmente cuando aquel opera en el tráfico mercantil como empresario individual con tales datos, sino que se hace necesario diferenciar cuando se refieren al mismo como persona física sin más y, por ende, se refieren a su vida privada, y cuando al mismo en su condición de empresario individual, es decir a la empresa que regenta, pues solo en el segundo caso deben excluirse del ámbito de aplicación de la protección de la LOPD.

En sentido análogo al expuesto nos hemos pronunciado en nuestras sentencias de 8 de mayo de 2008, recurso contencioso-administrativo 514/2007 , respecto de la atribución de una deuda a los propios socios, citando sus nombres y apellidos, cuando la deudora era la sociedad, y de 9 de junio de 2011, recurso contencioso-administrativo 147/2010, en relación con el tratamiento del nombre y apellidos de quien era fundador y socio de una mercantil en el marco de la divulgación de una información sobre la actividad de la sociedad.

En el presente caso, atendiendo al criterio objetivo de diferenciación entre uno y otro caso, condicionado por la clase y la naturaleza de los datos tratados, según estén en conexión y se refieran a la esfera íntima y personal o a la esfera profesional de la actividad, se advierte que se trata de datos que, si bien permiten la identificación de la persona física a que se refieren, se encuentran vinculados en el tratamiento realizado a su actividad comercial, en concreto al establecimiento de librería que regenta y no a su esfera intima personal, como pone de manifiesto la dirección postal y el número de teléfono asociados a dichos datos, relativos a su establecimiento y no a su domicilio particular, como evidencian las facturas giradas por la sociedad denunciada contra el denunciante.

Por otro lado, si consideramos el criterio de diferenciación vinculado a la finalidad del tratamiento y circunstancias en que éste se desarrolla, que presenta singular relevancia cuando los datos profesionales o empresariales coinciden con los datos particulares del profesional o empresario, como aquí acontece, nuevamente se observa que el tratamiento de los datos se llevó a cabo en el marco de la relación comercial que vinculaba al denunciante con la sociedad denunciada y con el exclusivo propósito de procurar el pago de una supuesta deuda contraída por aquel con esta con motivo de su actividad comercial, como pone de relieve el propio requerimiento de pago realizado con la advertencia de la posible inclusión de los datos en un fichero de solvencia, donde se hacía referencia a los perjuicios que ello podría acarrear a la financiación del negocio regentado por el denunciante.

Por todo lo expuesto, concluye la Sala que la resolución recurrida resulta disconforme a Derecho al dispensar una protección a los datos del denunciante de la que se encontraban excluidos, por tratarse de datos relativos a un empresario individual que hacían referencia al mismo en su calidad de comerciante, de conformidad con lo dispuesto en el artículo 2.3 del RLOPD.

De modo que, apreciado este motivo de impugnación esgrimido por la demandante, resulta innecesario el examen de los restantes, para concluir en la estimación del recurso.

En consecuencia, procede la estimación del recurso contencioso-administrativo.

CUARTO.-De conformidad con lo dispuesto en el artículo 139.1 de la Ley Jurisdiccional , procede imponer las costas causadas en este procedimiento a la parte que ha visto rechazadas todas sus pretensiones, al no apreciarse que el caso presentara serias dudas de hecho o de derecho.

Fallo

ESTIMARel recurso contencioso-administrativo interpuesto por el Procurador don Alberto Alfaro Matos, en nombre y representación de don Editorial Everest, S.A., contra la resolución de fecha 18 de noviembre de 2013, dictada en el procedimiento PS/00071/2013 por el Director de la Agencia Española de Protección de Datos, por la que se desestima el recurso de reposición interpuesto contra la resolución del mismo órgano de fecha 28 de julio de 2013, que se anulan por no ser conformes a Derecho.

Se condena al pago de las costas causadas a la Agencia Española de Protección de Datos.

La presente sentencia no es susceptible de recurso de casación ordinario.

Así por esta nuestra sentencia, lo pronunciamos, mandamos y firmamos.

PUBLICACIÓN.- Dada, leída y publicada fue la anterior sentencia en audiencia pública. Doy fe. Madrid a

LA SECRETARIA JUDICIAL