Sentencia ADMINISTRATIVO ...io de 2020

Última revisión
02/07/2020

Sentencia ADMINISTRATIVO Nº 772/2020, Tribunal Supremo, Sala de lo Contencioso, Sección 3, Rec 601/2019 de 15 de Junio de 2020

Tiempo de lectura: 36 min

Tiempo de lectura: 36 min

Relacionados:

Orden: Administrativo

Fecha: 15 de Junio de 2020

Tribunal: Tribunal Supremo

Ponente: RIEGO VALLEDOR, JOSE MARIA DEL

Nº de sentencia: 772/2020

Núm. Cendoj: 28079130032020100124

Núm. Ecli: ES:TS:2020:1562

Núm. Roj: STS 1562:2020

Resumen:
Sanción de AEPD a responsable de tratamiento

Encabezamiento

T R I B U N A L S U P R E M O

Sala de lo Contencioso-Administrativo

Sección Tercera

Sentencia núm. 772/2020

Fecha de sentencia: 15/06/2020

Tipo de procedimiento: R. CASACION

Número del procedimiento: 601/2019

Fallo/Acuerdo:

Fecha de Votación y Fallo: 02/06/2020

Ponente: Excmo. Sr. D. José María del Riego Valledor

Procedencia: AUD.NACIONAL SALA C/A. SECCION 1

Letrado de la Administración de Justicia: Ilmo. Sr. D. Luis Martín Contreras

Transcrito por:

Nota:

R. CASACION núm.: 601/2019

Ponente: Excmo. Sr. D. José María del Riego Valledor

Letrado de la Administración de Justicia: Ilmo. Sr. D. Luis Martín Contreras

TRIBUNAL SUPREMO

Sala de lo Contencioso-Administrativo

Sección Tercera

Sentencia núm. 772/2020

Excmos. Sres. y Excma. Sra.

D. Eduardo Espín Templado, presidente

D. José Manuel Bandrés Sánchez-Cruzat

D. Eduardo Calvo Rojas

Dª. María Isabel Perelló Doménech

D. José María del Riego Valledor

D. Diego Córdoba Castroverde

D. Ángel Ramón Arozamena Laso

En Madrid, a 15 de junio de 2020.

Esta Sala ha visto el recurso de casación número 601/2019, interpuesto por Mutua Madrileña Automovilista, Sociedad de Seguros a Prima Fija, representada por el Procurador de los Tribunales don Jorge Deleito García, con la asistencia letrada de don Ander de Blas Galbete, contra la sentencia de 11 de mayo de 2018, dictada por la Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, en el recurso número 126/2016, sobre sanción de la Agencia Española de Protección de Datos, en el que ha intervenido como parte recurrida la Administración del Estado, representada y defendida por el Abogado del Estado.

Ha sido ponente el Excmo. Sr. D. José María del Riego Valledor.

Antecedentes

PRIMERO.-La Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, dictó sentencia el 11 de mayo de 2018, en el recurso contencioso administrativo 126/2016, con los siguientes pronunciamientos en su parte dispositiva:

«Que desestimando el recurso contencioso administrativo interpuesto por la representación procesal de MUTUA MADRILEÑA AUTOMOVILISTA Sociedad de Seguros a Prima Fija, frente a la Resolución de la Agencia Española de Protección de Datos de 21 de enero de 2016 que confirma en reposición la anterior Resolución de 24 de noviembre de 2015 que impone a dicha entidad una multa de 40.001 euros confirmamos dicha resolución y sanción, dada su conformidad a Derecho, con imposición de las costas procesales a tal parte actora.»

SEGUNDO.-Notificada la sentencia, se presentó escrito por la representación procesal de Mutua Madrileña Automovilista, ante la Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, manifestando su intención de interponer recurso de casación, y la Sala, por auto de 23 de enero de 2019 tuvo por preparado el recurso, con emplazamiento de las partes ante esta Sala del Tribunal Supremo.

TERCERO.-Por auto de 5 de julio de 2019, la Sección de Admisión de esta Sala del Tribunal Supremo acordó:

«1.º) Admitir a trámite el recurso de casación n.º 601/2019 preparado por el procurador D. Jorge Deleito García, en representación de la entidad Mutua Madrileña Automovilista Sociedad de Seguros a Prima Fija (Mutua Madrileña) contra la sentencia dictada con fecha 11 de mayo de 2018, por la Sala de lo Contencioso-Administrativo de la Audiencia Nacional - Sección Primera -, en el procedimiento ordinario n.º 126/2016.

2.º) Declarar que las cuestiones que presentan interés objetivo casacional, a juicio de esta Sección de Admisión, son las siguientes:

(i) Precisar si una entidad que sea responsable del tratamiento de datos personales y que contrate con otra la publicidad de sus productos y servicios, está obligada a proporcionar a ésta el fichero en el que se reflejen las solicitudes de exclusión del envío de comunicaciones comerciales contemplado en el artículo 48 del Real Decreto 1720/2007, de 21 de diciembre .

(ii) Precisar si, en tal caso, aquella entidad -responsable del tratamiento de datos personales- podría quedar exonerada de responsabilidad por la infracción tipificada en el artículo 44.3.e) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , en virtud de las cláusulas del contrato celebrado con la segunda entidad.

3.º) Identificar como normas jurídicas que, en principio, serán objeto de interpretación: Los artículos 4, apartados 7 ) y 8 ), 24 , 28 y 82.2 del Reglamento 2016/679/UE, de 27 de abril, del Parlamento Europeo ; artículos 3 d ) y g ), 30.4 , y 44.3.e) de la Ley Orgánica 15/1999, de Protección de Datos de carácter personal; y los artículos 5 i) y q ), 35.3 , 46 , 47 , 48 , 49 y 51.1 del Real Decreto 1720/2007 , por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999.»

CUARTO.-La indicada parte recurrente presentó, con fecha 19 de septiembre de 2019, escrito de interposición del recurso de casación, en el que expuso como motivos de impugnación: i) sobre el fondo de la infracción, que admitido (FD 5º de la sentencia recurrida) que desde un punto de vista contractual con la empresa Datono, con quien contrató una campaña de marketing por correo electrónico, la recurrente introdujo cláusulas contundentes para garantizar el cumplimiento de la normativa aplicable, no es conforme a derecho ni el rechazo por la sentencia impugnada de que estas cautelas contractuales tengan virtualidad de exoneración de la sanción, ni la asunción de que la (única) forma en que la recurrente debe proceder en casos como este para no ser sancionada es el facilitar a su contraparte contractual un fichero de exclusión, y ii) prescripción de la sanción, pues es pacífico que desde el momento en que el denunciante ejerció su derecho de oposición ante la parte recurrente por última vez (23 de octubre de 2012) hasta que se inició el expediente sancionador (1 de junio de 2015) habían transcurrido más de dos años, que era el plazo de prescripción de las infracciones graves según la LOPD entonces vigente.

Finalizó la parte recurrente su escrito de interposición del recurso solicitando a la Sala que dicte sentencia por la que, casando y anulando la sentencia dictada:

i) La anule y deje sin efecto.

ii) Anule la resolución de la Agencia Española de Protección de Datos dictada en el procedimiento nº PS/00290/2015 en lo que se refiere a la imposición a la parte recurrente de una sanción de 40.001 euros.

iii) Fije como criterio jurisprudencial que, en el caso de que un responsable del tratamiento de datos contrate a un contratista que aporte sus propias bases de datos la realización de una campaña de publicidad:

- El responsable del tratamiento contratante no está obligado a facilitar a la empresa contratista un fichero de exclusión de los referidos en el artículo 48 RPD.

- El responsable del tratamiento puede quedar exonerado de la infracción recogida en el actual artículo 72.1.k) de la L.O. 3/2018, si en el contrato suscrito la contratista asume como propio el cumplimiento de las obligaciones y exigencias de la normativa en materia de protección de datos.

iv) Imponga las costas causadas a la parte recurrente, si se opusiera a este recurso.

QUINTO.-Se dio traslado a la parte recurrida, para que manifestara su oposición, lo que verificó el Abogado del Estado por escrito de 12 de noviembre de 2019, en el se opuso a las alegaciones de la demanda y alegó: i) en relación con la primera cuestión de interés casacional, que siendo Mutua Madrileña responsable del tratamiento y del fichero, y habiendo obstaculizado el ejercicio legítimo del derecho de oposición, resulta conforme a derecho la imposición de la sanción por infracción de los artículos 17.1 y 30.4 LOPD, como claramente exponen los FD 4º y 5º de la sentencia de instancia y, en definitiva, era obligado que la entidad ahora recurrente, como responsable del tratamiento de datos personales, estaba obligada a proporcionar a la empresa con la que contrató la publicidad de sus productos, los ficheros conteniendo las solicitudes de exclusión del envío de comunicaciones que había recibido, y ii) en relación con la segunda cuestión de interés casacional, que es claro que la entidad responsable del tratamiento de datos no puede quedar exonerada de su responsabilidad cualesquiera que hayan sido los pactos que haya concluido con la empresa con la que ha contratado la publicidad de sus productos.

Finalizó el Abogado del Estado su escrito de oposición, solicitando a la Sala que:

i) Que desestime este recurso de casación y confirme la sentencia impugnada.

ii) Ello conforme a la interpretación que ha defendido en su escrito de los preceptos identificados en el auto de admisión a trámite de este recurso de casación, excluyendo del debate las alegaciones del escrito de interposición efectuadas bajo la rúbrica sobre la prescripción de la infracción.

SEXTO.-Conclusas las actuaciones, se señaló para votación y fallo el día 12 de mayo de 2020, si bien, por providencia de 11 de mayo de 2020, por razón de la emergencia sanitaria COVID-19, se acordó dejar sin efecto la celebración de la vista señalada, quedando los autos pendientes de deliberación, que tuvo ocasión el día 2 de junio de 2020, por vía telemática, conforme a lo previsto en el artículo 19.1 del Real Decreto-ley 16/2020, de 28 de abril, de medidas procesales y organizativas para hacer frente al COVID-19 en el ámbito de la Administración de Justicia.

Fundamentos

PRIMERO.-Se impugna en este recurso de casación por Mutua Madrileña Automovilista (Mutua Madrileña) la sentencia dictada por la Sección 1ª de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, de 11 de mayo de 2018 (autos 126/2016), que desestimó el recurso contencioso administrativo interpuesto contra la resolución de la Agencia Española de Protección de Datos (AEPD), de 21 de enero de 2016, que confirmó en reposición la anterior resolución de 24 de noviembre de 2015, de imposición de sanción.

La resolución de la AEPD de 24 de noviembre de 2015, en lo que a este recurso de casación interesa, resolvió imponer una multa a la recurrente Mutua Madrileña, por infracción de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), en relación con el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD (RDLOPD), en los términos expresados en el apartado primero de su parte dispositiva:

«PRIMERO.- IMPONER a la entidad MUTUA MADRILEÑA AUTOMOVILISTA SOCIEDAD DE SEGUROS A PRIMA FIJA, por una infracción de los artículos 17.1 y 30.4 de la LOPD en su relación con lo dispuesto en los artículos 34.b ), 48 y 51.1 del RDLOPD, tipificada como grave en el artículo 44.3.e) de la LOPD, una multa de 40.001 € (cuarenta mil un euros), de conformidad con lo establecido en los apartados 2 y 4 del artículo 45 de la citada Ley Orgánica.»

La sentencia impugnada (FD 1º) reprodujo los siguientes hechos declarados probados por la resolución sancionadora de la AEPD, que fueron aceptados sustancialmente en escrito de demanda (Hechos, apartado 2º):

«1º. Don Ezequias es cliente de la Mutua Madrileña en su condición de tomador de tres pólizas de seguro, dos de las cuales, suscritas con fechas 08/01/1998 y 27/11/2006, respectivamente, se encuentran en vigor. La tercera, está suspendida desde el 12/12/2013.

2º. Tal denunciante es titular de las cuentas de correo electrónico DIRECCION000 [email protected], ambas inscritas en el Servicio de Lista Robinson desde el 16 de enero de 2012.

3º. El 20/12/2011 el denunciante ejerció su derecho de oposición al tratamiento de sus datos personales ante Mutua Madrileña (recibido por dicha entidad el 9/01/2012), en el que exponía 'sólo autorizo a la compañía Mutua Madrileña a que utilice los datos personales recabados sobre mí que sean imprescindibles para el desarrollo de la relación contractual. Por supuesto, no autorizo el uso fraudulento de mis datos personales para cometer delitos de falsedad documental, ni para realizar tratamientos con fines publicitarios o de prospección comercial, no autorizo la realización de segmentaciones, ni estudios de marketing, ni campañas publicitarias, etc. No autorizo ninguna comunicación ni cesión de mis datos personales excepto las imprescindibles para el desarrollo de la relación contractual o las amparadas por la legislación.'

Mutua Madrileña contestó el 3 de febrero de 2012 que 'conforme a la solicitud (...) de derecho de oposición de sus datos le informamos que hemos procedido a dar cumplimiento a su petición.'

4º. El 23/10/2012 el denunciante remitió desde su cuenta de correo de WANADOO, a un empleado de Mutua Madrileña, el siguiente mensaje: 'Ustedes deben cumplir la ley y no hacer uso de los datos personales. Estoy recibiendo correos con campañas de Mutua Madrileña a pesar de estar dado de alta en la Lista Robinson desde hace 9 meses. Le ruego que indique a cualquier compañía con la que contraten sus campañas publicitarias que comprueben la Lista Robinson y que-independiente o además de la lista- NO MANDEN ningún correo publicitario a las direcciones [email protected] y ... @gmail.com pues están vulnerando mis derechos'.

5º. El denunciante envió los siguientes mensajes a MM desde la dirección de correo electrónico... @gmail.com:

Con fecha 30 de diciembre de 2013 solicitud a la dirección [email protected] ejercitando el derecho de acceso a la información y grabaciones de dos llamadas que indica recibió en su teléfono.

Con fecha 21 de enero de 2014 envío un nuevo correo electrónico a la [email protected] adjuntando su DNI en respuesta al correo postal recibido de Mutua Madrileña para subsanar la petición de acceso.

Con fecha 16 de febrero de 2014 un correo electrónico a [email protected] reiterando determinada información solicitada al ejercer el derecho de acceso, que fue contestada por MM por correo certificado el 27/02/2014.

6º. El 4 de mayo de 2015 la cuenta de correo electrónico [email protected] figuraba registrada en el fichero de clientes de la MM y estaban marcados con la opción 'NO' los apartados correspondientes a los tratamientos opcionales de envío de publicidad por medios electrónicos y no electrónicos, cesión de datos y tratamiento de datos/estudios de clientes asociados al denunciante.

7º: El 17 de junio de 2015 el denunciante incorporó el correo electrónico de ...@Gmail a través del 'Área personal' de la web www.mutua.es, servicio que permite a los mutualistas de la Mutua gestionar, con contraseña, sus pólizas de seguro y consultar y actualizar sus datos.

8º. En la inspección realizada por la AEPD el 4/05/2015 en las instalaciones de MM, sus representantes manifestaron que no disponían de ningún fichero del tipo 'Lista Robinson' en el que se incluyeran los datos de las personas que solicitaban la oposición al tratamiento, sino que utilizan un sistema de marcas en su propio fichero de clientes. Que no facilitaban a las empresas encargadas de la realización de los envíos publicitarios ningún dato de las personas que habían solicitado la cancelación de sus datos o manifestado su oposición a recibir publicidad de MM.

9º. El 8/01/2013 Mutua Madrileña y DATONO suscribieron 'Contrato de Agencia' en virtud del cual DATONO actuaba como Agente de Seguros de MM. El objeto del contrato (apartado I cláusula primera) era 'regular las condiciones en las que EL AGENTE, en este caso DATONO, como Agencia de Seguros Vinculada, comercializará en territorio español los diferentes productos de seguros de MUTUA referidos en el presente contrato y sus Anexos'.

En el apartado II: 'El Agente se compromete a prestar a MUTUA el servicio de mediación entre los solicitantes de información derivados por MUTUA y ésa última entidad, en particular, en el asesoramiento preparatorio y en su caso, la celebración de contratos de seguro privado referente a 'los productos' a suscribir por MUTUA.

10º. El 18/09/2013 Mutua Madrileña y DATONO suscribieron un Anexo al Contrato firmado entre ambas empresas en cuya cláusula primera señalaba como objeto del mismo: 'las partes acuerdan ampliar el objeto del Contrato mediante la contratación por parte de MUTUA de los servicios del AGENTE para que lleve a cabo las campañas que a continuación se detallan: Campaña 2: Generación de leads.

El AGENTE se encargará de la generación, optimización y tratamiento de registros.

Para ello utilizará bases de datos de terceros para realizar envíos de email y así generar esos leads (contactos útiles). MUTUA es totalmente ajena a la obtención y generación de esos Leads, siendo responsabilidad del AGENTE el cumplimiento de todos los aspectos derivados de protección de datos de carácter personal. Únicamente podrá utilizar datos de contactos en los términos previstos en la normativa de protección de datos, así como en la Ley de Servicios de la Sociedad de la Información (LSSI). Los datos obtenidos y utilizados por parte del AGENTE serán por tanto obtenidos con su consentimiento válidamente prestado, y si se fueran a realizar envíos de emails, para dichos envíos se deberá contar con el consentimiento expreso de sus destinatarios'.

11º. El 12/08/2014 DATONO y LINKEMANN SL suscribieron un 'Contrato de Prestación de Servicios'. Se indicaba que DATONO es una entidad que presta, entre otros, servicios auxiliares en la mediación de seguros privados que deseaba realizar una campaña de publicidad de productos o servicios, tanto propios, como en nombre de los clientes con los que colabora.

12º. ROIANDCO fue contratada por LINKEMANN para realizar la campaña de Mutua Madrileña a la que corresponde el correo electrónico comercial enviado el 5/12/2014 al denunciante.

13º. El 5 de diciembre de 2014 el denunciante recibió en su dirección de correo electró[email protected], procedente de la cuenta usuarios@... una comunicación comercial ofertando seguros de coche y moto comercializados por la aseguradora Mutua Madrileña. La comunicación ofrece un enlace para darse de baja directamente a través del mismo y la dirección de correo [email protected].

Al pie del mensaje se informa de que ' Mutua Madrileña es totalmente ajena a este envío no asumiendo ninguna responsabilidad por el mismo. El presente email publicitario es remitido directa y únicamente por la entidad indicada más abajo. Es dicha entidad la única responsable por su remisión y a quien deberá dirigirse en caso de querer ejercitar sus derechos de protección de datos' . Más abajo se informa que la información ha sido enviada por Oferton del día y que los datos personales no han sido enviados al anunciante.

14º. Con fecha 11 de enero de 2015 ROIANDCO dio de baja del sistema la dirección de correo... @gmail.com del denunciante.»

SEGUNDO.-La empresa recurrente fue sancionada por una falta grave del artículo 44.3.e) de la LOPD, en su redacción dada por la disposición final 56.2 de la Ley 2/2011, de 4 de marzo de Economía Sostenible, en relación con los artículos 17.1 y 30.4 del mismo texto legal y 34.b), 48 y 51.1 del RDLOPD.

El citado artículo 44.3.e) de la LOPD tipifica como falta grave 'El impedimento o la obstaculización del ejercicio de los derechos de acceso, rectificación, cancelación y oposición.'

Como particularidad del presente caso y como resulta de la narración de hechos probados de la sentencia recurrida, Mutua Madrileña había contratado el 8 de enero de 2013 con un tercero (Datono) una campaña de marketing por correo electrónico, y de acuerdo con el contrato firmado, Datono (i) aportaba los datos útiles o leads (direcciones de correo electrónico a las que enviar las comunicaciones publicitarias), que obtendría de bases de datos de terceros, sin que Mutua Madrileña Automovilista le proporcionara dato alguno, y (ii) asumía plenamente el cumplimiento de todos los aspectos derivados de la protección de datos de carácter personal.

Con anterioridad a dicho contrato, el denunciante de los hechos ante la AEPD, un cliente de Mutua Madrileña, había ejercido ante la misma su derecho de oposición al tratamiento de sus datos personales, mediante dos comunicaciones de fechas 20 de diciembre de 2011 (hecho probado 3º) y 23 de octubre de 2012 (hecho probado 4º).

Sin embargo, el 5 de diciembre de 2014, dicho denunciante recibió en su dirección de correo electrónico [email protected], procedente de la cuenta usuarios@ del sitio web ofertondeldia.com, titularidad de las compañías Roiandco 2012 S.L. y Likeman S.A. contratadas por Datono para la realización de la campaña promocional de la Mutua Madrileña Automovilista, una comunicación comercial ofertando seguros de coche y motos comercializados por Mutua Madrileña Automovilista.

La sentencia impugnada aborda la cuestión de si la responsabilidad por el impedimento o la obstaculización del ejercicio del derecho de oposición al tratamiento de datos debe imputarse a Mutua Madrileña o a las terceras entidades con las que contrató la campaña de publicidad y el envío de correos electrónicos, con los siguientes razonamientos:

QUINTO. Considera asimismo Mutua Madrileña en la demanda, que no se le puede hacer extensible el derecho de oposición a tratamientos que son realizados por terceras entidades que tienen como objeto social, precisamente el envío de emails de marketing y que, consecuentemente, como responsables de los mismos, deben adoptar las medidas oportunas para garantizar que los envíos se hacen de forma correcta, tanto disponiendo del consentimiento necesario como revisando, asimismo, los ficheros comunes de exclusión del envío de comunicaciones comerciales o Lista Robinson.

Argumentación que exige poner de manifiesto la consolidada doctrina de esta Sala que, de conformidad con las previsiones legales, tanto de la LOPD como del nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, distingue entre las figuras de responsable del tratamiento y de encargado del tratamiento. Diferencia que se contiene en los apartados d ) y g) del artículo 3 de la LOPD , así como en el artículo 5.q) del Real Decreto 1720/2007 por el que se aprueba el Reglamento de desarrollo de la LOPD, siendo a tal responsable del tratamiento a quien la Ley impone las obligaciones derivadas del régimen jurídico de la protección de datos y quien ha de sufrir las sanciones junto al encargado del tratamiento ( art. 43 LOPD ) cuando dichas obligaciones no se respetan.

En tal sentido, ya la Sentencia del Tribunal Supremo de 5 de junio de 2004 , que confirma, en casación para Unificación de Doctrina, la de esta AN de 16 de octubre de 2003, haciéndose eco de lo argumentado por esta Sala refiere la diferenciación de dos responsables en función de que el poder decisión vaya dirigido al fichero o al propio tratamiento de datos. Así, el responsable del fichero es quien decide la creación del fichero y su aplicación, y también su finalidad, contenido y uso, es decir, quien tiene capacidad de decisión sobre la totalidad de los datos registrados en dicho fichero. El responsable del tratamiento, sin embargo, es el sujeto al que cabe imputar las decisiones sobre las concretas actividades de un determinado tratamiento de datos, esto es, sobre una aplicación específica. Se trataría de todos aquellos supuestos en los que el poder de decisión debe diferenciarse de la realización material de la actividad que integra el tratamiento.

Con ello, como asimismo argumenta la STS de 26 de Abril de 2005 (casación para unificación de doctrina 217/2004 ), el legislador español pretende adaptarse a las exigencias de la Directiva 95/46/CE, que tiene como objetivo dar respuesta legal al fenómeno, que cada vez es más frecuente, de la llamada externalización de los servicios informáticos, donde actúan múltiples operadores, muchos de ellos insolventes, creados con el objetivo de buscar la impunidad o irresponsabilidad de los que le siguen en los eslabones siguientes de la cadena.

En la actualidad, el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (por el que se deroga la Directiva 95/46/CE, y de aplicación directa a partir del 25 de mayo de 2018) distingue asimismo entre las figuras del responsable y del encargado del tratamiento.

La primera se define en el apartado 7) del artículo 4 como ' persona física o jurídica (...) que determine los fines y medios del tratamiento' . Y el encargado de tratamiento en el apartado 8) del mismo artículo 4 como aquel que 'trate datos personales por cuenta del responsable del tratamiento'

Ello en relación con los Artículos 24 y 28 del mismo Reglamento Europeo de Protección de Datos . Responsable y encargado del tratamiento de datos que, sin lugar a dudas, resultan asimismo responsables de las infracciones en materia de protección de datos, en tal nuevo marco normativo, de conformidad con lo previsto en el artículo 82.2 del repetido Reglamento (UE) 2016/679 a cuyo tenor: Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento. Un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del presente Reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable.

Se desprende de todo lo anterior que la concurrencia, en el presente supuesto, de un encargado del tratamiento (Datono) en absoluto exime de responsabilidad a la entidad Mutua Madrileña ahora recurrente, y ello a pesar de la contundencia de las cláusulas que figuran en el contrato y anexo al mismo firmados por ambas compañías (hechos probados 9 y 10) en cuanto los datos personales tratados lo fueron con la finalidad de llevar a cabo una campaña publicitaria respecto de seguros de coche y moto que comercializaba la Mutua Madrileña, en definitiva en beneficio de dicha MM, siendo tal entidad actora la que, en último termino, determina los fines y medios del repetido tratamiento de datos, por lo que la misma no puede ser exonerada de responsabilidad.

TERCERO.-La parte recurrente alega en su escrito de interposición del recurso de casación, en relación con las anteriores cuestiones, que la sentencia impugnada, a pesar de admitir que la recurrente introdujo en su contrato con Datono cláusulas contundentes para garantizar el cumplimiento de la normativa aplicable, rechazó sin embargo que dichas cautelas contractuales tuvieran virtualidad exoneradora de la responsabilidad y que la única forma en que la recurrente debió proceder para no ser sancionada era la de facilitar a la contraparte el fichero de exclusión.

Muestra su disconformidad la parte recurrente con el planteamiento de la sentencia impugnada, porque la habilitación extraordinaria del artículo 48 del RDLOPD no contempla la cesión a terceros de los ficheros de exclusión. El referido artículo 48 LOPD incluye una habilitación excepcional que permite a los responsables la elaboración de ficheros de exclusión, ahora bien, la literalidad del propio artículo 48 del RDLOPD dispone que la elaboración de dichos ficheros de exclusión propios es una posibilidad que se ofrece a los responsables, no una obligación que se les impone, y esa autorización excepcional se refiere a la conservación de datos, solo en la medida en que sea necesaria para evitar el envío de publicidad no deseada, pero nada en su contenido permite inferir que la autorización permita la cesión a terceros, de forma que la sentencia impugnada viene en realidad a exigir a la recurrente una cesión inconsentida de datos, que es constitutiva de una infracción del artículo 72.b) de la LO 3/2018

CUARTO.-Hacemos una referencia a la normativa legal y reglamentaria sobre el derecho de oposición que asistía al denunciante y que según la sentencia impugnada resultó obstaculizado o impedido por la conducta de la sociedad recurrente.

El artículo 30.4 de la LOPD establece que, en relación a los tratamientos con fines de publicidad y de prospección comercial, 'Los interesados tendrán derecho a oponerse, previa petición y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja del tratamiento, cancelándose las informaciones que sobre ellos figuren en aquél, a su simple solicitud.'

El artículo 34 del RDLOPD define el derecho de oposición como 'el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismoen los siguientes supuestos...b) Cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad y prospección comercial, en los términos previstos en el artículo 51 de este reglamento, cualquiera que sea la empresa responsable de su creación.'

El artículo 35.3 del RDLOPD 1720/2007, determina que 'El responsable del fichero o tratamiento deberá excluir del tratamiento los datos relativos al afectado que ejercite su derecho de oposición o denegar motivadamente la solicitud del interesado en el plazo previsto en el apartado 2 de este artículo.' (El citado plazo es de 10 días).

Dentro del concreto ámbito del tratamiento de datos para actividades de publicidad y prospección comercial, al que se refiere este recurso, el derecho de oposición está específicamente contemplado en el artículo 51 del RDLOPD, cuyo apartado 1 señala que 'Los interesados tendrán derecho a oponerse, previa petición y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja del tratamiento, cancelándose las informaciones que sobre ellos figuren en aquél, a su simple solicitud.'

A su vez, en el mismo ámbito del tratamiento de datos para actividades de publicidad, el artículo 48 del RDLOPD contempla 'los ficheros de exclusión del envío de comunicaciones comerciales', señalando que 'Los responsables a los que el afectado haya manifestado su negativa a recibir publicidad podrán conservar los mínimos datos imprescindibles para identificarlo y adoptar las medidas necesarias que eviten el envío de publicidad.'

Finalmente, para este mismo marco de las actividades de publicidad, el artículo 51.4 del RDLOPD establece, en relación como supuestos como el presente, en el que una compañía encarga a terceros una campaña de marketing, lo siguiente: 'Si el derecho de oposición se ejercitase ante una entidad que hubiera encomendado a un tercero la realización de una campaña publicitaria, aquélla estará obligada, en el plazo de diez días, desde la recepción de la comunicación de la solicitud de ejercicio de derechos del afectado, a comunicar la solicitud al responsable del fichero a fin de que el mismo atienda el derecho del afectado en el plazo de diez días desde la recepción de la comunicación, dando cuenta de ello al afectado.'

QUINTO.-En este caso no cabe duda del ejercicio por el denunciante ante Mutua Madrileña del derecho de oposición al tratamiento de sus datos en actividades publicitarias.

Así resulta de los hechos declarados probados en la sentencia impugnada, que antes hemos transcrito, en especial de los hechos probados tercero y cuarto.

De la normativa que hemos transcrito resulta claro que Mutua Madrileña Automovilista estaba obligada en sus actividades publicitarias a hacer efectiva la oposición manifestada por su cliente al tratamiento de sus datos, en especial de las dos direcciones de correo electrónico expresamente identificadas.

Tal obligación imponía la adopción por Mutua Madrileña de las medidas necesarias para la efectividad del derecho de oposición ejercitado, pero en el procedimiento de instancia quedó acreditado que Mutua Madrileña adoptó tales medidas únicamente en relación con los propios ficheros y la dirección de correo electrónico de su cliente ...@wanadoo (hecho probado 6º), pues la inspección llevada a efecto por la AEPD en la sede de Mutua Madrileña el 4 de mayo de 2015, permitió constatar que la indicada cuenta de correo electrónico figuraba registrada en el fichero de clientes y aparecían marcados con la opción 'NO' los apartados correspondientes a los tratamientos opcionales de envío de publicidad por medios electrónicos y no electrónicos, cesión de datos y tratamiento de datos/estudios de clientes asociados al denunciante.

Pero la recurrente no adoptó igual cautela en relación con la cuenta de correo electrónico de su cliente [email protected], ni tampoco en relación con las actividades de publicidad contratadas por la propia Mutua Madrileña con terceras compañías.

El argumento central de la parte recurrente se basa en sostener que el artículo 48 del RDLOPD no contempla la cesión a terceros de los ficheros de exclusión, pues dicho precepto únicamente autoriza al destinatario de la oposición del afectado a conservar sus datos en la medida que sea necesario para evitar el envío de publicidad no deseada, pero nada en su contenido permite inferir que sea posible la cesión a terceros de esos datos que se conservan para garantizar la exclusión de publicidad, estimando la parte recurrente que se trataría de una cesión inconsentida de datos.

Las alegaciones de la parte recurrente no pueden acogerse a la vista del relato fáctico de la sentencia impugnada, que la parte recurrente acepta y que no pueden ser objeto de revisión en esta instancia casacional, pues en este caso resulta que el propio denunciante autorizó de forma expresa a Mutua Madrileña la comunicación de su oposición al tratamiento de sus datos personales, incluidos los dos correos electrónicos, a terceras compañías con las que contratara actividades publicitarias.

Así resulta con una claridad destacable en la segunda comunicación remitida por el denunciante el 23 de octubre de 2012 (hecho probado 4º) a un empleado de Mutua Madrileña, que indica lo siguiente: 'Ustedes deben cumplir la ley y no hacer uso de los datos personales. Estoy recibiendo correos con campañas de Mutua Madrileña a pesar de estar dado de alta en la Lista Robinson desde hace 9 meses'y en relación con la cuestión que tratamos ahora de las actividades de publicidad contratadas por Mutua Madrileña con terceros, continúa dicha comunicación señalando que: 'Le ruego que indique a cualquier compañía con la que contraten sus campañas publicitarias que comprueben la Lista Robinson y que-independiente o además de la lista- NO MANDEN ningún correo publicitario a las direcciones [email protected] y [email protected] pues están vulnerando mis derechos'.

Por tanto, en este contexto fáctico, que la parte recurrente no desconoce, pues en la alegación primera sobre los antecedentes, apartado i), de su escrito de interposición admite la existencia de los dos correos a que nos referimos, no pueden compartirse las alegaciones sobre la ilegalidad, por falta de consentimiento del denunciante, de la comunicación de su oposición a aquellas otras compañías con las que la recurrente contrató campañas de marketing por correo electrónico

Por el contrario, al margen de otras consideraciones, en el caso que nos ocupa es contradictorio con los hechos acreditados sostener la tesis de la parte recurrente, que estima que la comunicación de la oposición del denunciante al tratamiento de sus datos a las terceras sociedades puede constituir una cesión no consentida de datos, porque existe una solicitud expresa del indicado denunciante a Mutua Madrileña, que esta conoce, para que comunique a cualquier otra compañía con la que contrate actividades de publicidad su oposición al tratamiento de sus datos y de las dos direcciones de correo electrónico que detalla.

La sentencia impugnada considera que Mutua Madrileña es responsable del fichero, en los términos del artículo 3.d) de la LOPD y 5.q) del RDLOPD, en cuanto los datos personales tratados lo fueron con la finalidad de llevar a cabo una campaña publicitaria respecto de los seguros de coche y moto que comercializaba Mutua Madrileña, en definitiva en beneficio de la misma, 'siendo tal entidad actora la que, en último término, determina los fines y medios del repetido tratamiento de datos'(FD 5º), lo que no ha sido cuestionado en este recurso.

A su vez, Mutua Madrileña conocía la oposición que le había manifestado un cliente al tratamiento de sus datos, mediante el envío de publicidad a cualquiera de las dos direcciones de correo electrónico que identificó.

Mutua Madrileña Automovilista estaba obligada, por tanto, a procurar la efectividad de la oposición al tratamiento de datos manifestado por su cliente, aún en el supuesto de externalización de su actividad publicitaria.

En los hechos probados por la sentencia de instancia queda constancia del contrato formalizado por Madrileña con Datono, para la realización por esta última de actividades de publicidad en beneficio de la primera.

La conducta sancionada de obstaculización o impedimento por Mutua Madrileña del ejercicio por su cliente del derecho de oposición al tratamiento de sus datos, se manifiesta en que dicha sociedad no adoptó ninguna clase de medida o de cautela para evitar el envío de publicidad a las direcciones de correo electrónico de su cliente por parte de aquellas empresas a las que encomendó la realización de las campañas publicitarias.

La adopción de las medidas o cautelas necesarias para asegurar la efectividad del derecho de oposición al tratamiento de sus datos por parte de Mutua Madrileña, como responsable del fichero, subsisten aunque las campañas publicitarias no se realicen a partir de los datos de sus propios ficheros, sino con bases de datos de otras compañías contratadas por Mutua Madrileña, y en este caso quedó acreditado que la recurrente no comunicó a las empresas con las que contrató la realización de servicios de publicidad la oposición del denunciante a recibir publicidad de la Mutua, ni en definitiva adoptó previsión alguna para asegurar la exclusión de su cliente de los envíos publicitarios contratados con terceras entidades.

Esta inactividad, o incumplimiento de sus obligaciones para la efectividad del derecho de oposición del cliente, no puede ampararse en la alegación de que la comunicación de dicha oposición a las empresas encargadas de la campaña publicitaria supondría una cesión no consentida de datos, de acuerdo con lo dispuesto en el artículo 51.4 del RDLOPD, antes transcrito, que impone a la entidad que hubiese encomendado a un tercero la realización de una campaña publicitaria, la comunicación de la solicitud del derecho de oposición que ante la misma se hubiera ejercitado.

Menos aún puede acogerse la alegación de cesión no consentida en este caso en el que, como hemos repetido, el cliente de Mutua Madrileña expresamente requirió a esta para que comunicara su oposición al tratamiento de sus datos a aquellas empresas con las que contratara la prestación de servicios publicitarios.

Por último, la infracción del artículo 44.3.e) de la LOPD que examinamos en este recurso sanciona a Mutua Madrileña por actos propios, consistentes como se ha repetido en impedir u obstaculizar el ejercicio del derecho de oposición, al no adoptar las cautelas o medidas precisas para la efectividad del mismo cuando contrata con otra entidad la prestación de servicios publicitarios, por lo que no puede la recurrente quedar exonerada, en virtud de cláusulas contractuales con un tercero, de la responsabilidad que por esa omisión o inacción propia le sea imputable,

SEXTO.-Aunque no se trata de una cuestión que presente interés casacional, de acuerdo con el auto de admisión del recurso, alega también la parte recurrente la prescripción de la infracción, porque desde el momento en que el denunciante ejercitó su derecho de oposición por última vez, el 23 de octubre de 2012, hasta que se inició el expediente sancionador, el 1 de junio de 2015, había transcurrido el plazo de dos años de prescripción de las infracciones graves, establecido en el artículo 47, apartados 1 y 2, de la LOPD.

La tesis de la parte recurrente no puede prosperar, porque se basa en la elección de una fecha equivocada para iniciar el cómputo del plazo de prescripción.

La parte recurrente considera que el plazo de prescripción de dos años debe empezar a contarse desde la fecha en que, por segunda vez, el denunciante ejercitó ante Mutua Madrileña su derecho a oponerse al tratamiento de sus datos, el 23 de octubre de 2012, pero la elección de tal fecha es contraria al artículo 132.2 de la Ley 30/1992, que dispone que ' El plazo de prescripción de las infracciones comenzará a contarse desde el día en que la infracción se hubiera cometido'.

Si la infracción en este caso consistió, según se ha dicho, en la omisión de las medidas necesarias para la efectividad del derecho de oposición, al no comunicar a la compañía con la que contrató la prestación de servicios publicitarios la indicada oposición de su cliente al tratamiento de sus datos con fines publicitarios, es claro que esas medidas o cautelas no pudieron adoptarse en la fecha que indica la parte recurrente, en la que todavía Mutua Madrileña no había contratado con Dafono la prestación de servicios publicitarios (el contrato se celebró el 8 de enero de 2013, según el hecho probado 9º), ni tenía por tanto ningún sentido que le comunicara la oposición de su cliente a la recepción de envíos publicitarios por cuenta de Mutua Madrileña.

La infracción que se imputa a Mutua Madrileña consistió en una inactividad, en la falta de adopción de medidas o cautelas para la efectividad del derecho de oposición ejercitado ante ella por su cliente y en la falta de comunicación a la empresa con la que contrató una campaña publicitaria de los datos de su cliente que tenían que ser excluidos del tratamiento publicitario, es decir, el ilícito consiste en una conducta omisiva o en no hacer lo exigido por la norma, por lo que no estamos ante una infracción instantánea o de estado, sino ante una omisión que da lugar a una infracción permanente, mientras se mantiene la inacción, por lo que estimamos aplicable en el presente caso la reiterada jurisprudencia de esta Sala sobre el inicio del plazo de prescripción en las infracciones permanentes, que recoge nuestra sentencia de fecha 29 de mayo de 2019, (recurso 1857/2018), a la que nos remitimos, que considera que la fecha de comienzo del cómputo del plazo de prescripción es la de la finalización de la conducta típica y no la de su comienzo.

Por las razones expuestas el recurso de casación no puede prosperar.

SEPTIMO.-La respuesta a las cuestiones que plantean interés casacional según el auto de admisión del recurso de casación, es la siguiente de acuerdo con lo hasta aquí razonado:

1) Cuando una entidad responsable del tratamiento de datos personales, ante la que se ejercite el derecho de oposición al tratamiento de datos personales para actividades publicitarias, contrate con otra la publicidad de sus productos y servicios, está obligada a adoptar las cautelas y medidas razonables para garantizar la efectividad del derecho de oposición; y una de dichas medidas puede consistir en la comunicación de los datos excluidos de tratamiento publicitario a la empresa con la que contrate la prestación de servicios publicitarios.

2) Sin que en tal caso aquella entidad responsable del tratamiento de datos personales pueda quedar exonerada de su responsabilidad por la infracción tipificada en el artículo 44.3.e) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos, consistente en el impedimento o la obstaculización del ejercicio del derecho de oposición, en virtud de las cláusulas del contrato celebrado con otra entidad.

OCTAVO.-Según dispone el artículo 93.4 de la Ley de la Jurisdicción, cada parte abonará las costas del recurso de casación causadas a su instancia y las comunes se abonarán por mitad, al no apreciar la Sala que ninguna de las partes ha actuado con mala fe o temeridad, manteniéndose el pronunciamiento de la sentencia impugnada respecto de las costas de instancia.

Fallo

Por todo lo expuesto, en nombre del Rey y por la autoridad que le confiere la Constitución, esta Sala ha decidido

1º.- Fijar los criterios interpretativos expresados en el fundamento jurídico séptimo de esta sentencia.

2º.- Declarar no haber lugar al presente recurso de casación número 601/2019, interpuesto por Mutua Madrileña Automovilista contra la sentencia de 11 de mayo de 2018, dictada por la Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, en el procedimiento ordinario 315/2016.

3º.- No hacer imposición de las costas del recurso de casación,

Notifíquese esta resolución a las partes e insértese en la colección legislativa.

Así se acuerda y firma.

D. Eduardo Espín Templado D.José Manuel Bandrés Sánchez Cruzat

D. Eduardo Calvo Rojas Dª, Mª Isabel Perelló Doménech

D. José María del Riego Valledor D. Diego Córdoba Castroverde

D. Ángel Ramón Arozamena Laso

PUBLICACIÓN.-Leída y publicada fue la anterior sentencia por el magistrado ponente, Excmo. Sr. D. José María del Riego Valledor, estando constituida la sala en Audiencia Pública, de lo que certifico.