Issuu on Google+

1/13

Procedimiento Nº PS/00229/2008

RESOLUCIÓN: R/01058/2008 En el procedimiento sancionador PS/00229/2008, instruido por la Agencia Española de Protección de Datos a la entidad Data Integral Action, S.L., vista la denuncia presentada por D. O.O.O. y en base a los siguientes,

PRIMERO: : Con fecha 10 de mayo de 2006 tiene entrada en esta Agencia un escrito del denunciante arriba indicado en el que declara que: Ha recibido el 2 de mayo de 2006 publicidad comercial de una entidad que ha utilizado datos de la mercantil Data Integral Action, SL, (en adelante DATA) a la que solicitó el acceso a sus datos de carácter personal en poder de dicha entidad en mayo de 2005, solicitud a la que contestó DATA con fecha 20 de mayo de 2005, según escrito aportado por el denunciante en el que se indicaba además que se procedía a la cancelación de sus datos.

SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Proteccion de Datos ordeno a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos, teniendo conocimiento de los siguientes extremos: 1.- Constan dos envíos publicitarios realizados al denunciante en los que figura como suministradora de los datos la entidad denunciada. En ambos envíos se utiliza como dirección (C/............................). 2.- De acuerdo a la información aportada por el denunciante – escrito de DATA fechado el 20 de mayo de 2005 - la entidad procedió a cancelar sus datos de carácter personal en mayo de 2005. Requerida información al respecto, ha informado que “sin certeza sobre ello [...] pudo deberse a un involuntario error informático o humano que hubiese ocasionado que, pese a llevarse a cabo la cancelación, no se hubiese producido de hecho el bloqueo de los datos del interesado.” 3.- Respecto al origen de los datos, DATA ha señalado que los mismos se obtienen de listados accesibles al público complementados con nuevos datos recabados a través de las bibliotecas de calles de Correos y del INE. Realizada comprobación en los repertorios telefónicos on-line www.......X...... y www.......Y......, no se encontró información a nombre del denunciante.

c. Jorge Juan 6

28001 Madrid

www.agpd.es


2/13

4.- La entidad responsable del envío publicitario recibido por el denunciante en mayo de 2006 es, según se ha informado y acreditado con copia de contrato y factura por servicios prestados por parte de DATA la entidad Grupo Marketing Advanced Systems, SL, domiciliada en (C/............................)

TERCERO: En fecha 23 de abril de 2008 el Director de la Agencia Española de Protección de Datos, acordó iniciar procedimiento sancionador a DATA INTEGBRAL ACTION, S.L., por la posible infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3. d) de dicha norma, pudiendo ser sancionada con multa de 60.101,21 € a 300.506,05 €, de acuerdo con el artículo 45.2 de la misma Ley Orgánica. CUARTO: En fecha 3 de junio de 2008 la representación de DATA INTEGRAL formuló, en síntesis, las siguientes alegaciones al acuerdo de inicio: -

Caducidad de las actuaciones previas a la iniciación del procedimiento sancionador, de conformidad con lo dispuesto en el artículo 122.4 del RD 1720/2007, de 21 de diciembre. En base a que la denuncia entro en la Agencia el 10 de mayo de 2006 y el Acuerdo de Inicio del procedimiento se dicto el 23 de abril de 2008, por lo que habían transcurrido más de 12 meses desde que la denuncia tuvo entrada en la Agencia.

-

Incumplimiento de lo dispuesto en el art. 46.2 RD 1720/2007, toda vez que DATA y Grupo Marketing Advance System tenían un contrato, en el cual ésta encargaba a aquella, por deducción de la factura, los parámetros indentificativos de la campaña y por tanto no es responsable de infracción alguna dada la nueva regulación, por aplicación, a sensu contrario del principio de irretroactividad de las normas sancionadoras o no favorables restrictivas de derechos, esto es, propugna la retroactividad de lo favorable.

QUINTO: Transcurrido el plazo de alegaciones que se concedió en le acuerdo de iniciación del procedimiento, en fecha 25 de mayo de 2008 se inició un período de práctica de pruebas, practicándose las siguientes: - Dar por reproducida a efectos probatorios, la documentación recabada en las actuaciones previas de inspección nº E/00567/2008, así como las alegaciones presentadas por DATA mediante escrito de fecha 15 de mayo de 2008. SEXTO: En fecha 18 de junio de 2008, el Instructor del Procedimiento, emitió Propuesta de Resolución, en el sentido de que por el Director de la Agencia Española de Protección de Datos se sancione a Data Integral Action, S.L. con multa de 60.101,21 € (sesenta mil ciento uno con veintiún céntimos de euro) por la infracción del artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, tipificada como grave en el artículo 44.3 d) de dicha norma.

c. Jorge Juan 6

28001 Madrid

www.agpd.es


3/13

SEPTIMO: DATA presento alegaciones en fecha 4 de agosto de 2008, a la Propuesta de Resolución en la que reiteraba las ya presentadas durante el procedimiento OCTAVO: De las actuaciones llevadas a cabo en el presente procedimiento, han quedado acreditados los siguientes HECHOS PROBADOS PRIMERO.- En mayo de 2005 el denunciante solicito el derecho de acceso a los datos de carácter personal y su consiguiente cancelación a la entidad Data Integral Action, S.L. SEGUNDO.- Con fecha 20 de mayo de 2005, DATA comunicó al denunciante que se procedía a la cancelación de sus datos personales. TERCERO.- En fecha 2 de mayo de 2006, el denunciante recibe dos envíos publicitarios en los que figura como empresa suministradora de los datos la entidad denunciada. CUARTO.- Requerida información al respecto a los representantes de DATA, manifiestan: ““sin certeza sobre ello [...] pudo deberse a un involuntario error informático o humano que hubiese ocasionado que, pese a llevarse a cabo la cancelación, no se hubiese producido de hecho el bloqueo de los datos del interesado.” QUINTO.- Respecto al origen de los datos, DATA manifiestas que se han obtenido de fuentes accesibles al público. Realizada comprobación en los repertorios telefónicos on-line www.......X...... y www.......Y......, no se encontró información a nombre del denunciante. SEXTO.- DATA ha tratado los datos del denunciante sin su consentimiento, toda vez, que éste solicito la cancelación de sus datos, y a pesar de ello se siguieron tratando éstos. DATA no ha podido acreditar el origen lícito de los datos o cualquier otra circunstancia que permita dispensar la exigencia del consentimiento del titular de los datos para el referido tratamiento de conformidad con las previsiones legales.

FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD.

c. Jorge Juan 6

28001 Madrid

www.agpd.es


4/13

II Con carácter previo es preciso analizar las cuestiones formales o procedímentales que de estimarse impedirían un pronunciamiento sobre el fondo del asunto. La representación de DATA alega, tanto al Acuerdo de Inicio como a la Propuesta de Resolución, que las actuaciones previas de inspección están caducadas de conformidad con el artículo 122.4 del RD 1720/2007, por haber transcurrido más de 12 meses en su tramitación. A este respecto es preciso señalar lo dispuesto en la Disposición Transitoria quinta del citado Real Decreto, que establece que “A las actuaciones previas iniciadas con anterioridad a la entrada en vigor del presente Real Decreto, no les será de aplicación el mismo, rigiéndose por la normativa anterior. El presente Real Decreto se aplicará a las actuaciones previas que se inicien después de su entrada en vigor.” Teniendo en cuenta que las presentes Actuaciones Previas se Iniciaron con anterioridad a la entrada en vigor del citado reglamento, las alegaciones de DATA han de ser desestimadas. III La representación de DATA alega, tanto al Acuerdo de Inicio como en el tramite conferido en la Propuesta de Resolución, que no es responsable del tratamiento aquí valorado y por tanto procede el archivo del presente procedimiento, en base a lo dispuesto en el artículo 46.2 del R.D 1720/2007, que dispone que: Artículo 46. Tratamiento de datos en campañas publicitarias. 2. En caso de que una entidad contrate o encomiende a terceros la realización de una determinada campaña publicitaria de sus productos o servicios, encomendándole el tratamiento de determinados datos, se aplicarán las siguientes normas: Cuando los parámetros identificativos de los destinatarios de la campaña sean fijados por la entidad que contrate la campaña, ésta será responsable del tratamiento de los datos. Cuando los parámetros fueran determinados únicamente por la entidad o entidades contratadas, dichas entidades serán las responsable del tratamiento. Cuando en la determinación de los parámetros intervengan ambas entidades, serán ambas responsables del tratamiento. 3. En el supuesto contemplado en el apartado anterior, la entidad que encargue la realización de la campaña publicitaria deberá adoptar las medidas necesarias para asegurarse de que la entidad contratada ha recabado los datos cumpliendo las exigencias establecidas en la Ley Orgánica 15/1999, de 13 de diciembre, y en el presente reglamento. 4. A los efectos previstos en este artículo, se consideran parámetros identificativos de los destinatarios las variables utilizadas para identificar el público objetivo o destinatario de una campaña o promoción comercial de productos o servicios que permitan acotar los destinatarios individuales de la misma.

c. Jorge Juan 6

28001 Madrid

www.agpd.es


5/13

Con carácter previo al análisis de esta cuestión, es preciso determinar la aplicabilidad del Real Decreto 1720/2007, que desarrolla la LOPD. La Ley 30/1992, de 26 de noviembre, establece en su artículo 128.1 “1. Serán de aplicación las disposiciones sancionadoras vigentes en el momento de producirse los hechos que constituyan infracción administrativa.” Atendiendo a este respecto los hechos aquí valorados ocurren bajo la vigencia de la regulación anterior. No obstante, añade el apartado 2 que” 2. Las disposiciones sancionadoras producirán efecto retroactivo en cuanto favorezcan al presunto infractor.” Sin perjuicio de que esta regulación pudiera ser mas favorable a los intereses de DATA, conviene recordar que en el presente caso, no se esta valorando el estatus que ésta ostentaba en la relación jurídica de la que deriva el tratamiento, sino la legitimación de DATA para contener en sus ficheros los datos personales del denunciante a pesar de que el denunciante solicito su acceso y ésta le indico que se procedía a la cancelación. Por lo tanto, se le imputa como responsable del fichero y no como responsable del tratamiento, que en este caso, a la vista del contrato aportado, de las manifestaciones de DATA y de las facturas presentadas, se podría inferir que el responsable del tratamiento era la mercantil Grupo M.A.S, ya que decidió sobre la finalidad, contenido y uso del tratamiento, de conformidad con las definiciones legales, a mayor abundamiento en la cláusula 1.4 del citado contrato consta: “-GRUPO M.A.S S.L no será en ningún caso ni propietaria ni cesionaria, y por lo tanto, ni responsable de los ficheros de los que se obtienen los datos de carácter personal utilizados para los envíos publicitarios, habida cuenta de que, en ningún caso pasará por sus manos fichero alguno. -DATA INTEGRAL ACTION S.L o la empresa que esta subcontrate será la única propietaria y responsable de los ficheros de los que se obtienen los datos siempre y cuando éstos no tengan la consideración de públicos. No obstante lo anterior, en el citado contrato en la Cláusula CUARTA recoge: “la petición de prestación de servicios por parte de agentes y vendedores de GRUPO M.A.S S.L. se realizara por escrito, o por el método que estimen oportuno en atención a la necesidad y premura, aunque, siempre, de mutuo acuerdo”, a pesar de esta previsión , no se ha aportado al procedimiento la petición de servicios, que despejarían toda duda a cerca de quien ostentaba el estatus de responsable del tratamiento, no obstante el presente procedimiento se dirige contra DATA, que fuera de toda dudas, es responsable del fichero en el que se contenían los datos del denunciante.

IV El artículo 6 de la LOPD, determina: “1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa. 2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para

c. Jorge Juan 6

28001 Madrid

www.agpd.es


6/13

su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado. 3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos. 4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado”. El tratamiento de datos sin consentimiento cuando este no es dispensado, constituye un límite al derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre, (F.J. 7 primer párrafo), “...consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (...)”. Son pues elementos característicos del derecho fundamental a la protección de datos personales, los derechos del afectado a consentir sobre la recogida y tratamiento de sus datos personales y a saber de los mismos. Se puede afirmar, tal y como tiene sentado consolidada jurisprudencia del Tribunal Supremo - por todas las Sentencias de 8 de febrero de 1.964, 26 de mayo de 1.986 y 11 de junio de 1.991 - en interpretación del artículo 1.253 del Código Civil, que existen tres modos o formas básicas del consentimiento: expreso, manifestado mediante un acto positivo y declarativo de la voluntad; tácito, cuando pudiendo manifestar un acto de voluntad contrario, éste no se lleva a cabo, es decir, cuando el silencio se presume o se presupone como un acto de aquiescencia o aceptación; y presunto, que no se deduce ni de una declaración ni de un acto de silencio positivo, sino de un comportamiento o conducta que implica aceptación de un determinado compromiso u obligación. A efectos de la Ley Orgánica 15/1999 y con carácter general, son admisibles las dos primeras formas de prestar el consentimiento. En este sentido la Sentencia de la Audiencia Nacional de 21 de noviembre de 2007 ( Rec 356/2006) en su Fundamento de Derecho Quinto señala que “ por lo demás, en cuanto a los requisitos del consentimiento, debemos señalar que estos se agotan en la necesidad de que este sea “inequívoco”, es decir, que no exista duda alguna sobre la prestación de dicho consentimiento, de manera que en esta materia el

c. Jorge Juan 6

28001 Madrid

www.agpd.es


7/13

legislador, mediante el articulo 6.1 de la LO de tanta cita, acude a un criterio sustantivo, esto es, nos indica que cualquiera que sea ,la forma que revista el consentimiento éste ha de aparecer como evidente, inequívoco – que no admite duda o equivocación- , pues éste y no otro es el significado del adjetivo utilizado para calificar al consentimiento. Por tanto, el establecimiento de presunciones o la alusión a la publicidad de sus datos en otro lugar resulta irrelevante, pues dar carta de naturaleza a este tipo de interpretaciones pulverizaría esta exigencia esencial del consentimiento, porque dejaría de ser inequívoco para ser “equivoco”, es decir, su interpretación admitiría varios sentidos y, por esta vía, se desvirtuaría la naturaleza y significado que desempeña como garantía en la proteccion de los datos, e incumpliría la finalidad que está llamado a verificar, esto es, que el poder de disposición de los datos corresponde únicamente a su titular”

V De conformidad con lo expuesto ut supra, la jurisprudencia y el propio artículo 6 de la LOPD, exige que el responsable del tratamiento o del fichero donde se encuentren de los datos cuente con el consentimiento para el tratamiento de dichos datos personales, entendido estos de conformidad con las definiciones contenidas en el artículo 3 de la LOPD como: Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.” Consentimiento del interesado como “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”. Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. La vigente LOPD atribuye la condición de responsables de las infracciones a los responsables de los ficheros (art. 43), concepto que debe integrarse con la definición que de los mismos recoge el artículo 3.d). Este precepto, innovando respecto de la Ley Orgánica 5/1992, incluye en el concepto de responsable tanto al que lo es del fichero como al del tratamiento de datos personales. En este sentido se pronunciaba la Audiencia Nacional en su sentencia de 18 de enero de 2006: “Y que duda cabe que la LOPD comprende bajo su régimen sancionador, al que suministra los datos al responsable del fichero, que es quien en realidad sabe la situación en que se encuentra el crédito, si ha sido o no satisfecho, en que condiciones y en que momento ha tenido lugar. En definitiva es el conocedor de la situación de solvencia en que se encuentra el afectado. Y en caso de que se produzca una modificación de dicha situación, debe informar al responsable del fichero para que este refleje con veracidad la situación actual del afectado”

Tal como se ha expuesto en el Fundamento de Derecho II, DATA es

c. Jorge Juan 6

28001 Madrid

www.agpd.es


8/13

responsable del fichero donde se encontraban los datos del denunciante, a saber: En mayo de 2005 el denunciante solicita el derecho de acceso para que se cancelen sus datos de los ficheros de DATA. El 20 de mayo de 2005, DATA indica que “usted no va a recibir nuevas comunicaciones comerciales, con la lógica excepción de algún envió que en este momento pueda encontrase en circulación”. A pesar de ello, constan dos envíos publicitarios de fecha 2 de mayo de 2006 realizados al denunciante, en los que figura DATA como suministradora de los datos de éste. Un año después de la contestación de la entidad, por lo que no se puede considerar en modo alguno, la excepción de que estuviera ya en circulación. Dichos datos consistían en nombre, apellidos y dirección. Lo que evidencia un tratamiento de datos personales en sus ficheros por parte de DATA, y la dota del estatus de responsable del fichero, y por tanto susceptible de generar responsabilidad por infracción de la LOPD de conformidad con su artículo 43. VI Ahora bien, respecto del consentimiento hay que señalar que DATA afirma que obtuvo los datos de fuentes accesibles al público, como son los repertorios telefónicos on-line de www.......X...... y www.......Y...... y por tanto dicho tratamiento de datos esta dispensado del consentimiento del titular de conformidad con el apartado 2 del artículo 6. Por su parte, el articulo 3 de la LOPD, señala que se entiende por fuente accesible al publico: “Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación”. Los servicios de Inspección de esta Agencia, comprobaron en los citados repertorios on-line si se encontraban los datos del denunciante, en fecha 28 de junio de 2006, de la página Web de “paginas blancas” obteniendo un resultado negativo. Por tanto no se ha acreditado que los datos del denunciante figuraran en fuentes accesibles al público, por lo que DATA tiene que contar con el consentimiento del denunciante para el tratamiento de sus datos. De lo que se deduce que DATA trato datos personales del denunciante, concretándose en nombre y apellidos, y domicilio, sin poder acreditar ninguna circunstancia que legitime dicho tratamiento de datos, por tanto la actuación de DATA no es incardinable en ningún supuesto a la excepción a la prestación del consentimiento que recoge el artículo 6.2 de la LOPD. En este sentido, se debe señalar que corresponde a DATA acreditar que cuenta con el consentimiento para el tratamiento de los datos personales, siendo el caso concreto que el denunciante niega haber consentido dicho tratamiento.

c. Jorge Juan 6

28001 Madrid

www.agpd.es


9/13

Para que el tratamiento de los datos de la denunciante por parte de DATA resultara conforme con los preceptos de la LOPD, hubieran debido concurrir en el procedimiento examinado alguno de los supuestos contemplados en el artículo 6 de la citada Ley Orgánica.

VII

El artículo 44.3.d) de la LOPD, dispone: “3. Son infracciones graves:” “d) Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituye infracción muy grave.” En el presente caso, la descripción de conductas que establece el artículo 44.3.d) de la LOPD cumple las exigencias derivadas del principio de tipicidad, toda vez que del expresado precepto se desprende con claridad cuál es la conducta prohibida. El tipo aplicable considera infracción grave “tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley”, por tanto, se está describiendo una conducta - el tratamiento automatizado de datos personales o su uso posterior – que precisa, para configurar el tipo, que dicha conducta haya vulnerado los principios que establece la LOPD. El principio del consentimiento se configura como principio básico en materia de protección de datos. Concretamente, por lo que ahora interesa, el artículo 6 de la LOPD recoge el citado principio. La conducta ilícita por la que se sanciona a DATA vulnera el citado principio, toda vez que ha quedado acreditado que los datos del denunciante resultaron tratados en sus ficheros sin su consentimiento, toda vez que éste expresamente solicito que no se trataran sus datos y DATA le comunico que así se haría, sin embargo se produjeron al menos dos envíos publicitarios más. En definitiva, no atenido a la revocación que el denunciante hizo y continúo tratando en sus ficheros los datos personales del denunciante. En consecuencia, DATA ha incurrido en la infracción grave descrita pues trató datos sin consentimiento en sus propios ficheros cuando no procedía, ya que no desplegó la suficiente diligencia para verificar el consentimiento del denunciante y en su caso la revocación u oposición que pudiera proceder de éste, lo que supone una vulneración del principio de consentimiento que consagra el artículo 6 de la LOPD. La Audiencia Nacional ha manifestado en su Sentencia de 22/10/2003 que “la descripción de conductas que establece el artículo 44.3. d) de la Ley Orgánica 15/1999 cumple las exigencias derivadas del principio de tipicidad, a juicio de esta Sala, toda vez que del expresado precepto se desprende con claridad cual es la conducta

c. Jorge Juan 6

28001 Madrid

www.agpd.es


10/13

prohibida. En efecto, el tipo aplicable considera infracción grave <<tratar de forma automatizada los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la Ley>>, por tanto, se está describiendo una conducta –el tratamiento automatizado de datos personales o su uso posterior- que precisa, para configurar el tipo, que dicha conducta haya vulnerado los principios que establece la Ley Orgánica. Ahora bien, estos principios no son de aquellos que deben inferirse de dicha regulación legal, sino que aparecen claramente determinados y relacionados en el título II de la Ley, concretamente, por lo que ahora interesa, en el artículo 6 se recoge un principio que resulta elemental en la materia, que es la necesidad de consentimiento del afectado para que puedan tratarse automatizadamente datos de carácter personal. Por tanto, la conducta ilícita por la que se sanciona a la parte recurrente como responsable del tratamiento consiste en usar datos sin consentimiento de los titulares de los mismos, realizando envíos publicitarios.” En este caso, DATA ha incurrido en la infracción descrita, ya que el consentimiento para el tratamiento de los datos personales es un principio básico del derecho fundamental a la protección de datos, recogido en el artículo 6 de la LOPD. La entidad mencionada ha tratado los datos del denunciante sin contar con su consentimiento, lo que supone una vulneración de este principio, conducta que encuentra su tipificación en este artículo 44.3.d) de la citada Ley Orgánica.

VIII De acuerdo con lo establecido en el artículo 45.2 y 4 de la LOPD: “2. Las infracciones graves serán sancionadas con multa de 60.101,21 € a 300.506,05 € (…) 4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora. 5. si en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso que se trate.” (el subrayado es de la Agencia Española de Proteccion de Datos) Respecto a los criterios de graduación de las sanciones recogidas en el artículo 45.4 de la LOPD y, en especial, en el presente supuesto en relación a la infracción del artículo 6 de la LOPD imputada a DATA, se propone la sanción en su cuantía mínima, en atención al grado de intencionalidad, que ha de considerarse mínimo. . En cuanto la aplicación del art. 45.5 de la LOPD, conviene señalar que la Audiencia Nacional, en su Sentencia de 24/05/2002, ha señalado en cuanto a la aplicación del apartado 5 del citado precepto que “... la presente regla debe aplicarse

c. Jorge Juan 6

28001 Madrid

www.agpd.es


11/13

con exquisita ponderación y sólo en los casos en los que la culpabilidad y la antijuridicidad resulten sustancialmente atenuadas atendidas las circunstancias del caso concreto, de forma que repugne a la sensibilidad jurídica, siempre guiada por el valor justicia, la imposición de la sanción correspondiente al grado. Lo cual insistimos puede darse, por excepción, en casos muy extremos y concretos”. Conviene recordar que desde el punto de vista material, la culpabilidad consiste en al capacidad que tiene el sujeto obligado para obrar de modo distinto y, por tanto, de acuerdo con el ordenamiento jurídico. Por tanto, lo relevante es la diligencia desplegada en la acción por el sujeto, lo que excluye la imposición de una sanción, únicamente en base al mero resultado, es decir al principio de responsabilidad objetiva. No obstante lo anterior, la Sentencia de la Audiencia Nacional dictada el 21 de septiembre de 2005, Recurso 937/2003, establece que “Además, en cuanto a la aplicación del principio de culpabilidad resulta que (siguiendo el criterio de esta Sala en otras Sentencias como la de fecha 21 de enero de 2004 dictada en el recurso 113/2001) que la comisión de la infracción prevista en el art. 77.3 d) puede ser tanto dolosa como culposa. Y en este sentido, si el error es muestra de una falta de diligencia, el tipo es aplicable, pues aunque en materia sancionadora rige el principio de culpabilidad, como se infiere de la simple lectura del art. 130 de la Ley 30)1992, lo cierto es que la expresión “simple inobservancia” permite la imposición de la sanción, sin duda en supuestos doloso, y asimismo en supuestos culposos, bastando la inobservancia del deber de cuidado” DATA no ha mostrado un celo y diligencia, que debe ser de notable entidad en atención a la actividad mercantil a la que se dedica, de la que se infiere un continuo tratamiento de datos personales, así la Sentencia de la Audiencia Nacional Recurso 104/2006 señala que “la entidad demandante por la actividad que realiza debe tratar un gran volumen de datos personales en sus ficheros, lo que hace que deba extremar el cuidado en el manejo de dichos datos para lograr una proteccion eficaz, pues está en juego un derecho fundamental autónomo, el derecho a la proteccion de datos personales según la STS 292/2000”. En el mismo sentido la Sentencia de la Audiencia Nacional, Recurso 143/2006 señala que” así es, no se aprecia la disminución de la culpabilidad del sancionado o de la antijuridicidad del hecho, pues la naturaleza de la actividad desarrollada por la entidad recurrente, y su permanente relación con los datos personales, determina que el comportamiento exigible a quien habitualmente está en contacto con este tipo de datos sea de distinguido y exquisito cuidado sobre el cumplimiento de las exigencias impuestas por la LOPD, porque está en juego la proteccion de derechos fundamentales- art. 18.4 CE-. “ Atendiendo a lo expuesto no se aprecia una “cualificada disminución de la culpabilidad”, de conformidad con el apartado 5 del artículo 45, por lo que no procede su aplicación.

c. Jorge Juan 6

28001 Madrid

www.agpd.es


12/13

Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad Data Integral Action, S.L., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma, una multa de 60.101,21 € ( sesenta mil ciento un euro con veintiún céntimos de euros) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.

SEGUNDO: NOTIFICAR la presente resolución a Data Integral Action, S.L. con domicilio en (C/..........................................) y a D. O.O.O. con domicilio en (C/............................................)

TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº 0000 0000 00 0000000000 abierta a nombre de la Agencia Española de Protección de Datos en el Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.

De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la

c. Jorge Juan 6

28001 Madrid

www.agpd.es


13/13

Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.

Madrid,

1

de septiembre de 2008

EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Fdo.: Artemi Rallo Lombarte

c. Jorge Juan 6

28001 Madrid

www.agpd.es


PS-00229-2008_Resolucion-de-fecha-01-09-2008_Art-ii-culo-6-LOPD