SAN, 8 de Julio de 2011

• Ponente: ELISA VEIGA NICOLE
• Emisor: Audiencia Nacional. Sala Contencioso Administrativo, Sección 1ª
• ECLI: ES:AN:2011:3318
• Número de Recurso: 203/2010

SENTENCIA

Madrid, a ocho de julio de dos mil once.

Visto por la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional el recurso contencioso

administrativo número 203/2010 interpuesto por la entidad SEGUR IBÉRICA, SA representada por la Procuradora doña Rosalía

Jarabo Sancho, contra la resolución del Director de la Agencia Española de Protección de Datos de fecha 18 de enero de 2010

dictada en el Procedimiento PS/00381/2009; habiendo sido parte en autos, la Administración demandada, representada y

defendida por el Abogado del Estado. La cuantía del recurso se fija en 60.101,21 €

ANTECEDENTES DE HECHO

PRIMERO

Interpuesto el recurso Contencioso-administrativo ante esta Sala de la Audiencia Nacional y turnado a esta Sección, fue admitido a trámite, reclamándose el expediente administrativo, para, una vez recibido emplazar a la actora para que formalizara la demanda, lo que así hizo en escrito presentado el 9 de julio de 2010, en el que tras exponer los hechos y fundamentos de derecho qué consideró oportunos, terminó suplicando que se dicte sentencia que declare la nulidad de las resoluciones impugnadas o, subsidiariamente, se reduzca al importe de las sanciones impuestas, con expresa condena en costas a la Administración demandada.

SEGUNDO

La Abogada del Estado, en su escrito de contestación a la demanda presentado el 30 de septiembre de 2010, tras alegar los hechos y fundamentos de derecho qué consideró aplicables, postuló una sentencia por la que se desestime el recurso interpuesto, confirmando íntegramente la resolución recurrida por ser conforme a derecho.

TERCERO

Las partes no solicitaron el recibimiento del pleito a prueba ni el trámite de vista o de conclusiones, señalándose para votación y fallo el día 13 de abril de 2011, señalamiento que se dejó sin efecto a fin de ir a las partes sobre la posible aplicación de la Ley 2/2011, tras lo cual señaló nuevamente para el día 6 de julio de 2011 , en el que se deliberó y votó.

Ha sido PONENTE la Magistrada ELISA VEIGA NICOLE, quien expresa el parecer de la Sala.

FUNDAMENTOS DE DERECHO

PRIMERO

Constituye el objeto del presente recurso contencioso-administrativo la resolución del Director de la Agencia Española de la Protección de Datos de fecha 18 de enero de 2010, que desestima el recurso de reposición interpuesto contra la resolución de fecha 20 de noviembre de 2009, dictada en el Procedimiento PS/00381/2009, que acuerda imponer a Segur Ibérica, S.A., una sanción de 30.000 € por la infracción del artículo 4.1 de la LOPD , y una sanción de 60.101, 21 € por infracción del artículo 12.2 de la citada norma, infracciones ambas tipificadas como graves en el artículo 44.3d) de la citada Ley , con aplicación del artículo 45.2, 4 y 5 para la infracción del artículo 4.1 y el artículo 45.2 y 4 para el caso del citado artículo 12.2 de la LOPD .

En la resolución impugnada se indica que Segur ha venido realizando por un período de tiempo superior a cinco años el tratamiento de los datos personales de los afectados mediante la visualización de las imágenes captadas por las cámaras de vigilancia, tanto en las zonas restringidas como públicas del aeropuerto de Gran Canarias, sin estar regulada en la forma descrita en el artículo 12.2 de la LOPD , pues no existe constancia de que su conducta se desarrollase con arreglo a estipulaciones que constaran en un contrato escrito o de cualquier otra forma que permitiese acreditar su celebración y contenido, por lo que ha venido actuando como responsable del tratamiento. Por otra parte, el sistema de seguridad contratado por AENA a la recurrente cuenta con un sistema de vigilancia compuesto por una serie de cámaras emplazadas en distintos lugares del recinto aeroportuario y la recurrente ha incumplido lo preceptuado en el artículo 4.1 de la LOPD que impide el tratamiento de aquellos datos que no sean necesarios o proporcionales a la finalidad que justifique el tratamiento.

SEGUNDO

En la demanda se fundamenta la pretensión anulatoria en los siguientes motivos:

- En el presente caso se ha producido una dilación de más de 22 meses entre la fecha en que se produjeron los hechos objeto del acuerdo sancionador (22 y 24 de agosto de 2007) y la notificación a la recurrente del acuerdo de inicio del expediente sancionador (20 de julio de 2009). La Agencia inició las actuaciones previas de inspección con fecha 17 de marzo de 2008, no siendo de aplicación el Real Decreto 1720/2007 sino el Real Decreto 1398/93, habiéndose infringido sus artículos 6.2, 20.6 y 12 , así como el artículo 47 de la LOPD pues al haber caducado los trámites de diligencias previas no se ha interrumpido el plazo de prescripción.

- Infracción del artículo 43.2 de la LOPD , en relación con el artículo 46.2 de la misma pues el legislador ha querido vincular la naturaleza del fichero con el régimen sancionador a aplicar tanto al responsable del mismo como al encargado del tratamiento.

- Vulneración del principio de proporcionalidad. En el presente caso la culpabilidad y la antijuricidad resultan sustancialmente atenuadas atendidas las circunstancias del caso, debiendo imponerse para la infracción imputada del artículo 4.1 de la LOPD una sanción nunca superior a 2000 €. Y para la infracción del artículo 12.2 de la citada norma se debe reducir asimismo la sanción impuesta.

La Abogada del Estado se opone a la demanda por las siguientes razones:

- No se ha producido la caducidad de las actuaciones previas, conforme a reiterada jurisprudencia de esta Sala. Asimismo no se ha producido la caducidad del procedimiento sancionador pues el acuerdo de incoación es de fecha 14 de julio de 2009, notificado el siguiente día 20 de julio, y la resolución sancionadora es de 20 de noviembre de 2009, notificado el siguiente día de 27, sin que tampoco hayan transcurrido, en este caso, los dos meses a que hace referencia el artículo 6.2 del Real Decreto 1398/93 pues el acuerdo de inicio es de 14 de julio de 2009 y fue notificado el siguiente día 20 de julio por lo que no transcurrido el plazo de dos meses. Por último, no se ha producido la prescripción de las infracciones, cometidas al menos los días 22 y 24 de agosto de 2007 en tanto que el acuerdo de incoación del procedimiento sancionador es de fecha 14 de julio de 2009, es decir en cualquier caso, no han transcurrido los dos años exigidos para apreciar la prescripción de la infracción.

- La recurrente no es una Administración Pública sino una persona jurídica privada que, como responsable del tratamiento, está sometida al régimen sancionador previsto en la LOPD.

- Por último, no se ha vulnerado el principio de proporcionalidad con las sanciones impuestas.

TERCERO

Habiéndose alegado la caducidad del expediente sancionador, procede entrar resolver tal cuestión en primer lugar.

El art. 48.3 de la LOPD establece que los procedimientos sancionadores tramitados por la Agencia Española de Protección de Datos, en ejercicio de las potestades que a la misma atribuyan ésta u otras Leyes, salvo los referidos a infracciones de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones , tendrán una duración máxima de seis meses.

Este plazo de caducidad de los expedientes sancionadores de la Agencia Española de Protección de Datos coincide con el que señala el articulo 42 de la Ley 30/92 para la conclusión de los procedimientos administrativos en los que no se haya fijado plazo especifico.

El inicio del computo de dicho plazo, sin embargo, lo constituye la fecha del acuerdo de incoación o de inicio del expediente, y no las "actuaciones previas" a las que se refiere el articulo 12 del R.D. 1398/93 , que son una fase preliminar anterior a la incoación en sentido estricto, indicada e incluso inevitable por la complejidad técnica de los hechos investigados y dado que el Art. 13.1 de dicho Reglamento requiere que tal acuerdo de incoación contenga la indicación de persona frente al que se dirige, hechos, posible calificación jurídica e indicación de sanciones.

De ahí que, en el presente caso, la fase de actuaciones previas E/00434/2008 no se corresponden con el inicio del expediente sancionador y respecto a las mismas no se ha argumentado por la recurrente que se haya producido una utilización espuria y fraudulenta de las citadas actuaciones previas, no siendo, por otra parte, de aplicación el plazo máximo de 12 meses de duración establecido para dichas actuaciones preliminares en el artículo 122 del Real Decreto 1720/2007 pues tal norma reglamentaria sólo es de aplicación a actuaciones iniciadas con posterioridad a su entrada en vigor, es decir al 19 de abril de 2008.

Así, el cómputo del plazo de caducidad comienza partir de la fecha del acuerdo de iniciación del expediente, como se prevé en el artículo 42.3 a) de la Ley 30/92 , a cuyo tenor el plazo máximo de duración de los procedimientos se contara, en los procedimientos iniciados de oficio "desde la fecha del acuerdo de iniciación" y los expedientes sancionadores de la Agencia Protección de Datos son expedientes iniciados de oficio, en de conformidad con lo previsto en el artículo 18.1 del Real Decreto 1322/1994 , como ha resuelto esta Sala en múltiples sentencias, entre otras las de fecha 2 de marzo y 10 de mayo de 2006 . Por otra parte, el día final en el cómputo del plazo de caducidad de seis meses, a que se refiere el citado artículo 42.3 , no es aquel en que...