SAN 379/2016, 15 de Julio de 2016

• Ponente: FERNANDO DE MATEO MENENDEZ
• Emisor: Audiencia Nacional. Sala Contencioso Administrativo, Sección 1ª
• ECLI: ES:AN:2016:2875
• Número de Recurso: 225/2014

A U D I E N C I A N A C I O N A L

Sala de lo Contencioso-Administrativo

SECCIÓN PRIMERA

Núm. de Recurso: 0000225 / 2014

Tipo de Recurso: PROCEDIMIENTO ORDINARIO

Núm. Registro General: 00225/2014

Demandante: ADSALSA PUBLICIDAD, S.L.

Procurador: JUAN CARLOS ESTEVEZ FERNANDEZ NOVOA

Demandado: AGENCIA PROTECCIÓN DE DATOS

Abogado Del Estado

Ponente IImo. Sr.: D. FERNANDO DE MATEO MENÉNDEZ

S E N T E N C I A Nº:

IImo. Sr. Presidente:

D. EDUARDO MENÉNDEZ REXACH

Ilmos. Sres. Magistrados:

Dª. FELISA ATIENZA RODRIGUEZ

Dª. LOURDES SANZ CALVO

D. FERNANDO DE MATEO MENÉNDEZ

D. JUAN PEDRO QUINTANA CARRETERO

Madrid, a quince de julio de dos mil dieciséis.

Vistos por la Sala, constituida por los Sres. Magistrados relacionados al margen, los autos del recurso contencioso-administrativo número 225/14, interpuesto por el Procurador de los Tribunales don Juan Carlos Estévez Fernández Novoa, en nombre y representación de ADSALSA PUBLICIDAD, S.L., contra la resolución de 18 de junio de 2014 del Director de la Agencia Española de Protección de Datos, por la que se le impone una sanción de 5.000 euros por una infracción del art. 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, y otra de igual cantidad por una infracción del art. 11 de la reseñada Ley, tipificadas como graves en los arts.

44.3.b ) y 44.3.k), respectivamente, de dicha norma . Ha sido parte LA ADMINISTRACIÓN DEL ESTADO, representada por el Abogado del Estado. La cuantía del recurso quedó fijada en 10.000 euros.

ANTECEDENTES DE HECHO

PRIMERO

Admitido el recurso y previos los oportunos trámites procedimentales, se confirió traslado a la parte actora para que, en el término de veinte días formalizara la demanda, lo que llevó a efecto mediante escrito presentado el día 18 de diciembre de 2014 en el que, tras exponer los hechos y fundamentos de derecho que estimó oportunos, terminó solicitando que se dictara sentencia estimatoria del recurso anulando el acto impugnado en el presente recurso.

SEGUNDO

Formalizada la demanda se dio traslado de la misma a la parte demandada para que la contestara en el plazo de veinte días, lo que realizó mediante el pertinente escrito, alegando los hechos y fundamentos jurídicos que estimó pertinentes, solicitando la desestimación del recurso.

TERCERO

Mediante Auto de 21 de octubre de 2015 se acordó el recibimiento del recurso a prueba, admitiéndose las pruebas propuestas por la parte actora que fueron declaradas pertinentes. Formulado recurso de reposición contra el citado Auto por la parte demandante, fue desestimado por Auto de 11 de marzo de 2016, concediendo diez días a las partes para la formulación de conclusiones, y, una vez presentados los correspondientes escritos, quedaron los autos conclusos para sentencia, señalándose para votación y fallo el día 12 de julio del presente año, fecha en que tuvo lugar.

SIENDO PONENTEel Magistrado Ilmo. Sr. Don FERNANDO DE MATEO MENÉNDEZ .

FUNDAMENTOS DE DERECHO

PRIMERO

La parte demandante impugna la resolución de 18 de junio de 2014 del Director de la Agencia Española de Protección de Datos, recaída en el procedimiento sancionador nº. 56/2014, por la que se le impone una sanción de 5.000 euros por una infracción del art. 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre (en adelante LOPD), y otra de igual cantidad por una infracción del art. 11 de la reseñada Ley, tipificadas como graves en los arts. 44.3.b ) y 44.3.k), respectivamente, de dicha norma .

Los hechos probados en que se basa la resolución sancionadora son los siguientes: > .

SEGUNDO

La parte actora cuestiona la identidad del denunciante, que el objeto de la denuncia era que no se había concedido al denunciante el derecho de cancelación, y que no será de aplicación la LOPD al tratarse de datos relativos a un empresario.

En cuanto a la identidad del denunciante, la misma está perfectamente acreditada en el expediente, mediante la denuncia que presentó con su nombre, dirección, número de D.N.I. y teléfono, así como los correos electrónicos dirigidos a la parte aquí recurrente. Por otro lado, dicha identidad no fue cuestionada por dicha parte en vía administrativa, y además, se aludió a la existencia de los correos enviados por el denunciante, como en la demanda, para avalar la existencia de consentimiento para la utilización de los datos de carácter personal de aquel. Sin que sea óbice el hecho de que una misma persona pueda utilizar dos correos electrónicos, o bien, haber dejado de utilizar uno de ellos, teniendo en cuenta además, que ambos correos electrónicos contienen el nombre y el primer apellido del denunciante.

Por otro lado, la denuncia se presentó poniendo de relieve unos hechos. Tenemos que recordar que de conformidad con el art. 11 del Real Decreto 1.398/1993, de 4 agosto, por el que se aprueba el Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora, el procedimiento sancionador se inicia siempre de oficio, por acuerdo del órgano que tiene atribuida el ejercicio de esta potestad, valorando para ello los hechos y su alcance desde el punto de vista de la normativa de protección de datos de carácter personal. Así, es competencia exclusiva de la Agencia Española de Protección de Datos valorar si existen responsabilidades administrativas que han de ser depuradas en un procedimiento sancionador y, en consecuencia, la decisión sobre su apertura. Y, en este caso, consideró la Agencia la pertinencia de la apertura de un procedimiento sancionador por las infracciones de los arts. 6.1 y 11 ambos de la LOPD .

Respecto a si se trata de datos relativos a empresarios individuales excluidos del régimen de protección de datos de carácter personal, como hemos declarado en la Sentencia de 12 de mayo de 2011 -recurso nº. 31/2010 -: esta misma Sala en ocasiones anteriores (SAN 29-3-06 Rec. 348/2004, de 10 de septiembre de 2009 (rec. 89/2008 ) por todas).

Para ello es imprescindible recordar algunas de las consideraciones de la STC 292/2000, de 30 de noviembre, que establece que (FJ 6º) el objeto de protección del derecho fundamental a la protección de datos no se reduce solo a los datos íntimos de la persona sino a cualquier tipo de datos personales, sean o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está el art. 18.1 CE (6), sino los datos de carácter personal. Por consiguiente, también alcanza a aquellos datos personales públicos, que por el hecho de serlo, de ser accesibles al conocimiento de cualquiera, no escapan al poder de disposición del afectado, porque así lo garantiza su derecho a la protección de datos (pues) los datos amparados son todos aquellos que identifiquen o permitan la identificación de la persona pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias constituye una amenaza para el individuo.

No puede concluirse, por tanto, que los empresarios individuales y profesionales estén en su conjunto excluidos del ámbito de protección de la LOPD, sino que se hace necesario diferenciar (y la línea divisoria es confusa y difusa) cuando un dato del empresario o profesional, se refiere a la vida privada de la persona y cuando a la empresa o profesión, pues solo en el primer caso cabe aplicar la protección de la LO 15/1999. Labor de diferenciación que puede basarse en dos criterios distintos y complementarios:

Uno, el criterio objetivo de la clase y la naturaleza de los datos tratados, según estén en conexión y se refieran a una esfera (la íntima y personal) o a otra (la profesional) de la actividad. Otro, el de la finalidad del tratamiento y circunstancias en que éste se desarrolla, criterio éste que operaría en aquellos casos en que alguno de los datos profesionales coincida con los particulares (por ej. coincidencia de domicilio privado con el de la empresa, o cuando no se pueda acreditar si una deuda es de la empresa o si es personal del interesado).

Acorde con dicha doctrina, y haciendo hincapié en que la LOPD tiene por objeto garantizar y proteger los datos personales entendiendo por tales, ex artículo 3.a) de dicha Ley "cualquier información concerniente a persona física identificadas o identificables" esta Sala ha considerado, en ocasiones anteriores en que se ha planteado la misma controversia, que dicha Ley sí ampara los datos personales de los profesionales del mercado de la construcción (arquitectos) en la sentencia de 21-11-2002 (Rec. 881/2000 ).Y también en la sentencia de 25-6-2003, Rec. 1099/2000 ), entendimos incluidos en el ámbito protector de la Ley los datos personales de particulares que actuaban como promotores en la construcción de su propia vivienda. Además, en nuestra sentencia de 11-2-2004 (Rec. 119/2002 ) y ya bajo la vigencia de la actual LOPD, hemos entendido que el dato del afectado, aunque se refería al lugar de ejercicio de su profesión (un despacho de abogados) era un dato de una persona física con una actividad profesional cuya...