SAN, 7 de Julio de 2017
| Ponente | FERNANDO DE MATEO MENENDEZ |
| Emisor | Audiencia Nacional. Sala Contencioso Administrativo, Sección 1ª |
| ECLI | ES:AN:2017:2939 |
| Número de Recurso | 302/2016 |
A U D I E N C I A N A C I O N A L
Sala de lo Contencioso-Administrativo
SECCIÓN PRIMERA
Núm. de Recurso: 0000302 / 2016
Tipo de Recurso: PROCEDIMIENTO ORDINARIO
Núm. Registro General: 01852/2016
Demandante: CAJASUR BANCO SAU
Procurador: GERARDO TEJEDOR VILAR
Demandado: AGENCIA PROTECCIÓN DE DATOS
Abogado Del Estado
Ponente IImo. Sr.: D. FERNANDO DE MATEO MENÉNDEZ
S E N T E N C I A Nº:
IImo. Sr. Presidente:
D. EDUARDO MENÉNDEZ REXACH
Ilmos. Sres. Magistrados:
Dª. FELISA ATIENZA RODRIGUEZ
Dª. LOURDES SANZ CALVO
D. FERNANDO DE MATEO MENÉNDEZ
Madrid, a siete de julio de dos mil diecisiete.
Vistos por la Sala, constituida por los Sres. Magistrados relacionados al margen, los autos del recurso contencioso-administrativo número 302/16, interpuesto por el Procurador de los Tribunales don Gerardo Tejedor Vilar, en nombre y representación de CAJASUR BANCO SAU, contra la resolución de 9 de febrero de 2016 del Director de la Agencia Española de Protección de Datos, recaída en el procedimiento sancionador nº PS/00019/2015, por la que se le impone por una infracción del art. 11 de la Ley Orgánica 15/1999, de 13 de diciembre, tipificada como grave en el art. 44.3.k) de dicha norma, una sanción de 20.000 euros. Ha sido parte LA ADMINISTRACIÓN DEL ESTADO, representada por el Abogado del Estado. La cuantía del recurso quedó fijada en 20.000 euros.
Admitido el recurso y previos los oportunos trámites procedimentales, se confirió traslado a la parte actora para que, en el término de veinte días formalizara la demanda, lo que llevó a efecto mediante escrito presentado el día 8 de septiembre de 206 en el que, tras exponer los hechos y fundamentos de derecho que estimó oportunos, terminó solicitando que se dictara sentencia estimatoria del recurso anulando el acto impugnado en el presente recurso, y, con carácter subsidiario, que se impusiera la sanción en 900 euros.
Formalizada la demanda, se dio traslado de la misma a la parte demandada para que la contestara en el plazo de veinte días, lo que realizó mediante el pertinente escrito, alegando los hechos y fundamentos jurídicos que estimó pertinentes, solicitando la desestimación del recurso.
Mediante Auto de 20 de enero de 2017 se abrió perdido probatorio, admitiéndose la prueba documental propuesta por la parte actora, y, no habiendo más pruebas que practicar, se declaró concluso el período probatorio, y se concedió diez días a las partes para la formulación de conclusiones. Una vez presentados los correspondientes escritos, quedaron los autos conclusos para sentencia, señalándose para votación y fallo el día 4 de julio del presente año, fecha en que tuvo lugar.
SIENDO PONENTEel Magistrado Ilmo. Sr. Don FERNANDO DE MATEO MENÉNDEZ .
La parte demandante impugna la resolución de 9 de febrero de 2016 del Director de la Agencia Española de Protección de Datos, recaída en el procedimiento sancionador nº PS/00019/2015, por la que se le impone por una infracción del art. 11 de la Ley Orgánica 15/1999, de 13 de diciembre (en lo sucesivo LOPD), tipificada como grave en el art. 44.3.k) de dicha norma, una sanción de 20.000 euros.
Los hechos probados en que se basa la resolución recurrida son los siguientes: >.
La parte actora, alega, en síntesis, lo siguiente: a) Que la entidad recurrente y la empresa IDR Finance Ireland II Limited, firmaron un contrato para cesión de deudas, y para dicha cesión no se requiere el consentimiento del deudor. Se añade, que no estamos ante una cesión puntual de una deuda, sino ante una transmisión masiva de créditos, por lo que no sería aplicable el art. 11.1 de la LOPD ; b) que la entidad demandante ha actuado de manera diligente, no concurriendo el elemento de culpabilidad, y c) se ha vulnerado el principio de proporcionalidad, pues serían de aplicación los apartados 4 y 5 del art. 45 de la LOPD, ya que la entidad actora ha actuado con diligencia, falta de intencionalidad, no ha obtenido beneficio alguno ni se ha ocasionado a los denunciantes ningún perjuicio, los procedimientos que tiene implantados dicha entidad son muy efectivos, y dado el volumen de datos que se maneja.
La infracción imputada a la parte recurrente es la cesión o comunicación indebida de datos personales, derivada del art. 11.1 de la LOPD, según el cual: "Los datos de carácter personal objeto de tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y cesionario con el previo consentimiento del interesado" .
El fundamento de la figura jurídica de la cesión de datos personales lo encontramos en la Sentencia del Tribunal Constitucional 292/2000, que razona que el derecho fundamental a la intimidad no aporta por sí solo una protección suficiente frente a las amplias posibilidades que la informática ofrece, dado que una persona puede ignorar no sólo que datos suyos se hallan recogidos en un fichero, sino también si se han trasladado a otro y con qué finalidad. Y ello, según el mismo Tribunal Constitucional (F J 13º) porque "... el derecho a consentir la recogida y el tratamiento de los datos personales ( Art. 6 LOPD ) no implica en modo alguno consentir la cesión de tales datos a terceros, pues constituye una facultad especifica que también forma parte del contenido del derecho a la protección de tales datos. Y por tanto la cesión de los mismos a un tercero para proceder a un tratamiento con fines distintos de los que originaron su recogida, aun cuando puedan ser compatibles con éstos ( Art. 4.2 LOPD ), supone una nueva posesión y un uso que requiere el consentimiento del interesado. Una facultad que sólo cabe limitar en atención a derechos y bienes de relevancia constitucional y por tanto esté justificada, sea proporcionada y, además se establezca por Ley, pues el derecho fundamental a la protección de datos personales no admite otros límites.
De otro lado, es evidente que el interesado debe ser informado tanto de la posibilidad de cesión de sus datos personales y sus circunstancias, como del destino de éstos, pues solo así será eficaz su derecho a consentir, en cuanto facultad esencial de su derecho a controlar y disponer de sus datos personales. Para lo que no basta que conozca que tal cesión es posible según la disposición que ha creado o modificado el fichero, sino también las circunstancias de cada cesión concreta. Pues en otro caso sería fácil al responsable del fichero soslayar el consentimiento del interesado mediante la genérica información de que sus datos pueden ser cedidos" .
Resultan pues, de la interpretación sistemática de la normativa y de la doctrina constitucional, dos notas esenciales y definitorias de la figura jurídica de la...
Para continuar leyendo
Solicita tu prueba