SAN, 8 de Noviembre de 2018
| Ponente | MARIA LUZ LOURDES SANZ CALVO |
| Emisor | Audiencia Nacional. Sala Contencioso Administrativo, Sección 1ª |
| ECLI | ES:AN:2018:4471 |
| Número de Recurso | 494/2017 |
A U D I E N C I A N A C I O N A L
Sala de lo Contencioso-Administrativo
SECCIÓN PRIMERA
Núm. de Recurso: 0000494 / 2017
Tipo de Recurso: PROCEDIMIENTO ORDINARIO
Núm. Registro General: 05269/2017
Demandante: SERCOM SOLUCIONES S.L.
Procurador: RAFAEL ROS FERNÁNDEZ
Letrado: JAUME MESEGUER LINARES
Demandado: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Abogado Del Estado
Ponente IIma. Sra.: Dª. LOURDES SANZ CALVO
S E N T E N C I A Nº:
IImo. Sr. Presidente:
D. EDUARDO MENÉNDEZ REXACH
Ilmos. Sres. Magistrados:
Dª. LOURDES SANZ CALVO
D. FERNANDO DE MATEO MENÉNDEZ
Dª. NIEVES BUISAN GARCÍA
Madrid, a ocho de noviembre de dos mil dieciocho.
Visto por la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional el recurso contencioso administrativo número 494/2017 interpuesto por la entidad SERCOM SOLUCIONES S.L., representada por el Procurador Sr. Ros Fernández contra la resolución de la Directora de la Agencia Española de Protección de Datos de fecha 13 de junio de 2017, dictada en el PS/00440/2016, que confirma en reposición la resolución de 23 de marzo de 2017; ha sido parte en autos, la Administración demandada, representada y defendida por el Abogado del Estado.
Interpuesto el recurso Contencioso-administrativo ante esta Sala de lo Contencioso administrativo de la Audiencia Nacional y turnado a esta Sección, fue admitido a trámite, reclamándose el expediente administrativo, para, una vez recibido emplazar a la actora para que formalizara la demanda, lo que así se hizo en escrito en el que tras exponer los hechos y fundamentos de derecho qué consideró oportunos, terminó suplicando que se dicte sentencia que estimando el recurso acuerde la nulidad de las resoluciones recurridas, por haber incurrido en nulidad de pleno derecho al haber sido dictada la resolución sancionadora por órgano manifiestamente incompetente y por vulneración del principio de tipicidad y legalidad, al no encontrarse regulado en el artículo 12.2 de la LOPD, la infracción imputada a la recurrente.
El Abogado del Estado, en su escrito de contestación a la demanda, tras alegar los hechos y fundamentos de derecho qué consideró aplicables, postuló una sentencia por la que se desestime el recurso, confirmando la resolución impugnada por ser conforme a Derecho, con imposición de costas a la parte actora.
Re cibido el recurso a prueba, admitida la documental consistente en dar por reproducidos los documentos integrantes del expediente administrativo y evacuado el trámite de conclusiones, se señaló para votación y fallo el día 30 de octubre de 2018, en que tuvo lugar.
La cuantía del recurso se ha fijado en 20.000 Euros.
Ha sido Ponente la Magistrada Ilma. Sra. Dª. LOURDES SANZ CALVO.
Se impugna en el presente recurso contencioso-administrativo la resolución de la Directora de la Agencia Española de Protección de Datos de fecha 13 de junio de 2017, dictada en el PS/00440/2016, que confirma en reposición la resolución de 23 de marzo de 2017, en virtud de la cual se impone a la entidad Sercom Soluciones S.L., una sanción de multa de 20.000 €, por la vulneración de lo dispuesto en el artículo
12.2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), infracción tipificada como leve en el artículo 44.2.c) de dicha norma.
Considera la AEPD que Sercom, encargada de la distribución como mayorista de una tarjeta prepago para telefonía móvil de Vodafone, que al ser adquirida debe ser registrada en la red de Vodafone asociada a los datos personales y de identidad del adquirente, ha incurrido en la citada infracción por cuanto en los contratos realizados con los dos minoristas requeridos, que regulan la realización de ese tratamiento por cuenta de un tercero siguiendo las instrucciones del responsable (Vodafone), no incluye instrucción alguna para los minoristas relativas a la obligación de identificar personalmente al cliente/comprador de la tarjeta mediante documentación que acredite su identidad conforme exige el contrato suscrito por dicha entidad con Vodafone.
La resolución impugnada efectúa un prolijo relato de Hechos Probados, de los que cabe destacar los siguientes:
"P RIMERO: Vodafone suscribió con Sercom Soluciones S.L. el día 1 de abril de 2014 contrato de distribución mayorista no exclusiva, que no ha sufrido cambios, si bien se renueva anualmente manteniendo la misma estructura cambiando las condiciones económicas. El contrato tiene por objeto la compra por parte del mayorista a Vodafone de productos asociados a los servicios de comunicaciones electrónicas móviles del operador, a fin de proceder a su posterior distribución y venta a PVM (puntos de venta minoristas), en las condiciones establecidas en el citado contrato, entre otras, se estipula lo siguiente:
Características de la actividad.
5.7 El Mayorista deberá hacer llegar a los PVM con los que trabaje todos los comunicados que Vodafone genere para su canal de distribución (...).
DECIMOPRI MERA. Cumplimiento de la normativa aplicable.
11.1 Vodafone y el mayorista deberán cumplir la normativa vigente que le sea de aplicación, con especial mención a la Ley Orgánica 15/1999, al Real Decreto 1720/2007 (...)
11.3 Asimismo, el mayorista dará traslado de todas las obligaciones en materia de protección de datos a los PVM a los que suministre para lo cual, y con carácter previo la entrega de las Tarjetas de Prepago y Packs suscribirá con cada uno de ellos un contrato de tratamiento de datos de conformidad con el modelo que se adjunta en el Anexo III.
11.4 En cumplimiento de la Ley 25/2007, el mayorista deberá cumplir con las instrucciones que Vodafone le comunique y que se adjuntan al Anexo II, relativas con las obligaciones de la identificación presencial y recogida de datos de los clientes (...) recogida de los datos personales en nombre y por cuenta de Vodafone.
ANEXO II. Recogida de datos. Contrato de Distribución Mayorista.
El presente anexo contiene las instrucciones relativas al cumplimiento de la Disposición Adicional Única de la Ley 2572017, respecto de (i)la identificación presencial y recogida de datos de los Clientes que adquieran una Tarjeta de Prepago o un Pack de Prepago con carácter previo a la venta y (ii) la información a los mismos en los términos descritos en la citada Ley, todo ello de conformidad con lo dispuesto en la cláusula 11.2 de contrato (...).
Identificación presencial y recogida de los datos del cliente/comprador:
El Mayorista deberá trasladar al PVM, mediante la suscripción de un acuerdo que recoja las obligaciones relacionadas en el presente anexo, la obligación imprescindible de identificar PRESENCIALMENTE al Cliente/ Comprador mediante su tarjeta identificativa original.
La documentación a presentar por las personas físicas, según su nacionalidad y situación es la siguiente:
Para nacionales españoles: DNI o NIE.
Para ciudadanos de la Comunidad Europea se acepta DNI, Tarjeta de Residencia y Pasaporte.
Para ciudadanos fuera de la Comunidad Europea: Pasaporte o NIE.
-
Asimismo, el Mayorista deberá indicar al PVM el procedimiento que se deberá seguir para recoger datos y activar la tarjeta de forma correcta (..).
Datos a recabar de los compradores de servicio prepago.
1 PERSONAS FÍSICAS.
El Mayorista deberá trasladar al PVM la obligación de recabar los siguientes datos de carácter obligatorio: Nombre, Apellidos, Nacionalidad, Tipo y número de Documento (DNI, NIF, Pasaporte, Tarjeta Residencia).
(...)
ANEXO III al Contrato de Distribución Mayorista. Modelo de Contrato de Tratamiento de Datos.
(...)
ANEXO V: Medidas de Seguridad de Nivel Básico.
(...)
SE GUNDO: La operadora Vodafone facilita el acceso a sus sistemas de los PVM a través de Web Services de los mayoristas, los PVM introducen los datos necesarios del comprador de un servicio prepago para poder proceder a su activación. Al acceder a la web del Mayorista se visualiza una leyenda que deben aceptar, donde se les recuerda la obligación de recabar los datos correctamente y verificar la identidad del comprador y textualmente lo siguiente:
(...)Los datos obligatorios para las personas físicas son: nombre, apellidos, nacionalidad, tipo y número de documento (DNI, NIF, Pasaporte, Tarjeta Residencia).
Adicional mente es obligatorio IDENTIFICAR PRESENCIALMENTE al comprador mediante documentación original solicitada en cada caso, y comprobar que los datos proporcionados por el comprador y grabados en "Vodafone WAS" son correctos, veraces y están actualizados y se corresponden con la documentación proporcionada (...).
El presente anexo contiene las Medidas de Seguridad que el Mayorista, en su condición de Encargado del Tratamiento deberá cumplir de conformidad con lo previsto en la Ley Orgánica 15/1999 y el Real Decreto...
Para continuar leyendo
Solicita tu prueba