SAN, 30 de Noviembre de 2018
| Ponente | FERNANDO DE MATEO MENENDEZ |
| Emisor | Audiencia Nacional. Sala Contencioso Administrativo, Sección 1ª |
| ECLI | ES:AN:2018:4700 |
| Número de Recurso | 302/2017 |
A U D I E N C I A N A C I O N A L
Sala de lo Contencioso-Administrativo
SECCIÓN PRIMERA
Núm. de Recurso: 0000302 / 2017
Tipo de Recurso: PROCEDIMIENTO ORDINARIO
Núm. Registro General: 03015/2017
Demandante: ASOCIACIÓN DE TÉCNICOS EN INFORMÁTICA
Procurador: DOMINGO JOSÉ COLLADO MOLINERO
Letrado: JOSEP JOVER PADRÓ
Demandado: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Abogado Del Estado
Ponente IImo. Sr.: D. FERNANDO DE MATEO MENÉNDEZ
S E N T E N C I A Nº:
IImo. Sr. Presidente:
-
EDUARDO MENÉNDEZ REXACH
Ilmos. Sres. Magistrados:
Dª. FELISA ATIENZA RODRIGUEZ
Dª. LOURDES SANZ CALVO
-
FERNANDO DE MATEO MENÉNDEZ
Dª. NIEVES BUISAN GARCÍA
Madrid, a treinta de noviembre de dos mil dieciocho.
Vistos por la Sala, constituida por los Sres. Magistrados relacionados al margen, los autos del recurso contencioso-administrativo número 302/17, interpuesto por el Procurador de los Tribunales don Domingo José Collado Molinero, en nombre y representación de la ASOCIACIÓN DE TÉCNICOS EN INFORMÁTICA, contra la resolución de 22 de marzo de 2017, de la Directora de la Agencia Española de Protección de Datos, por la que se impone una sanción a la asociación recurrente de 45.000 euros por una infracción del art. 33 de la Ley Orgánica 15/1999, de 13 de diciembre, tipificada como infracción muy grave en el art. 44.4.d) de la citada norma, y una sanción de 5.000 euros por la infracción del art. 22.2 de la Ley 34/2002, de Servicios de la Sociedad de la Información y del Comercio Electrónico, tipificada como leve en el art. 38.4.g) de dicha Ley.
Ha sido parte LA ADMINISTRACIÓN DEL ESTADO, representada por el Abogado del Estado. La cuantía del recurso quedó fijada en 50.000 euros.
Admitido el recurso y previos los oportunos trámites procedimentales, se confirió traslado a la parte actora para que, en el término de veinte días formalizara la demanda, lo que llevó a efecto mediante escrito presentado el día 7 de octubre de 2017 en el que, tras exponer los hechos y fundamentos de derecho que estimó oportunos, terminó solicitando que se dictara sentencia por la que se acordara:
"
-
Proceder a la anulación de las sanciones recibidas por la Asociación de Técnicos en Informática, por los motivos y fundamentos de derecho antes expuestos.
-
Tener por interpuesto el reenvío prejudicial al Tribunal de Justicia de la UE, sugiriendo esta parte las preguntas siguientes
¿Es el correo de contacto de una asociación de profesionales, correo que han dado un afiliado para que les contacten como profesional, un dato de carácter personal según el nuevo REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)?
En caso de que la respuesta a la pregunta anterior sea negativa, ¿Habiendo establecido el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) un régimen sancionatorio determinado en el articulado del mismo, puede un estado, una vez en vigor el mismo, establecer otro régimen sancionatorio diferente?
¿Puede una Agencia de Protección de Datos Estatal aplicar otro régimen sancionador que no sea el del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) y aplicar sanciones por aquellas infracciones que no están comprendidas en el nuevo Reglamento?
¿Puede una Agencia de Protección de Datos Estatal que ha establecido públicamente una moratoria que afecta a la ejecución de una sentencia del TJUE, aplicarla ésta con discrecionalidad? Se vulnera en este caso los arts. 6, 8, 21, 41, 48 y 53 de la Carta de Derechos Fundamentales de los Ciudadanos de la UE.
-
Subsidiariamente, y valorando la ausencia de mala fe de esta parte y el cúmulo de situaciones sobrevenidas, declaraciones de entidades públicas, de la Unión y del Estado Español, reducir la gravedad y cuantía de la sanción de forma que no le suponga un impacto económico para ATI, que la obligaría a cerrar" .
Formalizada la demanda se dio traslado de la misma a la parte demandada para que la contestara en el plazo de veinte días, lo que realizó mediante el pertinente escrito, alegando los hechos y fundamentos jurídicos que estimó pertinentes, solicitando la desestimación del recurso, con expresa imposición de costas a la parte recurrente.
No habiendo solicitado las partes el recibimiento del recurso a prueba, ni la formulación de conclusiones, quedaron los autos conclusos para sentencia, señalándose para votación y fallo el día 27 de noviembre del presente año, fecha en que tuvo lugar.
SIENDO PONENTEel Magistrado Ilmo. Sr. Don FERNANDO DE MATEO MENÉNDEZ .
La parte demandante impugna la resolución de 22 de marzo de 2017, de la Directora de la Agencia Española de Protección de Datos, por la que se impone una sanción a la asociación recurrente de 45.000 euros por una infracción del art. 33 de la Ley Orgánica 15/1999, de 13 de diciembre (en adelante LOPD), tipificada como infracción muy grave en el art. 44.4.d) de la citada norma, y una sanción de 5.000 euros por la infracción del art. 22.2 de la Ley 34/2002, de Servicios de la Sociedad de la Información y del Comercio Electrónico (en lo sucesivo LSSI), tipificada como leve en el art. 38.4.g) de dicha Ley.
Los hechos por los que ha sido sancionada la asociación recurrente por infringir la LOPD, son por realizar transferencias internacionales de datos de carácter personal entre el 20 de octubre de 2015 y el 29 de marzo
de 2016, a la empresa The Rocket Science Group LLC (en adelante TRS), entidad radicada en los Estados Unidos de América, que presta el servicio MailChimp de gestión de envíos de correo electrónico, sin mediar autorización previa de la Directora de la Agencia Española de Protección de Datos.
Por otro lado, la imposición de la sanción por la infracción del art. 22.2 de la LSSI es por no facilitar, con anterioridad a la realización de los envíos de las campañas, ningún tipo de información a los destinatarios de los correos electrónicos remitidos por la parte actora a través de MailChimp, relativa a la instalación por parte del tercero prestador del citado servicio en dichos envíos, de dispositivos de seguimiento de la actividad de los destinatarios, a fin de controlar la apertura de los correos y la pulsación de los enlaces contenidos en los correos, y poder elaborar con la información recabada, informes de seguimiento de las campañas.
La primera cuestión que se suscita por la parte recurrente es que, los correos electrónicos transferidos pertenecientes a asociados y amigos de la entidad denunciada, no son datos de carácter personal, sino de carácter profesional, y, por tanto, excluidos de la aplicación de la LOPD.
El concepto de dato de carácter personal aparece definido en el art. 3.a) de la LOPD, como "cualquier información referente a personas físicas identificadas o identificables".
Por su parte, el art. 5 del Reglamento de desarrollo de la citada Ley, aprobado por Real Decreto 1.720/2007, de 21 de diciembre, define en su apartado 1.f) los datos de carácter personal, como "cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier tipo concerniente a personas físicas identificadas o identificables" . Y en el apartado 1.o) se define persona identificable, como "toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier comunicación referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados" .
Por otro lado, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), define "datos personales", como "toda información sobre una persona física identificada o identificable ("el interesado"); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona" .
En cuanto a la dirección de correo electrónico, en nuestra Sentencia de 15 de enero de 2015 -recurso nº. 297/2010-, dijimos: esta Sala ha considerado en las SSAN, Sec. 1ª, de 23 de marzo 2006 (Rec. 911/2003 ) y de 25 de mayo de 2006 (Rec. 536/2004 ), que la dirección de correo electrónico de la que es titular una persona física, constituye una información que le concierne, que le afecta, y que forma parte del ámbito de su privacidad protegido por la Ley de Protección de Datos, siéndole plenamente aplicable su régimen...
Para continuar leyendo
Solicita tu prueba