ATS, 19 de Junio de 2020
| Ponente | FERNANDO ROMAN GARCIA |
| ECLI | ES:TS:2020:4166A |
| Número de Recurso | 6960/2019 |
| Procedimiento | Recurso de Casación Contencioso-Administrativo (L.O. 7/2015) |
| Fecha de Resolución | 19 de Junio de 2020 |
| Emisor | Tribunal Supremo - Sala Tercera, de lo Contencioso-Administrativo |
T R I B U N A L S U P R E M O
Sala de lo
Contencioso-Administrativo
Sección: PRIMERA
AUTO
Fecha del auto: 19/06/2020
Tipo de procedimiento: R. CASACION
Número del procedimiento: 6960/2019
Materia: AGENCIA ESPAÑOLA DE PROTECCION DE DATOS
Submateria:
Fallo/Acuerdo: Auto Inadmisión
Ponente: Excmo. Sr. D. Fernando Román García
Procedencia: AUD.NACIONAL SALA C/A. SECCION 1
Letrada de la Administración de Justicia: Ilma. Sra. Dña. M. Concepción Riaño Valentín
Secretaría de Sala Destino: 003
Transcrito por:
Nota:
R. CASACION núm.: 6960/2019
Ponente: Excmo. Sr. D. Fernando Román García
Letrada de la Administración de Justicia: Ilma. Sra. Dña. M. Concepción Riaño Valentín
TRIBUNAL SUPREMO
SALA DE LO CONTENCIOSO-ADMINISTRATIVO
SECCIÓN: PRIMERA
A U T O
Excmos. Sres.
D. Luis María Díez-Picazo Giménez, presidente
D. José Luis Requero Ibáñez
D. César Tolosa Tribiño
D. Fernando Román García
D. Dimitry Berberoff Ayuda
En Madrid, a 19 de junio de 2020.
La Sección Primera de la Sala de lo Contencioso-administrativo de la Audiencia Nacional ha dictado, con fecha 29 de abril de 2019, en el recurso contencioso-administrativo n.º 397/2017, sentencia cuyo fallo es del siguiente tenor literal: "Desestimar el recurso contencioso-administrativo interpuesto por el procurador de los Tribunales Sr. Granados Bravo, en nombre y representación de Ómnium Cultural, frente a la resolución de la Directora de la Agencia Española de Protección de Datos de fecha 4 de mayo de 2017, dictada en el PS/00391/2016, que confirma en reposición la resolución de 22 de febrero de 2017; con imposición de costas a la parte actora".
Los hechos que fundamentaron la sanción, según la Agencia Española de Protección de Datos, consistieron en la conservación, por parte de Ómnium Cultural, de datos alojados en un servidor de Estados Unidos, pertenecientes a la entidad Blue State Digital (BSD), con posterioridad a la sentencia del Tribunal de Justicia de la Unión Europea (TJUE), de 6 de octubre de 2015, que declaró la invalidez de la Decisión de la Comisión 2000/520/CE, que consideraba que las transferencias internacionales de datos a Estados Unidos tenían un nivel adecuado de protección. Consideraba la AEPD que la tras la citada sentencia del TJUE era necesario que aquellas entidades que hubieran transferido datos a EE.UU, como Ómnium, encontraran amparo legal en el artículo 33 de la LOPD, pese a lo que la entidad sancionada siguió conservando los datos alojados en los servidores de BSD hasta el mes de septiembre de 2016, en que se hizo efectiva la resolución del contrato con BSD, sin autorización previa de la AEPD ni amparo legal alguno.
La Sala de instancia rechaza, en primer lugar, la vulneración del principio de confianza legítima, tras exponer la doctrina en la materia, por considerar que los comunicados realizados desde el Grupo de trabajo del artículo 29, así como las notas de prensa o publicaciones realizadas de la Agencia Española de Protección de Datos no modifican la responsabilidad que se atribuye a Ómnium en la comisión de la infracción, argumentando que en tales comunicaciones se advertía de la posibilidad de iniciar actuaciones de investigación en caso de denuncia, y en ningún caso desde la AEPD se realizó comunicación que permitiera creer a los afectados que su actuación no podría ser sancionable, advirtiéndoles expresamente de la necesidad de adecuar su actuación a la nueva situación legal creada tras la sentencia del TJUE. Concluye la Sala de instancia que no se creó en ningún momento la apariencia de que determinadas conductas no serían sancionadas, sino que se advirtió expresamente a las empresas sobre los riesgos que asumían si realizaban dichas transferencias internacionales, y toma en consideración la Sala que los datos de carácter personal que contenía el fichero Ahora es la hora permanecieron en los servidores de BSD en Estados Unidos hasta finales de septiembre de 2016, en que se hizo efectiva la resolución del contrato con BSD; es decir, transcurrido un año de la STJUE de 6 de octubre de 2015.
En segundo lugar, desestima la Sala la alegación relativa a la infracción del derecho a un procedimiento con todas las garantías del artículo 24.2 de la Constitución, en cuanto le fue rechazada la prueba consistente en que librase certificado del número de procedimientos sancionadores incoados por infracción del artículo 33 de la LOPD entre el 6 de octubre de 2015 y el 1 de agosto de 2016. Razona la Sala que no se ha producido indefensión vulneradora del artículo 24.2 de la Constitución.
En tercer lugar, rechaza la Sala la vulneración del principio de responsabilidad, que la parte recurrente alega al no haber tomado en consideración el régimen de cotitularidad del fichero Ahora es la Hora y sus consecuencias en el régimen de atribución de responsabilidades. La Sala, tras exponer lo dispuesto en los artículos 2.d) de la Directiva 95/46/CE, el artículo 4.7 del Reglamento 2016/679/UE ,de 27 de abril, de Protección de las Personas Físicas en lo que respecta al tratamiento de datos personales y a libre circulación de estos datos, el artículo 3 d) de la LOPD, del artículo 5 q) del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999, y del artículo 43.1 de dicho texto legal, concluye que ambas entidades no sólo han decidido conjuntamente, sino que cada una de ellas ha realizado individualmente las acciones constitutivas de la infracción, por lo que la responsabilidad es individual y a título personal.
Finalmente, la Sala a quo rechaza la vulneración del principio de proporcionalidad, por considerar, en síntesis, que la imposición de la sanción se adecuó a lo dispuesto en el apartado 5 a) del artículo 45 de la LOPD en relación con los apartados d) y e) del artículo 45.4, así como, como circunstancias agravantes, los apartados a) b) f) y j) del mismo artículo 45.4, al haber tomado en consideración que los datos se mantuvieron durante casi un año en un servido ubicado en un país cuyas transferencias requieren la autorización prevista en el artículo 33 de la LOPD; el riesgo derivado de la mera tenencia de los datos en un Estado donde las autoridades podrían acceder a los datos personales y tratarlos de manera incompatible con las finalidades de la transferencia; el carácter continuado de la infracción; el volumen de tratamientos efectuados; el grado de intencionalidad y la naturaleza sensible de los datos.
La representación de la entidad Ómnium Cultural ha preparado recurso de casación contra la anterior sentencia.
Invoca en su escrito de preparación, en primer lugar, la infracción de los artículos 3.1 de la Ley 30/92, 9.3 y 25 de la Constitución, en relación con los artículos 49 de la Ley Orgánica de Protección de Datos y el artículo 69 de su Reglamento de desarrollo (Real Decreto 1720/2007), con mención de los vigentes artículos 69.2 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los derechos digitales y de artículo 58.2 del Reglamento 2016/679/UE, de 27 de abril, de protección de las personas físicas en lo que respecta al tratamiento de datos personales y a libre circulación de estos datos; todo ello en relación con el artículo 127 de la ley 30/92 (principio de legalidad en la potestad sancionadora) y con los principios de confianza legítima, seguridad jurídica y buena fe que deben regir las relaciones entre Administración Pública y particulares.
Argumenta, en este sentido, la parte recurrente que las comunicaciones de la AEPD suponían la suspensión temporal de transferencias y que el requerimiento de los inspectores de acreditar la vuelta del fichero a su estado de bloqueo hacía pensar que bloquear el acceso al fichero constituía una medida suficiente para garantizar la seguridad de los datos. La entidad recurrente señala que las comunicaciones de la AEPD tras la sentencia del Tribunal de Justicia de la Unión Europea suponían la suspensión temporal de transferencias de datos a partir del 29 de enero de 2016. En consecuencia, la recurrente bloqueó el acceso al fichero en esa fecha, lo que implicó la suspensión de los flujos de datos hacia un destinatario situado en un tercer país, así como el bloqueo de los datos y la cesación de su tratamiento y cesión. Alega la recurrente que la Sala de instancia debió apreciar la confianza nacida en relación con la licitud del fichero desde el momento de su bloqueo. En definitiva, considera la que se debió considerar la aplicación de este principio por cuanto el bloqueo del fichero se asimila jurídicamente a la suspensión temporal de transferencias, de tal forma que impidiera el acceso al mismo por parte de terceros; confianza que vendría confirmada tras la petición de los inspectores de que el fichero tornase a dicho estado.
En segundo lugar, alega la infracción de los artículos 45 de la Ley Orgánica de Protección de Datos, en relación con los artículos 129 y 131 de la Ley 30/92 y los artículos 9.3 y 25 de la Constitución; todos ellos en relación con la infracción del principio de proporcionalidad en la imposición de las sanciones. En este sentido, considera la entidad recurrente que regularizó la situación diligentemente, y que el artículo 45.5.a) de la Ley Orgánica debe aplicarse como supuesto último dentro de los del mismo apartado, pues implica necesariamente la aplicación de elementos de graduación que deben considerarse una vez fijado el grado de gravedad de la infracción y no antes. Asimismo, cuestiona la parte la aplicación de las agravantes contenidas en los apartados a), b) y f) del artículo 45.4.f) de la Ley Orgánica.
Por último, alegó la infracción de los artículos 24.1 y 120.3 de la Constitución; artículo 130.3 de la Ley 30/92, en base a las definiciones de los artículos 5.1.q) del Reglamento de la Ley Orgánica de Protección de Datos; artículo 2.d) de la Directiva 95/46; 4.7 y 26 del Reglamento 2016/679/UE, de 27 de abril y artículo 29 de la Ley 3/2018, de Protección de Datos Personales. Argumenta la recurrente que la sentencia de instancia ha aplicado una responsabilidad individual de los corresponsables sin singularizar sus funciones, habiéndose producido una falta de motivación sobre la individualización de responsabilidades de las entidades sancionadas.
Invoca, para la apreciación del interés casacional objetivo, la letra d) del apartado 3 del artículo 88 LJCA, por proceder el acto administrativo recurrido de la Agencia Española de Protección de Datos, que constituye un organismo regulador o de supervisión cuyos actos son recurribles ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional.
Además, en cuanto a la primera de las infracciones, alega la circunstancia del apartado c) del artículo 88.2 del mismo texto legal, por entender que la doctrina contenida en la sentencia recurrida puede afectar a un gran número de situaciones, por trascender del caso objeto del proceso.
En cuanto a la segunda de las infracciones alegadas, invoca, además de la prevista en el artículo 88.3.d), la contenida en el artículo 88.3.a), por entender que no existe jurisprudencia sobre la corresponsabilidad en el tratamiento de datos personales.
Por último, alega, en lo referido a la tercera de las infracciones invocadas, la circunstancia prevista en el artículo 88.2.e) argumentando que debió aplicarse la doctrina contenida en la sentencia del Tribunal Constitucional 76/1990, de 26 de abril, en el sentido de haberse individualizado la responsabilidad de las dos entidades titulares del fichero; y la circunstancia contenida en el artículo 88.2.f) de la misma Ley Jurisdiccional, argumentando que la Sala de instancia ha interpretado con error el artículo 2 d) de la Directiva 95/46, en relación con las definiciones de responsable que establecen los artículos 5.1.q) del Reglamento de la Ley Orgánica de Protección de Datos y el artículo 4.7 del Reglamento 2016/679/UE, por ser contraria a la jurisprudencia del TJUE, en particular a la sentencia de 29 de julio de 2019, asunto C-40/17 Fashion ID.
La Sala de instancia tuvo por preparado el recurso por auto de 16 de octubre de 2019, ordenando el emplazamiento de las partes para su comparecencia dentro del plazo de treinta días ante esta Sala, así como la remisión de los autos originales y del expediente administrativo.
Se han personado ante esta Sala la entidad recurrente, Ómnium Cultural, representada por el procurador D. Luis Fernando Granados Bravo, y como parte recurrida, la Abogacía del Estado, quien se opuso a la admisión a trámite del recurso de casación.
Es Magistrado Ponente el Excmo. Sr. D. Fernando Román García, Magistrado de la Sala.
La sentencia contra la que se prepara el presente recurso de casación, dictada por la Sala de lo Contencioso-administrativo de la Audiencia Nacional con fecha 29 de abril de 2019 en el recurso contencioso-administrativo n.º 397/2017, desestimó el recurso contencioso-administrativo interpuesto por la entidad Ómnium Cultural contra la resolución de la Directora de la Agencia Española de Protección de Datos de fecha 4 de mayo de 2017, dictada en el PS/00391/2016, que confirmó en reposición la resolución de 22 de febrero de 2017, mediante la que se impuso una multa de 90.000 euros a la entidad Ómnium Cultural, por una infracción del artículo 33 de la Ley Orgánica de Protección de Datos, tipificada como muy grave en el artículo 44.4.d), de conformidad con lo establecido en el artículo 45.4 y 5 de la citada norma.
La Sala consideró, en síntesis, que la actuación de la entidad recurrente no podía entenderse amparada en el principio de confianza legítima, puesto que no se creó en ningún momento por la Administración la apariencia de que determinadas conductas no serían sancionadas, sino que se advirtió expresamente a las empresas sobre los riesgos que asumían si realizaban dichas transferencias internacionales, y toma en consideración la Sala que los datos de carácter personal que contenía el fichero "Ahora es la hora" permanecieron en los servidores de BSD en Estados Unidos hasta finales de septiembre de 2016. Además, rechazó la vulneración del derecho a un procedimiento con todas las garantías por entender que no se había producido indefensión vulneradora del artículo 24.2 de la Constitución; la vulneración del principio de responsabilidad, por entender que cada una de las entidades implicadas había realizado individualmente las acciones constitutivas de la infracción, por lo que la responsabilidad debía considerarse individual y a título personal; y la vulneración del principio de proporcionalidad en la imposición de la sanción, por cuanto la misma se adecuó a lo dispuesto en el apartado 5 a) del artículo 45 de la LOPD en relación con los apartados d) y e) del artículo 45.4, así como a lo dispuesto en los apartados a) b) f) y j) del mismo artículo 45.4.
Por el contrario, la entidad recurrente alegó la infracción del principio de confianza legítima por cuanto su actuación se llevó a cabo en la consideración de que su conducta no sería sancionada, habida cuenta de las comunicaciones llevadas a cabo por la Agencia Estatal de Protección de Datos; así como los principios de responsabilidad, por cuanto debió individualizarse la responsabilidad de las dos entidades cotitulares del fichero; y de proporcionalidad en la imposición de la sanción.
La Ley Orgánica 7/2015, de 21 de julio, por la que se modifica la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, introduce en su Disposición Final Tercera una reforma del recurso de casación contencioso-administrativo con la finalidad de intensificar las garantías en la protección de los derechos de los ciudadanos. Tal y como se señala en el Preámbulo de la Ley, "[...] con la finalidad de que la casación no se convierta en una tercera instancia, sino que cumpla estrictamente su función nomofiláctica, se diseña un mecanismo de admisión de los recursos basado en la descripción de los supuestos en los que un asunto podrá acceder al Tribunal Supremo por concurrir un interés casacional [...]". Es por tanto carga del recurrente argumentar de forma suficiente las razones por las cuales concurre el interés casacional objetivo para la formación de jurisprudencia, sin que la mera invocación de los supuestos previstos en la norma satisfaga dicha necesidad.
En el escrito de preparación se invocan los apartados a) y d) del artículo 88.3 de la LJCA para razonar la concurrencia del interés casacional. Al respecto conviene aclarar que la presunción recogida en estos preceptos no es absoluta pues el propio artículo 88.3, in fine, permite inadmitir (mediante "auto motivado") los recursos inicialmente beneficiados por la misma cuando este Tribunal Supremo "aprecie que el asunto carece manifiestamente de interés casacional objetivo para la formación de jurisprudencia".
Así, en lo relativo a la circunstancia invocada y a la eventual inadmisión cuando el Tribunal aprecie que el asunto carece manifiestamente de interés casacional objetivo, procede efectuar algunas consideraciones:
-
) Por tal "asunto" ha de entenderse no tanto el tema litigioso de la instancia, globalmente considerado, sino más bien el que la propia parte recurrente plantea en su escrito de preparación, pues es a este al que se refiere al fin y al cabo el juicio sobre el interés casacional que justifica la admisión del recurso; y
-
) La inclusión del adverbio "manifiestamente" implica que la carencia de interés ha de ser claramente apreciable sin necesidad de complejos razonamientos o profundos estudios del tema litigioso (así se caracterizó por la jurisprudencia constante esta locución al hilo del antiguo artículo 93.2.d) LJCA en su inicial redacción, que configuraba como causa de inadmisión del recurso de casación la consistente en carecer manifiestamente de fundamento el recurso). Así, a título de ejemplo, el recurso podría ser inadmitido mediante auto, según lo previsto en el artículo 88.3 in fine LJCA , precisamente por carecer manifiestamente de interés casacional objetivo para la formación de la jurisprudencia, si se pretende anudar el interés casacional a infracciones normativas circunscritas a las concretas vicisitudes del caso litigioso sin trascender a cuestiones dotadas de un mayor contenido de generalidad o con posible proyección a otros litigios (en el mismo sentido, ATS de 6 de marzo de 2017, RCA 150/2016).
Pues bien, aplicando estas premisas al asunto del caso, hemos de concluir que la misma debe tildarse de manifiestamente carente de interés casacional y ello por cuanto, en primer lugar y en cuanto al principio de confianza legítima, cuya infracción invoca la recurrente, sobre el mismo existe sobrada jurisprudencia que ha venido estableciendo la doctrina de esta Sala Tercera, de la cual hace puntual referencia y concreta aplicación la Sala de instancia. Así, entre las más recientes, cabe citar la STS de 12 de marzo de 2020, que cita, a su vez, la STS de 21 de septiembre de 2000 (RC 7562/1994), o la STS de 14 de noviembre de 2019 (RCA 5945/2017), con cita de otras muchas sentencias de esta Sala Tercera. Y consideramos que la citada doctrina jurisprudencial no precisa de ser reafirmada, completada o reforzada en los términos expuestos, entre otros en auto de esta Sección de 29 de octubre de 2018 (RCA 3847/2018).
Por otra parte, la entidad recurrente ciñe en muy buena parte su escrito de preparación a la infracción de este principio, sin haber cuestionado, en buena lógica con tal alegación, la tipificación de los hechos realizada por la Administración y confirmada por la Sala de instancia, pues concurriría, según alega, una suerte de exclusión de la antijuridicidad de la conducta basada precisamente en la confianza creada por la Administración, a partir de las comunicaciones emitidas por la Agencia Estatal de Protección de Datos de que los hechos no serían sancionados. En efecto, a pesar de que en su preparación invoca la asimilación del bloqueo del fichero con la suspensión temporal de transferencias, no cuestiona la parte en su escrito la tipificación de los hechos consistentes en la conservación de datos alojados en un servidor de Estados Unidos, pertenecientes a la entidad Blue State Digital (BSD), con posterioridad a la sentencia del Tribunal de Justicia de la Unión Europea (TJUE), de 6 de octubre de 2015, que declaró la invalidez de la Decisión de la Comisión 2000/520/CE, sin autorización de la AEPD ni amparo legal alguno, conforme establece el artículo 33 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, y ello sobre la base de la consideración de que la mera conservación de los datos constituye una modalidad de tratamiento de datos por parte del responsable del fichero establecido en territorio español, que queda englobado dentro del concepto de transferencia internacional que recoge el artículo 5.1.s) del Reglamento de la Ley Orgánica de Protección de Datos.
Así pues, limitado el litigio a la eventual infracción del principio de confianza legítima, además de existir sobrada jurisprudencia sobre el mismo, como ya hemos puesto de relieve, no podemos dejar de considerar que la cuestión suscitada por la parte presenta, además, un marcado cariz casuístico, sin superar este limitado marco; ni la parte suscita, sólidamente, ningún problema hermenéutico o cuestión de interpretación normativa que resulte extrapolable a otros casos, más allá del cuestionamiento que realiza de la aplicación de tal principio por la Sala de instancia. En definitiva, consideramos que la cuestión no supera el ámbito estrictamente casuístico por lo que no suscita problemas interpretativos extensibles a otros casos, lo que no tiene cabida, por tanto, en un recurso de casación con vocación nomofiláctica.
En segundo lugar, no a otra conclusión nos lleva la consideración de las dos infracciones restantes planteadas por la entidad recurrente, referidas a la infracción de los principios de responsabilidad y proporcionalidad. En efecto, como ya pusimos de manifiesto en los precedentes autos de esta Sección de Admisión, de fechas 7 de noviembre de 2019 (RRCA 4584/2019 y 4699/2919), este último seguido a instancia de la misma entidad aquí recurrente, en los que se suscitaba la infracción de estos mismos principios de forma similar a la que aquí se ha deducido, la cuestión relativa a la infracción de los principios de culpabilidad y proporcionalidad, y a la responsabilidad solidaria, constituyen elementos circunstanciales del pleito y su valoración por la Sala lo determinante en la decisión que se pretende recurrir, lo que conduce a la carencia de interés casacional objetivo para la formación de la jurisprudencia.
Procede, por tanto, declarar la inadmisión del recurso y, de conformidad con lo previsto en el artículo 139.1, párrafo primero de la LJCA, la inadmisión debe comportar la imposición de las costas a la parte recurrente, si bien la Sala considera procedente en este supuesto limitar hasta una cifra máxima de dos mil euros (2.000 €) la cantidad que, por todos los conceptos, más el IVA correspondiente, si procediere, la condenada al pago de las costas ha de satisfacer a la parte recurrida personada.
Declarar la inadmisión del recurso de casación n.º 6960/2019, preparado por la representación procesal de la entidad Ómnium Cultural, contra la sentencia de fecha 29 de abril de 2019, dictada por la Sección Primera de la Sala de lo Contencioso-administrativo de la Audiencia Nacional en el recurso contencioso-administrativo n.º 397/2017; y ello con imposición de costas a la parte recurrente en los términos señalados en el último fundamento jurídico de la presente resolución.
Así lo acuerdan y firman.
D. Luis María Díez-Picazo Giménez D. José Luis Requero Ibáñez D. César Tolosa Tribiño
D. Fernando Román García D. Dimitry Berberoff Ayuda
-
ATS, 13 de Mayo de 2021
...de culpabilidad y proporcionalidad en la imposición de la sanción: falta de proyección a otros litigios distintos. Precedentes: ATS de 19 de junio de 2020 (RCA HECHOS PRIMERO SEGUNDO TERCERO RAZONAMIENTOS JURÍDICOS PRIMERO SEGUNDO TERCERO CUARTO La Sección de Admisión acuerda: T R I B U N A......