STS 840/2020, 22 de Junio de 2020

• Jurisdicción: España
• ECLI: ES:TS:2020:2031
• Fecha: 22 Junio 2020
• Emisor: Tribunal Supremo, sala tercera, (Contencioso Administrativo)
• Número de resolución: 840/2020

T R I B U N A L S U P R E M O

Sala de lo Contencioso-Administrativo

Sección Tercera

Sentencia núm. 840/2020

Fecha de sentencia: 22/06/2020

Tipo de procedimiento: R. CASACION

Número del procedimiento: 4958/2019

Fallo/Acuerdo:

Fecha de Votación y Fallo: 09/06/2020

Ponente: Excmo. Sr. D. José Manuel Bandrés Sánchez-Cruzat

Procedencia: AUD.NACIONAL SALA C/A. SECCION 1

Letrado de la Administración de Justicia: Ilmo. Sr. D. Luis Martín Contreras

Transcrito por: ELC

Nota:

R. CASACION núm.: 4958/2019

Ponente: Excmo. Sr. D. José Manuel Bandrés Sánchez-Cruzat

Letrado de la Administración de Justicia: Ilmo. Sr. D. Luis Martín Contreras

TRIBUNAL SUPREMO

Sala de lo Contencioso-Administrativo

Sección Tercera

Sentencia núm. 840/2020

Excmos. Sres. y Excma. Sra.

D. Eduardo Espín Templado, presidente

D. José Manuel Bandrés Sánchez-Cruzat

D. Eduardo Calvo Rojas

Dª. María Isabel Perelló Doménech

D. José María del Riego Valledor

D. Diego Córdoba Castroverde

D. Ángel Ramón Arozamena Laso

En Madrid, a 22 de junio de 2020.

Esta Sala ha visto el recurso de casación registrado bajo el número RCA/4958/2019, interpuesto por la procuradora doña Carmen Ortiz Cornago, con asistencia de la letrada María Paz Martín Álvarez, en representación de la mercantil MIRACLIA TELECOMUNICACIONES, S.L., contra la sentencia de la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 4 de abril de 2019, que desestimó el recurso contencioso-administrativo número 423/2017, formulado contra la resolución de la Directora de la Agencia Española de Protección de Datos de 29 de mayo de 2017, recaída en el procedimiento sancionador PS/00563/2016, por la declara que la mercantil recurrente ha infringido lo dispuesto en el artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, tipificada como grave en el artículo 44.3 b) de la citada Ley Orgánica.

Ha sido parte recurrida la ADMINISTRACIÓN DEL ESTADO, representada y defendida por el Abogado del Estado.

Ha sido ponente el Excmo. Sr. D. José Manuel Bandrés Sánchez-Cruzat.

ANTECEDENTES DE HECHO

PRIMERO

En el proceso contencioso-administrativo número 423/2017, la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional dictó sentencia el 4 de abril de 2019, cuyo fallo dice literalmente:

"Que desestimando el recurso contencioso administrativo interpuesto por la j representación procesal de Mirac|ia telecomunicaciones SL frente a la resolución de la Directora de la Agencia Española de Protección de Datos de 29 de mayo de 2017 que impone a dicha entidad una sanción de 1.500 euros, confirmamos dicha resolución y sanción, con imposición de costas a la parte recurrente.".

El pronunciamiento desestimatorio del recurso contencioso-administrativo se basó en la exposición de las siguientes consideraciones jurídicas:

"[...] La entidad actora sustenta la pretensión impugnatoria de su demanda, esencialmente, en los siguientes motivos:

-La actividad de Miraclia se desarrolla en el ámbito privado o doméstico, por lo que se encuentra excluida del ámbito de protección de la LORD. Solo cuándo el usuario/bromista da visibilidad a la broma a terceros, o en redes sociales, se supera tal ámbito privado.

-Un número de teléfono y una voz grabada durante unos segundos, sin más datos, no permiten identificar a una persona, por lo que no se lleva a cabo tratamiento de datos personales.

- La legitimación para el posible tratamiento de datos realizado por Miraclia se basa en el interés legítimo de ésta y en la necesidad de ejecutar un contrato entre prestador y usuario, por lo que sería aplicable el artículo 7.f) de la directiva 95/46/CE Se trata de cuestiones que resultan sustancialmente idénticas a las planteadas por la misma entidad actora en anteriores procedimientos y resueltas por esta Sala y Sección en la SAN de 29 de noviembre de 2018 (Rec. 554/2017) cuya doctrina ha sido seguida por las SSAN de 21 de diciembre de 2018 (Rec. 422/2017) y de 31 de enero de 2019 (Rec. 152/2018). Razones de seguridad jurídica y de unidad de doctrina hacen necesario reproducir aquí lo fundamentado en la mencionada sentencia, en la que razonábamos lo siguiente:

En lo que respecta al primer motivo, se alega que el artículo 2.2 de la LOPD excluye del ámbito de protección de la citada Ley a los ficheros mantenidos en el ejercicio de actividades exclusivamente personales o doméstica. Gastar una broma, aduce, es una actividad personal, por lo que considera que mediar para gastar una broma entre el "abromado" y la persona que quiere gastar la broma contratada a través de esa app, que es lo que según la actora hace Miraclia, entra también en esa esfera personal. En esta línea, reitera que Miraclia es un 'facilitador" de una actividad que realiza el usuario en el ámbito estrictamente personal o doméstico, pone los medios, no usa la información para ningún otro propósito que prestar él servicio contratado por el cliente y si la grabación se difunde, es por decisión del usuario.

El invocado articulo 2.2 de la LOPD dispone, efectivamente, que el régimen de protección de los datos de carácter personal que se establece en la citada Ley no será de aplicación: "a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas". Exclusión que es fiel reproducción del último inciso del artículo 3 de la Directiva 95/46/CE, que en su Considerando 12 pone como ejemplo de una actividad personal o doméstica la correspondencia y la llevanza de un repertorio de direcciones.

Sobre esta materia se ha pronunciado el Tribunal de Justicia de la Unión Europea en Sentencia de 6 de noviembre de 2003 (caso Linqvist) y más recientemente en la Sentencia de 11 de diciembre de 2014, asunto C- 212/2013, en la que nos vamos a detener.

En la citada Sentencia de 11 de diciembre de 2014 efectúa el TJUE, por lo que aquí nos interesa, las siguientes consideraciones:

"27 Tal y como se desprende del artículo 1 y del considerando 10 de la Directiva 95/46, ésta tiene por objeto garantizar un nivel elevado de protección de las libertades y los derechos fundamentales de las personas físicas y, en particular, de la vida privada o intimidad, en relación con el tratamiento de los datos personales (véase la sentencia Google Spain y Google, C_131/12, EU:C:2014:317 apartado 66).

28 A este respecto, procede hacer constar que, con arreglo a reiterada jurisprudencia, la protección del derecho fundamental a la vida privada, que garantiza el artículo 7 de la Carta de los Derechos Fundamentales de la Unión Europea, exige que las excepciones a la protección de los datos personales y las restricciones a dicha protección se establezcan sin sobrepasar los límites de lo estrictamente necesario (véanse las sentencias IPI, C_473/12, EU:C:2013:715, apartado 39, así como Digital Rights Ireland y otros, C_293/12 y C_594/12 EU:C:2014:238, apartado 52).

29 Teniendo en cuenta que las disposiciones de la Directiva 95/46, en la medida en que regulan el tratamiento de datos personales que puede vulnerar las libertades fundamentales y, en particular, el derecho a la intimidad o la protección de la vida privada, deben ser interpretadas a la luz de los derechos fundamentales recogidos en la citada Carta (véase la sentencia Google Spain y Google, EU:C:2014:317, apartado 68), la excepción prevista en el artículo 3, apartado 2, segundo guión, dé dicha Directiva debe ser interpretada en sentido estricto.

30 Tal interpretación estricta se fundamenta también en el propio texto de la disposición que acaba de citarse, según el cual la Directiva 95/46 no se limita a prever que sus disposiciones no se aplicarán al tratamiento de datos personales en el ejercicio de actividades personales o domésticas, sino que exige que se trate del ejercicio de actividades "exclusivamente" personales o domésticas

(...)

32 De este modo, en lo que atañe a las personas físicas, la correspondencia y la llevanza de un repertorio de direcciones constituyen, a la luz del considerando 12 de la Directiva 95/46, "actividades exclusivamente personales o domésticas", por más que incidentalmente afecten o puedan afectar a la vida privada o intimidad de otras personas.

33 En la medida en que una vigilancia por videocámara como la controvertida en el litigio principal se extiende, aunque sea en parte, a! espacio público, abarcando por ello una zona ajena a la esfera privada de la persona que procede al tratamiento de datos valiéndose de ese medio, tal vigilancia por videocámara no puede considerarse una actividad exclusivamente "personal o doméstica" a efectos del articulo 3, apartado 2, segundo guión, de la Directiva 95/46"

A la vista de la interpretación estricta de dicha excepción llevada a cabo por el TJUE, la misma no resulta de aplicación a un supuesto como el que nos ocupa. Así, debe tenerse en cuenta, como señala la AEPD y asi se comprobó en la inspección de datos realizada, que Miraclia Telecomunicaciones S.L registró los números de teléfono de los denunciantes para realizar ¡a llamada en cuestión y su voz, procediendo a grabarla, al realizar un servicio de alojamiento de contenidos multimedia, para su acceso a través de dispositivos móviles GSM, en virtud de la App Juasapp. Aplicación que permite a un tercero escoger de entre un listado la broma, consistente en un archivo de audio pregrabado vía telefónica, que quiere enviar al número de destino seleccionado por dicho usuario. Una vez realizada la broma, la aplicación ofrece la posibilidad de generar el fichero de grabación de la broma, de manera que el usuario pueda posteriormente reproducir, descargar y compartir el fichero de audio que contiene la grabación.

Y esos datos personales de los denunciantes receptores de ¡as bromas (sus números de teléfono conjuntamente con su voz), son incorporados a un fichero titularidad de la demandante, cuya finalidad es la gestión de servicios y aplicaciones ofrecidas a los usuarios, informando al receptor de la broma al final de la locución de la misma: "conforme a la nonnativa de protección de datos", de la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición.

Así las cosas, resulta claro que la actividad de Miraclia Telecomunicaciones S.L., no puede considerarse limitada a un ámbito personal o doméstico a los efectos del artículo 2.2.a) de la LOPD, ni se encuentra excluida del ámbito de aplicación de la LOPD, normativa que la propia parte viene a reconocer de aplicación al final de la locución de la broma.

[...] Respecto del segundo motivo invocado por Miraclia, consistente en que no trata datos personales de los receptores de las bromas ( artículo 3 de la LOPD) pues un número de teléfono y la voz grabada durante unos segundos no permiten identificar a una persona, razona la misma SAN de 29 de noviembre de 2018 (Rec. 554/2017) lo siguiente:

El concepto de "datos personales" engloba, en virtud de la definición recogida en el artículo 2, letra a), de la Directiva 95/46, que traspone la LOPD en su artículo 3.a) "toda información sobre una persona física identificada o identificable".(véanse en este sentido, en particular, las sentencias del TJUE, de 20 de mayo de 2003, Osterreichischer Rundfunk y otros, C-465/00, C-138/01 y C- 139/01, Rec. p. 1-4989, apartado 64; de 16 de diciembre de 2008, Huber, C-524/06, Rec. p. 1-9705, apartado 43, y de 7 de mayo de 2009, Rijkeboer, C-553/07, Rec. p. 1-3889, apartado 42).

Pues bien, en el caso que nos ocupa, aparte del número de teléfono de los denunciantes afectados, que si bien por si sólo podría no ser considerado dato personal conforme la Sentencia de esta Sala de 17 de septiembre de 2008 (Rec. 353/2007), Miraclia procede a registrar también la voz de los denunciantes a través de la oportuna grabación de la broma, susceptible de ser difundida. Y en relación con la voz, hemos dicho en la SAN de 19 de marzo de 2014 (Rec. 176/2012) que "la voz de una persona constituye dato de carácter personal, tal y como se deduce de la definición que del mismo ofrece el artículo 3.a) de la LOPD, como "cualquier información concerniente a personas físicas identificadas o identificables", cuestión ésta que no resulta controvertida".

Es decir, el supuesto que nos ocupa, difiere del contemplado en la SAN de 16 de noviembre de 2015 sobre llamadas automáticas aleatorias. Invocado como término de comparación en la demanda.

Por otra parte, como ya se ha dicho en el Fundamento de Derecho precedente, la propia entidad Informa al final de la locución de la broma: "conforme a la normativa de protección de datos", del procedimiento para ejercer los derechos de protección de datos de carácter personal y de la procedencia de su número de teléfono a los afectados, lo que evidencia que se está ante un registro de datos personales, de los que se facilita el acceso por Miradla Telecomunicaciones S.L, como responsable del fíchero, como así se ha hecho al atender el derecho de acceso ejercitado por D Florinda.

El artículo 6.1LOPD, que regula el principio del consentimiento dispone "El tratamiento délos datos de carácter personal requerirá jalconsentímiento Inequívoco del afectado, salvo que la Ley disponga otra cosa".

Dicho principio conlleva la necesidad del consentimiento Inequívoco del afectado par-a que puedan tratarse sus datos de carácter personal, el consentimiento permite así al afectado ejercer el control sobre sus datos de carácter personal (la autodeterminación Informativa), ya que es el propio Interesado quien tiene que otorgar su consentimiento para que se pueda realizar el tratamiento de los citados datos.

Se trata de una garantía fundamental que solo encuentra como excepciones a ese consentimiento del afectado, las establecidas en una ley, recogiéndose en el apartado 2 del citado artículo 6LOPD una serie de excepciones a la prestación del citado consentimiento.

Sin embargo, en el caso de autos Miradla ha tratado los datos personales de los denunciantes sin su consentimiento, como así lo han manifestado ante la AEPD, siendo ellos los facultados para otorgar el consentimiento para el tratamiento de sus datos, no los usuarios de la App.

Por otro lado, no concurre ninguno de los supuestos que según el apartado 2 del citado precepto exime de la prestación del consentimiento, ni puede justificarse dicho tratamiento en el artículo 7 letra f) de la Directiva 95/46, con lo que enlazamos con el último motivo de impugnación.

El citado artículo 7 establece que los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si: "f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el Interés o los derechos y libertades fundamentales del Interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva".

La STJUE de 24 de noviembre de 2011 invocada por la actora estableció efectivamente, que el citado precepto tiene efecto directo en nuestro ordenamiento jurídico, y precisamente al amparo del citado precepto, considera la Sala que debe prevalecer el derecho fundamental a la protección de datos, a que se refiere el artículo 1 apartado 1 de la citada Directiva frente al Interés del responsable del tratamiento, lo que se refuerza por las consideraciones de la Sentencia del TJUE de 11 de diciembre de 2014 transcritas en el Fundamento de Derecho precedente.

En definitiva, se ha producido una vulneración del principio del consentimiento por la entidad actora responsable del fichero, que integra la infracción tipificada en el artículo 44.3.b) de la LOPD apreciada por la resolución recurrida, lo que conlleva la desestimación del recurso Interpuesto.".

SEGUNDO

Contra la referida sentencia preparó la representación procesal de la mercantil MIRACLIA TELECOMUNICACIONES, S.L. recurso de casación, que la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional tuvo por preparado mediante Auto de 17 de julio de 2019 que, al tiempo, ordenó remitir las actuaciones al Tribunal Supremo, previo emplazamiento de los litigantes.

TERCERO

Recibidas las actuaciones y personadas las partes, la Sección Primera de la Sala de lo Contencioso-Administrativo del Tribunal Supremo, dictó Auto el 22 de noviembre de 2019, cuya parte dispositiva dice literalmente:

"1.º) Admitir el recurso de casación n.º 4958/2019 preparado por la representación procesal de Miraclia Telecomunicaciones, S.L contra la sentencia de la Sección Primera de la Sala de lo Contencioso- administrativo de la Audiencia Nacional de 4 de abril de 2019, dictada en el recurso n.º 423/2017.

2. ) Declarar que las cuestiones planteadas en el recurso que presentan interés casacional objetivo para la formación de la jurisprudencia consiste en interpretar la normativa de protección de datos de carácter personal vigente a efectos de delimitar:

   (i) Qué debe considerarse como un tratamiento de datos de ámbito exclusivamente personal o doméstico a efectos de su exclusión del ámbito de protección que dispensa la LOPD con arreglo a lo dispuesto en el artículo 2LOPD -actual artículo 2.2.a)LO 3/2018 que remite al artículo 2.2 del Reglamento General (UE)-. (ii) En qué circunstancias (o con qué alcance) la voz de una persona puede considerarse como un dato de carácter personal, con arreglo al artículo 3LOPD en relación con el artículo 5 RLOPD -actualmente artículo 4.1 del Reglamento General (UE)-. (iii) En qué términos debe llevarse a cabo la ponderación que prevé el artículo 7.f) de la Directiva 95/46/CE -actual artículo 6.1.f) del Reglamento General (UE)- entre el legítimo interés del responsable de los datos y la protección de datos de carácter personal del interesado.

3. ) Publicar este auto en la página web del Tribunal Supremo.

4. ) Comunicar inmediatamente a la Sala de instancia la decisión adoptada en este auto.

5. ) Para la sustanciación del recurso, remítanse las actuaciones a la Sección tercera de esta Sala Tercera, a la que corresponde con arreglo a las normas sobre reparto de asuntos.".

CUARTO

Por diligencia de ordenación de 11 de diciembre de 2019, recibidas las presentes actuaciones procedentes de la Sección Primera de esta Sala de lo Contencioso-Administrativo del Tribunal Supremo, se acuerda que una vez interpuesto el recurso de casación o que transcurra el plazo de treinta días que el artículo 92.1 de la Ley de esta Jurisdicción establece para la presentación, se acordará. La procuradora doña Carmen Ortiz Cornago, en representación de la mercantil MIRACLIA TELECOMUNICACIONES, S.L. presentó escrito de interposición de fecha 20 de enero de 2020, en el que tras exponer los motivos de impugnación que consideró oportunos, lo concluyó con el siguiente SUPLICO:

"Que habiendo presentado este escrito se sirva admitirlo, y, en su virtud, tenga por INTERPUESTO RECURSO DE CASACIÓN, en tiempo y forma, contra la Sentencia de la Audiencia Nacional de 4 de abril de 2019, para que previos los trámites procesales procedentes, en su día dictar Sentencia por la que, casando y anulando la Sentencia recurrida, se estime plenamente nuestro recurso en los términos interesados.".

QUINTO

Por Providencia de 23 de enero de 2020, de conformidad con lo previsto en el artículo 92.5 dela Ley jurisdiccional, se tiene por interpuesto recurso de casación, y se acuerda dar traslado del escrito de interposición a la parte recurrida y personada, la ADMINISTRACIÓN DEL ESTADO, para que puedan oponerse al recurso en el plazo de treinta días, lo que efectuó el Abogado del Estado, en escrito presentado el 13 de febrero de 2020, en el que tras manifestar lo que consideró oportuno lo concluyó con el siguiente SUPLICO:

"admita este escrito y su copia, tenga por formulado escrito de oposición de este recurso de casación y, en su día, dicte sentencia desestimatoria del mismo con los demás pronunciamientos legales expuestos en el último apartado de este escrito.".

SEXTO

Por providencia de 14 de mayo de 2020, de conformidad con lo previsto en el artículo 92.6 de la Ley jurisdiccional, se designa Magistrado Ponente al Excmo. Sr. D. JOSÉ MANUEL BANDRÉS SÁNCHEZ-CRUZAT y señala para votación y fallo de este recurso el día 9 de junio de 2020

SÉPTIMO

La procuradora doña Carmen Ortiz Cornago, en representación de la mercantil MIRACLIA TELECOMUNICACIONES, S.L. recurrente, interpuso recurso de reposición contra la anterior providencia por escrito presentado el 26 de mayo de 2020, en el que tras efectuar las manifestaciones que consideró oportunas, lo concluyó con el siguiente SUPLICO:

"teniendo por presentado el presente RECURSO DE REPOSICIÓN se sirva admitirlo y previos los trámites que procedan dicte resolución por la que aplace la fecha de votación y fallo del presente recurso en tanto se decide para los recursos anteriores núnms. 1074/2019, 1745/2019 y 2134/2019 la posible celebración de la vista.".

OCTAVO

Por providencia de 28 de mayo de 2020, se acuerde tener por interpuesto recurso de reposición contra la resolución de 14 de mayo de 2020, y dar traslado de al Abogado del Estado para en el plazo de cinco días pueda impugnarlo, lo que efectuó por escrito de 5 de junio de 2020, en el que tras efectuar las alegaciones que estimó pertinentes, lo concluyó con el siguiente SUPLICO:

"que teniendo por presentado este escrito lo admita y en su virtud me tenga por opuesto al recurso de reposición interpuesto de contrario y, tras la tramitación pertinente, dicte resolución desestimatoria del mismo.".

NOVENO

El 8 de junio de 2020, se dictó Auto cuya parte dispositiva dice literalmente:

" Primero.- Desestimar el recurso de reposición formulado por la representación procesal de la mercantil MIRACLIA TELECOMUNICACIONES, S.L. contra la providencia dictada en las presentes actuaciones el 14 de mayo de 2020.

Segundo.- No procede efectuar expresa imposición de costas.".

DÉCIMO

La deliberación del presente recurso de casación tuvo lugar el día 16 de junio de 2020, por vía telemática, conforme a lo previsto en el artículo 19.3 del Real Decreto-ley 16/2020, de 28 de abril, de medidas procesales y organizativas para hacer frente al COVID-19 en el ámbito de la Administración de Justicia.

FUNDAMENTOS DE DERECHO

PRIMERO

Sobre el objeto y el planteamiento del recurso de casación: El asunto litigioso y la sentencia impugnada dictada por la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 4 de abril de 2019 .

El recurso de casación que enjuiciamos, interpuesto por la representación procesal de la mercantil MIRACLIA TELECOMUNICACIONES, S.L., al amparo del artículo 86 y siguientes de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa, en la redacción introducida por la disposición final de la Ley Orgánica 7/2015, de 21 de julio, tiene por objeto la pretensión de que se revoque la sentencia de la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 4 de abril de 2019, que desestimó el recurso contencioso- administrativo 423/2017 formulado contra la resolución de la Directora de la Agencia Española de Protección de Datos de 29 de mayo de 2017, que impuso a la citada compañía una multa de 1.500 euros, como responsable de la infracción del artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, tipificada como grave en el artículo 44.3 b) del citado texto legal.

La sentencia impugnada, cuya fundamentación jurídica hemos trascrito en los antecedentes de hecho de esta sentencia, confirma el criterio de la Agencia Española de Protección de Datos, respecto de que la actividad desarrollada por la compañía Miraclia Telecomunicaciones, S.L. no está excluida del ámbito de aplicación de la normativa de protección de datos de carácter personal, siguiendo la doctrina fijada en la precedente sentencia de 29 de noviembre de 2018, que se basa en la jurisprudencia formulada por el Tribunal de Justicia de la Unión Europea, por cuanto no puede considerarse limitada a un ámbito personal o doméstico, a los efectos del artículo 2.2 dela Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en la medida que los números de teléfono y la voz se incorporan a un fichero de titularidad de la referida entidad mercantil.

El Tribunal de instancia sostiene que la mercantil Miraclia Telecomunicaciones, S.L. desarrolla la actividad de tratamiento de datos, por cuanto la voz de una persona constituye dato de carácter personal, tal como se deduce de la definición que del mismo ofrece el artículo 3 de la Ley Orgánica de Protección de Datos de Carácter Personal, como toda información concerniente a una persona física identificada o identificable, lo que determina la necesidad de que el responsable del fichero recabe el consentimiento del afectado, en los términos exigidos en el artículo 6 del citado texto legal.

En último término, se refiere en la sentencia impugnada que no concurre ninguno de los supuestos que, según el apartado 2 del artículo 6 de la Ley Orgánica de Protección de Datos de Carácter Personal, exime de la prestación del consentimiento, sin que, por tanto, pueda acoger la tesis desarrollada por la entidad mercantil sancionada, de que el tratamiento de datos responde a la necesidad de satisfacer el interés legítimo consistente en ejecutar un contrato formalizado entre el prestador y el interesado, de conformidad con lo dispuesto en el artículo 7 f) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos

El recurso de casación se fundamenta en la infracción del artículo 2.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y de la interpretación que de esta disposición legal realiza la propia Audiencia Nacional y el Tribunal de Justicia de la Unión Europea sobre qué debe considerarse como un tratamiento de datos personales efectuado por una persona física en el ejercicio de sus actividades exclusivamente personales o domésticas.

En segundo término, se aduce la infracción del artículo 3 de la Ley Orgánica de Protección de Datos de Carácter Personal, en relación con el artículo 5 del Real Decreto 1720/2007 de desarrollo del citado texto legal, por cuanto, a su juicio, la voz no puede considerarse dato de carácter personal cuando no permite identificar a sus titulares o sea necesario realizar esfuerzos desproporcionados para su identificación.

En tercer término, se alega la infracción del artículo 7 f) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos, en relación con los términos en que debe llevarse a cabo la ponderación que prevé dicha disposición entre el interés legítimo del responsable del tratamiento de datos y la protección de los datos de carácter personal del afectado si se estima que estamos ante un tratamiento de datos personales por parte de una aplicación que facilita un medio de ocio en el ámbito personal o doméstico de las personas.

SEGUNDO

Sobre el marco normativo aplicable y la doctrina jurisprudencial que resulta relevante para resolver el recurso de casación.

Antes de abordar las cuestiones jurídicas planteadas por la parte recurrente en el presente recurso de casación, procede recordar el marco jurídico aplicable, así como la doctrina jurisprudencial formulada respecto del alcance y límites del derecho a la protección de datos de carácter personal.

A) El Derecho estatal.

El artículo 18.4 de la Constitución española de 27 de diciembre de 1978 establece que "la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos".

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal traspone a nuestro Derecho la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

El artículo 2 de la citada Ley Orgánica 15/1999, de 13 de diciembre, bajo la rúbrica "Ámbito de aplicación", establece:

"1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:

1. Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.

2. Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.

3. Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

   2. El régimen de protección de los datos de carácter personal que se establece en la presente Ley Orgánica no será de aplicación:

1. A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.

2. A los ficheros sometidos a la normativa sobre protección de materias clasificadas.

3. A los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos.

   3. Se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso, por esta Ley Orgánica los siguientes tratamientos de datos personales:

1. Los ficheros regulados por la legislación de régimen electoral.

2. Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación estatal o autonómica sobre la función estadística pública.

3. Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación a que se refiere la legislación del régimen del personal de las Fuerzas Armadas.

4. Los derivados del Registro Civil y del Registro Central de penados y rebeldes.

5. Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia.".

   El artículo 3 de la Ley Orgánica 15/1999, de 13 de diciembre, bajo la rúbrica "Definiciones", dispone:

   "A los efectos de la presente Ley Orgánica se entenderá por:

1. Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.

2. Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

3. Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

4. Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.

5. Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo.

6. Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.

7. Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

8. Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

9. Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado.

10. Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.".

    El artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, bajo la rúbrica "Consentimiento del afectado", dispone:

    "1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

    2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

    3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.

    4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.".

    B) El Derecho de la Unión Europea.

    El artículo 16.1 del Tratado de Funcionamiento de la Unión Europea prescribe:

    "Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.".

    El artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea, bajo la rúbrica "Protección de datos de carácter personal", dispone:

    "1. Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan. 2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación. 3 .El respeto de estas normas quedar· sujeto al control de una autoridad independiente.".

    La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos, tiene por objeto, según se expone en el artículo 1, la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales y la eliminación de los obstáculos a la libre circulación de estos datos.

    En los considerandos 2, 10, 12, 14, 15 y 16 de la Directiva 95/46/CE, se establecen los principios informadores de la normativa europea de protección de datos personales, que resultan de aplicación en la interpretación de la legislación estatal de protección de datos de carácter personal.

    "(2) Considerando que los sistemas de tratamiento de datos están al servicio del hombre; que deben, cualquiera que sea la nacionalidad o la residencia de las personas fisicas, respetar las libertades v derechos fundamentales de las personas físicas y, en particular, la intimidad, y contribuir al progreso económico y social, al desarrollo de los intercambios, así como al bienestar de los individuos;

    (10) Considerando que las legislaciones nacionales relativas al tratamiento de datos personales tienen por objeto garantizar el respeto de los derechos y libertades fundamentales, particularmente del derecho al respeto de la vida privada reconocido en el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales[,firmado en Roma el 4 de noviembre de 1950], así como en los principios generales del Derecho comunitario; que, por lo tanto, la aproximación de dichas legislaciones no debe conducir a una disminución de la protección que garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección dentro de la Comunidad;

    (12) Considerando que los principios de la protección deben aplicarse a todos los tratamientos de datos personales cuando las actividades del responsable del tratamiento entren en el ámbito de aplicación del Derecho comunitario; que debe excluirse el tratamiento de datos efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas, como la correspondencia y la llevanza de un repertorio de direcciones;

    (14) Considerando que, habida cuenta de la importancia que, en el marco de la sociedad de la información, reviste el actual desarrollo de las técnicas para captar, transmitir, manejar, registrar, conservar o comunicar los datos relativos a las personas físicas constituidos por sonido e imagen, la presente Directiva habrá de aplicarse a los tratamientos que afectan a dichos datos;

    (15) Considerando que los tratamientos que afectan a dichos datos sólo quedan amparados por la presente Directiva cuando están automatizados o cuando los datos a que se refieren se encuentran contenidos o se destinan a encontrarse contenidos en un archivo estructurado según criterios específicos relativos a las personas, a fin de que le pueda acceder fácilmente a los datos de carácter personal de que se trata;

    (16) Considerando que los tratamientos de datos constituidos por sonido e imagen, como los de la vigilancia por videocámara, no están comprendidos en el ámbito de aplicación de la presente Directiva cuando se aplican con fines de seguridad pública, defensa, seguridad del Estado o para el ejercicio de las actividades del Estado relacionadas con ámbitos del derecho penal o para el ejercicio de otras actividades que no están comprendidos en el ámbito de aplicación del Derecho comunitario.".

    El artículo 2 de la Directiva 95/46/CE, dedicado a la enumeración de las definiciones, establece:

    "A efectos de la presente Directiva, se entenderá por:

1. "datos personales": toda información sobre una persona física identificada o identificable (el "interesado"); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad fisica, fisiológica, psíquica, económica, cultural o social;

2. "tratamiento de datos personales" "tratamiento"): cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción;

3. "fichero de datos personales" ("fichero"): todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;

4. "responsable del tratamiento": la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario;

5. "encargado del tratamiento": la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento;

6. "tercero": la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento;

7. "destinatario": la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que reciba comunicación de datos, se trate o no de un tercero. No obstante, las autoridades que puedan recibir una comunicación de datos en el marco de una investigación específica no serán considerados destinatarios;

8. "consentimiento del interesado": toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan.".

   El artículo 3 de la Directiva 95/46/CE, referido al "ámbito de aplicación", dispone:

   "1. Las disposiciones de la presente Directiva se aplicarán al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

   2. Las disposiciones de la presente Directiva no se aplicarán al tratamiento de datos personales:

   - efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de los títulos V y VI del Tratado de la Unión Europea y, en cualquier caso, al tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal;

   - efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.".

   El artículo 7 de la Directiva 95/46/CE, que enuncia los principios relativos a la legislación del tratamiento de datos, dispone:

   "Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si:

1. el interesado ha dado su consentimiento de forma inequívoca, o

2. es necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado, o

3. es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o

4. es necesario para proteger el interés vital del interesado, o

5. es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos, o

6. es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.".

   C) La doctrina del Tribunal de Justicia de la Unión Europea.

   En la sentencia del Tribunal de Justicia de la Unión Europea de 11 de diciembre de 2014 (Asunto C-212/13), se expone cuáles son los compromisos y obligaciones que adquieren los Estados miembros de la Unión Europea para proteger de forma eficaz el derecho a la intimidad de los ciudadanos frente al tratamiento mecanizado de sus datos personales, a la luz de la Carta de Derechos Fundamentales y de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos.

   En la precedente sentencia del Tribunal de Justicia de 24 de noviembre de 2011 (C-468/10 y C-469/10), en relación con los supuestos de aplicación del artículo 7 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos, se sostiene:

   "35 La Directiva 95/46 contiene normas que se caracterizan por una cierta flexibilidad y deja en muchos casos en manos de los Estados miembros la tarea de regular los detalles o de elegir entre varias opciones (véase la sentencia Lindqvist, antes citada, apartado 83). Es preciso distinguir, pues, entre medidas nacionales que establecen exigencias adicionales que modifican el alcance de un principio fijado en el artículo 7 de la Directiva 95/46, por una parte, y medidas nacionales que se limitan a precisar alguno de estos principios, por otra parte. El primer tipo de medida nacional está prohibido, y únicamente en el contexto del segundo tipo de medida nacional disponen los Estados miembros de un margen de apreciación, con arreglo al artículo 5 de la Directiva 95/46.

   36 Se desprende de lo anterior que los Estados miembros tampoco pueden introducir, al amparo de lo dispuesto en el artículo 5 de la Directiva 95/46, principios relativos a la legitimación de los tratamientos de datos personales distintos a los enunciados en el artículo 7 de esa Directiva ni modificar, mediante exigencias adicionales, el alcance de los seis principios establecidos en dicho artículo 7.

   37 En el presente asunto, el artículo 7, letra f), de la Directiva 95/46 dispone que el tratamiento de datos personales es lícito si "es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva".

   38 Dicho artículo 7, letra f), establece dos requisitos acumulativos para que un tratamiento de datos personales sea lícito, a saber, por una parte, que ese tratamiento de datos personales sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, y, por otra parte, que no prevalezcan los derechos y libertades fundamentales del interesado.

   39 De ello se sigue que, en lo que respecta al tratamiento de datos personales, el artículo 7, letra f), de la Directiva 95/46 se opone a toda normativa nacional que, en el caso de que no exista consentimiento del interesado, imponga exigencias adicionales que se sumen a los dos requisitos acumulativos mencionados en el apartado anterior.

   40 No obstante, ha de tenerse en cuenta que el segundo de esos requisitos exige una ponderación de los derechos e intereses en conflicto, que dependerá, en principio, de las circunstancias concretas del caso particular de que se trate y en cuyo marco la persona o institución que efectúe la ponderación deberá tener en cuenta la importancia de los derechos que los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea confieren al interesado (en lo sucesivo, "Carta").

   41 A este respecto, procede señalar que el artículo 8, apartado 1, de la Carta declara que "toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan". Este derecho fundamental se halla íntimamente ligado al derecho al respeto de la vida privada, consagrado en el artículo 7 de dicha Carta ( sentencia de 9 de noviembre de 2010, Volker und Markus Schecke y Eifert, C-92/09 y C-93/09, Rec. p. I-0000, apartado 47).

   42 Según la jurisprudencia del Tribunal de Justicia, el respeto del derecho a la vida privada en lo que respecta al tratamiento de los datos de carácter personal, reconocido por los artículos 7 y 8 de la Carta, se aplica a toda información sobre una persona física identificada o identificable (véase la sentencia Volker und Markus Schecke y Eifert, antes citada, apartado 52). No obstante, de los artículos 8, apartado 2, y 52, apartado 1, de la Carta se desprende que, bajo ciertas condiciones, pueden introducirse limitaciones a dicho derecho.

   43 Además, corresponde a los Estados miembros, a la hora de adaptar su ordenamiento jurídico a la Directiva 95/46, procurar basarse en una interpretación de ésta que les permita garantizar un justo equilibrio entre los distintos derechos y libertades fundamentales protegidos por el ordenamiento jurídico de la Unión (véase, por analogía, la sentencia de 29 de enero de 2008, Promusicae, C- 275/06, Rec. p. I-271, apartado 68).

   44 En lo que respecta a la ponderación requerida por el artículo 7, letra f), de la Directiva 95/46, cabe tomar en consideración el hecho de que la gravedad de la lesión de los derechos fundamentales de la persona afectada por dicho tratamiento puede variar en función de que los datos figuren ya, o no, en fuentes accesibles al público.

   45 En efecto, a diferencia de los tratamientos de datos que figuran en fuentes accesibles al público, los tratamientos de datos que figuran en fuentes no accesibles al público implican necesariamente que el responsable del tratamiento y, en su caso, el tercero o terceros a quienes se comuniquen los datos dispondrán en lo sucesivo de ciertas informaciones sobre la vida privada del interesado. Esta lesión, más grave, de los derechos del interesado consagrados en los artículos 7 y 8 de la Carta debe ser apreciada en su justo valor, contrapesándola con el interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos.

   46 A este respecto, procede subrayar que nada se opone a que, en ejercicio del margen de apreciación que les confiere el artículo 5 de la Directiva 95/46, los Estados miembros establezcan los principios que deben regir dicha ponderación.".

TERCERO

Sobre las infracciones del ordenamiento jurídico en que se funda el recurso de casación y acerca de las pretensiones formuladas en relación a la formación de jurisprudencia relativa a la interpretación de los artículos 2.2 , 3 y 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , y del artículo 7 f) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos.

La cuestión sobre la que esta Sala de lo Contencioso-Administrativo del Tribunal Supremo debe pronunciarse, con el objeto de la formación de jurisprudencia, se ciñe, esencialmente, a dilucidar qué debe entenderse por ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas, a los efectos de resolver si la conducta por la que ha sido sancionada la mercantil recurrente queda excluida del ámbito de protección de datos de carácter personal, establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. También debemos fijar doctrina jurisprudencial acerca de si la voz de una persona puede considerarse un dato de carácter personal y sobre si su tratamiento en ficheros o aplicaciones está sujeta a dicha regulación,

En términos más precisos, tal como se refiere en el Auto de la Sección Primera de esta Sala de lo Contencioso-Administrativo del Tribunal Supremo de 22 de noviembre de 2019, las cuestiones planteadas en el recurso de casación que presentan interés casacional objetivo para la formulación de jurisprudencia, consiste en interpretar la normativa de protección de datos de carácter personal vigente, a efectos de determinar, en primer término, qué debe considerarse como un tratamiento de datos de ámbito exclusivamente personal o doméstico a efectos de su exclusión del ámbito de protección que dispensa la LOPD con arreglo a lo dispuesto en el artículo 2LOPD -actual artículo 2.2.a)LO 3/2018 que remite al artículo 2.2 del Reglamento General (UE)-, en segundo lugar, en qué circunstancias (o con qué alcance) la voz de una persona puede considerarse como un dato de carácter personal, con arreglo al artículo 3LOPD en relación con el artículo 5 RLOPD -actualmente artículo 4.1 del Reglamento General (UE)-, y, por último, en qué términos debe llevarse a cabo la ponderación que prevé el artículo 7.f) de la Directiva 95/46/CE -actual artículo 6.1.f) del Reglamento General (UE)- entre el legítimo interés del responsable de los datos y la protección de datos de carácter personal del interesado.

A tal efecto, resulta pertinente poner de manifiesto que la respuesta jurisdiccional que demos a estas cuestiones comporta resolver si, tal como propugna la defensa letrada de la mercantil recurrente, la sentencia de la Sección Primera de la Sala de lo contencioso-Administrativo de la Audiencia Nacional impugnada ha infringido los artículos 2.2 a), 3 y 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y el artículo 7 f) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos.

En lo que concierne a fijar el alcance del artículo 2.2 a) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que establece que no será de aplicación el régimen de protección de los datos de carácter personal a los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas, esta Sala considera, siguiendo los criterios jurídicos expuestos en la sentencia de esta Sala 18 de junio de 2020 (RCA 1074/2019), que la sentencia de instancia no incurre en error de Derecho, al sostener que la actividad desarrollada por la mercantil Miraclia Telecomunicaciones, S.L., consistente en proceder al registro de números de teléfonos de determinadas personas para realizar llamadas conjuntamente con su voz, procediendo a grabarlas, al realizar un servicio de alojamiento de contenidos multimedia para su acceso a través de unos dispositivos móviles GSM a través de la aplicación Juasapp, no puede considerarse limitada a un ámbito personal o doméstico, a los efectos de determinar su exclusión de la normativa de protección de datos de carácter personal.

En efecto, en la referida sentencia de esta Sala jurisdiccional de 18 de junio de 2020, dijimos:

"[...] La Sala de instancia se apoya, como puede verse, en la jurisprudencia del Tribunal de Justicia, alegada por la propia demandante. Siendo sin duda jurídicamente correcta tal razón de desestimación, en puridad basta para rechazar la queja la simple aplicación del precepto legal invocado, que en su propio tenor literal excluye que la actividad sancionada pueda quedar excluida de la aplicación de las medidas de protección de la Ley. En efecto, el apartado 2.a) del artículo 2 de la Ley de Protección de Datos de Carácter Personal dice así:

" Artículo 2. Ámbito de aplicación.

[...]

2. El régimen de protección de datos de carácter personal que se establece en la presente Ley Orgánica no será de aplicación:

   1. A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.

   [...]"

   La argumentación de la empresa sancionada se basa en considerar que se trata de una actividad particular de una persona que decide gastar una broma a otra (en castellano embromado, no "abromado") y en la cual la empresa actúa como una mera intermediaria ajena a los hechos y que presta un servicio facilitando esa actividad. Pero resulta obvio que la cuestión no reside en si se puede calificar como particular o doméstica la actividad de gastar una broma (la actividad del particular que contrata el servicio), sino si el tratamiento de datos (actividad única y exclusivamente de Miraclia) se realiza en un ámbito particular o doméstico. Y son dos los requisitos legales para que entre en juego la cláusula de exclusión, que el tratamiento de datos lo haga un particular y que lo haga en el marco de una actividad exclusivamente particular o doméstica.

   Pues bien, como es palmario, no se da ninguno de los dos requisitos. Quien efectúa el tratamiento de datos (actividad causante de la sanción, no la de gastar la broma) es la empresa sancionada, no quien gasta la broma, y es ocioso señalar que Miraclia no es una persona física, razón suficiente para que no entre ya en juego la referida cláusula excluyente de la protección de datos. Y, por lo demás, tampoco el tratamiento de datos efectuado por Miraclia lo es en el marco de una actividad particular o doméstica, carácter que se podría adscribir a la actuación del particular que gasta la broma, pero en ningún caso a la sociedad Miraclia, que desarrolla su actividad prestadora de servicios facilitando los medios para que una persona embrome a otra como una actividad comercial que le reporta beneficios económicos. Por tanto, el tratamiento de datos que ha sido objeto de sanción por parte de la Agencia Española de Protección de Datos ni está desarrollado por un particular, pues Miraclia no lo es, ni se ha realizado en el contexto de una actividad exclusivamente personal o doméstica, puesto que lo ha sido en el marco de una actividad comercial de Miraclia que implicaba el tratamiento informatizados de datos personales.".

   En lo que respecta a resolver la cuestión casacional planteada, referida a en qué condiciones o con qué alcance la voz de una persona debe considerarse de carácter personal, esta Sala estima ajustado a Derecho el razonamiento del Tribunal de instancia, que sostiene, con base en la jurisprudencia del Tribunal de Justicia de la Unión Europea, que la voz, en cuanto constituye un registro sonoro de una persona que proporciona información concerniente a la misma, se incardina en la definición de "datos de carácter personal" que refiere el artículo 2.3 a) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

   En efecto, como hemos sostenido en la sentencia de esta Sala jurisdiccional de 18 de junio de 2020, la tesis desarrollada por la defensa letrada de la mercantil recurrente, no puede prosperar:

   "Al igual que sucede con el primer motivo, la actora no interpreta correctamente el alcance de la previsión legal. Los preceptos que invoca efectivamente consideran datos personales sólo a aquellos datos que estén identificados o sean identificables. Así, el artículo 3.a) de la Ley Orgánica de Protección de Datos de Carácter Personal (15/1999) establecía que había de entenderse por datos de carácter personal "cualquier información concerniente a personas físicas identificadas o identificables". Por su parte, el artículo 5 del Reglamento (Real Decreto 1720/2007, de 21 de diciembre), que contiene las definiciones de los términos a los efectos de su aplicación define en su apartado 1.f) los datos de carácter personal como "cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables". Por último, el apartado o) del propio artículo 5 del citado Reglamento definía persona identificable a

   "[...] toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados."

   Esta normativa aplicable al caso de autos está recogida en parecidos términos en la ahora vigente. El Reglamento General de Protección de Datos (Reglamento 2016/679, del Parlamento y del Consejo, de 27 de abril de 2016), cuya traslación al ordenamiento nacional ha sido efectuado por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, establece en su parágrafo 26 lo siguiente:

   "(26) Los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable. Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable. Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos. Por lo tanto los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación."

   Quiere esto decir que los datos sólo son datos personales sujetos a la normativa de protección aquéllos que se refieren a personas físicas identificables, como reclama la empresa demandante. Pues bien la argumentación de la parte consiste en afirmar que la propia empresa no almacena el teléfono de la persona embromada y que por tanto Miraclia no puede identificar a todas las que han sido objeto de bromas por medio de su aplicación JUASAPP. Sin embargo, tal argumentación ha de ser rechazada por varias razones, tanto de carácter fáctico y como de naturaleza jurídica.

   En primer lugar y como destaca la Sala de instancia, la defensa adoptada en el presente procedimiento resulta frontalmente contradictoria con la conducta de la actora, que tras finalizar la grabación comunica al embromado que su teléfono les ha sido proporcionado por un amigo o conocido y que salvo oposición por su parte "sus datos personales formarán parte de un fichero titularidad de Miraclia" y le proporciona las direcciones para el ejercicio de sus derechos de acceso, rectificación, cancelación y oposición. Es difícil admitir que Miraclia procediese de esa manera si no estuviese almacenando datos personales en el estricto concepto legal de los mismos en opinión de sus propios servicios jurídicos y que, por tanto, el tratamiento de datos con la grabación de la voz del embromado o bien incluía su teléfono o bien permitía la identificación del sujeto grabado a través del resto de datos almacenados.

   En segundo lugar, la sentencia de instancia admite como dato fáctico, que no resulta revisable en casación, que Miraclia conserva el número telefónico de los particulares objeto de la broma. Así, en el fundamento de derecho cuarto (ya reproducido), la Sala afirma que "en el caso que nos ocupa, aparte del número de teléfono de los denunciantes afectados, que si bien por sí solo podría no ser considerado dato personal conforme a la Sentencia de esta Sala de 17 de septiembre de 2008 (Rec. 353/2007), Miraclia procede a registrar también la voz de los denunciantes a través de la oportuna grabación de la broma, susceptible de ser difundida". Hemos de concluir por tanto que Miraclia almacena y trata datos personales de los embromados que incluyen teléfono y voz, datos que conjuntamente sin duda hacen que la persona afectada sea perfectamente identificable. Por lo demás, tal afirmación de la Sala de instancia sobre el registro tanto de la voz como del número de teléfono de los afectos de la Sala de instancia se apoya en los hechos recogidos en la resolución sancionadora de la Agencia Española de Protección de Datos en los que se da por acreditado el almacenamiento de ambos datos.

   Pero es que además, el tratamiento de datos personales identificables no se proyecta únicamente frente al titular de la base de datos, sino también frente a terceros. Esto es, sería una interpretación ad absurdum sostener que se respeta la normativa de protección de datos con un tratamiento de datos que no serían identificables por el responsable del fichero pero que serían accesibles para terceros que sí podrían identificar a los sujetos a quienes pertenecen los datos, como sucede precisamente en el caso de autos. En efecto, aun admitiendo a efectos meramente argumentales que Miraclia no almacenase más que la voz grabada de los embromados y que no pudiera identificar los sujetos a quienes pertenecen las grabaciones, resulta que dichas grabaciones son accesibles e incluso descargables por terceros (los usuarios de la aplicación de Miraclia que gastan las bromas) que conocen la identidad de los embromados (de hecho, son quienes han proporcionado a Miraclia su teléfono) de forma totalmente inconsentida por los afectados. De hecho, Miraclia comunica al que ha gastado la broma y pretende descargar la grabación que para ello debe haber obtenido el consentimiento del afectado. Sin embargo, se trata de una pregunta telefónica que el usuario puede contestar afirmativamente sin acreditar en forma alguna que dicho consentimiento haya sido obtenido. Miraclia pone así a disposición de terceros datos personales de personas identificables por ellos (el teléfono que han proporcionado más la voz grabada) y almacenados por la propia Miraclia sin que le conste en forma alguna el consentimiento de los afectados. Una broma grabada que puede haber sido bien recibida o, como en alguno de los casos denunciados, haber provocado inquietud, alarma o reacciones -que pueden haber quedado grabadas- y que el sujeto afectado puede preferir que no sean conocidas.

   A este respecto no es ocioso recordar que el objeto de la protección frente al almacenamiento y tratamiento de datos personales tiene por objetivo último la protección de la privacidad de las personas, bien constitucionalmente protegido que las bromas telefónicas en cuestión ponen indudablemente en riesgo al grabarlas (sin consentimiento previo) y permitir descargar la grabación y, por tanto, difundir la misma por terceros (sin que conste el consentimiento del afectado).

   Por último, resulta también preciso hacer algunas consideraciones en relación con el consentimiento. Como hemos visto, la grabación de la voz del sujeto pasivo de la broma se produce por parte de una empresa a la que han proporcionado su teléfono sin que medie un consentimiento previo, y es sólo al finalizar la grabación de la broma (con el texto pregrabado de la broma y las eventuales respuestas o intentos de interlocución por el embromado) cuando se interroga al receptor de la llamada si autoriza el almacenamiento en un fichero de datos titularidad de Miraclia. Pues bien, la solicitud de autorización tras escuchar una grabación que, sólo al final, el sujeto comprende que ha sido una broma y que le ha podido hacer gracia, pero también le ha podido originar dudas, sorpresa o alarma, difícilmente puede considerarse un consentimiento que cumpla con los requisitos estipulados en la Ley de Protección de Datos. Así, la letra a) del artículo 3 de la Ley Orgánica 15/1999 vigente en el momento de los hechos define el consentimiento como "toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen". El citado Reglamento General comunitario define el consentimiento del afectado en términos análogos, como "toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen" (artículo 4.11).

   Pues bien, no parece que puedan predicarse tales rasgos de un "consentimiento" pasivo otorgado de forma negativa, esto es, como no oposición a una pregunta solicitada telefónicamente al cabo de una grabación sorpresiva como lo es una broma en las circunstancias que concurren en el caso.

   En conclusión, hemos de rechazar la segunda alegación puesto que, en contra de lo que sostiene la demandante, hay tratamiento de datos personales, respecto al que resulta sumamente dudoso que pueda admitirse que hubo consentimiento.".

   En último término, en lo que se refiere a la fijación de doctrina relativa a en qué términos debe llevarse a cabo la ponderación que prevé el artículo 7 f) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos, debe estarse a lo resuelto en la sentencia de esta Sala de 18 de junio de 2020, en que dijimos:

   "[...] En ningún caso podría prevalecer la realización de una actividad de ocio frente a la protección de datos personales en relación con un tratamiento informático de los mismos. No se trata de comparar la mayor o menor relevancia de una actividad de ocio frente a la protección de los datos personales, sino que una actividad de ocio -como cualquier otra- debe atenerse a la protección de datos en caso de que dicha actividad implique el tratamiento informatizado de tales datos personales. Y si dicho tratamiento y el consentimiento requerido hace difícil (o inviable), una determinada actividad, ello no es causa para suspender la efectividad de los datos personales de los individuos potencialmente afectados.

   Pero es que además, la parte recurrente equivoca el planteamiento de la cuestión. El carácter privado sólo se puede predicar de la relación entre el bromista y el embromado, pero no de la actividad de la empresa que facilita la aplicación y efectúa el tratamiento de los datos. El interés de ésta no es única ni principalmente el proporcionar un medio de ocio, sino el beneficio comercial que obtiene con ello. Dicho interés comercial es sin duda alguna legítimo, pero desde luego no puede prevalecer sobre la protección de los datos de las personas afectadas, la cual requiere su pleno y libre consentimiento informado para que tales datos sean sometidos a tratamiento informático. No ha habido, por tanto, vulneración de los preceptos invocados, sino que la ponderación de intereses efectuada por la Sala de instancia es conforme a derecho.".

   Conforme a los razonamientos jurídicos expuestos, esta Sala, dando respuesta a las cuestiones planteadas en este recurso de casación, que presentan interés casacional objetivo para la formación de jurisprudencia, declara que:

1. - El tratamiento de datos efectuado por una empresa en el marco de su actividad mercantil no puede considerarse comprendido en el supuesto de exclusión de la protección de datos por tratarse de actividades exclusivamente personales o domésticas, aunque el servicio prestado por la empresa consista en facilitar una relación entre personas físicas.

2. - La grabación de la voz asociada a otros datos como el número de teléfono o su puesta a disposición de otras personas que pueden identificar a quien pertenece ha de considerarse un dato de carácter personal sujeto a la normativa de protección del tratamiento automatizado de los mismos.

3. - Los intereses comerciales de una empresa responsable de un fichero de datos han de ceder ante el interés legítimo del titular de los datos en la protección de los mismos.

   En consecuencia con lo razonado, debemos rechazar la pretensión revocatoria deducida y declarar no haber lugar al recurso de casación interpuesto por la representación procesal de la mercantil MIRACLIA TELECOMUNICACIONES, S.L. contra la sentencia de la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 4 de abril de 2019, dictada en el recurso contencioso-administrativo número 423/2017.

CUARTO

Sobre las costas procesales.

De conformidad con lo dispuesto en los artículos 93.4 y 139.1 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa, no procede la imposición de las costas de casación a ninguna de las partes, manteniéndose el pronunciamiento de condena en costas efectuada en la sentencia de instancia.

F A L L O

Por todo lo expuesto, en nombre del Rey y por la autoridad que le confiere la Constitución, esta Sala ha decidido , tras fijar la doctrina jurisprudencial que hemos expuesto en el precedente fundamento jurídico Tercero de esta sentencia, respecto de la interpretación aplicativa de los artículos 2 y 3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y del artículo 7 f) de la Directiva 95/46/CE:

Primero

Declarar no haber lugar al recurso de casación interpuesto por la representación procesal de la mercantil MIRACLIA TELECOMUNICACIONES, S.L. contra la sentencia de la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 4 de abril de 2019, dictada en el recurso contencioso-administrativo número 423/2017.

Segundo.- No efectuar expresa imposición de las costas procesales causadas en el presente recurso de casación, manteniéndose, en referencia a las costas de instancia, el pronunciamiento de la sentencia impugnada.

Notifíquese esta resolución a las partes e insértese en la colección legislativa.

Así se acuerda y firma.

Eduardo Espín Templado José Manuel Bandrés Sánchez-Cruzat Eduardo Calvo Rojas

Dª Isabel Perelló Doménech D. José María del Riego Valledor

D. Diego Córdoba Castroverde Ángel Ramón Arozamena Laso

PUBLICACIÓN.- Leída y publicada fue la anterior sentencia, estando constituida la Sala en Audiencia Pública, lo que, como Letrado de la Administración de Justicia, certifico.