SAN, 22 de Julio de 2020

• Ponente: MARIA NIEVES BUISAN GARCIA
• Emisor: Audiencia Nacional - Sala de lo Contencioso
• ECLI: ES:AN:2020:2207
• Número de Recurso: 136/2019

A U D I E N C I A N A C I O N A L

Sala de lo Contencioso-Administrativo

SECCIÓN PRIMERA

Núm. de Recurso: 0000136 / 2019

Tipo de Recurso: PROCEDIMIENTO ORDINARIO

Núm. Registro General: 01127/2019

Demandante: COMMCENTER S.A

Procurador: ADELA GIL SANZ MADROÑO

Demandado: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Abogado Del Estado

Ponente IIma. Sra.: Dª. NIEVES BUISAN GARCÍA

S E N T E N C I A Nº :

IImo. Sr. Presidente:

D. EDUARDO MENÉNDEZ REXACH

Ilmos. Sres. Magistrados:

Dª. LOURDES SANZ CALVO

D. FERNANDO DE MATEO MENÉNDEZ

Dª. NIEVES BUISAN GARCÍA

Madrid, a veintidos de julio de dos mil veinte.

Vistos por la Sala, constituida por los Sres. Magistrados reseñados al margen, los autos del recurso contencioso-administrativo número 136/2019, interpuesto por la Procuradora de los Tribunales doña Adela Gil Sanz Madroño, en nombre y representación de Commcenter S.A., contra la resolución de la Directora de la AEPD de 27 de noviembre de 2018 que desestima el recurso de reposición contra la anterior Resolución de 3 de octubre de 2018 Ha sido parte demandada LA ADMINISTRACIÓN DEL ESTADO, representada por el Abogado del Estado. La cuantía del recurso se fijó en 40.001.- euros.

AN TECEDENTES DE HECHO

PRIMERO

Por la entidad recurrente se interpuso recurso contencioso administrativo mediante escrito presentado en plazo, acordándose su tramitación de conformidad con las normas establecidas en la Ley 29/1998, y la reclamación del expediente administrativo.

SEGUNDO

En el momento procesal oportuno Commcenter SA formalizó la demanda mediante escrito presentado el 23 de abril de 2019 en el que, tras alegar los hechos y fundamentos de derecho que estimó procedentes, terminó suplicando se dictara sentencia en la que se tuviera interpuesta la presente DEMANDA contra la Resolución de la Agencia Española de Protección de Datos por la que se desestima el Recurso de Reposición RR/00734/2018 relativo al procedimiento sancionador PS/00243/2018 de conformidad con lo establecido en el artículo 52 de la LRJCA .

TERCERO

El Sr. Abogado del Estado contestó la demanda mediante escrito presentado el 18 de junio de 2019 en el que, tras alegar los hechos y los fundamentos jurídicos que estimó aplicables, terminó suplicando se dictara sentencia en la que se desestimara del recurso, confirmando íntegramente la resolución impugnada.

CUARTO

Habiéndose solicitado el recibimiento del pleito a prueba, se acordó el mismo mediante Auto de 27 de junio de 2019 practicándose la documental propuesta y admitida con el resultado que obra en las actuaciones.

No considerándose necesaria la celebración de vista pública, y tampoco trámite de conclusiones a las partes, quedaron conclusas las actuaciones.

QUINTO

Se señaló para votación y fallo de este recurso el día 21 de julio de 2020, fecha en la que tuvo lugar la deliberación y votación, habiendo sido ponente la Ilma. Magistrada doña Nieves Buisán García, quien expresa el parecer de la Sala.

FU NDAMENTOS DE DERECHO

PRIMERO

Se impugna en el presente recurso contencioso-administrativo, por COMMCENTER, S.A la Resolución de la Directora de la AEPD de 27 de noviembre de 2018 que desestima el recurso de reposición contra la anterior Resolución de 3 de octubre de 2018 que sanciona a dicha entidad por infracción del artículo

9.1 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, con multa de 40.001 € (cuarenta mil un euro) de conformidad con lo establecido en el artículo 45.2 LOPD.

Resolución que se sustenta en los siguientes hechos probados más trascendentes:

- El 13/02/2018 Don Jesús María presenta denuncia ante la AEPD por haber recibido en su cuenta de correo electrónico ' DIRECCION000 ', 14 solicitudes de financiación de productos de telefonía de distintos clientes con la entidad Telefónica Consumer Finance, S.A.U.

- Solicitudes de financiación en las que constan los datos personales de los solicitantes, el nombre del establecimiento en que se adquieren los productos (COMMCENTER), los datos económicos, las condiciones del préstamo, cuentas de domiciliación bancaria, firma de los solicitantes, etc.

- COMMCENTER es distribuidor oficial y exclusivo de MOVISTAR. Mediante escrito de 16/05/2018 ha aportado el contrato suscrito para la prestación del servicio de gestión de solicitudes de financiación que fue concertado el 10/11/2011 entre TELEFONICA MOVILES DE ESPAÑA, S.A. y FINCONSUM, EFC, S.A. Contrato que contiene cláusula OCTAVA relativa a Confidencialidad y Protección de Datos.

- Los clientes que adquieren productos en la tienda tienen la opción de financiar su compra. Operación financiera para la que COMMCENTER dispone de una aplicación WEB facilitada por Telefónica Consumer Finance, a través de la cual se gestionan las solicitudes. El acceso a dicha aplicación requiere la introducción de un código de usuario y una contraseña que es único para cada tienda y compartido por todos los empleados de la misma tienda.

- Mediante escrito de 19/06/2018 la recurrente expone que "todo apunta a que lo realmente acontecido es que, a la hora de rellenar en el formulario de solicitud de financiación de algunos clientes, una de sus trabajadoras (...), ha rellenado el campo de la dirección de email genéricamente con el correo electrónico DIRECCION000

. Una cuenta que la trabajadora podría creer inexistente, al referirse a la provincia donde se encuentra sita la tienda desde la que operaba con la única intención de no ver bloqueado con el procedimiento de financiación pero que realmente pertenecía al denunciante sin que se tuviese constancia al respecto".

SEGUNDO

La parte actora sustenta su pretensión impugnatoria de la demanda, en síntesis, en las siguientes consideraciones:

El acceso por el que se ha sancionado a la recurrente debe considerarse autorizado en todos los casos, ya que fueron los mismos afectados quienes dieron conformidad y validez a dicha cuenta de correo electrónico, haciéndola pasar como propia.

La AEPD vulnera el principio de la carga de prueba ( artículo 217 LEC) cuando impone la sanción sin aportar el debido informe que desacredite la idoneidad de las medidas de seguridad implementadas por COMMCENTER,

S.A y que exponga de forma fundamentada los presuntos defectos técnicos y de seguridad en la custodia de los datos personales por los cuales se sanciona a dicha actora.

Lo que provocó el hecho sancionado no fue una deficiencia técnica subsanable, sino un sabotaje de facto, pactado entre el cliente y la empleada (aunque sin mala fe) en la manifestación de la certeza de los datos aportados.

La actora hizo todo lo que Ley impone para la protección de los datos de carácter personal de sus clientes, inclusive, formando a sus empleados en materia de Protección de Datos ( artículo 89 del Real Decreto 1720/2007, de 21 de diciembre). Fue por la voluntad de falsear datos, responsabilidad del afectado, y no un defecto en los mecanismos de seguridad de COMMCENTER, S.A., lo que provocó que las solicitudes de financiación de 14 clientes terminaran en el correo electrónico del Sr. Jesús María . COMMCENTER, S.A. no tiene culpa alguna de lo sucedido ni podría haberlo evitado mediante una aplicación técnica superior o más intensiva.

Ausencia de perjuicio a los afectados : Los hechos sancionados corresponden a un volumen de datos poco significativo teniendo en cuenta la gravedad de la sanción y su elevada cuantía. Podría tratarse como un único acceso a un conjunto de datos, eliminando así la nota de reiteración en...