STS 1273/2020, 8 de Octubre de 2020
| Jurisdicción | España |
| Fecha | 08 Octubre 2020 |
| Emisor | Tribunal Supremo, sala tercera, (Contencioso Administrativo) |
| Número de resolución | 1273/2020 |
T R I B U N A L S U P R E M O
Sala de lo Contencioso-Administrativo
Sección Tercera
Sentencia núm. 1.273/2020
Fecha de sentencia: 08/10/2020
Tipo de procedimiento: R. CASACION
Número del procedimiento: 3701/2019
Fallo/Acuerdo:
Fecha de Votación y Fallo: 29/09/2020
Ponente: Excmo. Sr. D. Eduardo Calvo Rojas
Procedencia: AUD.NACIONAL SALA C/A. SECCION 1
Letrado de la Administración de Justicia: Ilmo. Sr. D. Luis Martín Contreras
Transcrito por: dvs
Nota:
R. CASACION núm.: 3701/2019
Ponente: Excmo. Sr. D. Eduardo Calvo Rojas
Letrado de la Administración de Justicia: Ilmo. Sr. D. Luis Martín Contreras
TRIBUNAL SUPREMO
Sala de lo Contencioso-Administrativo
Sección Tercera
Sentencia núm. 1273/2020
Excmos. Sres. y Excma. Sra.
D. Eduardo Espín Templado, presidente
D. José Manuel Bandrés Sánchez-Cruzat
D. Eduardo Calvo Rojas
Dª. María Isabel Perelló Doménech
D. José María del Riego Valledor
D. Diego Córdoba Castroverde
D. Fernando Román García
En Madrid, a 8 de octubre de 2020.
Esta Sala ha visto el recurso de casación nº 3701/2019 interpuesto por la Procuradora Dª María Isabel Torres Ruiz en representación de KAPITOL, S.A. contra la sentencia de la Sección 1ª de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 19 de marzo de 2019 dictada en el recurso contencioso-administrativo nº 207/2018. Se ha personado como parte recurrida la ADMINISTRACIÓN GENERAL DEL ESTADO, representada y asistida por la Abogacía del Estado.
Ha sido ponente el Excmo. Sr. D. Eduardo Calvo Rojas.
La Sección 1ª de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional dictó sentencia con fecha 19 de marzo de 2019 (recurso nº 207/2018) en la que se estima en parte el recurso contencioso-administrativo interpuesto por Kapitol S.A. contra la resolución de la Directora de la Agencia Española de Protección de Datos de 15 de marzo de 2018, dictada en el PS/00377/2017, que confirmó en reposición la resolución de 2 de febrero de 2018 en la que se impone a la entidad recurrente una multa de 15.000 € por una infracción del artículo 48.3.a) de la Ley General de Telecomunicaciones (LGT), tipificada como leve en el artículo 78.11 de dicha norma.
La sentencia de la Sala de la Audiencia Nacional reduce la cuantía de la multa, fijándola en cuarto mil euros (4.000 €), desestimando el recurso en todo lo demás, sin imponer las costas procesales a ninguno de los litigantes.
Los hechos por los que la resolución de la Agencia Española de Protección de Datos CNMC impuso la sanción los deja reseñados el fundamento jurídico segundo de la sentencia del modo siguiente:
(...) SEGUNDO.- La resolución impugnada se basa en una serie de Hechos Probados, de los que cabe destacar los siguientes:
1.- Con fecha 9 de septiembre de 2017 tuvo entrada en la AEPD escrito de la denunciante 1 comunicando que a través de un buscador de internet ha comprobado que sus datos se encuentran publicados en la página web infobel.es de la entidad Kapitol S.A. (Infobel) asociados al apartado de "Productos Dietéticos". La denunciante manifiesta que su profesión es delineante y que desconoce el origen de los datos que se publican en la citada página.
Anexa copia impresa de los datos publicados en dicha página web de Infobel (directorios) donde consta su nombre y apellidos, dirección y teléfonos en el apartado "Dietética, Productos Biológicos, Naturales y Dietéticos (al por menor)".
2.- Con fecha 5 de octubre de 2016 se comprueba que los datos de la denunciante 1 están publicados en la página web www.infobel.com.es/spain en el apartado "Dietética, Productos Biológicos, Naturales y Dietéticos (al por menor)".
3.- Infobel ha comunicado que respecto al motivo por el que se han publicado dichos datos en el apartado Dietética, Productos Biológicos, Naturales y Dietéticos (al por menor), al recibir la solicitud de información de la AEPD han comprobado que en el proceso de tratamiento de los datos se han "confundido" algunos registros de profesionales con registros de residenciales.
4.- Con fecha 22 de septiembre de 2016 tiene entrada en la AEPD escrito de la denunciante 2 comunicando que ha comprobado que sus datos se encuentran publicados en la página web de Infobel, asociados al epígrafe "Bricolage, Herramientas al por menor" de Barcelona. Así mismo manifiesta que no tiene ninguna relación con dicha actividad.
Anexa copia impresa de los datos publicados en dicha página web de Infobel (directorios) donde consta su nombre y apellidos, dirección y teléfonos en el apartado "Bricolage, Herramientas Al Por Menor".
5.- Los datos relativos a la denunciante se han publicado en la web www.infobel.es hasta el 19 de septiembre de 2016. El motivo de la baja es la solicitud de la denunciante a través de la página web www.infobel.es con fecha 18 de septiembre de 2016.
6.- Infobel ha informado que respecto al motivo por el que se han publicado dichos datos en el apartado Bricolage, Herramientas Al Por Menor, al recibir la solicitud de información de la AEPD han comprobado que en el proceso de tratamiento de los datos se han "confundido" algunos registros de profesionales con registros de residenciales
.
Los argumentos de impugnación que aducía la demandante en el proceso de instancia los sintetiza el fundamento jurídico tercero de la sentencia en estos términos:
(...) aduce la actora los siguientes motivos: a) Inaplicación del derecho español y falta de competencia sancionadora de la AEPD; b) No incardinación de los hechos denunciados en el artículo 48.3 de la LGT; c) Ausencia de responsabilidad y d) vulneración del principio de proporcionalidad en la sanción impuesta
.
El primero de esos motivos de impugnación -al que se ceñirá nuestro examen ahora en casación- es examinado en el mismo fundamento jurídico tercero de la sentencia, que señala lo siguiente:
(...) Comenzando por el primer motivo, alega que tal como puso de relieve en el recurso de reposición, el derecho español no resulta de aplicación a estos hechos y la AEPD carece de competencia para sancionar a Kapitol S.A., por cuanto se trata de una empresa de nacionalidad belga que no cuenta con sucursal o establecimiento permanente en España.
Invoca a tal fin el artículo 4.1 de la Directiva 95/46, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, el artículo 2 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal y el artículo 3 del Real Decreto 1720/2007, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (RLOPD).
Señala que el hecho de que se aplique la Ley 9/2014, General de Telecomunicaciones no puede justificar, como sostiene la AEPD, la capacidad sancionadora respecto de la recurrente, pues la LGT fue adaptada para trasponer, entre otros, el artículo 12 de la Directiva 2002/58 del Parlamento Europeo y del Consejo, de 7 de julio de 2001, relativa al tratamiento de datos personales y a la protección de la intimidad en el sector de las telecomunicaciones (Directiva sobre la privacidad y las comunicaciones electrónicas).
Añade que el derecho español relativo a la protección de datos en su conjunto, tanto la LOPD como la LGT, relativas a la protección de datos en el marco de las telecomunicaciones, no resulta de aplicación a un responsable del tratamiento de nacionalidad belga que no cuente con un establecimiento en España desde el que realice dicho tratamiento.
Enlazado con lo anterior, solicita el planteamiento de una cuestión prejudicial al Tribunal de Justicia de la Unión Europea (TJUE) en relación con la interpretación de los artículos 4, párrafo 1, a) y 28 párrafos 1 y 6 de la Directiva 95/46/CE.
Respecto a dichos alegatos conviene reiterar, que la AEPD no sanciona por una infracción de la LOPD, sino por una vulneración de los derechos previstos en el artículo 48.3.a) de la Ley General de Telecomunicaciones (LGT), cuya infracción está tipificada como leve en el artículo 78.11 de dicha norma y se rige por el régimen sancionador previsto en la citada LGT, no en la LOPD, ya que en estos casos el artículo 84.3 de la citada LGT atribuye competencia a la Agencia Española de Protección de Datos.
Es decir, en el caso de autos, no se ha aplicado la LOPD y demás normativa de protección de datos, sino la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones. Y a tenor del artículo 74.c) de la LGT aplicado " la responsabilidad administrativa por las infracciones de las normas reguladoras de las telecomunicaciones será exigible:
(...)
d) En las cometidas por los usuarios, por las empresas instaladoras de telecomunicación, por los agentes económicos relacionados con equipos y aparatos de telecomunicación o por otras personas, que sin estar comprendidas en los párrafos anteriores realicen actividades reguladas en la normativa sobre telecomunicaciones, a la persona física o jurídica cuya actuación se halle tipificada por el precepto infringido o a la que las normas correspondientes atribuyen específicamente la responsabilidad".
De otro lado, el planteamiento de la cuestión prejudicial solicitado se sustenta en la interpretación de los artículos 4, párrafo 1, a) y 28 párrafos 1 y 6 de la Directiva 95/46/CE, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, cuando la legislación de aplicación no es la LOPD, sino la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones. Y en este ámbito de la LGT el marco europeo está compuesto, como pone de relieve el Abogado del Estado, por la Directiva 2009/136/CE (derechos de los usuarios) y la Directiva 2009/140/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (Mejor Regulación).
Por tanto, la normativa aplicable no guarda relación con la que la actora considera infringida, por lo que el motivo debe ser desestimado, sin que la Sala, que en la Sentencia de 5 de octubre de 2018 (Rec. 382/2017) ha considerado responsable a dicha empresa como responsable de una infracción del artículo 48.3.c) de la LGT, considere procedente el planteamiento de la cuestión prejudicial solicitada
.
Los demás motivos de impugnación que esgrimía la demandante son examinados en los fundamentos jurídicos cuarto, quinto y sexto de la sentencia, sin que sobre tales cuestiones se haya suscitado debate en casación.
Por todo ello la Sala de la Audiencia Nacional termina estimando en parte el recurso contencioso-administrativo al solo efecto de reducir la cuantía de la multa, fijándola en cuatro mil euros (4.000 €), desestimando el recurso en todo lo demás y sin imponer las costas procesales a ninguno de los litigantes.
Notificada la sentencia a las partes, preparó recurso de casación contra ella la representación de Kapitol, S.A., siendo admitido a trámite el recurso por auto de la Sección Primera de esta Sala de 24 de enero de 2020 en el que asimismo se acuerda la remisión de las actuaciones a la Sección Tercera, con arreglo a las normas sobre reparto de asuntos.
En la parte dispositiva del auto de admisión del recurso se acuerda, en lo que ahora interesa, lo siguiente:
(....) 2°/ Declarar que la cuestión planteada en el recurso que presenta interés casacional objetivo para la formación de la jurisprudencia consiste en determinar si en el ejercicio de la potestad sancionadora prevista en la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, en materia de protección de datos, resulta o no de aplicación el Derecho de la Unión Europea en materia de protección de datos, así como la normativa española de transposición, y la Directiva 2002/58 sobre la privacidad y las comunicaciones electrónicas
.
La representación de Kapitol, S.A. formalizó la interposición de su recurso de casación mediante escrito presentado el 6 de marzo de 2020 en el que termina solicitando:
1°) que con estimación del presente recurso de casación se anule la sentencia recurrida, con imposición de costas de conformidad con lo dispuesto en el artículo 139;
2°) que como consecuencia de la estimación del presente recurso y la anulación de la sentencia impugnada resuelva el Tribunal Supremo el litigio en los términos en que quedó planteado el debate;
3°) y en consecuencia estime el recurso contencioso-administrativo interpuesto por esta parte contra la contra la resolución de la directora de la Agencia Española de Protección de datos de fecha 15 de marzo de 2018 dictada en el PS/00377/2017, estableciendo la nulidad de la citada resolución al no resultar de aplicación el derecho español a los hechos y en concreto la falta de potestad sancionadora de la AEPD, y declare no haber lugar a la sanción impuesta en dicha resolución
.
Recibidas las actuaciones en esta Sección Tercera, se dictó providencia con fecha 11 de marzo de 2020 en la que se tuvo por interpuesto el recurso y se acordó dar traslado a la parte recurrida para que pudiese formular su oposición.
La representación procesal de la Administración del Estado formalizó su oposición mediante escrito presentado el 18 de mayo de 2020 en el que, tras formular sus alegaciones en contra de lo aducido por la recurrente, termina solicitando la desestimación del recurso de casación.
Mediante providencia de 19 de junio de 2020 se acordó no haber lugar a la celebración de vista y quedaron las actuaciones pendientes de señalamiento para votación y fallo; fijándose finalmente al efecto el día 29 de septiembre de 2020, fecha en que tuvo lugar la deliberación y votación.
El presente recurso de casación nº 3701/2019 lo interpone la representación de Kapitol S.A. contra la sentencia de la Sección 1ª de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 19 de marzo de 2019 (recurso nº 207/201820) en la que se estima en parte el recurso contencioso- administrativo interpuesto por la citada entidad contra la resolución de la Directora de la Agencia Española de Protección de Datos de 15 de marzo de 2018 (expediente PS/00377/2017), que confirma en reposición la resolución de 2 de febrero de 2018 en la que se imponía a la entidad recurrente una multa de 15.000 € por una infracción del artículo 48.3.a) de la Ley General de Telecomunicaciones (LGT), tipificada como leve en el artículo 78.11 de dicha norma. Y, como hemos visto en el antecedente primero, la sentencia de la Audiencia Nacional reduce la cuantía de la multa, fijándola en cuatro mil euros (4.000 €), desestimando el recurso en todo lo demás.
En el antecedente segundo hemos dejado reseñados los hechos que motivaron la imposición de la sanción, así como las cuestiones debatidas en el proceso de instancia y las razones que se exponen en la sentencia recurrida para fundamentar la desestimación del recurso contencioso-administrativo en el punto que interesa el presente recurso de casación.
En el escrito de interposición del recurso de casación la recurrente hace a la sentencia de instancia los siguientes reproches:
1.- La sentencia recurrida infringe el artículo 4.1 de la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos.
2.- La sentencia recurrida infringe el artículo 2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).
3.- La sentencia recurrida infringe el artículo 3 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
4.- La sentencia recurrida infringe la jurisprudencia del Tribunal de Justicia de la Comunidades europeas ( TJUE) recogida en la sentencia de 1 de octubre de 2015, asunto C-230/14, Weltimo s.r.o. c/ Nemzeti Adatvéltemi és Információszabadság Hatóság.
5.- La sentencia recurrida infringe el artículo 48.3 de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.
6.- La sentencia incurrida infringe el artículo 2.1 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
7.- La sentencia incurrida infringe el artículo 56 del Reglamento General de Protección de Datos.
8.- La sentencia recurrida infringe el artículo 267 del Tratado de Funcionamiento de las Comunidades Europeas, en relación con el artículo 4.1 de la LJCA, al no haber planteado ante el Tribunal de Justicia de la Unión Europea la cuestión prejudicial que solicitaba la recurrente sobre la interpretación de los artículos 4, párrafos 1, a) y 28, párrafos 1 y 6 de la Directiva 95/46/CE, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos cuando la legislación de aplicación no es la LOPD sino la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.
Procede entonces que entremos a examinar las cuestiones suscitadas en casación y, en particular, la señalada en el auto de la Sección Primera de esta Sala de 24 de enero de 2020, en el que, como vimos (antecedente tercero), se declara que la cuestión planteada en el recurso que presenta interés casacional objetivo para la formación de la jurisprudencia consisten en determinar si en el ejercicio de la potestad sancionadora prevista en la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, en materia de protección de datos, resulta o no de aplicación el Derecho de la Unión Europea en materia de protección de datos, así como la normativa española de transposición, y la Directiva 2002/58 sobre la privacidad y las comunicaciones electrónicas.
Y desde ahora dejamos anticipado que compartimos el parecer de la Sala de la Audiencia Nacional y que, en consecuencia, habremos de declarar no haber lugar al presente recurso de casación. Veamos.
Régimen normativo aplicable al caso.
Ante todo, es oportuno recordar aquí que, como ya dejó señalado la resolución sancionadora de la AEPD, confirmada luego en la sentencia de la Audiencia Nacional aquí recurrida, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal LOPD establece en su artículo 28.4 que "Los datos que figuren en las guías de telecomunicaciones disponibles al público se regirán por su normativa específica".
Este reenvío a la normativa específica sobre guías de telecomunicaciones conduce necesariamente a la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones. De los preceptos de dicha Ley, interesa ahora destacar lo dispuesto en sus artículos 48.3 y 49.
El artículo 48.3 de la Ley 9/2014, General de Telecomunicaciones, dispone:
Artículo 48. Derecho a la protección de datos personales y la privacidad en relación con las comunicaciones no solicitadas, con los datos de tráfico y de localización y con las guías de abonados.
[...]
3. Respecto a la protección de datos personales y la privacidad en relación con las guías de abonados, los usuarios finales de servicios de comunicaciones electrónicas tendrán los siguientes derechos:
a A figurar en las guías de abonados.
b A ser informados gratuitamente de la inclusión de sus datos en las guías, así como de la finalidad de las mismas, con carácter previo a dicha inclusión.
c A no figurar en las guías o a solicitar la omisión de algunos de sus datos, en la
medida en que tales datos sean pertinentes para la finalidad de la guía que haya
estipulado su proveedor
.
Por su parte, el artículo 49 de la propia Ley General de Telecomunicaciones , bajo la rúbrica de "guías de abonados", establece lo siguiente:
Artículo 49. Guías de abonados.
1. La elaboración y comercialización de las guías de abonados a los servicios de comunicaciones electrónicas y la prestación de los servicios de información sobre ellos se realizará en régimen de libre competencia.
A tal efecto, las empresas que asignen números de teléfono a los abonados habrán de dar curso a todas las solicitudes razonables de suministro de información pertinente para la prestación de los servicios de información sobre números de abonados y guías accesibles al público, en un formato aprobado y en unas condiciones equitativas, objetivas, orientadas en función de los costes y no discriminatorias, estando sometido el suministro de la citada información y su posterior utilización a la normativa en materia de protección de datos vigente en cada momento.
El Ministerio de Industria, Energía y Turismo deberá suministrar gratuitamente a las entidades que vayan a elaborar guías telefónicas de abonados, a las que presten el servicio de consulta telefónica sobre números de abonado y a las que presten los servicios de llamadas de emergencia, los datos que le faciliten los operadores, de conformidad con las condiciones que se establezcan mediante real decreto.
2. Se garantiza el acceso de los usuarios finales a los servicios de información sobre números de abonados, para cuya consecución el Ministerio de Industria, Energía y Turismo podrá imponer obligaciones y condiciones a las empresas que controlan el acceso a los usuarios finales en materia de prestación de servicios de información sobre números de abonado que deberán ser objetivas, equitativas, no discriminatorias y transparentes.
3. El Ministerio de Industria, Energía y Turismo adoptará, siempre que sea técnica y económicamente posible, medidas para garantizar el acceso directo de los usuarios finales al servicio de información sobre números de abonados de otro país comunitario mediante llamada vocal o SMS
.
Por su parte, el artículo 67.3 del Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios, aprobado por Real Decreto 424/2005, de 15 de abril, indica que la inclusión en una guía impresa o electrónica, de cualquier dato distinto de los previstos en el artículo 30.4 (nombre y apellidos o razón social; número o números de abonado; dirección postal del domicilio, excepto piso, letra y escalera; y terminal específico que deseen declarar, en su caso), exigirá el consentimiento expreso del abonado para ello, tanto la primera vez como las sucesivas inclusiones.
En cuando al régimen sancionador previsto en la Ley General de Telecomunicaciones, interesa destacar aquí dos aspectos: el primero relativo a la tipificación de determinadas infracciones (artículos 77. 37 y 78.11); el segundo referido a la competencia para sancionarlas (artículo 84.3).
Artículo 77. Infracciones graves.
Se consideran infracciones graves:
[...]
37. La vulneración grave de los derechos de los consumidores y usuarios finales, según lo establecido en el título III de la Ley y su normativa de desarrollo
.
Artículo 78. Infracciones leves.
Se consideran infracciones leves:
[...]
11. El incumplimiento de las obligaciones de servicio público, de las obligaciones de carácter público y la vulneración de los derechos de los consumidores y usuarios finales, según lo establecido en el Título III de la Ley y su normativa de desarrollo
.
Artículo 84. Competencias sancionadoras.
La competencia sancionadora corresponderá:
1. Al Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información, para la imposición de sanciones no contempladas en los siguientes apartados.
2. A la Comisión Nacional de los Mercados y la Competencia, en el ámbito material de su actuación, cuando se trate de infracciones [...].
3. A la Agencia Española de Protección de Datos, en el caso de que se trate de las infracciones graves del artículo 77 tipificadas en el apartado 37 y de las infracciones leves del artículo 78 tipificadas en el apartado 11 cuando se vulneren los derechos de los usuarios finales sobre protección de datos y privacidad reconocidos en el artículo 48.
4. El ejercicio de la potestad sancionadora se sujetará al procedimiento aplicable, con carácter general, a la actuación de las administraciones públicas. No obstante, el plazo máximo de duración del procedimiento será de un año y el plazo de alegaciones no tendrá una duración inferior a un mes
.
Sobre la controversia suscitada en el presente recurso de casación.
En virtud de lo dispuesto en los preceptos que hemos reseñado en el apartado anterior, la resolución sancionadora de la Agencia Española de Protección de Datos -confirmada luego en reposición- consideró que la conducta consistente en asignar a los abonados denunciantes determinados datos que no les correspondían, aunque fuese debida a un error informático o de gestión, constituye una vulneración de los derechos previstos en el artículo 48.3.a) de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, tipificada como infracción leve en el artículo 78.11 de la propia Ley General de Telecomunicaciones.
Pues bien, acierta la sentencia recurrida cuando señala que en el caso que estamos examinando la Agencia Española de Protección de Datos no actúa para corregir una infracción de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter, sino una vulneración de los derechos previstos en el artículo 48.3.a) de la Ley General de Telecomunicaciones, siendo ésta una infracción que está tipificada como leve en el artículo 78.11 de esta Ley y se rige por el régimen sancionador previsto en la propia Ley General de Telecomunicaciones.
Como hemos visto, la competencia para sancionar las infracciones tipificadas en la Ley General de Telecomunicaciones corresponde, con carácter general, al Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información (artículo 84.1); si bien, para determinadas infracciones, la competencia sancionadora se atribuye a la Comisión Nacional de los Mercados y la Competencia (artículo 84.2) y a la Agencia Española de Protección de Datos (artículo 84.3). Pero, en todo caso, el ejercicio de la potestad sancionadora se sujetará al procedimiento aplicable, con carácter general, a la actuación de las administraciones públicas, si bien el plazo máximo de duración del procedimiento será de un año y el plazo de alegaciones no tendrá una duración inferior a un mes (artículo 84.4).
Así, la Agencia Española de Protección de Datos es la competente para sancionar las infracciones leves del artículo 78.11 y las infracciones graves del artículo 77. 37 de la Ley 9/2014, de 9 de mayo. Ahora bien, en ambos casos se trata de infracciones tipificadas en la Ley General de Telecomunicaciones; y, como hemos visto, del artículo 84.4 de esta Ley resulta con claridad que el procedimiento a seguir no será el establecido en la legislación sobre protección de datos de carácter personal sino el que señala la propia Ley General de Telecomunicaciones, esto es el procedimiento previsto con carácter general para a la actuación de las administraciones públicas pero con las salvedades que allí se indican. Y ello, debemos insistir, porque no se trata aquí de infracciones de la legislación sobre protección de datos sino de infracciones tipificadas en la Ley General de Telecomunicaciones.
Debe notarse que esta atribución competencial para sancionar determinadas infracciones no es el único llamamiento que se hace en la Ley General de Telecomunicaciones a la intervención de la Agencia Española de Protección de Datos. También se refiere a ésta el artículo 41 de la Ley 9/2014, de 9 de mayo, para señalar que la Agencia Española de Protección de Datos, en el ejercicio de su competencia de garantía de la seguridad en el tratamiento de datos de carácter personal, podrá examinar las medidas adoptadas por los operadores que exploten redes públicas de comunicaciones electrónicas o que presten servicios de comunicaciones electrónicas disponibles al público y podrá formular recomendaciones sobre las mejores prácticas con respecto al nivel de seguridad que debería conseguirse con estas medidas (artículo 41.1). Se contempla asimismo que la Agencia Española de Protección de Datos dirija advertencias y requerimientos, adopte directrices y, en caso necesario, dicte instrucciones en caso de apreciar una posible violación de los datos personales ( artículo 41.3). Y termina señalando el artículo 41.4 de la Ley General de Telecomunicaciones: « (...) 4. Lo dispuesto en el presente artículo será sin perjuicio de la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su normativa de desarrollo».
Vemos así que, sin perjuicio de las iniciativas o actuaciones que la Agencia Española de Protección de Datos pudiera emprender en el ejercicio de sus potestades y al amparo de su normativa específica, las concretas vías de intervención de la Agencia Española de Protección de Datos que se contemplan en la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, han de sujetarse a lo dispuesto en esta Ley, tanto en la vertiente sustantiva como en la procedimental. Y ello en concordancia con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, cuyo artículo 28.4 establece, recordémoslo, que "Los datos que figuren en las guías de telecomunicaciones disponibles al público se regirán por su normativa específica".
En consonancia con lo anterior, compartimos también el parecer de la Sala de la Audiencia Nacional cuando señala que la cuestión prejudicial que solicitaba la demandante venía referida a la interpretación de los artículos 4, párrafo 1.a), y 28, párrafos 1 y 6, de la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, siendo así que en este caso la legislación de aplicación no es la LOPD sino la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, ámbito éste que en el ordenamiento europeo viene regulado por la Directiva 2009/136/CE (derechos de los usuarios) y la Directiva 2009/140/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (Mejor Regulación).
En definitiva, la normativa europea que la parte actora señala como infringida no se corresponde con la que es aplicable al caso, por lo que no resultaba procedente el planteamiento de la cuestión prejudicial solicitada.
Dando con ello respuesta a la cuestión suscitada en el auto de admisión del recurso de casación, esta Sala considera que cuando la Agencia Española de Protección de Datos ejerce la competencia sancionadora que le atribuye el artículo 84.3 de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, debe acomodar su actuación a lo previsto en la citada General de Telecomunicaciones.
Y como formulación de carácter más general debemos declarar que, sin perjuicio de otras iniciativas o actuaciones que la Agencia Española de Protección de Datos pudiera emprender en el ejercicio de las potestades que le confiere su normativa específica, las concretas vías de intervención de la Agencia Española de Protección de Datos que se contemplan en la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, han de sujetarse a lo dispuesto en esta Ley, tanto en la vertiente sustantiva como en la procedimental.
De conformidad con lo dispuesto en los artículos 93.4, 139.1 y 139.4 de la Ley reguladora de esta Jurisdicción, no procede la imposición de las costas derivadas del recurso de casación a ninguna de las partes, abonando cada una las causadas a su instancia y las comunes por mitad. En cuanto a las costas del proceso de instancia, debe estarse al pronunciamiento de la sentencia recurrida.
Vistos los preceptos citados, así como los artículos 86 a 95 de la Ley de esta Jurisdicción,
Por todo lo expuesto, en nombre del Rey y por la autoridad que le confiere la Constitución, esta Sala ha decidido de acuerdo con la interpretación de las normas establecida en el fundamento jurídico tercero y la doctrina condensada en el fundamento jurídico cuarto, esta Sala ha decidido:
No ha lugar al recurso de casación nº 3701/2019 interpuesto en representación de KAPITOL, S.A. contra la sentencia de la Sección 1ª de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 19 de marzo de 2019 dictada en el recurso contencioso-administrativo nº 207/2018; sin imponer las costas derivadas del recurso de casación a ninguna de las partes y manteniendo, en cuanto a las costas del proceso de instancia, el pronunciamiento de la sentencia recurrida.
Notifíquese esta resolución a las partes e insértese en la colección legislativa.
Así se acuerda y firma.
Eduardo Espín Templado José Manuel Bandrés Sánchez Cruzat Eduardo Calvo Rojas
Mª Isabel Perelló Domenech José María del Riego Valledor
Diego Córdoba Castroverde Fernando Román García
PUBLICACIÓN.- Leída y publicada fue la anterior sentencia, estando constituida la Sala en Audiencia Pública, lo que certifico
-
Novedades legislativas: finales de junio - octubre 2020
...: El Tribunal Supremo considera ajustado a derecho el impuesto valenciano sobre actividades sobre el Medio Ambiente • Sentencia del Tribunal Supremo de 08/10/2020 : Agencia Española de Protección de Datos. La controversia se contrae a determinar si en el ejercicio de la potestad sancionador......