STS 1620/2020, 26 de Noviembre de 2020

• Jurisdicción: España
• Fecha: 26 Noviembre 2020
• Emisor: Tribunal Supremo, sala tercera, (Contencioso Administrativo)
• Número de resolución: 1620/2020

Sentencia citada en: una resolución administrativa

T R I B U N A L S U P R E M O

Sala de lo Contencioso-Administrativo

Sección Tercera

Sentencia núm. 1.620/2020

Fecha de sentencia: 26/11/2020

Tipo de procedimiento: R. CASACION

Número del procedimiento: 5285/2019

Fallo/Acuerdo:

Fecha de Votación y Fallo: 24/11/2020

Voto Particular

Ponente: Excmo. Sr. D. José Manuel Bandrés Sánchez-Cruzat

Procedencia: AUD.NACIONAL SALA C/A. SECCION 1

Letrado de la Administración de Justicia: Ilmo. Sr. D. Luis Martín Contreras

Transcrito por: ELC

Nota:

R. CASACION núm.: 5285/2019

Ponente: Excmo. Sr. D. José Manuel Bandrés Sánchez-Cruzat

Letrado de la Administración de Justicia: Ilmo. Sr. D. Luis Martín Contreras

TRIBUNAL SUPREMO

Sala de lo Contencioso-Administrativo

Sección Tercera

Sentencia núm. 1620/2020

Excmos. Sres. y Excma. Sra.

D. Eduardo Espín Templado, presidente

D. José Manuel Bandrés Sánchez-Cruzat

D. Eduardo Calvo Rojas

Dª. María Isabel Perelló Doménech

D. José María del Riego Valledor

D. Diego Córdoba Castroverde

D. Fernando Román García

En Madrid, a 26 de noviembre de 2020.

Esta Sala ha visto ha visto el recurso de casación registrado bajo el número RCA/4377/2019, interpuesto por la procuradora doña Beatriz González Rivero, con asistencia del letrado Ernesto José Muñoz Corral, en representación de la mercantil MEYDIS, S.L., contra la sentencia de la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 20 de marzo de 2019, que desestimó el recurso contencioso-administrativo número 816/2016, formulado contra la resolución de la Directora de la Agencia Española de Protección de Datos de 28 de julio de 2016, recaída en el procedimiento sancionador PS/00047/2016, por la declara que la mercantil recurrente ha infringido lo dispuesto en el artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, tipificada como grave en el artículo 44.3 b) del citado texto legal Orgánica, imponiéndole una sanción de multa de 60.000 euros.

Ha sido parte recurrida la ADMINISTRACIÓN DEL ESTADO, representada y defendida por el Abogado del Estado.

Ha sido ponente el Excmo. Sr. D. José Manuel Bandrés Sánchez-Cruzat.

ANTECEDENTES DE HECHO

PRIMERO

En el proceso contencioso-administrativo número 816/2016, la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional dictó sentencia el 20 de marzo de 2019, cuyo fallo dice literalmente:

"PRIMERO.- Que desestimando el recurso contencioso administrativo interpuesto por la representación procesal de Meydis SL frente a la resolución de la Agencia Española de Protección de Datos de 28 de julio de 2016 (PS/00047/2016), que acuerda imponer a dicha entidad una multa de 60.000 euros, confirmamos dicha resolución y sanción, dada su conformidad a Derecho, con imposición de las costas procesales a tal parte actora.".

El pronunciamiento desestimatorio del recurso contencioso-administrativo se basó en la exposición de las siguientes consideraciones jurídicas:

"[...] Denuncia asimismo Meydis en la demanda la existencia de indefensión, vulneradora del artículo 24.2 de la Constitución, derivada tanto de la denegación indebida de prueba solicitada, como de la omisión del trámite de alegaciones complementarias y de no tomar tampoco en consideración sus alegaciones, lo que ha causado Incongruencia omisiva de la Resolución.

A tal efecto y con carácter general, ha de traerse a colación la doctrina del Tribunal Constitucional según la cual, para apreciar la existencia de lesión constitucional, no basta la existencia de un defecto procedimental, sino que es igualmente necesario que éste se haya traducido en indefensión material, esto es, en un perjuicio real y efectivo, nunca potencial y abstracto, de las posibilidades de defensa en un procedimiento con las necesarias garantías ( SSTC 15/1995, de 24 de enero y 1/2000, de 17 de enero, entre otras muchas). Ello dado que el derecho a no padecer indefensión constituye un derecho fundamental materialmente dirigido a garantizar la posición de ambas partes procesales, en el sentido de que puedan alegar y probar cuanto consideren preciso para la defensa de sus intereses y derechos, en posición de igualdad recíproca ( STC 115/2006, de 24 de abril). Concepto de indefensión con relevancia constitucional que, en cualquier caso, no coincide necesariamente con cualquier indefensión de carácter meramente procesal ni menos con cualquier infracción de normas procesales, sino que requiere, como condición indispensable, que la imposibilidad de alegar y probar los propios derechos e intereses y rebatir las alegaciones de contrario hayan producido un real y efectivo menoscabo del derecho de defensa de la parte, un perjuicio de índole material. Sin que exista indefensión material si, a pesar de haberse producido algún quebrantamiento procesal, las partes han podido defender sus derechos e interés legítimos ( STC 27/2001 de 29 de enero).

De modo más específico, en relación con las concretas infracciones denunciadas, y respecto de la invocada denegación de prueba, precedida por las aclaraciones aportadas por el inspector que realizó las comprobaciones, se razona detalladamente en la resolución (Fundamentos de Derecho VI, páginas 57 y siguientes) que la razón por la que se realizaron las pruebas en la dirección IP NUM000, fue, sencillamente, porque es la que proporcionó Meydis durante la inspección, y el informe pericial analiza las circunstancias del sistema en un momento posterior a la realización de la inspección, por lo que difícilmente podía tener valor alguno sobre lo comprobado in situ por los inspectores. Añade que durante la inspección estuvo presente el director comercial y de tecnología de Meydis, que no formuló ninguna observación sobre que la dirección fuese incorrecta.

Estas explicaciones parecen razonables y, desde luego, excluyen la indefensión alegada, que tampoco cabe apreciar por la omisión del trámite de actuaciones complementarias con el mismo objeto anterior, consistente en que se solicitase a los operadores de telecomunicaciones los datos de conexión y tráfico correspondientes a las conexiones realizadas a la IP. También en la resolución se explica de modo exhaustivo lo sucedido (Fundamento de Derecho VI, a continuación ) que se resume en que Meydis inicialmente negó la autorización para solicitar la información a los operadores y que la fecha pretendida por Meydis no tendría efecto material alguno, dado que los operadores no estaban obligados a guardar la información más allá del plazo de un año, conforme a la Ley 25/2007, de 28 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.

Por todo ello considera esta Sala que no concurre la invocada incongruencia omisiva y tampoco la referida indefensión vulneradora del artículo 24.2 CE , pues en definitiva tal entidad actora no concreta qué indefensión material le han producido los supuestos vicios procedimentales denunciados, y en cualquier caso, ha podido alegar y probar, en esta vía judicial, cuanto ha estimado conveniente en defensa de sus derechos e intereses legítimos, como así ha efectuado por lo que ninguna vulneración de su derecho de defensa ( articulo 24.2 CE) puede ser apreciada.

[...] Entrando ya a resolver el fondo de la controversia, la infracción imputada a Meydis es la del artículo 44.3.b) de la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal, que tipifica como infracción grave: "Tratar los datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo". Precepto que ha de relacionarse con el de carácter personal "salvo que la ley disponga otra cosa."

Consentimiento que se define en la letra h) del Art. 3 LOPD como "toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de los datos personales que le concierne".

Constituye doctrina reiterada y consolidada de esta Sala que la LOPD no exige que dicho consentimiento inequívoco se manifieste de forma expresa ni por escrito ( SSAN 25/06/2009 Rec. 638/2008 y 15/10/2013, Rec. 398/2012. entre otras muchas), dado que tal consentimiento se puede producir de forma expresa, oral o escrita, o por actos reiterados del afectado que revelen que, efectivamente, ha dado ese consentimiento con los requisitos expuestos. En el mismo sentido esta Sala, incidiendo en la exigencia de que el consentimiento sea inequívoco, ha indicado con reiteración que "cualquiera que sea la forma que revista el procedimiento, éste ha de aparecer como evidente, inequívoco (que no admite duda o equivocación) pues éste, y no otro, es el significado del adjetivo utilizado para calificar el consentimiento". Habiendo asimismo declarado con reiteración ( SAN 23/04/2015, Rec. 97/2014, por todas), que la concurrencia del consentimiento inequívoco del afectado para el tratamiento de los datos personales por parte de un tercero, en el caso de que el titular de los mismos niegue haberlo otorgado, se ha de acreditar o corresponde su acreditación a quien realiza el tratamiento de dichos datos.

En el presente supuesto, además, tal infracción ha de relacionarse con el artículo 30 de la misma LOPD sobre "Tratamientos con fines de publicidad y de prospección comercial", a cuyo tenor: "1. Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial y otras actividades análogas, utilizarán nombres y direcciones u otros datos de carácter personal cuando los mismos figuren en fuentes accesibles al público o cuando hayan sido facilitados por los interesados u obtenidos con su consentimiento", añadiendo su apartado 4 que "Los interesados tendrán derecho a oponerse...al tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja del tratamiento, cancelándose las informaciones que sobre ellos figuren en aquel, a su simple solicitud".

Precepto que se desarrolla en los artículos 45 y siguientes del Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos (RLOPD), aprobado por Real Decreto 1720/2007, de 21 de diciembre.

En concreto, el artículo 46 del citado RLOPD, referente al tratamiento de datos en campañas publicitarias establece:

"1. Para que una entidad pueda realizar por si misma una actividad publicitaria de sus productos o servicios entre sus clientes será preciso que el tratamiento se ampare en alguno de los supuestos contemplados en el articulo 6 de la Ley Orgánica 15/1999, de 13 de diciembre.

2. En el caso de que una entidad contrate o encomiende a terceros la realización de una determinada campaña publicitaria de sus productos o servicios, encomendándole el tratamiento de determinados datos, se aplicarán las siguientes normas:

   1. Cuando los parámetros identificativos de los destinatarios de la campaña sean fijados por la entidad que contrate la campaña, ésta será responsable del tratamiento de los datos.

3. En el supuesto contemplado en el apartado anterior, la entidad que encargue la realización de la campaña publicitaria deberá adoptar las medidas necesarias para asegurarse de que la entidad contratada ha recabado los datos cumpliendo las exigencias establecidas en la Ley Orgánica 15/1999, y en el presente Reglamento.

4. A los efectos previstos en este artículo, se consideran parámetros identificativos de los destinatarios las variables utilizadas para identificar el público objetivo o destinatario de una campaña o promoción comercial de productos o servicios que permitan acotarlos destinatarios individuales de la misma".

   A su vez, el artículo 48 del RLOPD dice "Los responsables a los que el afectado haya manifestado su negativa a recibir publicidad podrán conservar los mínimos datos imprescindibles para identificarlo y adoptar las medidas necesarias que eviten el envío de publicidad".

   [...] El principal alegato defensivo de la entidad actora. no consiste tanto en negar el tratamiento inconsentido de los datos personales de la denunciante/titular de los mismos, como en la errónea consideración de Meydis como responsable del tratamiento de dichos datos. Se argumenta a tal efecto que, aunque intervino en la ejecución de la campaña de marketing objeto del pleito, no adoptó ninguna decisión sobre el tratamiento de tales datos, sino que su participación se produjo como encargada del tratamiento, tal y como se desprende, a su entender, del contrato de servicios firmado con Plenisan que obra en el expediente (folios 123 y siguientes) y del contrato suscrito entre la misma entidad actora y MSP (folios 116 y siguientes de dicho expediente). De conformidad con ello y oponiéndose a lo razonado por tal resolución combatida, la recurrente también considera infringida la doctrina del levantamiento del velo. Aplicación de la teoría del levantamiento del velo que, a su juicio, se sustenta en meras sospechas de vinculación entre las distintas sociedades, a pesar de que, según la Jurisprudencia, dicha doctrina tiene su fundamento en la equidad y en el principio de buena fe ( articulo 7.1 Código Civil), en la superación del fraus legis en perjuicio de interés legitimo de terceros ( art. 6.4 Código Civil), en evitar el abuso de derecho, y el ejercicio antisocial del mismo ( art. 7.2 Código Civil), así como en la simulación de los actos y contratos, hallándose en definitiva sometida a criterios de cautela y proporcionalidad.

   Se trata nuevamente de una alegación sustancialmente idéntica a la planteada por la misma entidad actora y resuelta por esta Sala en dos sentencias de 12 de febrero de 2019, dictadas en los Rec. 810/2016 y 811/2016 en las que se razona lo siguiente:

   En realidad, la alegación se plantea contra la utilización que se hace en la resolución de la prueba de presunciones para demostrar la responsabilidad de la demandante en el tratamiento inconsentido de datos como autora de tal tratamiento. Para llegar a esa conclusión la Resolución analiza el contrato existente entre Macro Select y Meydis y entre ésta y Plenisan y, tras constatar que las únicas comunicaciones que constan son entre Plenisan y Meydis, sin que se haya probado la existencia de instrucciones de Macro Select, como encargada del tratamiento, a Meydis, le lleva a sostener que ésta es responsable del tratamiento, para lo que se basa en los numerosos indicios demostrados tras la práctica de las diferentes pruebas, que detalla para acreditar los hechos ciertos de los que se desprende la consecuencia que se pretende demostrar y que expone en el Fundamento Jurídico (...) en el presente procedimiento (PS 00047/2016) se trata del fundamento jurídico VI.D, folios 67 a 73 de la Resolución.

   Respecto de la prueba de presunciones y su virtualidad para desvirtuar el derecho a la presunción de inocencia, continúan las mismas SSAN de 12/02/2019 el Tribunal Supremo, en su sentencia de 26 de Junio de 2013, R. 1947/2010, que cita otra anterior, ha declarado que: "[...J conforme a la doctrina del Tribunal Constitucional, contenida en reiteradas sentencias (SSTC 174/1985, 175/1985, 229/1988), y a la Jurisprudencia de esta Sala (sentencias de 18 de noviembre de 1996, 28 de enero de 1999, 6 de marzo de 2000) puede sentarse que el derecho a la presunción de inocencia no se opone a que la convicción Judicial pueda formarse sobre la base de una prueba indiciaría; pero para que esta prueba pueda desvirtuar dicha presunción debe satisfacer las siguientes exigencias constitucionales: los indicios han de estar plenamente probados-no puede tratarse de meras sospechas-y se debe explicitar el razonamiento en virtud del cual, partiendo de los indicios probados, se ha llegado a la conclusión de que el imputado realizó la conducta infractora; pues, de otro modo, ni la subsunción estaría fundada en Derecho ni habría manera de determinar si el producto deductivo es arbitrario, irracional o absurdo, es decir, si se ha vulnerado el derecho a la presunción de inocencia al estimar que la actividad probatoria puede entenderse de cargo.

   En la sentencia constitucional 172/2005, se afirma que por lo que se refiere en concreto al derecho a la presunción de inocencia este Tribunal ha declarado que la presunción de inocencia sólo se destruye cuando un Tribunal independiente, imparcial y establecido por la Ley declara la culpabilidad de una persona tras un proceso celebrado con todas las garantías ( art. 6.1 y 2 del Convenio europeo para la protección de los derechos humanos y de las libertades fundamentales, al cual se aporte una suficiente prueba de cargo, de suerte que la presunción de inocencia es un principio esencial en materia de procedimiento que opera también en el ejercicio de la potestad administrativa sancionadora ( SSTC 120/1994, de 25 de abril, F. 2; 45/1997, de 11 de marzo, F. 4, por todas). En la citada STC 120/1994 añadíamos que "entre las múltiples facetas de ese concepto poliédrico en que consiste la presunción de inocencia hay una, procesal, que consiste en desplazar el onus probandi con otros efectos añadidos". En tal sentido ya hemos dicho ~se continúa afirmando la mencionada Sentencia- que la presunción de inocencia comporta en el orden penal stricto sensu cuatro exigencias, de las cuales sólo dos, la primera y la última, son útiles aquí y ahora, con las necesarias adaptaciones mutatis mutandis por la distinta titularidad de la potestad sancionadora. Efectivamente, en ella la carga de probar los hechos constitutivos de cada infracción corresponde ineludiblemente a la Administración pública actuante, sin que sea exigible al inculpado una probatio diabólica de los hechos negativos. Por otra parte, la valoración conjunta de la prueba practicada es una potestad exclusiva del Juzgador, que éste ejerce libremente con la sola carga de razonar el resultado de dicha operación. En definitiva, la existencia de un acervo probatorio suficiente, cuyas piezas particulares han de ser obtenidas sin el deterioro de los derechos fundamentales del inculpado y de su libre valoración por el Juez, son las ideas básicas para salvaguardar esa presunción constitucional y están explícitas o latentes en la copiosa doctrina de este Tribuna! al respecto ( SSTC 120/1994, de 25 de abril, F. 2; 45/1997, de 11 de marzo, F. 4).

   De otra parte hemos mantenido que el derecho a la presunción de inocencia, incluso en el ámbito del Derecho administrativo sandonador ( SSTC 45/1997, de 11 de marzo: 237/2002, de 9 de diciembre, F. 2), no se opone a que la convicción del órgano sandonador se logre través de la denominada prueba indiciaría, declaración parecida a la efectuada por el Tribunal Europeo de Derecho Humanos, que también ha sostenido que no se opone al contenido del art. 6.2 del Convenio la utilización de la denominada prueba de indicios ( STEDH de 25 de septiembre de 1992, caso Phan Hoang c. Francia, § 33; de 20 de marzo de 2001, caso Telfner c. Austria, § 5). Mas cuando se trata de la denominada prueba de indicios la exigencia de razonabilidad del engarce entre lo acreditado y lo que se presume cobra una especial trascendencia, pues en estos casos es imprescindible acreditar, no sólo que el hecho base o indicio ha resultado probado, sino que el razonamiento es coherente, lógico y racional. En suma, ha de estar asentado en las reglas del criterio humano o en las reglas de la experiencia común. Es ésa, como hemos dicho, la única manera de distinguir la verdadera prueba de indicios de las meras sospechas o conjeturas, debiendo estar asentado el engarce lógico en una "comprensión razonable de la realidad normalmente vivida y apreciada conforme a los criterios colectivos vigentes" ( SSTC 45/1997, de 11 de marzo, F. 5; 237/2002, de 9 de diciembre, F. 2; 135/2003, de 30 de junio, F. 2, por todas)" [...]".

   [...] Aplicada la anterior doctrina a los hechos que han resultado acreditados en el presente caso, considera la Sala, al igual que aprecia la Administración, que los indicios de los que parte la resolución se encuentran plenamente acreditados y el razonamiento del que concluye a partir de tales indicios, que Meydis es la responsable del tratamiento se expone minuciosamente, sin que se observe error en su conclusión. A tal efecto se concretan, y detallan tales indicios en el apartado D) del Fundamento de Derecho VI de la resolución( páginas 67 y siguientes de la misma), consistentes esencialmente en la identidad de personas entre Meydis y MSP; acceso a la cuenta corriente de BBVA titularidad de MSP por parte de Meydis; tenencia del certificado de la FNMT de MSP por parte de Meydis; revisión por la misma entidad actora de contratos suscritos entre MSP y otros clientes; gestión del apartado de correos de MSP también por dicha Meydis; y acceso al fichero que supuestamente le proporciono MSP, para extracciones puntuales. Por otra parte y con independencia de la suerte que corriera el PS 124/2016 ha de otorgarse especial relevancia probatoria al testimonio de la Sra. LPC pues en definitiva es traída al procedimiento como ex empleada de una tercera empresa que no es ninguna de las sancionadas en el presente procedimiento.

   Por todo ello, rechazadas las alegaciones de la entidad demandante a través de los hechos probados de la Resolución en relación con los extensos fundamentos jurídicos contenidos en la misma entendemos , al igual que aprecia tal Resolución, que resulta probado que efectivamente ha sido tal Meydis la que ha realizado el tratamiento de los datos personales de la denunciante en la campaña publicitaria de Plenisan, sin acreditar debidamente que tal titular de los datos personales hubiera otorgado un consentimiento válido ni que la campaña se realizase observando las normas sobre protección de datos, especialmente lo dispuesto en el artículo 46 del RD 1720/2007.

   En cuanto a! elemento subjetivo de la infracción, por último, la culpa de la entidad demandante deriva de los numerosos indicios antes aludidos de los que resulta su condición de responsable del tratamiento de los datos en la campaña publicitaria y no como simple encargada de dicho tratamiento, lo que en si revela una conducta culposa en su actuar.

   [-...] Invoca por último Meydis la atipicidad sobrevenida como consecuencia de la entrada en vigor del Reglamento (UE) 2016/679, del Parlamento Europeo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), en aplicación de lo dispuesto en el artículo 9.3 de la Constitución y 128.2 de la Ley 30/1992, de 26 de noviembre, que consagran la retroactividad de las disposiciones que favorezcan al sancionado. Ello de conformidad con el artículo 6.f) de tal RGPD que considera lícito el tratamiento de datos que sea necesario "para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales...". Se argumenta a tal efecto que la conducta que imputa a la actora la Resolución recurrida, aun si fuese cierta, no sería típica, puesto que dicho tratamiento es lícito, al basarse en el interés legítimo que tiene el anunciante (Plenisan) en promocionar y comercializar sus productos, interés derivado del derecho a la libertad de empresa ( artículo 38 CE).

   Cuestión asimismo resulta por las SSAN de 12 de febrero de 2019, Rec. 810/2016 y 811/2016 de tanta cita, en las que consideramos que: Conviene precisar, en primer lugar, que aunque el RGPD entró en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea, no es de aplicación sino a partir del 25 de mayo de 2018 (art. 99 RGPD), lo que no sería óbice para su aplicación retroactiva si, ciertamente, considerase como lícito un tratamiento de datos como el realizado por la demandante, lo que no es así, como se expone a continuación.

   El artículo 6.1 RGPD establece que "el tratamiento sólo será lícito si se cumple al menos una de las siguientes condiciones: f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño".

   Ahora bien, esta norma ni establece una presunción de legitimidad del tratamiento ni puede contemplarse de forma aislada, por una parte, de las obligaciones que establece el propio Reglamento respecto de quien realiza el tratamiento y, por otra, de los derechos del titular de los datos.

   En cuanto a lo primero porque, como dice el Considerando 47, Exposición de Motivos: "El interés legítimo de un responsable de tratamiento [...] puede constituir una base jurídica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable. [...] En cualquier caso, la existencia de un interés legítimo requeriría una evaíuación meticulosa [...] En particular, los intereses y los derechos fundamentales del Interesado podrían prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento ulterior. [...] El tratamiento de datos personales con fines de mercadotecnia puede considerarse realizado por interés legítimo".

   En cuanto a lo segundo, en el Considerando 70 se dice que: "Si los datos personales son tratados con fines de mercadotecnia directa, el interesado debe tener derecho a oponerse a dicho tratamiento [...] y ello en cualquier momento y sin coste alguno. Dicho derecho debe comunicarse explícitamente al interesado y presentarse claramente y al margen de cualquier otra información".

   Por ello, el articulo 21. 1 RGPD dispone que el interesado tendrá derecho a oponerse cuando el tratamiento tenga por objeto la mercadotecnia directa, derecho que tiene su reflejo en la correlativa obligación del responsable del tratamiento de facilitar al titular de los datos, en el momento en que éstos se obtengan, toda la información que establece el articulo 13, en relación con el articulo 6.1 f), cuáles sean los intereses legítimos de tal responsable o de un tercero y, además, debe facilitar la información establecida en el párrafo 2 de dicho articulo 13, que se refiere, entre otros extremos, al plazo durante el cual se conservarán los datos personales y a la existencia de los derechos de acceso, rectificación cancelación limitación del tratamiento y oposición, así como el derecho a la portabilidad de los datos. Por último, el articulo 14 regula similar obligación cuando los datos personales no se hayan obtenido del interesado.

   Pues bien, la pretensión de la recurrente no se justifica con la prueba del cumplimiento de las obligaciones derivadas de la aplicación del Reglamento, que podría dar lugar a su aplicación retroactiva que, como se ha expuesto, no autoriza sin más las operaciones de mercadotecnia, como la que es objeto de la resolución sancionadora, y cuyo objeto principal, enunciado en su articulo 1, es la protección de las personas físicas en lo que respecta al tratamiento de los datos personales.".

SEGUNDO

Contra la referida sentencia preparó la representación procesal de la mercantil MEYDIS, S.L. recurso de casación, que la Sección Primera de la Sala de lo Contencioso- Administrativo de la Audiencia Nacional tuvo por preparado mediante Auto de 3 de julio de 2019 que, al tiempo, ordenó remitir las actuaciones al Tribunal Supremo, previo emplazamiento de los litigantes.

TERCERO

Recibidas las actuaciones y personadas las partes, la Sección Primera de la Sala de lo Contencioso-Administrativo del Tribunal Supremo, dictó Auto el 17 de enero de 2020, cuya parte dispositiva dice literalmente:

"1.º Admitir a trámite el recurso de casación n.º 5285/2019 preparado por la procuradora D.ª Beatriz González Rivero, en representación de la entidad Meydis, S.L. contra la sentencia de la Sección Primera de la Sala de lo Contencioso-administrativo de la Audiencia Nacional de fecha 20 de marzo de 2019, dictada en el recurso contencioso-administrativo n.º 816/2016.

2. ) Declarar que la cuestión planteada en el recurso que presenta interés casacional objetivo para la formación de la jurisprudencia consiste en determinar si, conforme al artículo 6.1.f) del Reglamento (UE) 2016/679, interpretado a la luz de los considerandos 47 in fine y 70 del mismo Reglamento, puede considerarse lícito el tratamiento de datos personales con fines de mercadotecnia directa cuando, a pesar de no haber otorgado el interesado su consentimiento, concurriere un interés legítimo en el responsable del tratamiento.

3. ) Identificar como normas jurídicas que, en principio, serán objeto de interpretación: los artículos 6.1.f) del Reglamento (UE) 2016/679, de 27 de abril, interpretado a luz del considerando 47 in fine y 70 del mismo, en relación con el artículo 72.1.b) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los derechos digitales; y los artículos 6.1, 44.3.b) y 45 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

4. ) Publicar este auto en la página web del Tribunal Supremo, haciendo referencia al mismo.

5. ) Comunicar inmediatamente a la Sala de instancia la decisión adoptada en este auto.

6. ) Para la sustanciación del recurso, remítanse las actuaciones a la Sección tercera de esta Sala Tercera, a la que corresponde con arreglo a las normas sobre reparto de asuntos.".

CUARTO

Por diligencia de ordenación de 27 de enero de 2020, recibidas las presentes actuaciones procedentes de la Sección Primera de esta Sala de lo Contencioso-Administrativo del Tribunal Supremo, se acuerda que una vez transcurra el plazo de treinta días que el artículo 92.1 de la Ley de esta Jurisdicción establece para la presentación, se acordará. La procuradora doña Beatriz González Rivero, en representación de la mercantil MEYDIS, S.L. presentó escrito de interposición del recurso de casación el 4 de marzo de 2020, en el que tras exponer los motivos de impugnación que consideró oportunos, lo concluyó con el siguiente SUPLICO:

"Que se tenga por presentado este escrito y por hechas las manifestaciones que en él se contienen, y, resolviendo las cuestiones y pretensiones deducidas en el proceso, acuerde la anulación de la sentencia impugnada, casándola y dejando sin efecto la sanción impuesta a mi mandante por la Agencia Española de Protección de Datos, con expresa condena en las costas de la instancia a la Administración demandada.

Por Otrosí manifiesta que, teniendo en cuenta que la primera de las alegaciones contenida en este escrito implica la necesidad de interpretar normas complejas de derecho comunitario, para evitar que los preceptos invocados puedan ser objeto de aplicaciones distintas en el ámbito de la UE, esta parte considera pertinente que la Sala formule ante el Tribunal de Justicia cuestión prejudicial, para que se pronuncie sobre los siguientes aspectos:

1. Si el artículo 6.1.f) RGPD, en relación con el último inciso del Considerando 47, permite tratar datos personales con fines de mercadotecnia directa basándose en la existencia de un interés legítimo, siempre que el interesado no haya manifestado su voluntad en contra y, por tanto, permitiendo el envío publicitario sin necesidad de haber obtenido su previo consentimiento.

2. Si, como manifestación de lo anterior, los artículos art. 6.1 RGPD y el 72.1.b) LOPDGDD deben ser interpretados en el sentido de que, por aplicación de la retroactividad de las normas favorables, debe dejarse sin efecto una resolución dictada por una autoridad de control nacional, actualmente recurrida, en la que, por una infracción del art. 6.1 de la derogada LOPD, tipificada en su art. 44.3.d), se impuso una multa a una empresa por enviar una comunicación comercial sin el consentimiento del afectado, pero sin que durante el procedimiento sancionador la AEPD analizase si concurrían o no otras bases legitimadoras del art. 6.1 RGPD (en particular la del art. 6.1.f) y, por tanto, sin que se acreditase que estas no existiesen.".

QUINTO

Por Providencia de 4 de junio de 2020, de conformidad con lo previsto en el artículo 92.5 dela Ley jurisdiccional, se tiene por interpuesto recurso de casación, y se acuerda dar traslado del escrito de interposición a la parte recurrida y personada, la ADMINISTRACIÓN DEL ESTADO, para que puedan oponerse al recurso en el plazo de treinta días, lo que efectuó el Abogado del Estado, en escrito presentado el 10 de junio de 2020, en el que tras manifestar lo que consideró oportuno lo concluyó con el siguiente SUPLICO:

"que tenido por presentado este escrito de oposición al recurso de casación, lo admita y tras la tramitación pertinente dicte sentencia desestimatoria del recurso, confirmando la sentencia recurrida y fijando la doctrina que resulta de dicha desestimación, declarando que la simple finalidad de mercadoctenia no justifica el tratamiento de los datos personales sin el consentimiento del titular de los mismos.

Por Otrosí manifiestas que no se considera necesaria la celebración de vista pública dado lo bien delimitado de la cuestión planteada.".

SEXTO

Por providencia de 15 de junio de 2020, se acuerda, de conformidad con lo previsto en el artículo 92.6 de la Ley jurisdiccional, no haber lugar a la celebración de vista pública, al considerarla innecesaria atendiendo a la índole del asunto, quedando el recurso concluso y pendiente de señalamiento de la misma cuando por turno corresponda.

SÉPTIMO

Por providencia de 28 de septiembre de 2020, se designa Magistrado Ponente al Excmo. Sr. D. JOSÉ MANUEL BANDRÉS SÁNCHEZ-CRUZAT, y se señaló para la votación y fallo el día 24 de noviembre de 2020, fecha en que tuvo lugar el acto.

FUNDAMENTOS DE DERECHO

PRIMERO

Sobre el objeto y el planteamiento del recurso de casación: El asunto litigioso y la sentencia impugnada dictada por la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 20 de marzo de 2019 .

El recurso de casación que enjuiciamos, interpuesto por la representación procesal de la mercantil MEYGIS, S.L., al amparo del artículo 86 y siguientes de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa, en la redacción introducida por la disposición final de la Ley Orgánica 7/2015, de 21 de julio, tiene por objeto la pretensión de que se revoque la sentencia de la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 20 de marzo de 2019, que desestimó el recurso contencioso-administrativo formulado contra la resolución de la Directora de la Agencia Española de Protección de Datos de 28 de julio de 2016, que impuso a la citada compañía una multa de 60.000 euros, como responsable de la infracción del artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, tipificada como grave en el artículo 44.3 b) del citado texto legal.

La sentencia impugnada, cuya fundamentación jurídica hemos trascrito en los antecedentes de hecho de esta sentencia, confirma el criterio de la Agencia Española de Protección de Datos, respecto de que el Reglamento (UE) 2016/679, no ha privado de tipicidad a la conducta sancionada, ni puede aplicarse retroactivamente, en este supuesto, con base en el principio de retroactividad de las normas sancionadoras más favorables, tal como propugnaba la defensa letrada de la sociedad mercantil recurrente, puesto que de dicha normativa comunitaria y, singularmente, del artículo 6.1 f) del citado Reglamento, se desprende que, si los datos personales son objeto de tratamiento con fines de mercadotecnia, el responsable del tratamiento debe cumplir con la obligación de comunicar explícitamente al interesado la información relativa al tratamiento de datos, de modo que permita ejercer el derecho a oponerse, así como debe comunicarle cuáles son los intereses legítimos que aduce el responsable del tratamiento de los datos, lo que, en el presente proceso, no se ha justificado con la prueba aportada.

El recurso de casación se fundamenta en el argumento de que la sentencia infringe el artículo 6.1 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, así como del artículo 72.1 b) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, por la falta de aplicación retroactiva de dichas disposiciones.

Se aduce que la sentencia impugnada yerra al confirmar la sanción impuesta por infracción del artículo 6.1 de la entonces vigente Ley Orgánica 15/1999, que se encontraba tipificada como grave en su artículo 44.3 b), pues no toma en consideración que cuando se impone dicha sanción estaba vigente el Reglamento (UE) 2016/679, que ya no mantiene la necesidad del consentimiento del afectado, en los casos en que el tratamiento de datos personales se realice con fines de mercadotecnia, como ha quedado reflejado en la nueva Ley Orgánica 3/2018, de 5 de diciembre, que, al tipificar el tratamiento ilícito de datos personales, no alude ya a la ausencia de consentimiento sino al tratamiento de datos cuando no concurren alguna de las condiciones de licitud del tratamiento establecida en el artículo 6 del citado Reglamento (UE).

En segundo término, se aduce la infracción del artículo 12 del Real Decreto 1398/1993, de 4 de agosto, por el que se aprueba el Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora, y del artículo 122 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, así como de la jurisprudencia aplicable formulada en relación con las actuaciones previas de investigación, desde la perspectiva del artículo 6.4 del Código Civil.

SEGUNDO

Sobre el marco normativo aplicable y acerca de la doctrina jurisprudencial que resulta relevante para resolver el recurso de casación.

Antes de abordar las cuestiones jurídicas planteadas por la parte recurrente en el presente recurso de casación, procede recordar el marco jurídico aplicable, así como la doctrina jurisprudencial formulada respecto del alcance y límites del derecho a la protección de datos de carácter personal.

A) El Derecho de la Unión Europea.

El artículo 16.1 del Tratado de Funcionamiento de la Unión Europea prescribe:

"Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.".

El artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea, bajo la rúbrica "Protección de datos de carácter personal", dispone:

"1. Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan. 2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación. 3. El respeto de estas normas quedar· sujeto al control de una autoridad independiente.".

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), bajo la rúbrica "Principios relativos al tratamiento", en su artículo 5, dispone:

"1. Los datos personales serán:

1. tratados de manera lícita, leal y transparente en relación con el interesado ("licitud, lealtad y transparencia");

2. recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales ("limitación de la finalidad");

3. adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados ("minimización de datos"); d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan ("exactitud");

5. mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado ("limitación del plazo de conservación");

6. tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas ("integridad y confidencialidad").

   2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo ("responsabilidad proactiva").".

   En el artículo 6 del citado Reglamento (UE), bajo la rúbrica "Licitud del tratamiento", se establece:

   "1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

1. el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos

2. el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

3. el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

4. el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

5. el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

6. el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

   Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

   2. Los Estados miembros podrán mantener o introducir disposiciones más específicas a fin de adaptar la aplicación de las normas del presente Reglamento con respecto al tratamiento en cumplimiento del apartado 1, letras c) y e), fijando de manera más precisa requisitos específicos de tratamiento y otras medidas que garanticen un tratamiento lícito y equitativo, con inclusión de otras situaciones específicas de tratamiento a tenor del capítulo IX.

   3. La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por:

1. el Derecho de la Unión, o

2. el Derecho de los Estados miembros que se aplique al responsable del tratamiento.

   La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Dicha base jurídica podrá contener disposiciones específicas para adaptar la aplicación de normas del presente Reglamento, entre otras: las condiciones generales que rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados afectados; las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación; la limitación de la finalidad; los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones específicas de tratamiento a tenor del capítulo IX. El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido.

   4. Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:

1. cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;

2. el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento;

3. la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10;

4. las posibles consecuencias para los interesados del tratamiento ulterior previsto; e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.".

   En el considerando 47 del citado Reglamento (UE), se afirma:

   "El interés legítimo de un responsable del tratamiento, incluso el de un responsable al que se puedan comunicar datos personales, o de un tercero, puede constituir una base jurídica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable. Tal interés legítimo podría darse, por ejemplo, cuando existe una relación pertinente y apropiada entre el interesado y el responsable, como en situaciones en las que el interesado es cliente o está al servicio del responsable. En cualquier caso, la existencia de un interés legítimo requeriría una evaluación meticulosa, inclusive si un interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin. En particular, los intereses y los derechos fundamentales del interesado podrían prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento ulterior. Dado que corresponde al legislador establecer por ley la base jurídica para el tratamiento de datos personales por parte de las autoridades públicas, esta base jurídica no debe aplicarse al tratamiento efectuado por las autoridades públicas en el ejercicio de sus funciones. El tratamiento de datos de carácter personal estrictamente necesario para la prevención del fraude constituye también un interés legítimo del responsable del tratamiento de que se trate. El tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo.".

   En el considerando 69 del Reglamento (UE), se dice:

   "En los casos en que los datos personales puedan ser tratados lícitamente porque el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento o por motivos de intereses legítimos del responsable o de un tercero, el interesado debe, sin embargo, tener derecho a oponerse al tratamiento de cualquier dato personal relativo a su situación particular. Debe ser el responsable el que demuestre que sus intereses legítimos imperiosos prevalecen sobre los intereses o los derechos y libertades fundamentales del interesado.".

   En el considerando 70 del Reglamento (UE), se manifiesta:

   "Si los datos personales son tratados con fines de mercadotecnia directa, el interesado debe tener derecho a oponerse a dicho tratamiento, inclusive a la elaboración de perfiles en la medida en que esté relacionada con dicha mercadotecnia directa, ya sea con respecto a un tratamiento inicial o ulterior, y ello en cualquier momento y sin coste alguno. Dicho derecho debe comunicarse explícitamente al interesado y presentarse claramente y al margen de cualquier otra información.".

   B) El Derecho estatal.

   El artículo 18.4 de la Constitución española de 27 de diciembre de 1978 establece que "la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos".

   La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal traspone a nuestro Derecho la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

   En el artículo 6 de la citada Ley Orgánica 15/1999, de 13 de diciembre, bajo la rúbrica "Consentimiento del afectado", dispone:

   "1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

   2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

   3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.

   4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.".

   El artículo 44 de la citada Ley Orgánica en su apartado 3 b), establece que son infracciones graves:

   "Proceder a la creación de ficheros de titularidad privada o iniciar la recogida de datos de carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad".

   El artículo 72.1 b) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, bajo la rúbrica "Infracciones consideradas muy graves", dispone:

   "b) El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679.".

TERCERO

Sobre las infracciones del ordenamiento jurídico en que se funda el recurso de casación, referidas a que la vulneración del artículo 6.1 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo de 27 de abril de 2016 , relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, y del artículo 72.1 b) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

La cuestión sobre la que esta Sala de lo Contencioso-Administrativo del Tribunal Supremo debe pronunciarse, con el objeto de la formación de jurisprudencia, se ciñe a determinar si, en relación con el tratamiento de datos personales con fines de mercadotécnica directa, cabe considerar lícito el tratamiento de los datos personales por obedecer a la satisfacción de un interés legítimo perseguido por el responsable, de conformidad con lo dispuesto en el artículo 6.1 f) del Reglamento (UE) 2016/679, y en el artículo 72.1 b) de la Ley Orgánica 3/2018, en la medida que dicho interés no prevalezca sobre los derechos y libertades fundamentales del interesado que requiere la protección de datos.

En términos más precisos, tal como se refiere en el Auto de la Sección Primera de esta Sala de lo Contencioso-Administrativo del Tribunal Supremo de 13 de diciembre de 2019, la cuestión planteada en el recurso de casación que presentan interés casacional objetivo para la formulación de jurisprudencia, consiste en interpretar si, conforme al artículo 6.1 f) del Reglamento (UE) 2016/679, interpretado a la luz de los considerandos 47 in fine y 70 del mismo Reglamento, puede considerarse lícito el tratamiento de datos personales con fines de mercadotecnia directa cuando, a pesar de no haber otorgado el interesado su consentimiento, concurriere un interés legítimo en el responsable del tratamiento.

A tal efecto, resulta pertinente poner de manifiesto que la respuesta jurisdiccional que demos a estas cuestiones comporta resolver si, tal como propugna la defensa letrada de la mercantil recurrente, la sentencia de la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional impugnada ha infringido el artículo 6.1 f) del Reglamento (UE) 2016/679, y el artículo 72.1 b) de la Ley Orgánica 3/2018, al considerar que, en este supuesto, no cabe aplicar retroactivamente el citado Reglamento (UE) 2016/679, que considera lícito el tratamiento de datos cuando, entre otras condiciones, sea necesario para la satisfacción de un interés legítimo perseguido por el responsable, y en la medida que no se ha justificado que se hubieran cumplido las obligaciones derivadas de la aplicación del referido Reglamento, a pesar de que -a su juicio-, el Reglamento introduce una nueva base jurídica legitimadora del tratamiento de datos personales, sustentada en la existencia de un interés legítimo, modificando el esquema del anterior régimen legal de protección de datos, que se sustentaba en la necesidad de recabar el consentimiento del afectado.

En lo que concierne a la posible aplicación retroactiva del Reglamento comunitario 2016/679 y de la Ley Orgánica de Protección de Datos de 2018, esta Sala sostiene que la primera de las alegaciones que se han enumerado y que ha dado pie a la admisión del asunto por su interés casacional plantea la posible aplicación retroactiva del Reglamento comunitario 2016/679, del Parlamento y del Consejo, de 27 de abril, así como de la vigente Ley Orgánica de Protección de Datos Personales (LO 3/2018, de 5 de diciembre), que viene a trasponer aquél al derecho nacional. La tesis argumental de la recurrente es que ha existido un cambio fundamental en la regulación de la materia al dejar de constituir el consentimiento la única causa que legitimaba el tratamiento de datos personales, salvo que concurriera alguno de los supuestos eximentes contemplados en el artículo 6.2 de la Ley Orgánica de Protección de Datos de 1999. La nueva regulación, por el contrario, establece un listado de supuestos legitimadores del tratamiento de datos, en el que el consentimiento es uno más sin prioridad alguna e incluye, entre tales supuestos, la existencia de interés legítimo de quien efectúa el tratamiento (apartado 1.f del artículo 6 del Reglamento comunitario).

Sostiene también la demandante que la interpretación del supuesto legitimador del interés legítimo ha sido hecha ya por el legislador comunitario en el parágrafo 47 de los considerandos del Reglamento citado. Según la demandante, de acuerdo con dicho parágrafo, en los supuestos de prevención del fraude y del tratamiento con fines de mercadotecnia la ponderación de intereses se inclina a favor de quien trata los datos sobre los intereses del afectado, siempre que los datos se traten para los fines indicados. En consecuencia, el responsable del tratamiento "no necesita efectuar una ponderación de los intereses que concurren para valorar cuál de ellos debe prevalecer conforme a la regla del art. 6.1.f), sino que siempre que los datos se utlicen para alguna de las finalidades indicadas, el tratamiento puede basarse en el interés legítimo. Y, entre esas finalidades, se incluye el "envío de comunicaciones comeciales"".

La protección de los datos por parte del interesado vendría, afirma la recurrente, por la inscripción en listas de exclusión de comunicaciones comerciales, de obligada consulta por quien desee enviar publicidad ( arts. 3 y 4 LO 3/2018) y por el derecho de oposición a recibir comunicaciones comerciales previsto en el artículo 21 y en el considerando 71 del Reglamento comunitario.

En definitiva, considera la parte, a partir de la entrada en vigor del Reglamento comunitario "su artículo 6.1.f), interpretado conforme al considerando 47 in fine, permite el tratamiento de datos para fines de mercadotecnia directa basándose en la existencia de un interés legítimo y, por tanto, sin que sea necesario el previo consentimiento del afectado, sin perjuicio de su derecho a utilizar los mecanismos legales para impedir que se le envíe publicidad".

Por otra parte la recurrente rechaza el argumento empleado por la Sala de instancia para rechazar la aplicación del Reglamento comunitario de que no ha cumplido los requisitos contemplados en el mismo, ya que la norma no estaba en vigor, por lo que difícilmente podía exigírsele su cumplimiento.

La argumentación que se ha expuesto supone que la conducta sancionada, el tratamiento de datos personales para fines de mercadotecnia sin haber recabado el previo consentimiento del afectado ha dejado de ser una conducta típica en la nueva regulación comunitaria y nacional. En consecuencia, esta regulación habría de ser aplicada retroactivamente como norma más favorable y la sanción debería ser anulada.

La Sala no asume el razonamiento que se ha expuesto.

No cabe la menor duda de que el Reglamento comunitario y la Ley Orgánica española de 2018 ha cambiado de manera sustancial la regulación de protección de datos, dándole una mayor flexibilidad. Es cierto, como expone la recurrente, que el artículo 6.1 enumera ahora seis distintos supuestos habilitantes para el tratamiento de datos y que el enunciado en la letra f) del apartado consiste en que el mismo sea "necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero". Y también es cierto que el tratamiento de datos para la mercadotécnica directa es objeto de atención expresa en el considerando 47 in fine y en el artículo 21, dedicado éste al derecho de oposición al tratamiento por parte del sujeto interesado.

Ahora bien, el uso de los datos personales para cumplir ese fin legitimo exige, según el Reglamento de la Unión, que el interesado haya tenido la oportunidad de oponerse a dicho tratamiento, y que este derecho se le haya comunicado explícitamente, tal como se dispone en el considerando 70 y en el art. 21 de dicha norma.

Para poder aplicar de forma retroactiva el Reglamento de la Unión por considerar que la conducta por la que fue sancionada habría dejado de ser típica, es preciso verificar si la consideración global del reglamento comunitario permite llegar a la conclusión de que en la aplicación al caso concreto es, en realidad, una norma más favorable desde la perspectiva sancionadora en que nos encontramos. Existe una jurisprudencia reiterada en la que hemos sostenido que la apreciación de que una norma sancionadora es más favorable ha de provenir de una consideración global y sistemática de la misma en su aplicación al caso concreto, no de una interpretación parcial de alguno de sus preceptos o de una consideración abstracta de las normas. Como señala la sentencia de esta Sala de 30 de octubre de 2009 (recurso contencioso-administrativo 334/2006, F.J. 6º) "[...] la aplicación retroactiva de la norma más beneficiosa ha de hacerse determinando qué disposición es más favorable, mediante el contraste entre ambas, anterior y posterior, consideradas de modo global, no tomando lo que resulte más beneficioso de una y otra para crear, en realidad, una nueva disposición". Y en el mismo sentido se expresa la sentencia de 9 de marzo de 2010 (recurso contencioso-administrativo 553/2007, F.J. 6º).

Pues bien, tal y como señala la sentencia de instancia, en el caso que nos ocupa no consta que se le diese ocasión al interesado de manifestar su oposición al tratamiento de sus datos, como requiere el apartado 4 del propio artículo 21 del Reglamento ("a más tardar en el momento de la primera comunicación con el interesado, el derecho indicado en los apartados 1 y 2 será mencionado explícitamente al interesado y será presentado claramente y al margen de cualquier otra información"), por lo que el recurrente no acredita haber cumplido las exigencias impuestas por el Reglamento de la Unión para aplicar este supuesto.

Frente a ello, no puede admitirse la justificación dada por dicha sociedad de que al no estar entonces en vigor el Reglamento no se le podría exigir el cumplimiento de sus exigencias. De acuerdo con lo antes dicho, el Reglamento comunitario no estaba en vigor ni para lo favorable ni para lo adverso, pero la consideración de si es o no una norma más favorable que la vigente en el momento de los hechos deriva de su aplicación in toto al caso concreto de que se trate, pues solo así se le puede considerar de manera efectiva una norma más favorable para dicho supuesto.

Pues bien, ni se le pidió al interesado el consentimiento expreso y previo, como requería la Ley nacional de protección de datos de 1999, ni se le comunicó debidamente la utilización de sus datos en una campaña de mercadotecnia al objeto de que pudiera manifestar su oposición tal como prevé el Reglamento comunitario en el citado artículo 21.4 y recoge la Ley española de 2018 en su artículo 18.

Por todo ello, no procede realizar una aplicación retroactiva del Reglamento comunitario 2016/679 con el fin de eliminar la tipicidad de la conducta sancionada.

En último término, en relación con la alegada infracción del artículo 12 del Real Decreto 1398/1993, de 4 de agosto, por el que se aprueba el Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora, así como del artículo 122 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, que se fundamenta en el argumento de que la sentencia recurrida vulnera dichos preceptos al no haber apreciado el uso fraudulento de las potestades de investigación previa que se reconocen a la Administración, por haberse prolongado de forma injustificada, incurriendo en el supuesto contemplado en el artículo 6.4 del Código Civil, esta Sala comparte el criterio del Tribunal de instancia, que, con base en la doctrina jurisprudencial del Tribunal Supremo expuesta en la sentencia de 4 de noviembre de 2013 (RC 251/2011), considera que la práctica de las actuaciones previas por los Servicios de Inspección de la Agencia Española de Protección de Datos está plenamente justificada, pues los actos de investigación preliminares acordados resultaban pertinentes para recabar información sobre los hechos denunciados por María Cristina, referidos a una cesión de sus datos personales a una empresa, que determinó que recibiera en su dirección postal una convocatoria para participar en una demostración comercial a realizar en el Hotel Sercotel Gran Bilbao, en Bilbao, el día 15 de enero de 2015.

En efecto, rechazamos que no se ajuste a la regulación de las actuaciones previas establecida en el Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora y en el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal el pronunciamiento de la sentencia impugnada, referido a que carece de fundamento la alegación formulada en el escrito de demanda, respecto de la utilización fraudulenta de las actuaciones previas de investigación por parte de los servicios de inspección de la Agencia Española de Protección de Datos, pues, el reproche que se realiza de haberse prolongado injustificadamente las actuaciones previas y de haberse finalizado súbitamente, no resulta convincente para sostener la pretensión de que se declare la invalidez de la sanción impuesta, ya que las irregularidades procedimentales denunciadas en esta fase previa a la incoación del procedimiento sancionador no están avaladas -como pone de relieve el Tribunal de instancia- de prueba acreditativa de que los actos de investigación no estuvieran orientados a determinar, con la mayor precisión posible, los hechos susceptibles de motivar la iniciación del procedimiento sancionador, identificar la persona o personas u órganos o entidades que pudieran resultar responsables, y fijar las circunstancias relevantes que concurran.

En este sentido, cabe reseñar la doctrina jurisprudencial que hemos formulado en la sentencia de esta Sala de 4 de noviembre de 2013 (RCA 251/2011), relativa a determinar la naturaleza y finalidad de las actuaciones previas, en que sostuvimos que su incoación es potestativa, esto es, que la Administración no está obligada a abrir actuaciones previas; puede, si así lo considera, acordar la incoación directa del procedimiento sancionador, y así mismo significamos que el propio artículo 122 del Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre, a determinar, con la mayor precisión posible, los hechos que pudieran justificar la incoación del procedimiento, identificar la persona u órgano que pudiera resultar responsable y fijar las circunstancias relevantes que pudieran concurrir en el caso, tiene una naturaleza informativa de la que sin duda puede prescindir la Administración. El propio artículo 122, al expresar que "Con anterioridad a la iniciación del procedimiento sancionar se podrán realizar actuaciones previas" , corrobora el carácter potestativo de su incoación.

Entendemos, al respecto, que esta doctrina resulta plenamente aplicable a la presente litis, en la medida que, en relación a la naturaleza de las actuaciones previas acordadas (petición de información y documentación a correos, requerimientos de información al restaurante Casa de los Navarros, a las entidades Macro Select Print, S.L., Meydis, S.L. y Plenisan, S.L.), y los términos temporales en que fueron practicadas, no se descubre ninguna irregularidad procedimental subsumible en las causas de nulidad de los actos administrativos, lo que determina que descartemos este motivo impugnatorio formulado contra la sentencia recurrida.

CUARTO

Sobre la formación de jurisprudencia acerca de la interpretación del artículo 6.1 f) del Reglamento (UE) 2016/679 , en relación con lo dispuesto en el artículo 72.1 b) de la Ley Orgánica 3/2018 .

Conforme a los razonamientos jurídicos expuestos en el precedente fundamento jurídico, esta Sala, dando respuesta a la cuestión planteada en este recurso de casación, que presentan interés casacional objetivo para la formación de jurisprudencia, declara que, habida cuenta de la no aplicación al caso de la normativa que suscita la cuestión de interés casacional por las razones expresadas en el fundamento de derecho tercero, nos remitimos a las consideraciones efectuadas en el mismo.

Por otra parte, no teniendo dudas la Sala sobre la no aplicabilidad al caso del Reglamento comunitario 2016/679, de 27 de abril, no procede formular cuestión prejudicial como solicita la recurrente.

En consecuencia con lo razonado, debemos rechazar la pretensión revocatoria deducida y declarar no haber lugar al recurso de casación interpuesto por la representación procesal de la mercantil MEYDIS, S.L., contra la sentencia de la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 20 de marzo de 2019, dictada en el recurso contencioso-administrativo número 816/2016.

QUINTO

Sobre las costas procesales.

De conformidad con lo dispuesto en los artículos 93.4 y 139.1 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa, no procede la imposición de las costas de casación a ninguna de las partes, manteniéndose el pronunciamiento de condena en costas efectuado en la sentencia de instancia.

F A L L O

Por todo lo expuesto, en nombre del Rey y por la autoridad que le confiere la Constitución, esta Sala ha decidido , tras fijar la doctrina jurisprudencial que hemos expuesto en el precedente fundamento jurídico cuarto de esta sentencia:

Primero

Declarar no haber lugar al recurso de casación interpuesto por la representación procesal de la mercantil MEYDIS, S.L., contra la sentencia de la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 20 de marzo de 2019, dictada en el recurso contencioso-administrativo número 816/2016.

Segundo.- No efectuar expresa imposición de las costas procesales causadas en el presente recurso de casación, manteniéndose, en referencia a las costas de instancia, el pronunciamiento de la sentencia impugnada.

Notifíquese esta resolución a las partes e insértese en la colección legislativa.

Así se acuerda y firma.

Eduardo Espín Templado José Manuel Bandrés Sánchez-Cruzat Eduardo Calvo Rojas

María Isabel Perelló Doménech José María del Riego Valledor

Diego Córdoba Castroverde Fernando Ramón García

VOTO PARTICULAR CONCURRENTE QUE FORMULA EL MAGISTRADO EXCMO. SR. D. FERNANDO ROMÁN GARCÍA A LA SENTENCIA DICTADA EN EL RCA 5285/2019.

Desde el máximo respeto hacia la decisión mayoritaria expresada en la sentencia y, aun compartiendo el resultado desestimatorio del recurso de casación, debo manifestar mi discrepancia con la fundamentación incluida en aquélla en la medida en que en la misma se aborda el examen y resolución de una cuestión que fue expresamente rechazada por la Sección de Admisión de esta Sala Tercera, en concreto, la relativa al uso indebido o fraudulento de las actuaciones previas.

(i) El auto dictado por la Sección de Admisión en fecha 5 de diciembre de 2019 en el RCA 3753/2019 (el primero de los doce recursos a que ahora nos referiremos) rechazó expresamente dos de las cuestiones de interés casacional propuestas por la parte recurrente (las relativas al carácter continuado de la infracción y al uso indebido o fraudulento de las actuaciones previas) y admitió exclusivamente la cuestión referida a si puede considerarse lícito el tratamiento de datos personales con fines de mercadotecnia directa cuando, a pesar de no haber otorgado el interesado su consentimiento, concurriere un interés legítimo en el responsable del tratamiento.

Posteriormente, los autos de admisión dictados en los recursos números 4037/2019, 4039/2019, 4377/2019, 4697/2019, 4756/2019, 5082/2019 (todos ellos de fecha 13/12/19), 4713/2019 y 5285/2019 ( ambos de fecha 17/1/2020), 4454/2019 y 4738/2019 ( los dos de fecha 31/1/2020) y 5479/2019 ( de fecha 13/3/2020) se pronunciaron en idéntico sentido, aunque la redacción empleada no fuera exactamente la misma en todos ellos, llegando incluso en los RCA 4037/2019, 4697/2019, 4454/2019, 4713/2019, 5285/2019 y 5479/2019 a efectuarse una referencia a la identidad de las cuestiones planteadas en ellos con "las suscitadas en el RCA 3753/2019, que hemos inadmitido en ATS de fecha 5 de diciembre de 2019", lo que justificaba que en esas ocasiones se llegara a la misma conclusión (si bien conviene señalar, para mayor precisión, que en los RRCA 5285/2019 y 5479/2019 solo una de las cuestiones en ellos planteadas y rechazadas era coincidente con las suscitadas en el RCA 3753/2019).

(ii) No es éste el momento para dilucidar si la Sección de Admisión puede o no rechazar o inadmitir cuestiones que la parte recurrente proponga por estimar que tienen interés casacional o si, en realidad, lo que debería ser admitido o inadmitido por la Sección de Admisión es exclusivamente el recurso de casación y no las indicadas cuestiones. Lo relevante en el presente caso es que -al margen de la mayor o menor precisión jurídica de la fórmula utilizada- la Sección de Admisión rechazó expresamente la cuestión antes mencionada en virtud de auto firme.

Por tanto, siendo esto así, considero que la decisión mayoritaria de examinar y resolver en esta sentencia la cuestión relativa al uso indebido o fraudulento de las actuaciones previas, rechazada o inadmitida expresamente por la Sección de Admisión significa incurrir, cuando menos, en una grave contradicción de criterio con otra Sección de la misma Sala, circunstancia que en nada se compadece con la necesaria seguridad jurídica que los órganos jurisdiccionales y, con mayor motivo, el Tribunal Supremo, estamos obligados a proporcionar a los ciudadanos en general y a los profesionales del derecho en particular.

De aquí la necesidad de unificar criterios al respecto en el seno de la Sala Tercera porque, incluso aunque se aceptara la argumentación de que, por vía de interpretación de la normativa reguladora del actual recurso de casación, fuera admisible la posibilidad de examinar en sentencia cuestiones expresamente inadmitidas o rechazadas por la Sección de Admisión, considero que ello no debería nunca hacerse de manera unilateral por una de las Secciones de la Sala Tercera, al margen de las restantes Secciones de la Sala.

Por el contrario, entiendo que, incluso en tal hipótesis, sería siempre preferible, para lograr la mayor efectividad posible del principio de seguridad jurídica, someter esta cuestión polémica a la consideración del Pleno -por cualquiera de las vías previstas legalmente al efecto-, propiciando de este modo que todas las Secciones de la Sala pudieran adoptar una solución uniforme a este respecto y garantizando así la igualdad en la aplicación de la ley, fuera cual fuese la solución que se adoptara mayoritariamente en el Pleno.

A mi entender, no representa un obstáculo definitivo para ello el hecho de que el asunto ya hubiera comenzado a deliberarse. La deliberación termina cuando se firma la sentencia por todos los magistrados y no son pocas las veces en que, tras una primera aproximación a la solución del caso enjuiciado, son necesarias varias sesiones para precisar o matizar definitivamente la solución provisionalmente adoptada, o para ajustar los términos en que deba quedar redactada la sentencia.

Pero, incluso aunque se entendiese que una vez comenzada la deliberación ya no es posible elevar un asunto al Pleno jurisdiccional ( artículo 92 LJCA), no aprecio obstáculo procesal ni orgánico para interrumpir o suspender provisionalmente la deliberación comenzada y someter en abstracto la cuestión controvertida -esto es, si cabe o no examinar y resolver en sentencia cuestiones previamente inadmitidas o rechazadas en la fase de admisión- a un Pleno no jurisdiccional, cuya decisión podría ser tenida en consideración por esta Sección, a la que después correspondería retomar y continuar hasta su conclusión la deliberación interrumpida aunque, eso sí, ajustándose en el extremo controvertido al criterio mayoritario que hubiera adoptado el Pleno de la Sala.

Esta posibilidad aun cobra mayor sentido cuando, como en este caso, nos encontramos ante una serie de doce recursos sustancialmente idénticos en cuanto a las cuestiones que en ellos se suscitan, que han sido señalados para su deliberación y fallo en diferentes días, de manera que, respecto de aquéllos cuya deliberación todavía no hubiera comenzado por no haber llegado el día señalado al efecto, aun sería menos dificultoso someter la cuestión controvertida a un Pleno, fuera éste jurisdiccional o no jurisdiccional.

(iii) Conviene resaltar, por otra parte, que no estamos ante un supuesto en el que la Sección de Admisión haya admitido expresamente sólo una de las cuestiones planteadas en la instancia y en el escrito de preparación de la casación, habiendo guardado silencio sobre el resto de las referidas cuestiones. En ese supuesto, a mi entender, no habría obstáculo definitivo para que la Sección de Enjuiciamiento examinase y resolviese las otras cuestiones planteadas, sobre todo cuando tales cuestiones estuviesen tan íntimamente relacionadas con la que fue expresamente admitida que fuera necesario efectuar un pronunciamiento sobre aquéllas para poder decidir sobre ésta.

Pero ese no es el caso ahora, porque, en realidad, no necesitábamos resolver la cuestión expresamente rechazada por la Sección de Admisión para poder dictar el pronunciamiento correspondiente a la cuestión que sí fue admitida en este recurso.

(iv) Por otra parte, parece evidente que si se aceptara el planteamiento que se propugna mayoritariamente en la sentencia -poder entrar a enjuiciar en sentencia cuestiones expresamente inadmitidas o rechazadas por la Sección de Admisión-, la aplicación de dicho planteamiento debería hacerse de manera uniforme y generalizada, no pudiendo dejarse su aplicación o no aplicación en cada supuesto a la decisión discrecional de esta Sección (o de las otras Secciones de enjuiciamiento) sin que previamente se hubieran acordado y dado a conocer públicamente los criterios utilizados al efecto para ello porque, en caso contrario, padecería gravemente el principio de seguridad jurídica.

En este sentido -y, aunque sólo lo expongo ahora a modo de reflexión, dado que en el supuesto examinado hemos desestimado el recurso de casación por decisión unánime- no es desdeñable el riesgo que conlleva en la práctica la aplicación de ese planteamiento del que discrepo. Tal aplicación podría dar lugar a que se estimase un recurso de casación tras examinarse y resolverse en sentencia una cuestión expresamente inadmitida o rechazada por la Sección de Admisión en virtud de un auto firme. Y ello podría significar que la Sección de enjuiciamiento incurriera en una vulneración del derecho a la tutela judicial efectiva por incumplimiento del artículo 118 CE, que perjudicaría a la parte recurrida, al adoptarse una decisión no previsible y que, materialmente, habría dejado sin efecto la decisión de inadmisión de la cuestión previamente adoptada en el auto firme dictado por la Sección de Admisión.

En definitiva y, sin perjuicio de manifestar mi coincidencia con el sentido desestimatorio del Fallo, tras valorar conjuntamente las razones expuestas, considero que la Sección no debería haber entrado a resolver en sentencia la cuestión que fue en su día rechazada por la Sección de Admisión, ni -menos aún- debería haber procedido al enjuiciamiento de aquélla sin intentar someter previamente esa posibilidad a la consideración del Pleno de la Sala.

En Madrid, en la misma fecha de la sentencia.

D. Fernando Román García

PUBLICACIÓN.- Leída y publicada fue la anterior sentencia, estando constituida la Sala en Audiencia Pública, lo que, como Letrada de la Administración de Justicia, certifico.