ATS, 8 de Abril de 2021
| Ponente | ANGEL RAMON AROZAMENA LASO |
| ECLI | ES:TS:2021:4672A |
| Número de Recurso | 7359/2020 |
| Procedimiento | Recurso de Casación Contencioso-Administrativo (L.O. 7/2015) |
| Fecha de Resolución | 8 de Abril de 2021 |
| Emisor | Tribunal Supremo - Sala Tercera, de lo Contencioso-Administrativo |
TRIBUNAL SUPREMO
SALA DE LO CONTENCIOSO-ADMINISTRATIVO
SECCIÓN: PRIMERA
A U T O
Fecha del auto: 08/04/2021
Tipo de procedimiento: R. CASACION
Número del procedimiento: 7359/2020
Materia: AGENCIA ESPAÑOLA DE PROTECCION DE DATOS
Submateria:
Fallo/Acuerdo: Auto Admisión
Ponente: Excmo. Sr. D. Ángel Ramón Arozamena Laso
Letrada de la Administración de Justicia: Ilma. Sra. Dña. M. Concepción Riaño Valentín
Secretaría de Sala Destino: 003
Transcrito por:
Nota:
R. CASACION núm.: 7359/2020
Ponente: Excmo. Sr. D. Ángel Ramón Arozamena Laso
Letrada de la Administración de Justicia: Ilma. Sra. Dña. M. Concepción Riaño Valentín
TRIBUNAL SUPREMO
SALA DE LO CONTENCIOSO-ADMINISTRATIVO
SECCIÓN: PRIMERA
A U T O
Excmos. Sres. y Excma. Sra.
D. César Tolosa Tribiño, presidente
D. Antonio Jesús Fonseca-Herrero Raimundo
Dª. Inés Huerta Garicano
D. Ángel Ramón Arozamena Laso
D. Dimitry Berberoff Ayuda
En Madrid, a 8 de abril de 2021.
La Sección Primera de la Sala de lo Contencioso-administrativo de la Audiencia Nacional ha dictado, con fecha 22 de julio de 2020, sentencia por la que se desestima el recurso contencioso-administrativo (n.º 136/2019) interpuesto por la mercantil Commcenter, S.A. contra la resolución de la Directora General de la Agencia Española de Protección de Datos (AEPD) de 27 de noviembre de 2018, que desestima el recurso de reposición interpuesto contra la anterior resolución de 3 de octubre de 2018, que impone a dicha entidad una sanción de 40.001 € por la infracción del artículo 9.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, tipificada como grave en el artículo 44.3.h) de la misma.
Los hechos por los que se sanciona consisten en que en las solicitudes de financiación de productos de telefonía de distintos clientes con la entidad Telefónica Consumer Finance, S.A.U. figuraba una dirección de correo electrónico que no correspondía a los clientes-solicitantes, con la consecuencia de que se permitió el acceso no autorizado por parte de terceros, al menos a 14 solicitudes de financiación, en las que obraban datos personales de los clientes (nombre y apellidos, datos económicos, de domiciliación bancaria y firma).
La sentencia cita la STS de 5 de junio de 2004, que refiere la diferenciación entre el responsable de fichero y el responsable del tratamiento, y la STS de 26 de abril de 2005 referida a la externalización de los servicios informáticos; toma en consideración el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, que distingue entre las figuras del responsable y del encargado del tratamiento, y concluye que "[...] el contrato celebrado entre la entidad actora y Telefónica Consumer Finance evidencia que en ningún momento se habla de "encargada de tratamiento" sino de distribuidora. Y en cualquier caso que, conforme a la doctrina expuesta, la concurrencia en el supuesto de un responsable del tratamiento (Telefónica Móviles) en absoluto exime de responsabilidad a la entidad ahora recurrente, en cuanto la misma es responsable de la seguridad de su establecimiento y las personas que trabajan en el mismo con independencia de la actuación infractora que, en su caso, haya podido imputarse a la responsable del tratamiento, por lo que no cabe exonerarla de responsabilidad".
Por otra parte, toma en consideración el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, deProtección de Datos de Carácter Personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre, que define en el artículo 5.2.b) la autenticación como el procedimiento de comprobación de la identidad del usuario, y el mismo artículo, letra h), define la identificación como el procedimiento de reconocimiento de la identidad de un usuario; y a continuación se refiere a precedentes de la propia Sala en los que los hechos se tipificaron también como infracción del deber de seguridad, en la que se consideró que se impone una obligación de resultado, debiendo todo responsable de un fichero (o encargado de tratamiento) asegurarse de que las medidas o mecanismos implantados para evitar que los datos se pierdan, extravíen o acaben en manos de terceros, se implementen de manera efectiva. Y concluye que "[...] la infracción del deber de seguridad deba ser apreciada por la Sala, pues ha resultado acreditado y no desvirtuado mediante prueba alguna en contrario que Commcenter, al contratar los servicios y/o productos de telefonía, incumplió su obligación de comprobar de forma fehaciente, tal y como resulta obligado a tenor de la normativa de protección de datos expuesta, la veracidad de la documentación aportada por los clientes".
La representación procesal de Commcenter, S.A. ha preparado recurso de casación contra la citada sentencia.
La parte recurrente considera infringidos los artículos 9.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que se refiere a medios, y en ningún caso a obligación de resultado, y 79 a 100 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la indicada Ley Orgánica 15/1999, que establecen las medidas de seguridad que deben implementarse y en los que en ningún caso se refiere a obligación de resultado, refiriéndose siempre a medios y medidas de prevención. También invoca, aunque reconoce no aplicables al caso ratione temporis, el Reglamento (UE) del Parlamento Europeo y del Consejo y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en los que se pone énfasis en la responsabilidad proactiva del obligado, que debe adoptar las medidas que sean necesarias (medios), que en ningún caso se refiere a obligación de resultado.
Considera que concurre el supuesto de interés casacional del artículo 88.2.e) LJCA [sin duda se refiere al supuesto de la letra a)], por interpretar y aplicar de forma errónea la doctrina establecida por la Sala de lo Contencioso- administrativo de la Audiencia Nacional en sus sentencias de 25 de mayo de 2009 (recurso 499/2008) y 27 de junio de 2013 (recurso 519/2011), en las que la Sala examina la idoneidad de las medidas técnicas y organizativas aplicadas por el responsable del archivo que ha sufrido una brecha de seguridad, sin imponer la misma obligación de resultado. Invoca, asimismo, la presunción del artículo 88.3.d) LJCA.
Alega que las medidas de seguridad adoptadas estaban enfocadas a la recogida, introducción y envío de datos, y tanto la AEPD como la Sala de instancia se han centrado básicamente en el resultado, sin examinar los medios que se implantaron o los que debieron supuestamente implementarse. Añade que, en el supuesto de autos, la brecha de seguridad en los datos no es consecuencia de un fallo o deficiencia en el establecimiento de las medidas técnicas y organizativas implementadas, sino que es la consecuencia de una anomalía impredecible, causada en connivencia entre una empleada y las personas perjudicadas por la brecha. Concluye que la sentencia infiere que toda medida dispuesta por Ley será insuficiente siempre que se produzca una brecha de seguridad que culmine con la pérdida o extravío de datos, y, extendiendo el sentido de la normativa, establece una obligación de resultado siempre y en todo caso, en lugar de una obligación de cumplimiento normativo, que es lo que dispone la Ley Orgánica 15/1999.
La Sala de instancia tuvo por preparado el recurso por auto de 11 de noviembre de 2020, ordenando el emplazamiento de las partes para su comparecencia dentro del plazo de treinta días ante esta Sala, así como la remisión de los autos originales y del expediente administrativo.
Se han personado ante esta la procuradora de los Tribunales D.ª Adela Gilsanz Madroño, en representación de Commcenter, S.A., en concepto de parte recurrente, y el Abogado del Estado, en concepto de parte recurrida.
Es Magistrado Ponente el Excmo. Sr. D. Ángel Ramón Arozamena Laso, Magistrado de la Sala.
La Ley Orgánica 7/2015, de 21 de julio, por la que se modifica la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, introduce en su Disposición Final Tercera una reforma del recurso de casación contencioso-administrativo con la finalidad de intensificar las garantías en la protección de los derechos de los ciudadanos. Tal y como se señala en el Preámbulo de la Ley, "[...] con la finalidad de que la casación no se convierta en una tercera instancia, sino que cumpla estrictamente su función nomofiláctica, se diseña un mecanismo de admisión de los recursos basado en la descripción de los supuestos en los que un asunto podrá acceder al Tribunal Supremo por concurrir un interés casacional [...]". Es por tanto carga del recurrente argumentar de forma suficiente las razones por las cuales concurre el interés casacional objetivo para la formación de jurisprudencia, sin que la mera invocación de los supuestos previstos en la norma satisfaga dicha necesidad.
Junto a la invocación del artículo 88.2.a) LJCA , en el escrito de preparación se invoca el apartado d) del artículo 88.3 de la LJCA para razonar la concurrencia del interés casacional. Centrándonos en este último, conviene aclarar que la presunción recogida en el citado apartado del precepto no es absoluta pues el propio artículo 88.3, in fine, permite inadmitir (mediante "auto motivado") los recursos inicialmente beneficiados por la presunción cuando este Tribunal Supremo "aprecie que el asunto carece manifiestamente de interés casacional objetivo para la formación de jurisprudencia".
Con relación a este inciso del precepto procede puntualizar que la inclusión del adverbio "manifiestamente" implica que la carencia de interés ha de ser claramente apreciable, sin necesidad de complejos razonamientos o profundos estudios del tema litigioso (así se caracterizó por la jurisprudencia constante esta locución al hilo del antiguo artículo 93.2.d) LJCA en su inicial redacción, que configuraba como causa de inadmisión del recurso de casación la consistente en carecer manifiestamente de fundamento el recurso).
La cuestión de interés casacional que plantea la recurrente consiste en determinar si las infracciones de la Ley de Protección de Datos por fallos de las medidas de seguridad que puedan cometer los empleados de una persona jurídica, deben examinarse en atención al resultado y, por lo tanto, imputarse a la persona jurídica de la que dependa el empleado, con independencia de los medios y medidas de prevención que hubiera podido adoptar.
Y la cuestión así planteada no carece manifiestamente de interés casacional objetivo y plantea una cuestión jurídica de alcance general que trascienden del caso objeto del proceso, por lo que procede la admisión del recurso.
Abunda en lo anterior el que esta Sala, por auto de 28 de septiembre de 2020, admitió a trámite el RCA 1916/2020, en el que se consideró que presentaba interés casacional objetivo para la formación de jurisprudencia el precisar la responsabilidad de una Administración pública, en aquel caso un Ayuntamiento, en relación con las infracciones de la Ley de Protección de Datos que pudieran cometer los cargos y empleados públicos de la misma, y si tal responsabilidad puede o no ser atribuida a la Administración, con independencia de la identificación del cargo o empleado que materialmente haya cometido la infracción. Y en el presente caso se plantea una cuestión similar a la planteada en dicho recurso, con la diferencia que éste se refiere a la responsabilidad de una persona jurídica (Administración pública, en el caso del RCA 1916/2020) en relación con las infracciones de la Ley de Protección de Datos que pudieran cometer los empleados de la misma (cargos y empleados públicos de la Administración, en el caso del RCA 1916/2020). Y aunque es cierto que en dicho recurso de casación ya se ha dictado sentencia con fecha 15 de febrero de 2021, ello no obsta para la admisión del presente recurso de casación, pues la misma es de fecha posterior a la sentencia objeto del presente recurso de casación.
Conforme a lo dispuesto en el artículo 90.7 LJCA, este auto se publicará en la página web del Tribunal Supremo.
Procede comunicar inmediatamente a la Sala de instancia la decisión adoptada en este auto, como dispone el artículo 90.6 LJCA y conferir a las actuaciones el trámite previsto en los artículos 92 y 93 LJCA, remitiéndolas a la Sección Tercera de esta Sala, competente para su sustanciación y decisión de conformidad con las reglas de reparto.
-
) Declarar la admisión del recurso de casación n.º 7359/2020 preparado por la representación de Commcenter, S.A. contra la sentencia de 22 de julio de 2020, dictada por la Sección Primera de la Sala de lo Contencioso- administrativo de la Audiencia Nacional en el recurso n.º 136/2019.
-
) Declarar que la cuestión que presenta interés casacional objetivo para la formación de jurisprudencia consiste en determinar si las infracciones de la Ley de Protección de Datos por fallos de las medidas de seguridad que puedan cometer los empleados de una persona jurídica, deben examinarse en atención al resultado y, por lo tanto, imputarse a la persona jurídica de la que dependa el empleado, con independencia de los medios y medidas de prevención que hubiera podido adoptar.
-
) Identificar como normas jurídicas que, en principio, serán objeto de interpretación, los artículos 9.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y el artículo 89 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Todo ello sin perjuicio de que la sentencia haya de extenderse a otras cuestiones o normas si así lo exigiere el debate finalmente trabado en el recurso.
-
) Publicar este auto en la página web del Tribunal Supremo.
-
) Comunicar inmediatamente a la Sala de Instancia la decisión adoptada en este auto.
-
) Para su tramitación y decisión, remitir las actuaciones a la Sección Tercera de esta Sala, competente de conformidad con las normas de reparto.
El presente auto, contra el que no cabe recurso alguno, es firme.
Así lo acuerdan y firman.
