SAN, 14 de Mayo de 2021

• Ponente: FERNANDO DE MATEO MENENDEZ
• Emisor: Audiencia Nacional - Sala de lo Contencioso
• ECLI: ES:AN:2021:1863
• Número de Recurso: 115/2020

A U D I E N C I A N A C I O N A L

Sala de lo Contencioso-Administrativo

SECCIÓN PRIMERA

Núm. de Recurso: 0000115 / 2020

Tipo de Recurso: PROCEDIMIENTO ORDINARIO

Núm. Registro General: 01358/2020

Demandante: MADRILEÑA RED DE GAS S.A.U

Procurador: RICARDO LUDOVICO MORE NO MARTÍN

Demandado: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Abogado Del Estado

Ponente IImo. Sr.: D. FERNANDO DE MATEO MENÉNDEZ

S E N T E N C I A Nº :

IImo. Sr. Presidente:

D. EDUARDO MENÉNDEZ REXACH

Ilmos. Sres. Magistrados:

Dª. FELISA ATIENZA RODRIGUEZ

Dª. LOURDES SANZ CALVO

D. FERNANDO DE MATEO MENÉNDEZ

Dª. NIEVES BUISAN GARCÍA

Madrid, a catorce de mayo de dos mil veintiuno.

Vistos por la Sala, constituida por los Sres. Magistrados relacionados al margen, los autos del recurso contencioso-administrativo número 115/20, interpuesto por el Procurador de los Tribunales don Ludovico Moreno Martín-Rico, en nombre y representación de MADRILEÑA RED DE GAS, S.A.U., contra la resolución de 27 de diciembre de 2019 de la Directora de la Agencia Española de Protección de Datos, que conf‌irma en reposición la resolución de 5 de noviembre de 2019, por la que se impone a la parte actora una sanción de

12.000 euros, por una infracción del art. 5.1.f) del del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, tipif‌icada como muy grave, a efectos de prescripción, en el art. 72.1.a) del citado Reglamento, recaídas en el procedimiento sancionador PS/00188/2019. Ha sido parte LA ADMINISTRACIÓN DEL ESTADO, representada por el Abogado del Estado. La cuantía del recurso quedó f‌ijada en 12.000 euros.

AN TECEDENTES DE HECHO

PRIMERO

Admitido el recurso y previos los oportunos trámites procedimentales, se conf‌irió traslado a la parte actora para que, en el término de veinte días formalizara la demanda, lo que llevó a efecto mediante escrito presentado el 2 de julio de 2020 que, tras exponer los hechos y fundamentos de derecho que estimó oportunos, terminó solicitando que se dictara sentencia, "por la que con estimación del presente recurso e imposición de las costas procesales a la Administración demandada, se anule la Resolución de 27 de diciembre de 2019, de la Directora de la Agencia Española de Protección de Datos (expediente NUM000 ), en atención a los motivos expuestos en los Fundamentos Jurídicos Primero y Segundo del presente escrito; subsidiariamente (Fundamento Jurídico Tercero), se reduzca la sanción a un apercibimiento, procediendo a la devolución a mi mandante de los abonos realizados en la cuantía correspondiente" .

SEGUNDO

Formalizada la demanda se dio traslado de la misma a la parte demandada para que la contestara en el plazo de veinte días, lo que realizó mediante el pertinente escrito, alegando los hechos y fundamentos jurídicos que estimó pertinentes, solicitando que se dictara sentencia por la que se desestimara el recurso, conf‌irmando íntegramente la resolución impugnada por ser ajustada a Derecho, con expresa imposición de costas a la parte recurrente.

TERCERO

Contestada la demanda, mediante diligencias de ordenación de 9 de febrero y 8 de marzo de 2021, se concedió el plazo de diez días a las partes actora para la formulación de conclusiones. Una vez presentados los correspondientes escritos, quedaron las actuaciones pendientes de votación y fallo, que tuvo lugar el 11 de mayo del año en curso.

SIENDO PONENTEel Magistrado Ilmo. Sr. Don Fernando de Mateo Menéndez .

FUNDAMENTOS DE DERECHO

PRIMERO

La parte demandante impugna la resolución de 27 de diciembre de 2019 de la Directora de la Agencia Española de Protección de Datos, que conf‌irma en reposición la resolución de 5 de noviembre de 2019, por la que se impone a la parte actora una sanción de 12.000 euros, por una infracción del art. 5.1.f) del del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, tipif‌icada como muy grave, a efectos de prescripción, en el art. 72.1.a) del citado Reglamento, recaídas en el procedimiento sancionador PS/00188/2019.

Los hechos probados en que se basa la sanción, son los siguientes: "1º En el contrato de arrendamiento presentado por la reclamante, se aprecia que el mismo está celebrado el 16/09/17. La vivienda alquilada se encuentra en la AVENIDA000 - NUM001 28915, Leganés Madrid. La propietaria de la misma es, Dª Mercedes con DNI NUM002 y los arrendatarios son, D. Ignacio y Dª Noemi .

Se observa también que, en el punto vigésimo del contrato, de "Notif‌icaciones", se indica como correo electrónico del arrendatario a efectos de notif‌icaciones, " DIRECCION000 " y número de teléfono NUM003 .

2. Con fechas 4, 6, y 7 de abril de 2018, se envían tres correos electrónicos desde la dirección: Rosa, DIRECCION001 (correo de Apple utilizado cuando se utiliza un dispositivo de esta compañía), a la dirección: DIRECCION002, con asunto: "Historial de lecturas Mercedes " y con el texto: "Buenas tardes, con DNI NUM002, solicito historial de consumo desde el 31/12/10 al 15/09/12. Enviado desde mi iPhone 5.

3. Con fecha 13/04/18 se envía un correo electrónico desde la DIRECCION002 a la dirección Rosa, DIRECCION001 con Asunto: Historial de Lectura de Mercedes, y con el mensaje: "Gracias por contactar con Madrileña Red de Gas. En atención a su solicitud de referencia NUM004, detallamos las lecturas solicitadas ..."

A continuación, la información se divide en tres columnas: la primera columna indica la "fecha de registro", con 15 lecturas, que van desde el 31/12/10 al 08/11/12; En la segunda columna se detalla el "consumo en metros cúbicos" y la tercera columna se indica el "tipo de lectura", si ha sido estimada, facilitada o real" .

SEGUNDO

La infracción por la que ha sido sancionada la parte actora es la del art. 5.1.f) del del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (en adelante RGPD), que establece: "1. Los datos personales serán:

(...)

"f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas ( >)".

Mientras que el art. 72.1.a) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que se aplica en la resolución recurrida, considera infracciones muy graves : "1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:

1. El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679 " .

TERCERO

Aduce la sociedad recurrente en primer lugar, la nulidad de pleno derecho por infracción del principio de legalidad de los arts. 9.3, y 25 de la Constitución, y 26 de la Ley 40/2015, de 1 de octubre.

Se argumenta, que en la resolución sancionadora se basa en el...