ATS, 13 de Julio de 2023
| Jurisdicción | España |
| Fecha | 13 Julio 2023 |
| Emisor | Tribunal Supremo, sala tercera, (Contencioso Administrativo) |
TRIBUNAL SUPREMO
SALA DE LO CONTENCIOSO-ADMINISTRATIVO
SECCIÓN: PRIMERA
A U T O
Fecha del auto: 13/07/2023
Tipo de procedimiento: R. CASACION
Número del procedimiento: 3120/2023
Materia: AGENCIA ESPAÑOLA DE PROTECCION DE DATOS
Submateria:
Fallo/Acuerdo: Auto Admisión
Ponente: Excmo. Sr. D. José Manuel Bandrés Sánchez-Cruzat
Letrada de la Administración de Justicia: Ilma. Sra. Dña. Concepción De Marcos Valtierra
Secretaría de Sala Destino: 003
Transcrito por:
Nota:
R. CASACION núm.: 3120/2023
Ponente: Excmo. Sr. D. José Manuel Bandrés Sánchez-Cruzat
Letrada de la Administración de Justicia: Ilma. Sra. Dña. Concepción De Marcos Valtierra
TRIBUNAL SUPREMO
SALA DE LO CONTENCIOSO-ADMINISTRATIVO
SECCIÓN: PRIMERA
A U T O
Excmos. Sres.
D. Pablo Lucas Murillo de la Cueva, presidente
D. José Manuel Bandrés Sánchez-Cruzat
D. Antonio Jesús Fonseca-Herrero Raimundo
D. Fernando Román García
D. Isaac Merino Jara
En Madrid, a 13 de julio de 2023.
La Sección Primera de la Sala de lo Contencioso-administrativo de la Audiencia Nacional, dictó, con fecha 9 de febrero de 2023, sentencia desestimatoria del recurso contencioso-administrativo n.º 770/2022, interpuesto frente a la Resolución de la Directora de la Agencia Española de Protección de Datos de fecha 21 de enero de 2022 que confirma en reposición la Resolución de 10 de noviembre 2021 (PS/2770/2021), en virtud de la cual se impone a Xfera Móviles S.A, una sanción de 200.000 €, por la vulneración de lo dispuesto en el artículo 5.1.f), sobre principios relativos al tratamiento de datos personales, del Reglamento (UE) 2016/79 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, ( Reglamento General de Protección de Datos), tipificada en el artículo 83.5.a) de dicho Reglamento y calificada como muy grave a efectos de prescripción en el artículo 72.1.a) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.
Razona la sentencia para desestimar el recurso que no se ha producido la caducidad de las actuaciones previas, pues el plazo de 12 meses fijado en el artículo 67.2 de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos de personales y garantía de los derechos digitales, resulta de aplicación a la suspensión de plazos establecida por la citada normativa al caso de autos, de tal forma que el plazo de caducidad quedó suspendido a partir del 14 de marzo de 2020 al declararse el estado de alarma, y permaneció así hasta que se alzó la suspensión el 1 de junio de 2020 en que se reanudó su computo, de tal forma que cuando se dictó 12 de febrero 2020 el acuerdo de inicio, la misma fecha en que se puso a disposición de la recurrente en la sede electrónica de la Administración, que debe tomarse como término final del cómputo del plazo a efectos de caducidad (ex artículo 43.3 en relación con el 40.4, ambos de la Ley 39/2015, de 1 de octubre) no se había producido la caducidad, ya que los 12 meses vencían el 13 de febrero 2020. Asimismo, niega que se haya producido incongruencia omisiva y respecto a la tipificación de los hechos, considera correctamente apreciada la vulneración del artículo 5.1.f), sobre principios relativos al tratamiento de los datos personales, del RGPD por lo que rechaza la existencia de un error de tipificación, pues de la lectura del citado artículo 5.1.f) RGPD, se desprende que no se limita a enunciar uno de los principios básicos para el tratamiento (de integridad y confidencialidad), ni puede conceptuarse de genérico e impreciso, o de insuficiente determinación de la conducta sancionada, sino que permite predecir con suficiente grado de certeza las conductas que constituyen infracción, por lo que conforme reiterada doctrina del Tribunal Constitucional no vulnera el principio de tipicidad. Asimismo, señala que concurre el elemento subjetivo de la culpabilidad necesario para poder sancionar, incompatible con la existencia del error invencible alegado, ni tampoco se ha vulnerado el principio de confianza legítima y mala fe administrativa, así como la necesidad y proporcionalidad de la sanción impuesta.
Notificada la sentencia, la representación procesal de XFERA MOVILES SAU ha preparado recurso de casación en el que invoca la infracción del artículo 67.2 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en relación con la disposición adicional tercera del Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19. Asimismo, considera que infringe la doctrina de la Sala 3ª del Tribunal Supremo en relación con el llamado "principio de especialidad", resumido en el brocardo specialia generalibus derogant; y ello al entender conforme a derecho que la AEPD, en lugar de encuadrar la supuesta infracción cometida en la norma que se ajustaba más exactamente al supuesto de hecho (el art. 32 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 -RGPD- que regula la aplicación de medidas de seguridad a un concreto tratamiento de datos personales), optase por calificarla arbitrariamente como infracción de un artículo más vago y abstracto (el art. 5 RGPD, que formula los principios generales de la protección de datos).
Como justificación del interés casacional objetivo los artículos 88.3 a) y d) y 88.2 c) y f) de la Ley Jurisdiccional 29/1998 (LJCA) pues nos encontramos ante un recurso contra un acto de una agencia estatal cuyo enjuiciamiento correspondió, en única instancia, a la Sala de lo Contencioso-administrativo de la Audiencia Nacional. No existe jurisprudencia del Tribunal Supremo que permita dar respuesta a la cuestión consiste en determinar la incidencia de la disposición adicional tercera del Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19, en la caducidad de las actuaciones previas de investigación llevadas a cabo con carácter previo al inicio de un procedimiento sancionador, y si resulta conforme a derecho calificar una infracción de la normativa de protección de datos derivada de la implementación de medidas de seguridad inadecuadas o insuficientes como contraria al artículo 5.1.f) del RGPD, en lugar de entender vulnerado el artículo 32 del mismo cuerpo legal.
La Sala de instancia tuvo por preparado el recurso por auto de 10 de noviembre de 2022, ordenando el emplazamiento de las partes para su comparecencia dentro del plazo de treinta días ante esta Sala, así como la remisión de los autos originales y del expediente administrativo.
Se ha personado ante esta Sala, la representación procesal de la entidad XFERA MOVILES SAU, en concepto de parte recurrente, así como el Abogado del Estado, en concepto de parte recurrida.
Es Magistrado Ponente el Excmo. Sr. D. José Manuel Bandrés Sánchez-Cruzat, Magistrado de la Sala.
El escrito de preparación cumple, desde el punto de vista formal, con las exigencias del artículo 89 LJCA, por lo que nada puede oponerse, por tanto, a la admisibilidad del recurso desde el punto de vista de los subapartados a), b) y d) del artículo 89.2 LJCA.
El debate jurídico en instancia se ha centrado en la vulneración del artículo 5.1.f) RGPD porque el principio de confidencialidad de los datos se ha visto afectado dado que XFERA facilitó a personas distintas del titular del teléfono móvil duplicados de tarjetas SIM, que constituyen el soporte mediante el cual se accede a datos de carácter personal del afectado. Acceso a datos personales del titular por un tercero que se produjo debido a que Xfera no contaba con medidas suficientes ni adecuadas en los términos del reseñado art. 5.1.f) del RGPD para comprobar que la persona que solicita el duplicado de la tarjeta SIM es el titular de la misma. La Sala considera que no se ha producido la caducidad de las actuaciones previas dado que el plazo de caducidad quedó suspendido a partir del 14 de marzo de 2020 al declararse el estado de alarma, y permaneció así hasta que se alzó la suspensión el 1 de junio de 2020 en que se reanudó su computo, y que se ha vulnerado lo dispuesto por el artículo 5.1.f) del RGPD, por lo que rechaza la existencia de un error de tipificación.
Partiendo de lo anterior, el interrogante jurídico que se suscita en este recurso no carece manifiestamente de interés casacional objetivo y plantea cuestiones jurídicas de alcance general, referida a la infracción de la normativa de protección de datos derivada de la implementación de medidas de seguridad inadecuadas o insuficientes, que trascienden del caso objeto del proceso, por lo que procede la admisión del recurso por concurrir la presunción legal establecida en el artículo 88.3.a) LJCA y el supuesto de interés casacional objetivo para la formación de jurisprudencia previsto en el artículo 88.3.d) LJCA, también invocado por la recurrente.
Por tanto, en virtud de lo dispuesto en los artículos 88.1 y 90.4 de la LJCA, procede admitir a trámite el recurso de casación, y declaramos que la cuestión que presenta interés casacional objetivo para la formación de jurisprudencia consiste en: i) interpretar los artículos 5.1.f), sobre principios relativos al tratamiento de los datos personales, y el artículo 32, sobre seguridad del tratamiento, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, a fin de determinar si la conducta infractora, consistente en facilitar el acceso a unos duplicados de tarjetas SIM solicitados de forma fraudulenta, debe ser considerada como un incumplimiento del artículo 5.1.f) del RGPD, o ha de ser subsumida en el artículo 32 del RGPD; ii) así como interpretar la disposición adicional tercera del Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19, a fin de determinar si resulta de aplicación la suspensión de plazos establecida por la citada normativa a la caducidad de las actuaciones previas.
Los preceptos que, en principio, será objeto de interpretación son los artículos 5.1.f) y 32 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, y la disposición adicional tercera del Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19. Todo ello, sin perjuicio de que la sentencia pueda extenderse a otras cuestiones y normas jurídicas si así lo exigiere el debate finalmente trabado en el recurso, ex artículo 90.4 de la LJCA.
Conforme a lo dispuesto en el artículo 90.7 de la LJCA, este auto se publicará en la página web del Tribunal Supremo.
-
) Admitir el recurso de casación n.º 3120/2023 preparado por la representación procesal de XFERA MOVILES SAU contra la sentencia dictada por la Sección Primera de la Sala de lo Contencioso-administrativo de la Audiencia Nacional, de fecha 9 de febrero de 2023, desestimatoria del recurso contencioso-administrativo n.º 770/2022.
-
) Declarar que la cuestión planteada en el recurso que presenta interés casacional objetivo para la formación de la jurisprudencia consiste en: i) interpretar los artículos 5.1.f), sobre principios relativos al tratamiento de los datos personales, y el artículo 32, sobre seguridad del tratamiento, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, a fin de determinar si la conducta infractora, consistente en facilitar el acceso a unos duplicados de tarjetas SIM solicitados de forma fraudulenta, debe ser considerada como un incumplimiento del artículo 5.1.f) del RGPD, o ha de ser subsumida en el artículo 32 del RGPD; ii) así como interpretar la disposición adicional tercera del Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19, a fin de determinar si resulta de aplicación la suspensión de plazos establecida por la citada normativa a la caducidad de las actuaciones previas.
-
) Identificar como normas jurídicas que, en principio, serán objeto de interpretación: los artículos 5.1.f) y 32 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, y la disposición adicional tercera del Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19, sin perjuicio de que la sentencia haya de extenderse a otras cuestiones o normas si así lo exigiere el debate finalmente trabado en el recurso.
-
) Ordenar la publicación de este auto en la página web del Tribunal Supremo, haciendo referencia al mismo, con sucinta mención de las normas que serán objeto de interpretación.
-
) Comunicar inmediatamente a la Sala de instancia la decisión adoptada en este auto.
-
) Para la sustanciación del recurso, remítanse las actuaciones a la Sección Tercera de esta Sala, a la que corresponde con arreglo a las normas sobre reparto de asuntos.
Así lo acuerdan y firman.
