SAN, 18 de Mayo de 2006
| Ponente | MARIA LUZ LOURDES SANZ CALVO |
| Emisor | Audiencia Nacional. Sala Contencioso Administrativo, Sección 1ª |
| ECLI | ES:AN:2006:2359 |
| Número de Recurso | 517/2004 |
MARIA LUZ LOURDES SANZ CALVOMARIA NIEVES BUISAN GARCIAJOSE ARTURO FERNANDEZ GARCIAJOSE GUERRERO ZAPLANACARLOS LESMES SERRANO
SENTENCIA
Madrid, a dieciocho de mayo de dos mil seis.
Visto por la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional
el recurso contencioso administrativo número 517/2004 interpuesto por ECSA GESTORA S.L.
representada por el Procurador D. Juan Ignacio Ávila del Hierro contra la resolución del Director de
la Agencia Española de Protección de Datos, de fecha 29 de julio de 2004, habiendo sido parte en
autos la Administración General del Estado demandada, representada y defendida por el Abogado
del Estado.
Interpuesto recurso Contencioso-administrativo ante esta Sala de lo Contencioso administrativo de la Audiencia Nacional por la representación procesal de Ecsa Gestora S.L. y turnado a esta Sección, fue admitido a trámite registrándose con el número 517/2004, reclamándose el expediente administrativo, para, una vez recibido emplazar a la actora para que formalizara la demanda, lo que así se hizo en escrito en el que tras exponer los hechos y fundamentos de derecho qué consideró oportunos, terminó suplicando que se dicte sentencia por la que se anulen las dos sanciones impuestas por la resolución impugnada, por ser contrarias a derecho, con imposición de costas a la Administración demandada.
El Abogado del Estado contestó la demanda mediante escrito presentado en el que, tras formular las alegaciones que estimó procedentes, solicita el dictado de sentencia desestimando el recurso y confirmando la resolución impugnada por ser ajustada a derecho.
El recurso no se recibió a prueba, y evacuado el trámite de alegaciones, se señaló para deliberación y fallo el día 17 de mayo de 2006.
La cuantía del recurso se ha fijado en 60.702,22 euros.
Ha sido Ponente la Magistrada Ilma. Sra. Dª. MARÍA LOURDES SANZ CALVO.
Se impugna en el presente recurso contencioso-administrativo la resolución del Director de la Agencia Española de Protección de Datos de fecha 29 de julio de 2004, por la que se impone a la entidad Ecsa Gestora S.L.:
Una sanción de multa de 60.101,21 Euros por una infracción del artículo 6.1 de la LOPD tipificada como grave en el artículo 44.3 d) de dicha Ley .
Una sanción de multa de 601,101 Euros por una infracción del artículo 5, apartados 1 y 2 de la LOPD tipificada como leve en el artículo 44.2 d) de la citada Ley .
Se basa la citada resolución, para apreciar dichas infracciones, en el siguiente soporte fáctico:
Desde el 27/07/200, Ecsa Gestora, S.L. presta al Ayuntamiento de Gandia los servicios de retirada de vehículos, inmovilización y depósito de los mismos, mediante un acuerdo verbal entre la empresa y el citado Ayuntamiento, según consta en el punto 1.5 del Acta de inspección.
Existe un acuerdo verbal entre Ecsa Gestora S.L. y el Ayuntamiento de Gandia para la prestación del aludido servicio, sin que consten las garantías del artículo 12 de la Ley Orgánica 15/1999 .
Cuando el propietario del vehículo depositado es vecino del Ayuntamiento, Ecsa Gestora S.L. tiene acceso a los datos de identificación del vehículo, nombre, apellidos y D.N.I. de aquél existentes en el fichero "Padrón de vehículos" del Ayuntamiento, mediante la introducción en el fichero "Gespol" de los datos de matricula del vehículo depositado. Este acceso se realiza utilizando para ello los usuarios y contraseñas asignadas por el Ayuntamiento a Ecsa Gestora, S.L.
Si el propietario del vehículo no es vecino del municipio, Ecsa Gestora S.L. recaba los datos del nombre, apellidos, DNI y domicilio del titular del vehículo y, en su caso, de la persona que recoge el vehículo. Tales datos se transcriben manualmente en un recibo por los conceptos de "levantamiento y remolque" y "Almacenaje" y posteriormente los introduce en el fichero "Gespol" del Ayuntamiento de Gandia.
En el citado recibo no se incluye ninguna referencia al artículo 5 de la Ley Orgánica 15/1999. SEXTO: Los datos de D. Juan Pedro se encontraban registrados en los sistemas de información del Ayuntamiento en relación con la retirada de su vehículo en la vía pública, depósito del mismo y posterior recogida por el propietario del mismo. "
La parte demandante alega en apoyo de su pretensión impugnatoria los siguientes motivos:
-
Infracción de la doctrina reiterada del TS que declara que por las infracciones sobre régimen de protección de datos solo cabe sancionar a los responsables o titulares de los ficheros.
-
La Administración concesionaria es responsable de las infracciones propias como consecuencia de las acciones del concesionario que deriven de obligaciones impuestas directamente por la Administración.
-
Ausencia de culpabilidad.
-
Infracción del principio de proporcionalidad.
Siguiendo el orden expuesto en la demanda, comenzaremos por examinar el primer motivo de impugnación.
Se fundamenta en que el régimen sancionador previsto para las infracciones de protección de datos solo responde el responsable o titular del fichero, conforme reiterada jurisprudencia del TS, citando a tales efectos las sentencias de fechas 13 de abril, 20 de abril, 29 de julio y 3 de diciembre , todas ellas de 2002.
Las sentencias invocadas en la demanda han sido dictadas en aplicación de la Ley Orgánica 5/1992 (L.O.R.T.A.D), no de la L.O. 15/1999 , vigente al momento de los hechos aquí enjuiciados.
El artículo 42.1 de la L.O.R.T.A.D . sometía a su régimen sancionador solo a los responsables del fichero, en cambio en la vigente LOPD el ámbito subjetivo de responsabilidad se amplia y bajo su regulación se comprende en el artículo 43.1 además del responsable del fichero al encargado del tratamiento, así literalmente se dice "Los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador establecido en la presente Ley".
Ahora bien, como está Sala ha venido reiterando, véase la sentencia de 3 de marzo de 2004, recurso 346/2002 citada por la Abogacía del Estado, debe tenerse en cuenta que en la LOPD el responsable del fichero tiene una configuración más amplia que en la L.O.R.T.A.D. pues cuando el citado artículo 43.1 LOPD alude al responsable del fichero, esta expresión abarca ahora al responsable del tratamiento, según el artículo 3 d) de la citada Ley , que define al "responsable del fichero o tratamiento" como la "persona física o jurídica...que decida sobre la finalidad, contenido y uso del tratamiento".
En el artículo 3 g) de la LOPD se define al encargado del tratamiento como "la persona física o jurídica.....que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento".
En la SAN(1ª) de 11 de noviembre de 2004 (recurso 1161/2002 ), se dice en relación con las SSTS de 13 de abril y 3 de diciembre de 2002 -dos de las invocadas por el demandante- que "fueron dictadas en relación con resoluciones de la Agencia de Protección de Datos regidas todavía por la LO 5/!992 . Puede verse en este sentido nuestra SAN. 1ª, de 3 de noviembre de 2004 (Recurso 1151/2002 ) en el que también destacábamos que aunque la fundamentación de ambas sentencias contiene un breve inciso en el que se indica que la limitación subjetivo del régimen sancionador referido únicamente al responsable del fichero, ha sido mantenida en la LO 15/1999 , se trata, sin embargo, de una observación incidental que no forma parte de la ratio decidendi y que, precisamente por no ser necesaria para la resolución de aquellos litigios regidos por la normativa anterior, aparece formulada en las dos sentencias del TS sin que previamente se hayan examinado ni contrastado en ellas los matices diferenciadores de algunos preceptos de la Ley Orgánica 15/1999 con relación a sus antecedentes en la Ley Orgánica 5/1992 .
Abundando en esta línea de razonamientos podemos ahora decir que mientras la definición contenida en el artículo 3d de la antigua LO 5/1992 se refiere únicamente al responsable del fichero, el enunciado de artículo 3d de la vigente LO 15/1999 corresponde al responsable del fichero o tratamiento. A nuestro juicio este añadido, lejos de ser un simple matiz terminológico, comporta un ensanchamiento de la figura del responsable pues dentro de ella queda comprendido no solo quien gestiona por cuenta propia el conjunto de datos organizados que integran el fichero (responsable del fichero) sino también quienes suministran los datos que constituyen el contenido que a su vez determina el uso y finalidad del tratamiento.."
La reciente STS de 5 de junio de 2004 (recurso 39/2004 ) señala también en relación con las dos citadas sentencias de 13 de abril y 3 de diciembre de 2002 que " las sentencias de contraste contemplan una regulación -la de la LORTAD de 1992 - que en el problema que nos ocupa -y tal como expone muy claramente la sentencia impugnada, ejemplo de buen hacer judicial- ha cambiado sustancialmente en la nueva Ley 15/1999 de Protección de datos de carácter personal, que distribuye perfectamente entre responsable del fichero y responsable del tratamiento, y que en el titulo VII dedicado a regular las infracciones y sanciones dice muy claramente que «los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador establecido en la presente ley» (art. 43). Y siendo esto así es claro que no cabe apoyar el recurso en esas otras sentencias que se invocan como de contraste y que resolvieron como lo hicieron aplicando la ley de 1992, la cual ha sido sustancialmente modificada precisamente en la materia...
Para continuar leyendo
Solicita tu prueba