STS, 24 de Octubre de 2013

Ponente:JOSE MARIA DEL RIEGO VALLEDOR
Número de Recurso:533/2011
Procedimiento:RECURSO CASACIÓN
Fecha de Resolución:24 de Octubre de 2013
Emisor:Tribunal Supremo - Sala Tercera, de lo Contencioso-Administrativo
 
ÍNDICE
CONTENIDO

SENTENCIA

En la Villa de Madrid, a veinticuatro de Octubre de dos mil trece.

Visto por esta Sección Sexta de la Sala Tercera del Tribunal Supremo el recurso de casación número 533/2011, interpuesto por el Procurador D. Isacio Calleja García en representación de Saberlotodo Internet, S.L., contra la sentencia de 8 de octubre de 2010, dictada por la Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, en el recurso número 179/2009 , sobre sanción por infracciones de la Ley Orgánica de Protección de Datos, en el que ha intervenido como parte recurrida la Administración General del Estado, representada por el Abogado del Estado .

ANTECEDENTES DE HECHO

PRIMERO

La Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, dictó sentencia el 8 de octubre de 2010 , con los siguientes pronunciamientos en su parte dispositiva:

"DESESTIMAR el recurso contencioso administrativo interpuesto por la representación procesal de Saberlotodo Internet S.L. frente la resolución de la Agencia Española de Protección de Datos de 30 de diciembre de 2008 que impone dos sanciones de 300.506,05 euros, y de 60.101,21 euros respectivamente, resolución que confirmamos, dada su conformidad a derecho, sin imposición de costas a ninguna de las partes."

SEGUNDO

Notificada la sentencia, se presentó escrito por la representación procesal de Saberlotodo Internet, S.L., ante la Sala de lo Contencioso Administrativo de la Audiencia Nacional, manifestando su intención de interponer recurso de casación, y el Secretario Judicial, por diligencia de ordenación de 14 de enero de 2011, tuvo por preparado el recurso, con emplazamiento de las partes ante esta Sala del Tribunal Supremo.

TERCERO

Con fecha 1 de marzo de 2011, la parte recurrente presentó escrito de interposición del recurso de casación, en el que expuso los motivos en que se fundamentaba, y solicitó a esta Sala que dicte sentencia casando la sentencia impugnada, declarándola nula y no ajustada a Derecho.

Con fecha 24 de noviembre de 2011, se dictó auto por la Sección 1ª de esta Sala, que acordó admitir el recurso de casación contra la sanción por importe de 300.506,05 euros, e inadmitir el referido recurso de casación con respecto a la sanción por importe de 60.101,21 euros.

CUARTO

Se dio traslado a la parte recurrida para que formulara su oposición, lo que verificó por escrito de 23 de marzo de 2012, en el que solicitó a la Sala que dicte sentencia desestimando el recurso.

QUINTO

Por providencia de 30 de septiembre de 2013 se dio traslado a las partes para alegaciones sobre la incidencia que pudiera tener en el presente recurso la modificación de la LO 15/99 de 13 de diciembre de Protección de Datos de Carácter Personal, por la Disposición Final 56ª de la ley 2/2011, de 4 de marzo, de Economía Sostenible , y presentaron sus escritos de alegaciones la representación de la parte recurrente el 8 de octubre de 2013 y el Abogado del Estado el 9 de octubre de 2013.

SEXTO

Se señaló para votación y fallo el día 15 de octubre de 2013, fecha en que tal diligencia tuvo lugar.

Siendo Ponente el Excmo. Sr. D. Jose Maria del Riego Valledor, Magistrado de la Sala.

FUNDAMENTOS DE DERECHO

PRIMERO

Se interpone recurso de casación contra la sentencia de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, de 8 de octubre de 2010 , que desestimó el recurso contencioso administrativo interpuesto por Saberlotodo Internet SL, también ahora parte recurrente, contra la Resolución de la Agencia Española de Protección de Datos (AEPD) de 30 de diciembre de 2008, que le impuso dos sanciones: una sanción de multa de 60.101,21 euros por una infracción grave del artículo 6.1 en relación con el artículo 44.3.d) LOPD y una sanción de multa de 300.506,05 euros por una infracción muy grave del artículo 11.1 en relación con el artículo 44.4.b) LOPD .

Como antecedentes del caso deben reseñarse los hechos que la sentencia impugnada declaró probados:

1º: Con fecha 09/01/2007, D. Jose Pedro interpuso reclamación ante la Agencia Española de Protección de Datos por la inclusión de sus datos personales en el fichero de solvencia patrimonial y crédito "Asnef", por una deuda correspondiente a unos servicios que había dado de baja, y sin que hubiera recibido factura ni escrito de ningún otro tipo de CABLEUROPA en el domicilio comunicado a CABLEUROPA en el contrato (c/ DIRECCION000 NUM000 , NUM001 de Murcia), ni en el que comunicó en la solicitud de cancelación de los servicios (c/ DIRECCION001 NUM002 10300, Navalmoral de la Mata, Cáceres).

2º: D. Jose Pedro ha aportado copia de un escrito remitido por fax a CABLEUROPA con fecha 07/04/2006 y del informe de transmisión del mismo. En este escrito comunicaba la cancelación del contrato y su nuevo domicilio "c/ DIRECCION001 NUM002 10300, Navalmoral de la Mata, Cáceres". En el mismo escrito solicitaba la cancelación de sus datos personales.

3º: D. Jose Pedro ha aportado copia de un escrito, de fecha 10/07/2006, remitido por INTRUM JUSTITIA a la dirección de sus padres (C/ DIRECCION002 NUM003 de San Sebastian de los Reyes, Madrid), reclamando una deuda de 113,97 euros en nombre de CABLEUROPA.

4º: En los sistemas de CABLEUROPA figura a nombre de D. Jose Pedro el servicio combinado "Combo Teléfono + DTV + Internet", instalado el 03/02/2006 y desconectado el 21/04/2004 constando la dirección C/ DIRECCION000 NUM000 , NUM001 de Murcia (...)

7º: Con fecha 01/05/2006, CABLEUROPA e INTRUM JUSTITIA IBÉRICA, S.A. suscribieron un contrato de prestación de servicios, que tiene por objeto la realización por INTRUM JUSTITIA IBÉRICA, S.A.U. en favor de CABLEUROPA, "para los asuntos que ésta le encomiende, el servicio de gestión y control de cobro de las cantidades que los clientes de ONO (CABLEUROPA) y sus fiadores le adeuden, tanto en gestión amistosa y extrajudicial como en gestión judicial, y tanto de los expedientes de impagados actualmente en curso, como de los que ONO crea conveniente encargar a INTRUM en adelante" (...)

10º: INTRUM JUSTITIA ha realizado gestiones para el recobro de la deuda en los domicilios y teléfonos obtenidos en la página web www.saberlotodo.com, aportando la impresión de dos pantallas efectuada con fecha 15/02/2007: Nombre y apellidos: Jose Pedro , Provincia Nacimiento: (.....). Población Nacimiento: (....). Fecha Nacimiento:(...). Domicilio actual: C/ DIRECCION002 NUM003 de San Sebastian de los Reyes, Madrid. Domicilio anterior: C/ DIRECCION002 NUM003 de San Sebastian de los Reyes, Madrid, y el resultado de una búsqueda efectuada.

11º: La entidad SABERLOTODO consta inscrita en el Registro Mercantil de Alicante, y tiene como objeto social la explotación electrónica de datos por cuenta de terceros, a saber: La prestación de servicios de estudio y análisis de procesos para su tratamiento de mecánico, de programación para equipos electrónicos.

12º: Con fecha 01/04/2005, SABERLOTODO e INTRUM JUSTITIA formalizaron un contrato de prestación de servicios que tenía por objeto "la prestación del servicio de suministro de información por parte de SABERLOTODO.COM a INTRUM JUSTITIA IBÉRICA, S.A. a través de la red de Internet, en concreto a través de la página web www.saberlotodo.com (...)

14º: SABERLOTODO ha aportado copia de tres comunicaciones, que manifiesta haber remitido al denunciante, fechadas el 05/02/2004, 14/03/2005 y 06/04/2006, con un contenido similar, en el que se reseñan los datos relativos a D. Jose Pedro que constan en las "bases de datos" de SABERLOTODO. Ninguno de estos documentos aparece firmado por responsable alguno.

15º: En respuesta al requerimiento efectuado por el Instructor del procedimiento, el denunciante, D. Jose Pedro . ha comunicado que no ha recibido los escritos que SABERLOTODO manifiesta que le ha remitido y que, en consecuencia, no ha podido ejercer los derechos de acceso, cancelación u oposición, debido al desconocimiento de que esta entidad poseía su datos personales.

SEGUNDO

El recurso de casación interpuesto por Saberlotodo Internet SL se articula en tres motivos, el primero, formulado al amparo del artículo 88.1.d) LJCA , denuncia infracción de los artículos 42.2 y 6 , 69.2 , 74 y 75 de la Ley 30/1992 , al haberse producido caducidad del expediente, el motivo segundo denuncia vulneración del artículo 47.2 LOPD por haber prescrito la infracción, y el motivo tercero alega conculcación del artículo 27 LOPD .

Al haberse inadmitido, por el antes citado auto de esta Sala de 24 de noviembre de 2011 , el recurso de casación en relación con la infracción por la falta grave del artículo 6.1 en relación con el artículo 44.3.d) LOPD , limitamos el examen de los indicados motivos de casación en relación únicamente con la infracción muy grave del artículo 11.1 en relación con el artículo 44.4.b) LOPD , respecto de la que resultó admitido el recurso.

TERCERO

Antes de examinar los motivos del recurso hemos de indicar que esta Sala se ha pronunciado en tres ocasiones precedentes, en sentencias de 7 de Mayo de 2012 (recurso 3346/2009 ), 27 de junio de 2012 (recurso 5157/2009 ) y 14 noviembre de 2012 (recurso 4152/2010 ), en recursos promovidos por la misma recurrente, en relación con la misma clase de infracción y en base a similares motivos, por lo que por razones de unidad de criterio, seguimos ahora en lo que corresponda los razonamientos de nuestras resoluciones anteriores.

Como hemos indicado, el primer motivo del recurso de casación alega la caducidad del expediente sancionador por el tiempo transcurrido desde que se inició el expediente de oficio, por la presentación de la denuncia, al haber dilatado la AEPD las actuaciones previas hasta que acordó la incoación del expediente sancionador, invocando la sentencia de la Audiencia Nacional de 17 de octubre de 2007 , que apreció un fraude de ley en la utilización de las actuaciones previas, en las que se había producido un lapso de paralización importante.

Se está refiriendo la parte recurrente a la fase de actuaciones previas, que se desarrolló entre la denuncia efectuada por D. Jose Pedro , que tuvo entrada en la AEPD el 9 de enero de 2007, y el acuerdo de inicio del expediente sancionador de 7 de julio de 2008.

Estas actuaciones previas que puede realizar la AEPD con anterioridad a la iniciación del procedimiento sancionador, tienen hoy su regulación en los artículos 122 y siguientes del Reglamento de desarrollo de la LOPD , aprobado por RD 1720/2007 (LA LEY 13934/2007), de 13 de diciembre. Su objeto no es otro que el de comprobar si concurren las circunstancias que justifiquen la incoación del procedimiento sancionador, para lo que se orientan a determinar los hechos, identificar las personas responsables y fijar las circunstancias relevantes que concurran en el caso.

En particular, y a los efectos que ahora nos interesan, el artículo 122.4 del indicado Reglamento establece que estas actuaciones previas tendrán una duración máxima de doce meses, contados desde la denuncia, con la consecuencia de la caducidad de las actuaciones que excedan de dicho plazo antes de que haya sido dictado y notificado acuerdo de inicio de procedimiento sancionador.

Sin embargo, el RD 1720/2007, que aprobó el Reglamento de la LOPD y estableció ese plazo máximo de doce meses de duración de las actuaciones previas, no es de aplicación en el presente caso, pues el RD entró en vigor a los tres meses de su íntegra publicación en el BOE (la publicación tuvo lugar el 19 de enero de 2008), mientras que las actuaciones previas a que se refiere este recurso se iniciaron como hemos visto el 9 de enero de 2007, esto es, un año y tres meses antes de la entrada en vigor del Reglamento. La Disposición Transitoria Quinta del RD estableció un régimen transitorio para la entrada en vigor de las normas sobre actuaciones previas, aplicable en el presente supuesto, conforme al cual a las actuaciones previas iniciadas antes de la entrada en vigor del RD no les será de aplicación el mismo, sino que se regirán por la normativa anterior.

La normativa anterior, por la que se rigen las actuaciones previas que ahora examinamos, estaba constituida por la propia LOPD y por el RD 1332/1994, de 20 de junio, que no establecían plazo máximo de duración para las mismas.

Por tanto, la duración de las actuaciones previas a que se refiere la parte recurrente, entre el 9 de enero de 2007, y el Acuerdo de inicio del expediente sancionador, de 7 de julio de 2008, no infringe norma alguna sobre plazo de duración máxima del expediente que resultara aplicable.

El artículo 18.3 de la LOPD , que se invoca en el recurso de casación, establece el plazo máximo de 6 meses para dictarse la resolución expresa de tutela de derechos, y se está por tanto refiriendo al procedimiento de tutela de los derechos de acceso, rectificación, cancelación y oposición, sin que sea de aplicación al procedimiento sancionador. Tampoco existe la infracción del artículo 42.2 de la ley 30/1992 , que establece que el plazo máximo para la notificación de la resolución expresa será el fijado en la norma reguladora del procedimiento, que no puede exceder de 6 meses, porque de acuerdo con el apartado 3 del mismo precepto, tal plazo se computa, en el caso de los procedimientos iniciados de oficio, como es el caso del procedimiento sancionador de la LOPD, desde la fecha del acuerdo de iniciación.

Tampoco puede tener acogida el motivo del recurso relativo a la vulneración de los principios de tutela judicial y seguridad jurídica por el cambio de criterio de la Sección 1ª de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, en relación con la sentencia de dicho órgano judicial, de 17 de octubre de 2007 , pues la propia sentencia impugnada explica que, a partir de la sentencia de 19 de noviembre de 2008 , abandonó el criterio que había sostenido en la sentencia precedente, de considerar la paralización de las actuaciones previas como un supuesto de fraude de ley, por entender que no quedaba acreditada la intención antijurídica de evitar la caducidad del expediente sancionador.

A la vista de las anteriores consideraciones, no existe la quiebra de los principios de tutela judicial y seguridad jurídica que invoca la parte recurrente, pues la Sala justificó razonadamente su cambio de criterio, ajustándolo a las exigencias de la doctrina del Tribunal Constitucional, expresada entre otras muchas en la STC 2/2007 , que admite que los órganos judiciales pueden separarse de sus precedentes "si el cambio de criterio se fundamenta en razones jurídicas objetivas y se efectúa con vocación de futuro y de generalidad", como sucedió en el presente caso.

Por las razones anteriores no puede acogerse este primer motivo.

CUARTO

El segundo motivo del recurso denuncia infracción del artículo 47.2 LOPD , sobre plazos de prescripción, pues considera la parte recurrente que el inicio del cómputo de dichos plazos ha de situarse en el momento en que dispone de los datos del denunciante, lo que sucedió al menos el 5 de febrero de 2004, día en que la recurrente dejó en el domicilio del denunciante una carta que contenía la comunicación del dato y la inclusión del mismo en el fichero de la recurrente, y en el caso de la infracción de cesión de datos, el inicio del cómputo debe situarse en la fecha de la firma del contrato con Intrum Justicia, el 1 de abril de 2005, por lo que entiende transcurrido sobradamente el plazo de prescripción de dos años establecidos para las infracciones graves y el de tres años para las infracciones muy graves.

Al haberse inadmitido el recurso de casación en relación con la falta grave, nos limitamos al examen de las alegaciones de la parte recurrente en relación con la prescripción de la falta muy grave.

Son aplicables las reglas del artículo 47 LOPD , apartados 1, 2 y 3, que establecen que las infracciones muy graves prescriben a los tres años, que el cómputo de este plazo comenzará el día en que la infracción se hubiera cometido y que la iniciación del procedimiento sancionador, con conocimiento del interesado, interrumpe la prescripción.

La discrepancia del recurso con la sentencia impugnada se sitúa en la determinación del día de inicio del cómputo del plazo de tres años de la prescripción. La parte recurrente sitúa dicha fecha en el momento de la firma del contrato con Intrum Justicia, el 1 de abril de 2005, pero ha de reconocerse que el contrato celebrado era de prestación de servicios, y en su ejecución aparecen fechas posteriores que tienen eficacia para interrumpir la prescripción, como la fecha de 18 de junio de 2006 que toma como referencia el Tribunal de instancia, que fue la fecha de comunicación material del dato, pues como explica la sentencia impugnada "...se desprende de la documentación del expediente (muy especialmente de los folios 36 y 37 en relación con el 44 del mismo), que tal cesión o comunicación tuvo lugar con posterioridad al 18 de junio de 2006, al ser ésta la fecha en la que Intrum Justitia, según sus propias manifestaciones, recibe el encargo de la gestión de recobro respecto del Sr. Jose Pedro y ser a continuación, siempre según sus manifestaciones, cuando accede a la Pag. www.saberlotodo.com a fin de obtener mayor información sobre dicho deudor."

De esta manera fijó la sentencia impugnada el dato fáctico de la fecha de materialización de la cesión de datos personales de la recurrente a Intrum Justitia, sin que la parte recurrente haya mostrado -ni siquiera alegado- la equivocación de la Sala de instancia en este punto, por lo que debe reconocerse que entre esa fecha y la notificación de la incoación del procedimiento sancionador, que se produjo el 4 de julio de 2008, de acuerdo con la sentencia impugnada que no ha sido rebatida en este extremo, o en la fecha posterior de 9 de julio de 2008, según reconoce en su escrito de alegaciones el representante y administrador único de la entidad recurrente (folio 178 del expediente administrativo), no se ha llegado a completar el plazo de 3 años de prescripción.

Se desestima por tanto el motivo segundo del recurso de casación.

QUINTO

En el motivo tercero del recurso, la parte recurrente alega la vulneración por la sentencia impugnada del artículo 27 LOPD e indefensión, al exigirse un requisito no contenido en el mismo, pues la parte recurrente ha comunicado al afectado, por medio de cartas remitidas por un tercero, la inclusión de sus datos en la base de datos que explotaba, a lo que añade que el denunciante ha observado una conducta pasiva a lo largo de la tramitación del procedimiento en lo referente a negar la recepción de las cartas enviadas, existiendo pruebas fehacientes de que dichas cartas fueron enviadas al denunciante y este no se opuso a su recepción.

Las alegaciones de este motivo, así como la documentación que cita la parte recurrente consistente en unas cartas remitidas al denunciante, se refieren a la infracción grave de registro en los ficheros de la recurrente de los datos del denunciante, sin haber acreditado que contaba con su autorización, por lo que carecen de relación dichas alegaciones con la infracción muy grave de cesión indebida de datos personales.

En todo caso, la sentencia impugnada analizó las comunicaciones a que se refiere la parte recurrente, y llegó a la conclusión de tener por acreditado "que Saberlotodo registró en sus ficheros los datos personales del nuevo domicilio del denunciante, sin que se haya demostrado que concurra ninguna de las circunstancias previstas en el artículo 6.2, por lo que ha vulnerado el principio de consentimiento recogido en el artículo 6 de la LOPD ."

Esta Sala ha manifestado en numerosas ocasiones que la valoración de la prueba corresponde al órgano judicial de instancia, sin que pueda ser sustituido en esta tarea por el Tribunal de casación. Así, la sentencia de 4 de mayo de 2010 (recurso 6757/2005 ), con cita de otras anteriores, señala que "es ya doctrina reiterada de esta Sala que la formación de la convicción sobre los hechos en presencia para resolver las cuestiones objeto del debate procesal está atribuida al órgano judicial que, con inmediación, se encuentra en condiciones de examinar los medios probatorios, sin que pueda ser sustituido en tal cometido por este Tribunal de casación, puesto que la errónea valoración probatoria ha sido excluida del recurso de casación en la jurisdicción civil por la Ley de Medidas Urgentes de Reforma Procesal, y no ha sido incluida como motivo de casación en el orden contencioso-administrativo" , salvo que se sostenga y se demuestre, invocando el motivo de las letra d) del artículo 88, apartado 1, de la Ley 29/1998 , la infracción de algún precepto que discipline la apreciación de pruebas tasadas o que esa valoración resulta arbitraria o ilógica, lo que no ha sido el caso de este recurso.

Conforme a lo razonado no cabe acoger el tercero de los motivos del recurso de casación.

SEXTO

La resolución sancionadora de la APD calificó la cesión de datos a que nos venimos refiriendo como infracción muy grave del artículo 44.4.b) LOPD , en la redacción vigente en el momento de los hechos y, de conformidad con el artículo 45.3 y 4 del mismo texto legal , impuso a la entidad recurrente la sanción de multa en la cuantía mínima prevista para dichas infracciones de 300.506,05 euros.

Sin embargo, con posterioridad a la fecha de la sentencia impugnada, y en el curso de la tramitación del presente recurso de casación, la disposición final 56ª de la Ley 2/2011, de 4 de marzo, de Economía Sostenible , modificó el régimen sancionador de la LOPD, por lo que esta Sala dio traslado a las partes, a fin de oírles sobre los efectos de dicho cambio legislativo en el presente recurso, habiendo efectuado alegaciones el Abogado del Estado, que estimó que debía aplicarse el régimen sancionador resultante de la innovación legislativa, y la sociedad recurrente, que sostuvo que debía aplicarse de manera retroactiva el nuevo régimen sancionador más favorable, en lo que afecta a la tipificación de los hechos como falta grave, y en lo relativo a la aplicación del período prescriptivo de las faltas graves.

SÉPTIMO

Por lo que se refiere, en primer lugar, a la calificación de los hechos, el artículo 44.4.b) LOPD aplicado por la resolución sancionadora establecía que era infracción muy grave: "...la comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas."

La modificación operada por la disposición final 56ª de la ley 2/2011, de 4 de marzo, de Economía Sostenible afectó, entre otros, al citado artículo 44.4.b) LOPD , que en su nueva redacción califica de infracción muy grave:

Tratar o ceder los datos de carácter personal a los que se refieren los apartados 2 , 3 y 5 del artículo 7 de esta Ley salvo en los supuestos en que la misma lo autoriza o violentar la prohibición contenida en el apartado 4 del artículo 7 .

De esta manera, tras la entrada en vigor de la reforma operada en la LOPD por la Ley 2/2011, sólo está tipificado como infracción muy grave el tratamiento o cesión que afecte a los datos especialmente protegidos a que se refieren los apartados 2 , 3 y 5 del artículo 7 LOPD , que son los relativos a la ideología, afiliación sindical, religión y creencias, los que hagan referencia al origen racial, a la salud y a la vida sexual y los relativos a la comisión de infracciones penales o administrativas, mientras que las demás cesiones que no tengan por objeto esta clase de datos se tipifican como falta grave en el artículo 44.3.k) LOPD , que se refiere a:

"La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave."

En este recurso consta, según declara con carácter de hecho probado la sentencia impugnada (FD 4º), que los datos comunicados por Saberlotodo Internet S.L. fueron los de la población de nacimiento, fecha de nacimiento, y domicilio, con número, piso y calle, que no están incluidos entre los datos de especial protección del artículo 7 de la LOPD , por lo que en la redacción de la LOPD efectuada por la reforma legislativa a que hemos hecho referencia, la cesión de dichos datos constituye la falta grave del artículo 44.3.k) LOPD .

De acuerdo con el artículo 128.2 de la ley 30/1992 , de 28 de noviembre, las disposiciones sancionadoras producirán efecto retroactivo en cuanto favorezcan al presunto infractor.

Esta Sala ha señalado en sentencias de 24 de enero de 2006 (recurso 419/2002 ), 31 de enero de 2007 (recurso 8873/2003 ) y 13 de febrero de 2008 (recurso 2110/2004 ), que el principio de retroactividad de las normas administrativas sancionadoras obliga a aplicar retroactivamente dichas normas en todo aquello que pudiera ser más beneficioso para el presunto infractor, y "...tal aplicación debe llevarse a cabo en cualquier instancia administrativa o judicial donde se encuentre pendiente de enjuiciamiento o ejecución una resolución sancionadora, ya que no tendría sentido confirmar judicialmente la legalidad de una resolución administrativa, según la normativa vigente cuando fue dictada, para que la Administración proceda a dictar seguidamente otra que aplique retroactivamente la nueva norma sancionadora más favorable, resolución esta última que podría ser objeto de un nuevo recurso judicial."

En aplicación del anterior criterio jurisprudencial procede, no obstante la desestimación de los motivos del recurso de casación, que apliquemos de forma retroactiva el nuevo régimen sancionador de la LOPD, más favorable para el recurrente al tipificar los hechos como falta grave, declarando procedente la sanción establecida por el artículo 45.2 LOPD para dichas faltas, en su cuantía mínima de 40.001 euros, al no haber apreciado la resolución sancionadora la concurrencia de ningún criterio de graduación.

OCTAVO

El artículo 47.1 LOPD establece el distinto plazo de prescripción de 3 años para las infracciones muy graves y 2 años para las infracciones graves, y la sentencia impugnada examinó las alegaciones efectuadas por la parte recurrente en relación con el vencimiento del plazo de prescripción, siendo pacífico entre las partes que el plazo de prescripción aplicable, atendida la calificación en la legislación entonces vigente de los hechos como infracción muy grave, era el de tres años.

Sin embargo, por razón de haber quedado los hechos tipificados como falta grave en la legislación sancionadora posterior más favorable, nos hemos de plantear si ha transcurrido en el presente caso el plazo de prescripción de dos años de las faltas graves, como mantiene la parte recurrente en el trámite de alegaciones sobre los efectos en este recurso de la reforma efectuada por la Ley 2/2011.

En la aplicación del plazo de prescripción hemos de decidir la fecha de inicio del cómputo del plazo aplicable de 2 años, que de conformidad con el artículo 47.2 LOPD comenzará a contarse desde el día en que la infracción se hubiera cometido.

Tal regla, similar a la establecida con carácter general en el artículo 132 LRJPAC, es de aplicación en los casos de infracciones instantáneas ya finalizadas, pero obliga a efectuar algunas matizaciones, a fin de determinar cuándo se han de considerar cometidas las infracciones continuadas y las infracciones permanentes.

A la infracción continuada se refiere el artículo 4.6, párrafo 2º, del Reglamento de procedimiento para el ejercicio de la potestad sancionadora, aprobado por Real Decreto 1398/1993, de 4 de agosto (RPEPS), que establece que "será sancionable, como infracción continuada, la realización de una pluralidad de acciones u omisiones que infrinjan el mismo o semejantes preceptos administrativos, en ejecución de un plan preconcebido o aprovechando idéntica ocasión."

A diferencia de la infracción continuada que exige pluralidad de acciones que infrinjan el mismo precepto, y por ello constituye un concurso real de ilícitos, la infracción permanente no requiere un concurso de ilícitos, sino una única acción de carácter duradero, cuyo contenido antijurídico se prolongue a lo largo del tiempo, en tanto el sujeto activo no decida cesar en la ejecución de su conducta.

En el ámbito del derecho penal la diferenciación entre las distintas clases de infracciones tiene trascendencia a los efectos de determinar la fecha inicial del cómputo del plazo de prescripción, como resulta del artículo 132.1 del Código Penal , que al lado de la regla general de que los plazos de prescripción se computaran desde el día en que se haya cometido la infracción, establece reglas específicas para los casos de delito continuado y delito permanente, en que los plazos se computaran, respectivamente, desde el día en que se realizó la última infracción o desde que cesó la conducta.

Estas reglas y criterios procedentes del Derecho Penal han tenido acogida en la jurisprudencia de esta Sala a la hora del cómputo de los plazos de prescripción de las infracciones. En materia de protección de datos como la que nos ocupa, esta Sala ha distinguido, en sentencias de 7 de marzo de 2006 (recurso 1728/2002 ) y 20 de noviembre de 2007 (recurso 170/2003 ), entre infracciones continuadas, en los términos que las define el artículo 4.6 del RPEPS antes citado, y las infracciones permanentes, entendiendo como tales "aquellas conductas antijurídicas que persisten en el tiempo y no se agotan con un sólo acto, determinando el mantenimiento de la situación antijurídica a voluntad del autor" , y la sentencia de 23 de mayo de 2011 (recurso 912/2011 ), también contempla un supuesto que califica como infracción permanente, derivada en ese caso de mantener los datos inexactos en el fichero de morosos tras la cancelación de la deuda, con la consecuencia de considerar que el plazo prescriptivo no empieza a computarse mientras se mantiene la infracción.

En la aplicación de las anteriores reglas y criterios al presente caso, tenemos en cuenta que la sociedad recurrente fue sancionada por una falta muy grave, en la legislación vigente en el momento de los hechos, descrita en el artículo 11.1 en relación con la redacción anterior del artículo 44.4.b) LOPD , consistente en la cesión de datos personales a un tercero, sin el consentimiento del interesado.

Por cesión habremos de entender, conforme a la definición del artículo 3.i) LOPD , "toda revelación de datos realizada a una persona distinta del interesado" . Como señala la sentencia de esta Sala de 17 de septiembre de 2010 (recurso 4098/2006 ), se trata de un concepto amplio, que acoge toda comunicación o revelación de datos, sin que el precepto exija "la necesidad o requisito de que la revelación vaya acompañada de una entrega material de los datos ni, por supuesto, de una incorporación al fichero del cesionario. Lo único que exige el precepto legal es la acción de revelar, esto es, la de hacer saber cosas que se mantenían ocultas, sin requerir que tal forma de proceder revista una forma determinada".

La cesión o comunicación de datos puede consistir en una infracción instantánea, como era el caso examinado en la sentencia de esta Sala de 16 de marzo de 2010 (recurso 488/2004 ), citada por la sentencia impugnada, en la que una empresa "dio de ver" o comunicó a otra, con ocasión de la firma de un determinado contrato (de reserva de garantía o de compraventa de un inmueble), el dato de un número de teléfono móvil de un tercero, de suerte que se trató de una infracción instantánea de cesión de datos, que se agotó en el mismo momento de su consumación, razonando dicha sentencia que ese hecho no podía constituir una infracción continuada del artículo 11 LOPD , fundamentalmente porque no concurría el requisito de pluralidad de acciones, lo que no quiere decir que otros supuestos de cesión indebida de datos no puedan constituir infracción continuada o infracción permanente, si concurren los requisitos antes indicados.

En este caso, la empresa recurrente concertó un contrato de prestación de servicios con la empresa Intrum Iustitia, en fecha 1 de abril de 2005 (folios 80 a 84 del expediente), con el objeto de suministrarle información a través de la página web www.saberlotodo.com de forma continuada en el tiempo, y en el marco de dicha relación contractual reveló los datos del denunciante sin su consentimiento. Ahora bien, es de destacar que la comunicación o puesta a disposición indebida de tales datos no cesó en el momento de su entrega material, sino que dicha situación de antijuricidad se mantuvo durante la vigencia del contrato de prestación de servicios de suministro de datos, y al menos hasta el 15 de febrero de 2007, fecha en la que la recurrente continuaba su prestación contractual de comunicación de datos a Intrum Iustitia, como lo demuestra la copia de los datos obtenidos en esa fecha de la página web www.saberlotodo.com (folios 39 y 40 del expediente), que Intrum Iustitia aportó a la AEPD, por lo que hemos de calificar la infracción como permanente, de acuerdo con los anteriores razonamientos, por la prolongación de la situación antijurídica de cesión indebida de datos a lo largo del tiempo, sin que la parte recurrente optara por cesar en su conducta, y por ello, tomar como fecha de inicio del cómputo de la prescripción la citada de 15 de febrero de 2007, fecha en la que tenemos constancia que continuaba el suministro y cesión indebida de datos efectuado por la recurrente, de forma que en la fecha de inicio del expediente sancionador, el 4 de julio de 2008, no había llegado a completarse el plazo de prescripción de 2 años establecido por la legislación sancionadora para las faltas graves.

NOVENO

De conformidad de los anteriores razonamientos procede que, no obstante la desestimación de los motivos del recurso de casación, apliquemos de forma retroactiva el nuevo régimen sancionador de la LOPD, más favorable para el recurrente al tipificar los hechos como infracción grave, sin que pueda apreciarse la prescripción de la falta, y declaremos procedente la sanción establecida por el artículo 45.2 LOPD para dicha infracción, en su cuantía mínima de 40.001 euros, al no haber apreciado la resolución sancionadora la concurrencia de ningún criterio de graduación.

DECIMO

Al declararse no haber lugar al recurso de casación, procede imponer a la parte recurrente las costas del mismo, de conformidad con la regla del artículo 139.2 LJCA , si bien, la Sala haciendo uso de la facultad que le confiere el apartado tercero del citado precepto, limita a 4.000 € el importe máximo a reclamar por la parte recurrida, la Administración General del Estado, por todos los conceptos como costas procesales.

FALLAMOS

Que declaramos no haber lugar al presente recurso de casación número 533/2011, interpuesto por la representación procesal de Saberlotodo Internet, S.L., contra la sentencia de 8 de octubre de 2010, dictada por la Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, en el recurso número 179/2009 , y condenamos a la parte recurrente en las costas de casación, hasta el límite señalado en el último Fundamento de Derecho de esta sentencia.

No obstante lo anterior, y por aplicación retroactiva del régimen sancionador más favorable, resultante de la reforma efectuada en la Ley Orgánica de Protección de Datos por la Ley 2/2011, de 4 de marzo, de Economía Sostenible, la infracción ha de ser calificada como grave y su cuantía reducida al importe de 40.001 euros, como se razona en el Fundamento de Derecho Noveno de esta sentencia.

Así por esta nuestra sentencia, que se publicara en la colección legislativa, lo pronunciamos, mandamos y firmamos .

PUBLICACIÓN.- Leída y publicada ha sido la anterior sentencia por el Excmo. Sr. Magistrado Ponente D. Jose Maria del Riego Valledor, estando la Sala celebrando audiencia pública en el mismo día de su fecha, de lo que, como Secretario, certifico.