STS, 4 de Noviembre de 2013

• Jurisdicción: España
• Fecha: 04 Noviembre 2013
• Emisor: Tribunal Supremo, sala tercera, (Contencioso Administrativo)

Sentencia citada en: 109 sentencias, 3 artículos doctrinales, 7 resoluciones administrativas

SENTENCIA

En la Villa de Madrid, a cuatro de Noviembre de dos mil trece.

Vistos por la Sala Tercera, Sección Sexta, del Tribunal Supremo, constituida por los Señores al margen anotados, el presente recurso de casación, que con el número 251/11, ante la misma pende de resolución, interpuesto por SABERLOTODO INTERNET, S.L., contra la Sentencia de fecha 12 de noviembre de 2010, dictada por la Sala de lo Contencioso Administrativo de la Audiencia Nacional, Sección Primera, en el recurso contencioso administrativo número 660/08 , sobre imposición de sanción por infracción de la Ley Orgánica de Protección de Datos de Carácter Personal, siendo parte recurrida la Administración General del Estado

ANTECEDENTES DE HECHO

PRIMERO

La Sentencia recurrida contiene parte dispositiva del siguiente tenor literal: "FALLAMOS: Desestimar el recurso contencioso administrativo interpuesto por la representación procesal de Saberlotodo Internet SL, contra resolución de fecha 1 de septiembre de 2008 de la Agencia Española de Protección de Datos, dictada en Expediente Sancionador PS/00086/2008, por ser la misma conforme a derecho, sin imposición de costas a ninguna de las partes" .

SEGUNDO

Notificada la anterior Sentencia, la representación procesal de Saberlotodo S.L., presentó escrito, ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, Sección Primera, preparando recurso de casación contra la referida resolución. Por providencia, la Sala tuvo por preparado en tiempo y forma el recurso de casación, emplazando a las partes para que comparecieran ante el Tribunal Supremo.

TERCERO

Recibidas las actuaciones y el expediente administrativo ante este Tribunal, la parte recurrente se personó ante esta Sala y formuló escrito de interposición del recurso de casación, expresando los motivos en que se amparaba, suplicando que se tuviera por interpuesto el recurso de casación y "... en su día, dicte Sentencia casando aquélla, declarándola nula y no ajustada a Derecho" .

CUARTO

Teniendo por interpuesto y admitido el recurso de casación por esta Sala, se emplazó a la parte recurrida para que en el plazo de treinta días formalizara su escrito de oposición, lo que verificó en tiempo y forma el Abogado del Estado, en el nombre y representación que ostenta, impugnando los motivos del recurso de casación en virtud de las razones que estimó procedentes y suplicando que la Sala dicte sentencia dicte sentencia confirmatoria de la recurrida.

QUINTO

Conclusas las actuaciones, se señaló para votación y fallo la audiencia del día NUEVE DE OCTUBRE DE DOS MIL TRECE , en cuyo acto tuvo lugar, dictándose providencia al siguiente día por la que, con suspensión del plazo para dictar sentencia, se acordaba oír a las partes por término de cinco días sobre la modificación de la Disposición Final 56ª de la Ley 2/2011, de 4 de marzo, de Economía Sostenible , de diversos preceptos de la L.O. 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

SEXTO

Evacuado el traslado conferido por ambas partes litigantes, con el resultado que puede verse en las actuaciones, por resolución de 24 de octubre de 2013 se acordó que pasaran las actuaciones al Excmo. Sr. Magistrado Ponente para dictar resolución.

Siendo Ponente el Excmo. Sr. D. Juan Carlos Trillo Alonso , Magistrado de la Sección.

FUNDAMENTOS DE DERECHO

PRIMERO

Es objeto de impugnación en el presente recurso de casación, la sentencia dictada el 12 de noviembre de 2010 por la Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, en el recurso contencioso administrativo nº 660/2008 , interpuesto por la sociedad hoy aquí también recurrente contra resolución del Director de la Agencia Española de Protección de Datos, de 1 de septiembre de 2008, por la que se le impuso una sanción de multa de 300.506,05 euros, por la comisión de una infracción de lo dispuesto en el artículo 11.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , tipificada como muy grave en el artículo 44.4b) de igual Texto Legal.

SEGUNDO

La sentencia desestima el recurso contencioso administrativo y frente a ella interpone la recurrente en la instancia el recurso de casación que nos ocupa con apoyo en dos motivos.

TERCERO

Por el primer motivo, sin cita del precepto de la Ley Jurisdiccional a cuyo amparo lo articula, aduce la recurrente la infracción del artículo 69.2 de la Ley de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común , en relación con los artículo 74 y 75 de igual Texto Legal , artículo 12 del Real Decreto 1398/1993 , por el que se aprueba el Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora, y todos ellos en relación directa con los artículos 24.1 y 2 de la Constitución , con el argumento de la excesiva duración y sin causa justificada de las actuaciones previas a la incoación del expediente sancionador que revelan una fraudulenta utilización de esas actuaciones en cuanto dirigidas a eludir el plazo de caducidad de seis mesas legalmente previsto.

CUARTO

Para el estudio del motivo es oportuno indicar, siguiendo al efecto los datos que constan en el expediente, que la denuncia que da origen al procedimiento sancionador se formula el 28 de julio de 2006, si bien su entrada en la Agencia Española de Protección de Datos no se produce hasta el día 4 de agosto siguiente; que se procede a incoar actuaciones previas el día 1 de septiembre de igual año, emitiéndose informe final de las mismas el 3 de noviembre de 2006, y que el inicio del expediente sancionador no se acuerda hasta el 10 de marzo de 2008, recayendo resolución sancionadora el 1 de septiembre de dicho año 2008, la cual se notifica a la sancionada y aquí recurrente el día 3 de igual mes y año.

Y conviene dejar constancia de las fechas de referencia en cuanto su consideración conduce, como seguidamente justificaremos, a la desestimación del motivo, aún reconociendo su viabilidad procesal pese a su defectuosa formulación por falta de cita del precepto en que se ampara, en cuanto ninguna duda ofrece, y desde luego ninguna se le planteó a la parte recurrida, con la inseguridad jurídica que ello pudiera conllevar, que los preceptos aducidos como infringidos, en conexión con su desarrollo argumental, residencian el motivo en el artículo 88.1 d) de la Ley Jurisdiccional .

El "dies a quo" para el cómputo del plazo de caducidad, al tratarse de un procedimiento iniciado de oficio, es el de al fecha del acuerdo de incoación. Así resulta del artículo 42.3.a) de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común , y, específicamente, del artículo 128 del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre.

En consecuencia, incoado el procedimiento el 10 de marzo de 2008 y notificada la resolución sancionadora el día 3 de septiembre, ninguna discusión ofrece que cuando tiene lugar tal acto de notificación aún no había transcurrido el plazo de seis meses previsto en el artículo 48.3 de la Ley Orgánica ya mencionada, apartado adicionado por Ley 62/2003, de 30 de diciembre , de medidas fiscales, administrativas y de orden social.

La cuestión que plantea la recurrente en el motivo, en armonía con lo ya suscitado en la instancia, es la incidencia que a efectos de la caducidad del expediente sancionador tiene el tiempo transcurrido desde la fecha de la entrada de la denuncia en la Agencia (4 de agosto de 2006) y la de la incoación de dicho procedimiento (10 de marzo de 2018), y en particular el periodo de tiempo que va desde la incoación de las actuaciones previas (1 de septiembre de 2006) y el acuerdo de inicio del expediente (fecha ya indicada de 10 de marzo de 2008), máxime cuando el informe con el que finalizan las actuaciones previas es de 3 de noviembre de 2006. Viene a argumentar la recurrente que el largo periodo de tiempo transcurrido desde la entrada de la denuncia en la Agencia hasta la incoación del procedimiento sancionador, revela una actuación fraudulenta por la Administración en cuanto hace uso de las actuaciones previas para evitar la caducidad del expediente.

Pues bien, delimitado en los términos precedentemente expuestos el debate, para su estudio y solución es conveniente hacer algunas puntualizaciones sobre la naturaleza y finalidad de las actuaciones previas.

Interesa destacar en primer lugar que su incoación es potestativa, esto es, que la administración no está obligada a abrir actuaciones previas; puede, si así lo considera, acordar la incoación directa del procedimiento sancionador. Orientadas, conforme expresa el artículo 122 del Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre, a determinar, con la mayor precisión posible, los hechos que pudieran justificar la incoación del procedimiento, identificar la persona u órgano que pudiera resultar responsable y fijar las circunstancias relevantes que pudieran concurrir en el caso, tiene una naturaleza informativa de la que sin duda puede prescindir la Administración. El propio artículo 122, al expresar que "Con anterioridad a la iniciación del procedimiento sancionar se podrán realizar actuaciones previas" , corrobora el carácter potestativo de su incoación.

En segundo lugar conviene significar que las actuaciones previas practicadas en el curso de litis no estaban sometidas a plazo. Aunque sí se prevé un plazo de caducidad de 12 meses en el artículo 122.4 del Reglamento aprobado por Real Decreto 1720/2007 , no es de aplicación a unas actuaciones previas como las objeto de enjuiciamiento, incoadas el 1 de septiembre de 2006 y finalizadas el 3 de noviembre de igual año, pues además de que el Real Decreto entró en vigor a los tres meses de su íntegra publicación en el BOE, lo que tuvo lugar el 19 de enero de 2008, tal como se previene en su disposición transitoria quinta específicamente para las actuaciones previas el régimen que en el Real Decreto se establece para éstas no es de aplicación a las iniciadas con anterioridad a su entrada en vigor.

Pues bien, orientadas las actuaciones previas, conforme precedentemente advertimos, a determinar, con la mayor precisión posible los hechos y la persona responsable, y ello con la finalidad de decidir si procede o no acordar la incoación del expediente sancionador, aún admitiendo que se desnaturaliza su finalidad cuando su incoación, tal como se reconoce en la sentencia recurrida, se justifica esencialmente en el volumen de trabajo de la agencia, aún así el motivo debe desestimarse.

La razón para alcanzar la conclusión anunciada estriba precisamente en el carácter potestativo e informativo de las actuaciones previas, en conexión con que la caducidad del procedimiento sancionador tiene lugar por el transcurso del plazo previsto entre la incoación del mismo y la notificación al interesado de la resolución final. Así como el tiempo transcurrido en la práctica de las actuaciones previas no se computa a los efectos de paralizar el plazo de prescripción, tampoco debe considerarse para apreciar la caducidad del procedimiento sancionador, debiéndose resaltar que la normativa de aplicación no obliga a la Administración demandada a incoar el procedimiento sancionador en un plazo determinado, salvo aquel que surge del instituto de la prescripción e insistir en que tampoco está compelida a la incoación de las actuaciones previas.

CUARTO

Por el segundo motivo, al igual que el primero, sin cita del precepto de la Ley Jurisdiccional en que lo fundamenta, denuncia la recurrente la infracción del artículo 27 de la Ley Orgánica de Protección de Datos de Carácter Personal.

Frente a la conclusión de la sentencia relativa a que la recurrente comunicó los datos personales del denunciante sin haber demostrado que contaba con su consentimiento, lo que se sostiene en el desarrollo del motivo es que sí se produjo un consentimiento presunto tras la remisión de una carta por la entidad "Gestión y Cobro del Mediterráneo, S.L.".

La cuestión es abordada en la sentencia en su fundamento sexto cuando expresa que:

"La entidad actora mantiene en la demanda que remitió al denunciante una comunicación por carta, a través de la entidad de Gestión y Cobro del Mediterráneo con la que tiene contratada el servicio de entrega a domicilio de sus cartas, informándole de la inclusión de sus datos en el fichero, comunicación que considera que contenían todos los requisitos que, como deber de información en estos casos, exige el artículo 5.4 de la LOPD . Fotocopia del listado de los envíos realizados por la citada mercantil se unieron en el acta notarial de manifestación aportada en vía administrativa.

Para aclarar tal extremo, la recurrente propuso la testifical de don Leopoldo que, según reconoció, es jefe de distribución comercial de la entidad de Gestión y Cobro del Mediterráneo y, a preguntas de la parte recurrente, manifestó que la carta fue entregada al denunciante en su domicilio de la CALLE000 NUM000 - NUM000 , de Madrid, el día 2 de febrero de 2004, pues figura en el listado de cartas entregadas, añadiendo que por «ausencia» se «buzoneó».

Pues bien, la prueba aportada sobre la comunicación al denunciante consiste en una copia de un listado de envíos de la empresa Gestión y Cobro del Mediterráneo, S.L., en el que figura como remitido tal envío al Sr. Pedro , en ningún caso puede ser conceptuado como prueba suficiente de tal envío, y mucho menos de su recepción por el destinatario, por lo que carece de virtualidad probatoria en tal sentido. Y el hecho de incluir tales listados en un acta notarial de manifestación no determina un mayor valor probatorio pues se trata de una mera manifestación de parte realizada ante Notario.

Pero es más, el que dice ser jefe de distribución de Gestión y Cobro del Mediterráneo manifestó que le había sido entregada la carta al denunciante, para luego añadir que en ausencia le fue buzoneada. Este Tribunal ha reiterado en múltiples sentencias que una «solicitud» de consentimiento tácito, enviada por correo (o buzoneo), para que cumpla con los requisitos legales es necesario que la misma se realice de modo que quede garantizada la efectiva recepción de dicho escrito por el afectado. Recepción que no ha sido acreditada en el presente caso y la carga de la prueba de la existencia del consentimiento, contrariamente a lo alegado por la recurrente, corresponde al que ha incluido los datos personales en sus ficheros" .

En discrepancia con esa fundamentación de la sentencia argumenta la recurrente que el precepto que cita como infringido no exige acuse de recibo de la recepción de la carta remitida en solicitud del consentimiento; que el denunciante no ha negado la recepción de la referida carta, por lo que ha operado el consentimiento presunto; y que en definitiva la sentencia desplaza indebidamente la carga de la prueba.

El motivo, necesariamente, debe rechazarse.

Recordemos que esta Sala ha manifestado en numerosas ocasiones que la valoración de la prueba corresponde al órgano judicial de instancia, sin que pueda ser sustituido en esta tarea por el Tribunal de casación. Así, la sentencia de 4 de mayo de 2010 (recurso 6757/2005 ), con cita de otras anteriores, señala que "... es ya doctrina reiterada de esta Sala que la formación de la convicción sobre los hechos en presencia para resolver las cuestiones objeto del debate procesal está atribuida al órgano judicial que, con inmediación, se encuentra en condiciones de examinar los medios probatorios, sin que pueda ser sustituido en tal cometido por este Tribunal de casación, puesto que la errónea valoración probatoria ha sido excluida del recurso de casación en la jurisdicción civil por la Ley de Medidas Urgentes de Reforma Procesal, y no ha sido incluida como motivo de casación en el orden contencioso-administrativo, regulado por primera vez en dicha ley. Ello se cohonesta con la naturaleza de la casación como recurso especial, cuya finalidad es la de corregir errores en la interpretación y aplicación del ordenamiento jurídico, y no someter a revisión la valoración de la prueba realizada por el tribunal de instancia" . Y signifiquemos que la recurrente apoya el motivo en que no se ha reunido prueba suficiente para acreditar la infracción, exponiendo su discrepancia con la valoración de la prueba realizada por la Sala de instancia, sin citar como infringido en dicho proceso valorativo precepto alguno y sin tachar las conclusiones alcanzadas por dicha Sala como ilógicas o arbitrarias.

QUINTO

La resolución sancionadora de la Agencia de Protección de Datos calificó los hechos como infracción muy grave del artículo 44.4.b) de la Ley Orgánica de Protección de Datos , en la redacción vigente en el momento de los hecho y, de conformidad con el artículo 45.3 y 4 del mismo texto legal , impuso a la entidad recurrente la sanción de multa en la cuantía mínima prevista para dichas infracciones de 300.506,05 euros.

El artículo 44.4.b) de la Ley Orgánica de Protección de Datos aplicado por la resolución sancionadora establecía que era infracción muy grave: "... la comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas" .

Sin embargo, con posterioridad a la fecha de la sentencia impugnada, y en el curso de la tramitación del presente recurso de casación, la disposición final 56ª de la ley 2/2011, de 4 de marzo, de Economía Sostenible , modificó entre otros el artículo 44.4.b) de dicha Ley Orgánica, que en su nueva redacción califica de infracción muy grave:

"Tratar o ceder los datos de carácter personal a los que se refieren los apartados 2 , 3 y 5 del artículo 7 de esta Ley salvo en los supuestos en que la misma lo autoriza o violentar la prohibición contenida en el apartado 4 del artículo 7" .

De esta manera, tras la entrada en vigor de la reforma operada en la Ley Orgánica de Protección de Datos por la ley 2/2011, sólo está tipificado como infracción muy grave el tratamiento o cesión que afecte a los datos especialmente protegidos a que se refieren los apartados 2 , 3 y 5 del artículo 7 de la mencionada Ley Orgánica, que son los relativos a la ideología, afiliación sindical, religión y creencias, los que hagan referencia al origen racial, a la salud y a la vida sexual y los relativos a la comisión de infracciones penales o administrativas mientras que las demás cesiones que no tenga por objeto esta clase de datos se tipifican como falta grave en el artículo 44.3.k) de la Ley Orgánica de Protección de Datos , que se refiere a:

"La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave".

En este recurso consta que los datos comunicados por Saberlotodo Internet, S.L., fueron los del domicilio, fecha de nacimiento y DNI del denunciante, que no están incluidos entre los datos de especial protección del artículo 7 de la Ley Orgánica de Protección de Datos , por lo que en la redacción de dicha Ley Orgánica efectuada por la reforma legislativa a que hemos hecho referencia, la cesión de dichos datos constituye la falta grave del artículo 44.3.k) de la Ley Orgánica de Protección de Datos .

De acuerdo con el artículo 128.2 de la ley 30/1992 , de 28 de noviembre, las disposiciones sancionadoras producirán efecto retroactivo en cuanto favorezcan al presunto infractor.

Esta Sala ha señalado en sentencias de 24 de enero de 2006 (recurso 419/2002 ), 31 de enero de 2007 (recurso 8873/2003 ), 13 de febrero de 2008 (recurso 2110/2004 ) y 24 de octubre de 2013 (recurso 533/2011 ), que el principio de retroactividad de las normas administrativas sancionadoras obliga a aplicar retroactivamente dichas normas en todo aquello que pudiera ser más beneficioso para el presunto infractor, y "... tal aplicación debe llevarse a cabo en cualquier instancia administrativa o judicial donde se encuentre pendiente de enjuiciamiento o ejecución una resolución sancionadora, ya que no tendría sentido confirmar judicialmente la legalidad de una resolución administrativa, según la normativa vigente cuando fue dictada, para que la Administración proceda a dictar seguidamente otra que aplique retroactivamente la nueva norma sancionadora más favorable, resolución esta última que podría ser objeto de un nuevo recurso judicial" .

En aplicación del anterior criterio jurisprudencial procede que, no obstante la desestimación de los motivos del recurso de casación, apliquemos de forma retroactiva el nuevo régimen sancionador de la Ley Orgánica de Protección de Datos, más favorable para el recurrente al tipificar los hechos como falta grave, declarando procedente la sanción establecida por el artículo 45.2 Ley Orgánica de Protección de Datos para dichas faltas, en su cuantía mínima de 40.001 euros al no haber apreciado la resolución sancionadora la concurrencia de ningún criterio de graduación.

OCTAVO

El artículo 47.1 LOPD establece el distinto plazo de prescripción de 3 años para las infracciones muy graves y 2 años para las infracciones graves, y la sentencia impugnada examinó las alegaciones efectuadas por la parte recurrente en relación con el vencimiento del plazo de prescripción, siendo pacífico entre las partes que el plazo de prescripción aplicable, atendida la calificación en la legislación entonces vigente de los hechos como infracción muy grave, era el de tres años.

Sin embargo, por razón de haber quedado los hechos tipificados como falta grave en la legislación sancionadora posterior más favorable, nos hemos de plantear si ha transcurrido en el presente caso el plazo de prescripción de dos años de las faltas graves, como mantiene la parte recurrente en el trámite de alegaciones sobre los efectos en este recurso de la reforma efectuada por la Ley 2/2011.

En la aplicación del plazo de prescripción hemos de decidir la fecha de inicio del cómputo del plazo aplicable de 2 años, que de conformidad con el artículo 47.2 LOPD comenzará a contarse desde el día en que la infracción se hubiera cometido.

Tal regla, similar a la establecida con carácter general en el artículo 132 LRJPAC, es de aplicación en los casos de infracciones instantáneas ya finalizadas, pero obliga a efectuar algunas matizaciones, a fin de determinar cuándo se han de considerar cometidas las infracciones continuadas y las infracciones permanentes.

A la infracción continuada se refiere el artículo 4.6, párrafo 2º, del Reglamento de procedimiento para el ejercicio de la potestad sancionadora, aprobado por Real Decreto 1398/1993, de 4 de agosto (RPEPS), que establece que "... será sancionable, como infracción continuada, la realización de una pluralidad de acciones u omisiones que infrinjan el mismo o semejantes preceptos administrativos, en ejecución de un plan preconcebido o aprovechando idéntica ocasión" .

A diferencia de la infracción continuada que exige pluralidad de acciones que infrinjan el mismo precepto, y por ello constituye un concurso real de ilícitos, la infracción permanente no requiere un concurso de ilícitos, sino una única acción de carácter duradero, cuyo contenido antijurídico se prolongue a lo largo del tiempo, en tanto el sujeto activo no decida cesar en la ejecución de su conducta.

En el ámbito del derecho penal la diferenciación entre las distintas clases de infracciones tiene trascendencia a los efectos de determinar la fecha inicial del cómputo del plazo de prescripción, como resulta del artículo 132.1 del Código Penal , que al lado de la regla general de que los plazos de prescripción se computarán desde el día en que se haya cometido la infracción, establece reglas específicas para los casos de delito continuado y delito permanente, en que los plazos se computaran, respectivamente, desde el día en que se realizó la última infracción o desde que cesó la conducta.

Estas reglas y criterios procedentes del Derecho Penal han tenido acogida en la jurisprudencia de esta Sala a la hora del cómputo de los plazos de prescripción de las infracciones. En materia de protección de datos como la que nos ocupa, esta Sala ha distinguido, en sentencias de 7 de marzo de 2006 (recurso 1728/2002 ) y 20 de noviembre de 2007 (recurso 170/2003 ), entre infracciones continuadas, en los términos que las define el artículo 4.6 del RPEPS antes citado, y las infracciones permanentes, entendiendo como tales "aquellas conductas antijurídicas que persisten en el tiempo y no se agotan con un sólo acto, determinando el mantenimiento de la situación antijurídica a voluntad del autor" , y la sentencia de 23 de mayo de 2011 (recurso 912/2011 ), también contempla un supuesto que califica como infracción permanente, derivada en ese caso de mantener los datos inexactos en el fichero de morosos tras la cancelación de la deuda, con la consecuencia de considerar que el plazo prescriptivo no empieza a computarse mientras se mantiene la infracción.

En la aplicación de las anteriores reglas y criterios al presente caso, tenemos en cuenta que la sociedad recurrente fue sancionada por una falta muy grave, en la legislación vigente en el momento de los hechos, descrita en el artículo 11.1 en relación con la redacción anterior del artículo 44.4.b) LOPD , consistente en la cesión de datos personales a un tercero, sin el consentimiento del interesado.

Por cesión habremos de entender, conforme a la definición del artículo 3.i) LOPD , "... toda revelación de datos realizada a una persona distinta del interesado" . Como señala la sentencia de esta Sala de 17 de septiembre de 2010 (recurso 4098/2006 ), se trata de un concepto amplio, que acoge toda comunicación o revelación de datos, sin que el precepto exija "... la necesidad o requisito de que la revelación vaya acompañada de una entrega material de los datos ni, por supuesto, de una incorporación al fichero del cesionario. Lo único que exige el precepto legal es la acción de revelar, esto es, la de hacer saber cosas que se mantenían ocultas, sin requerir que tal forma de proceder revista una forma determinada" .

La cesión o comunicación de datos puede consistir en una infracción instantánea, como era el caso examinado en la sentencia de esta Sala de 16 de marzo de 2010 (recurso 488/2004 ), en la que una empresa "dio de ver" o comunicó a otra, con ocasión de la firma de un determinado contrato (de reserva de garantía o de compraventa de un inmueble), el dato de un número de teléfono móvil de un tercero, de suerte que se trató de una infracción instantánea de cesión de datos, que se agotó en el mismo momento de su consumación, razonando dicha sentencia que ese hecho no podía constituir una infracción continuada del artículo 11 LOPD , fundamentalmente porque no concurría el requisito de pluralidad de acciones, lo que no quiere decir que otros supuestos de cesión indebida de datos no puedan constituir infracción continuada o infracción permanente, si concurren los requisitos antes indicados.

En este caso, la empresa recurrente concertó un contrato de prestación de servicios con la empresa "Interfinsa", en fecha 20 de marzo de 2006 (folios 34 a 37 del expediente), con el objeto de suministrarle información a través de la página web www.saberlotodo.com de forma continuada en el tiempo, y en el marco de dicha relación contractual reveló los datos del denunciante sin su consentimiento. Ahora bien, es de destacar que la comunicación o puesta a disposición indebida de tales datos no cesó en el momento de su entrega material, sino que dicha situación de antijuricidad se mantuvo durante la vigencia del contrato de prestación de servicios de suministro de datos, y al menos hasta el 5 de octubre de 2006 (folios 39 a 42 del expediente), por lo que hemos de calificar la infracción como permanente, de acuerdo con los anteriores razonamientos, por la prolongación de la situación antijurídica de cesión indebida de datos a lo largo del tiempo, sin que la parte recurrente optara por cesar en su conducta, y por ello, tomar como fecha de inicio del cómputo de la prescripción la citada de 5 de octubre de 2006, fecha en la que tenemos constancia que continuaba el suministro y cesión indebida de datos efectuado por la recurrente, de forma que en la fecha de inicio del expediente sancionador, el 10 de marzo de 2008, no había llegado a completarse el plazo de prescripción de 2 años establecido por la legislación sancionadora para las faltas graves.

NOVENO

Al declararse no haber lugar al recurso de casación, procede condenar a la parte recurrente en las costas del mismo, de conformidad con la regla del artículo 139.2 de la Ley de la Jurisdicción Contencioso Administrativa , si bien, la Sala haciendo uso de la facultad que le confiere el apartado tercero del citado precepto, limita en 4.000 euros el importe máximo a reclamar por todos los conceptos por el Abogado del Estado.

FALLAMOS

Que declaramos no haber lugar al presente recurso de casación número 251/11, interpuesto por la representación procesal de Saberlotodo Internet S.L., contra la sentencia de 12 de noviembre de 2010, dictada por la Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional , y condenamos a la parte recurrente en las costas de casación, hasta el límite, respecto de la minuta de Letrado, señalado en el último Fundamento de Derecho.

No obstante lo anterior, y por aplicación retroactiva del régimen sancionador más favorable, resultante de la reforma efectuada en la Ley Orgánica de Protección de Datos por la ley 2/2011, de 4 de marzo, de Economía Sostenible, la infracción ha de ser calificada como grave y su cuantía reducida al importe de 40.001 euros, como se razona en el Fundamento de Derecho Quinto de esta sentencia.

Así por esta nuestra sentencia, lo pronunciamos, mandamos y firmamos

PUBLICACIÓN.- Leída y publicada ha sido la anterior sentencia por el Excmo. Sr. Magistrado Ponente D. Juan Carlos Trillo Alonso , estando la Sala celebrando audiencia pública en el mismo día de su fecha, de lo que, como Secretario, certifico