STS, 22 de Noviembre de 2002

• Ponente: Francisco González Navarro
• ECLI: ES:TS:2002:7809
• Número de Recurso: 3369/2001
• Procedimiento: CONTENCIOSO - RECURSO CASACION PARA UNIFICACION D
• Fecha de Resolución: 22 de Noviembre de 2002
• Emisor: Tribunal Supremo - Sala Tercera, de lo Contencioso-Administrativo

Sentencia citada en: 2 sentencias, 2 resoluciones administrativas

4. JESUS ERNESTO PECES MORATED. JOSE MANUEL SIEIRA MIGUEZD. ENRIQUE LECUMBERRI MARTID. AGUSTIN PUENTE PRIETOD. FRANCISCO GONZALEZ NAVARRO

SENTENCIA

En la Villa de Madrid, a veintidós de Noviembre de dos mil dos.

Visto por la Sala Tercera del Tribunal Supremo, constituida en Sección por los señores al margen anotados, el presente recurso de casación para unificación de doctrina, que con el número 3369/2001 ante la misma pende de resolución que esta interpuesto por la representación procesal del DIRECCION000 . contra la sentencia dictada por la Sala de esta Jurisdicción de la Audiencia Nacional, sección primera, con fecha 22 de diciembre de dos mil, en el recurso número 293/99. Siendo parte recurrida LA ADMINISTRACIÓN DEL ESTADO

ANTECEDENTES

PRIMERO

La parte dispositiva de la sentencia recurrida es del tenor literal siguiente"FALLAMOS.- Desestimar el presente recurso interpuesto por la representación de DIRECCION000 ., contra la resolución de la Agencia de Protección de Datos, reseñadas en el encabezamiento de este escrito, que declaramos ser conforme a Derecho. Sin costas. »

SEGUNDO

Notificada la anterior sentencia la representación procesal de DIRECCION000 ., presentó escrito ante la Sala de la Jurisdicción de la Audiencia Nacional, sección primera, preparando recurso de casación para la unificación de doctrina contra la misma.

Se confiere traslado al Abogado del Estado por un plazo de treinta días para formalizar por escrito su oposición al recurso de casación para unificación de doctrina interpuesto.

TERCERO

La representación de la parte recurrida, por medio de escrito, impugna el recurso de casación para unificación de doctrina en virtud de las razones que estimó procedentes.

CUARTO

Por providencia de 8 de mayo de 2001 se elevaron los autos y expediente administrativo a esta Sala Tercera del Tribunal Supremo.

QUINTO

Recibidas las actuaciones en este Tribunal, se tuvo al Sr. Abogado del Estado por personado y parte en concepto de recurrido.

SEXTO

Conclusas las actuaciones, se señaló para votación y fallo el día 10 de abril de 2002, señalamiento que se suspendió pasándose las actuaciones a esta Sección Sexta procedentes de la Tercera de este Tribunal Supremo.

SÉPTIMO

Finalmente, se fijo nuevo señalamiento para votación y fallo el día VEINTIUNO DE NOVIEMBRE DE DOS MIL DOS, en cuyo acto tuvo lugar, habiéndose observado las formalidades legales.

FUNDAMENTOS JURIDICOS

PRIMERO

En este recurso de casación para unificación de doctrina, que se ha tramitado ante esta Sala tercera del Tribunal Supremo de España con el número 3825/2001, DIRECCION000 ., que actúa representada por procurador y dirigida técnicamente por letrado, impugna la sentencia de la Audiencia Nacional (Sección 1ª), de veintidós de diciembre del dos mil, dictada en el proceso 293/1993.

SEGUNDO

Como es sabido, el artículo 97,1 de la Ley 29/1998, de 13 de julio, dice que el recurso de casación para unificación de doctrina ‹›.

Y el artículo 97.2 añade -en lo que aquí interesa- que al escrito de recurso ‹ en su defecto, copia simple de su texto y justificación documental de haberse solicitado aquélla, en cuyo caso la Sala la reclamará de oficio».

En este caso, la parte recurrente cita como sentencias de contraste cuatro dictadas por la Audiencia Nacional, aunque sólo una de ellas cumple con ese requisito de la firmeza: la sentencia de la Audiencia Nacional (sección 1ª) de 12 de mayo del 2000, dictada en el proceso 183/1999.

Tanto la sentencia impugnada como la de contraste versan sobre infracción de la legislación de protección de datos de carácter personal.

TERCERO

Antes de exponer las razones que invoca la parte recurrente para considerar infringido el artículo 45.3 de la nueva Ley Orgánica 15/1999, de Protección de datos de carácter personal que prevé la modulación de la sanción cuando concurran determinadas circunstancias, conviene empezar transcribiendo la cuestión debatida en la sentencia de contraste y en la aquí impugnada.

1. La cuestión debatida en la sentencia de contraste, la solución a la que llega y las razones en que la funda pueden resumirse así:

   1. El 24 de febrero de 1998 don Benedicto formuló ante la Agencia de Protección de Datos una denuncia contra la entidad recurrente por haber incluido en el fichero DIRECCION000 datos erróneos referidos a su persona; los datos mencionaban la existencia de una supuesta deuda con el Banco DIRECCION001 en relación con un descubierto producido en cuenta corriente; el denunciante adjuntó, entre otros documentos, fotocopia del acta notarial de 27 de diciembre de 1995, en la que se recoge la cancelación de la cuenta corriente NUM000 contratada por el denunciante con el Banco DIRECCION001 , quedando liberado de cualquier obligación resultante de la misma.

   2. En respuesta a la comunicación girada por la Agencia de Protección de datos, la entidad recurrente contestó el 20 de marzo de 1998 manifestando que los datos del denunciante fueron incluidos en el fichero DIRECCION000 con fecha 14 de noviembre de 1997, los cuales hacen referencia a los honorarios de cinco mil pesetas correspondientes al fedatario público que certificó la deuda mantenida por el denunciante con la entidad, y que dicha certificación fue emitida por el Corredor de comercio don Imanol el 10 de mayo de 1994, indicando la existencia de un saldo a favor del Banco DIRECCION001 por importe de 622.387 ptas.

   3. Efectuada la oportuna comprobación, la anotación anterior fue cancelada del fichero DIRECCION000 a petición de la entidad de crédito el 18 de diciembre de 1997, no encontrándose evidencias de que los datos relativos al denunciante fueran consultados por ninguna entidad mientras permanecieron en el fichero DIRECCION000 .

   4. Para la Agencia de Protección de Datos, una vez instruido el oportuno expediente, los hechos son constitutivos de una falta grave prevista en el art. 43.3.f), en relación con los arts. 4.3 y 28 de la Ley 5/92.

   5. La entidad bancaria recurrente manifestó en su demanda que, a la hora de enjuiciar la conducta aquí cuestionada no puede prescindirse del hecho probado de que la anotación en los ficheros de DIRECCION000 sólo permaneció durante 26 días y no fue consultada por terceros. Y hacía notar que se procedió a la inmediata cancelación del dato una vez advertido, además de que, inicialmente, la deuda de cinco mil pesetas no era un dato erróneo, ya que se debía. Todo lo cual demuestra que actuó de buena fe por lo que la sanción impuesta resulta exagerada y carente de proporcionalidad, lo cual debe de apreciarse a la hora de medir el grado de culpabilidad.

   6. A la vista de estas consideraciones, la Sala de instancia consideró que, aunque la sanción había sido impuesta bajo la vigencia de la Ley orgánica 5/1992, de Protección de datos de carácter personal procedía modular la sanción aplicando retroactivamente el artículo 45.3 de la nueva Ley orgánica 15/1999, de 13 de diciembre, que, atendiendo a criterios de proporcionalidad, inherentes al principio de justicia material, permite ‹ si se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho» fijar la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate. Y en consecuencia, aunque estimando correcta la calificación de los hechos que llevó a cabo la Administración, redujo la sanción de 10.000.000 pesetas a 1.000.000 ptas.

   Hasta aquí, en resumen, lo que fue debatido y resuelto en la sentencia de contraste.

2. Lo que se debatió en el caso de la sentencia impugnada fue, en sustancia, lo siguiente:

   1. Objeto del proceso lo constituía una resolución de la Agencia de Protección de Datos, que impone una multa de 10.000.001 pesetas, conforme al artículo 44.2 de la citada Ley, por infracción del artículo 4.2 de la Ley Orgánica 5/92, de 29 de octubre, de regulación del tratamiento de los datos de carácter personal, tipificada como grave en el artículo 43.3.d) de dicha norma. Al propio tiempo se insta a la empresa sancionada a que acredite fehacientemente que suspende definitivamente la utilización del fichero histórico de consultas para la finalidad de proporcionar información a las entidades asociadas sobre las consultas que otras entidades realicen de los datos de personas físicas.

   2. La parte actora, en su escrito de demanda y con relación al fichero denominado DIRECCION000 , inscrito con el número NUM001 , dedicado a la prestación de servicios de información sobre solvencia patrimonial y de crédito, había alegado que el citado fichero, en su funcionamiento genera datos de control y de información, apreciación y evaluación destinados a ser utilizados como garantía de calidad de la propia información y del respeto a los derechos del afectado; y aunque puede ser dudoso que las entidades asociadas al sistema pueden tener acceso a dicha información o no, DIRECCION000 entiende que ello es posible ante la ausencia de prohibición expresa, debiendo ser el tratamiento de datos legal y leal, transparente para proporcionar al afectado y a las entidades que consultan una información de calidad, completa y veraz. En consecuencia, la entidad recurrente entiende, que estamos frente a una cuestión interpretativa, y que inmediatamente que la Agencia lo ordenó se dejó de proporcionar esos datos y se impidió radicalmente el acceso a los mismos a sus asociados. En definitiva: que se está sancionando una interpretación y no una acción.

   3. La Agencia de Protección de Datos, en su resolución, justifica su decisión con los argumentos siguientes:

   El artículo 28.2 de LORTAD obliga a comunicar al afectado los datos, las evaluaciones y apreciaciones sobre el mismo comunicadas durante los últimos seis meses y el nombre y dirección del cesionario, y esa es una de las finalidades a que se destina el fichero histórico de consultas; pero dicho fichero también se destina a permitir que las entidades asociadas a DIRECCION000 puedan, mediante consulta directa, tener conocimiento, no ya sólo de los datos financieros o de solvencia que figuren del afectado, sino de datos tales como el nombre de la entidad que ha consultado anteriormente los datos de aquél y la fecha de la consulta, aún cuando el afectado nunca haya tenido incidencia inscrita en el fichero DIRECCION000 , lo que en la práctica supone mantener y permitir el acceso a unos datos que poco o nada tiene que ver con la solvencia patrimonial y el crédito, ya que se trata de datos referentes a los movimientos que un ciudadano realiza en orden a la solicitud de créditos, pero no al cumplimiento o incumplimiento de los mismos.

   El artículo 28.3 de la LORTAD establece que sólo se podrán registrar y ceder datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los afectados y que no se refieran, cuando sean adversos, a más de seis años, por lo que el registro y cesión de datos como los contenidos en el fichero histórico de consultas no pueden ser registrados y cedidos con la finalidad de ser consultados por las entidades asociadas.

   La Sala de instancia mantiene la sanción impuesta y no aplica, por tanto, la modulación de la sanción prevista en el artículo 45.3 de la nueva Ley orgánica 15/1999, de Protección de datos de carácter personal.

CUARTO

La parte recurrente -que como hemos dicho, aporta cuatro sentencias de contraste, aunque sólo en una de ellas consta acreditada la firmeza- pretende que se le aplique la modulación del citado precepto de la Ley orgánica 15/1999, y a tal efecto intenta -como ahora se verá, sin éxito- demostrar que existe identidad entre la sentencia impugnada y las de contraste, para el caso la de 22 de diciembre del 2000 (las otras tres de contraste son, en cierto modo análogas a ésta, pero en cualquier caso bastaría con que la contradicción se diera en una sola sentencia).

Para la recurrente concurre la identidad prevista en el artículo 97.1, de la Ley 29 /1998, reguladora de la jurisdicción contencioso-administrativa porque en ambos casos se trata de una sentencia impuesta por la Agencia de protección de datos, por una infracción grave en el tratamiento de datos de carácter personal sobre ficheros y conceptos similares e incluso iguales.

Identidad que se da también -añade- en cuanto a la situación de los intervinientes (sancionados), en cuanto al órgano cuya resolución se apelaba (la Agencia), en el tipo de infracción (tipificada como grave y sancionada con diez millones de pesetas ), y en cuanto los hechos, los cuales ocurrieron bajo la vigencia de la Ley orgánica 5/1992. Por último, y apoyándose en la cuatro sentencias, en todos los casos -salvo en la impugnada- se ha aplicado la modulación prevista en el artículo 45.3 de la nueva Ley orgánica 15/1999.

QUINTO

Nuestra Sala no comparte el parecer de la sociedad recurrente. Porque para que exista la identidad expedida con carácter de requisito sine qua non por el artículo 97.1, no basta con que la legislación aplicable sea la misma, o que la infracción sea castigada con una multa igual. Y el caso es que los hechos contemplados en las sentencias que se han comparado son radicalmente distintos como pone de manifiesto la mera lectura de las mismas. Pues mientras en la sentencia impugnada se trataba de la inclusión en el llamado fichero histórico de consulta de datos que pueden ser consultados directamente por los clientes, datos de cualquier clase que -como subrayaba la Agencia- poco o nada tienen que ver con la solvencia patrimonial, en la sentencia de contraste se trataba simplemente de haber mantenido en el fichero durante 26 días un dato inexacto referente a una concreta persona.

Ni por el volumen de posibles afectados, ni por la trascendencia de los hechos cabe establecer parangón de ninguna clase. Más: en el caso de la sentencia impugnada nos encontramos ante una actuación que entra de lleno bajo el paradigma que orienta y da su razón de ser a toda la regulación relativa a la protección de datos de carácter personal. Y al respecto, los razonamientos de la Agencia de protección de datos vienen a ser a modo de un eco lejano pero perfectamente inteligible de lo que la Ley orgánica 5/1992 decía en su excelente exposición de motivos, inexplicablemente eliminada en la nueva Ley orgánica 15/1999, pero cuya doctrina hay que reputar vigente en este aspecto pues describe los fundamentos que sustentan y legitiman la atribución a la Administración de potestades de investigación y sancionadoras para la protección del que técnicamente se llama derecho a la privacidad (que no debe confundirse con el derecho a la intimidad). Y por ello, y porque la lectura de los párrafos primero, segundo y tercero del número 1, de esa exposición de motivos facilita el entendimiento de cuanto acabamos de decir, es muy conveniente transcribirlos aquí. Se decía en esos tres párrafos:‹ en efecto, a una amenaza potencial antes desconocida. Nótese que se habla de la privacidad y no de la intimidad: Aquélla es más amplia que ésta, pues en tanto la intimidad protege la esfera en que se desarrollan las facetas más singularmente reservadas de la vida de la persona -el domicilio donde realiza su vida cotidiana, las comunicaciones en las que expresa sus sentimientos, por ejemplo-, la privacidad constituye un conjunto, más amplio, más global, de facetas de su personalidad que, aisladamente consideradas, pueden carecer de significación intrínseca pero que, coherentemente enlazadas entre sí, arrojan como precipitado un retrato de la personalidad del individuo que éste tiene derecho a mantener reservado. Y si la intimidad, en sentido estricto, está suficientemente protegida por las previsiones de los tres primeros párrafos del artículo 18 de la Constitución y por las leyes que los desarrollan, la privacidad puede resultar menoscabada por la utilización de las tecnologías informáticas de tan reciente desarrollo. [párrafo 2]. Ello es así porque, hasta el presente, las fronteras de la privacidad estaban defendidas por el tiempo y el espacio. El primero procuraba, con su transcurso, que se evanescieran los recuerdos de las actividades ajenas, impidiendo, así, la configuración de una historia lineal e ininterrumpida de la persona; el segundo, con la distancia que imponía, hasta hace poco difícilmente superable, impedía que tuviésemos conocimiento de los hechos que, protagonizados por los demás, hubieran tenido lugar lejos de donde nos hallábamos. El tiempo y el espacio operaban, así, como salvaguarda de la privacidad de la persona [párrafo 3]. Uno y otro límite han desaparecido hoy: Las modernas técnicas de comunicación permiten salvar sin dificultades el espacio, y la informática posibilita almacenar todos los datos que se obtienen a través de las comunicaciones y acceder a ellos en apenas segundos, por distante que fuera el lugar donde transcurrieron los hechos, o remotos que fueran éstos. Los más diversos -datos sobre la infancia, sobre la vida académica, profesional o laboral, sobre los hábitos de vida y consumo, sobre el uso del denominado «dinero plástico», sobre las relaciones personales o, incluso, sobre las creencias religiosas e ideologías, por poner sólo algunos ejemplos- relativos a las personas podrían ser, así, compilados y obtenidos sin dificultad. Ello permitiría a quien dispusiese de ellos acceder a un conocimiento cabal de actitudes, hechos o pautas de comportamiento que, sin duda, pertenecen a la esfera privada de las personas; a aquélla a la que sólo deben tener acceso el individuo y, quizás, quienes le son más próximos, o aquellos a los que él autorice. Aún más: El conocimiento ordenado de esos datos puede dibujar un determinado perfil de la persona, o configurar una determinada reputación o fama que es, en definitiva, expresión del honor; y este perfil, sin duda, puede resultar luego valorado, favorable o desfavorablemente, para las más diversas actividades públicas o privadas, como pueden ser la obtención de un empleo, la concesión de un préstamo o la admisión en determinados colectivos. [párrafo 4]».

Teniendo presente todo esto, y en particular el inciso final de ese párrafo cuarto, se puede entender la diferencia que existe entre lo que se debatía en la sentencia de contraste y lo que se cuestionaba en la de la instancia, y en particular el distinto alcance, importancia y trascendencia del caso que tuvo que resolverse por la Sala de instancia en la sentencia impugnada, y que ya de por sí explica por qué no podía admitirse modulación en la sanción. Y se entiende lo acertado del argumento que manejó la Agencia de Protección de datos cuando ponía el acento en que la manera en que venía utilizando DIRECCION000 su fichero poco o nada tiene que ver con la solvencia patrimonial o financiera.

Por todo ello, nuestra Sala llega a la conclusión de que el recurso formalizado por la citada sociedad debe rechazarse y así lo declaramos.

SEXTO

En cuanto a las costas de este recurso de casación para unificación de doctrina, y en aplicación de lo prevenido en el artículo 139 de la Ley 29/1998, de 13 de julio, reguladora de la jurisdicción contencioso- administrativa, habiendo sido desestimado totalmente el presente recurso, y no existiendo razones que justifiquen lo contrario, imponemos a la parte recurrente la totalidad de aquéllas.

En virtud de lo expuesto,

FALLAMOS

Primero

No hay lugar al recurso de casación para unificación de doctrina formalizado por DIRECCION000 . contra la sentencia de la Audiencia Nacional (sección 1ª), de veintidós de diciembre de dos mil, dictada en el proceso 293/1993.

Segundo

Imponemos las costas de este recurso de casación para unificación de doctrina a la sociedad recurrente.

Así por esta nuestra sentencia, , lo pronunciamos, mandamos y firmamos PUBLICACION.- Leída y publicada que fue la anterior sentencia por el Excmo. Sr. Magistrado Ponente, D. FRANCISCO GONZÁLEZ NAVARRO, en audiencia pública, celebrada en el mismo día de su fecha.- De lo que certifico.