Cargando. Por favor, espere

S TS 13/12/2021

Tribunal Supremo, Sala Tercera, de lo Contencioso-administrativo, Sección 3ª, Sentencia 1456/2021 de 13 Dic. 2021, Rec. 6109/2020

Ponente: Calvo Rojas, Eduardo.

Nº de Sentencia: 1456/2021

Nº de Recurso: 6109/2020

Jurisdicción: CONTENCIOSO-ADMINISTRATIVA

Diario La Ley, Nº 9993, Sección La Sentencia del día, 20 de Enero de 2022, Wolters Kluwer

LA LEY 244479/2021

ECLI: ES:TS:2021:4660

La suplantación fraudulenta de identidad por un tercero en una contratación online no excluye la infracción por falta del necesario consentimiento inequívoco

Cabecera

INTERÉS CASACIONAL. PROTECCIÓN DE DATOS. Conformidad a Derecho de la sanción impuesta a entidad financiera por infracción del principio de consentimiento. Se comparte el parecer de la Audiencia Nacional acerca de la insuficiencia de las medidas aplicadas por la recurrente en el procedimiento de contratación. La entidad incorporó a sus sistemas informáticos datos personales del denunciante en relación con un micro préstamo que no había solicitado, no habiendo aportado pruebas de que realizara la contratación. La intervención fraudulenta de un tercero, que suplanta la identidad de otra persona en una contratación on line, no excluye que la empresa contratante, que lleva a cabo el tratamiento de los datos personales, haya podido incurrir en infracción por falta del necesario consentimiento inequívoco que exige el art. 6 de la LO 3/2018, de 5 de diciembre, pues aquella intervención fraudulenta de un tercero no implica por sí misma que la empresa contratante haya actuado con diligencia suficiente. Sanción por inclusión indebida del mismo en os ficheros de morosidad en relación con la deuda resultante. Infracciones graves. Proporcionalidad de las sanciones.

Resumen de antecedentes y Sentido del fallo

El Tribunal Supremo desestima el recurso de interés casacional interpuesto contra sentencia de la Audiencia Nacional, que confirmó la resolución de la AEPD por la que se impuso sanciones a la recurrente por infracción de los principios de consentimiento y de calidad del dato.

Texto

T R I B U N A L S U P R E M O

Sala de lo Contencioso-Administrativo

Sección Tercera

Sentencia núm. 1.456/2021

Fecha de sentencia: 13/12/2021

Tipo de procedimiento: R. CASACION

Número del procedimiento: 6109/2020

Fallo/Acuerdo:

Fecha de Votación y Fallo: 30/11/2020

Ponente: Excmo. Sr. D. Eduardo Calvo Rojas

Procedencia: AUD.NACIONAL SALA C/A. SECCION 1

Letrado de la Administración de Justicia: Ilmo. Sr. D. Luis Martín Contreras

Transcrito por: dvs

Nota:

R. CASACION núm.: 6109/2020

Ponente: Excmo. Sr. D. Eduardo Calvo Rojas

Letrado de la Administración de Justicia: Ilmo. Sr. D. Luis Martín Contreras

TRIBUNAL SUPREMO

Sala de lo Contencioso-Administrativo

Sección Tercera

Sentencia núm. 1456/2021

Excmos. Sres.

D. Eduardo Espín Templado, presidente

D. José Manuel Bandrés Sánchez-Cruzat

D. Eduardo Calvo Rojas

D. José María del Riego Valledor

D. Diego Córdoba Castroverde

D. Ángel Ramón Arozamena Laso

En Madrid, a 13 de diciembre de 2021.

Esta Sala ha visto el recurso de casación nº 6109/2020 interpuesto por el Procurador D. Jime Quiñones Bueno en representación de DINEO CRÉDITO, S.L. contra la sentencia de la Sección 1ª de la Sala de lo Contencioso- Administrativo de la Audiencia Nacional de 23 de marzo de 2020 (sic) dictada en el recurso contencioso-administrativo nº 735/2018 (LA LEY 52174/2020) . Se ha personado como parte recurrida la ADMINISTRACIÓN GENERAL DEL ESTADO, representada y asistida por la Abogacía del Estado.

Ha sido ponente el Excmo. Sr. D. Eduardo Calvo Rojas.

ANTECEDENTES DE HECHO

PRIMERO.- La Sección 1ª de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional dictó sentencia con fecha 13 de marzo de 2020 (recurso nº 735/2018/2016) en cuya parte dispositiva se acuerda:

" FALLAMOS: Que desestimando el recurso contencioso-administrativo interpuesto por el Procurador de los Tribunales don Jaime Quiñones Bueno, en nombre y representación de Dineo Crédito, S.L., contra la resolución de 16 de julio de 2018 de la Directora de la Agencia Española de Protección de Datos, que confirma en reposición la resolución de 4 de enero de 2018, recaídas en el PS/00156/2017, por la que se le impone una sanción de 60.000 euros por una infracción del art. 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre (LA LEY 4633/1999), y otra de 20.000 euros, por una infracción del art. 4.3 de la reseñada Ley, tipificadas como graves en los arts. 44.3.b) y 44.3.c) de dicha norma , declaramos las citadas resoluciones conformes a derecho, con desestimación de todas las pretensiones; con expresa imposición de las costas procesales a la parte demandante".

SEGUNDO.- Según recoge el fundamento jurídico primero de la sentencia de la Audiencia Nacional, los hechos probados en que se basa la resolución administrativa sancionadora son los siguientes:

" PRIMERO: Eusebio, con NIF NUM000 (folio 5), cuyo domicilio, según el documento nacional de identidad aportado, radica en Alcalá de Henares, Madrid, CALLE000, NUM001, manifiesta que Dineo ha tratado sus datos personales sin su consentimiento vinculados a un contrato celebrado por un tercero a su nombre y los ha comunicado, asociados a una deuda que no le pertenece, al fichero ASNEF (folio 1)

SEGUNDO: Obra en el expediente la copia de la denuncia presentada en la Comisaría de Policía el 19/04/2016 (Atestado NUM002) en la que el ahora denunciante declaró que había recibido en el domicilio de CALLE000, NUM001, requerimientos de empresas de cobro de deudas reclamándole un total de 1.719,44 euros, procedentes de microcréditos solicitados a través de diversas compañías; que en ningún momento había realizado ninguna de esas operaciones; que no había extraviado su documentación pero sí había enviado su C.V. a varias empresas por encontrarse en situación de desempleo (folio 6).

TERCERO: Dineo ha facilitado una impresión de pantalla de sus registros en la que constan los datos facilitados con ocasión de la contratación de un micro crédito, (préstamo NUM003), el 18/02/2016, a nombre del denunciante (folios 46 y 47). En el apartado "Información del solicitante" figura el nombre, dos apellidos, y NIF del denunciante, el mismo domicilio que aparece en el DNI cuya copia ha aportado a la AEPD y su fecha de nacimiento. Figura también una dirección IP ( NUM004); información sobre la situación laboral del contratante; sobre su estado civil; el importe de sus ingresos netos y la dirección electrónica DIRECCION000. Además, los siguientes datos de los cuales no es titular el denunciante: Los veinte dígitos de una cuenta bancaria ( NUM005) y un único número de teléfono, el móvil NUM006. No hay ninguna mención a una tarjeta de débito del contratante.

CUARTO: Dineo manifestó en su respuesta al requerimiento informativo de la Inspección de Datos que la contratación del micro préstamo a nombre del denunciante se hizo telemáticamente a través de la web www.dineo.es con la IP NUM004. (Folio 43)

QUINTO: Dineo, en respuesta a la petición de la Inspección de Datos para que, en el caso de que la contratación se hubiera celebrado por internet, acreditara documentalmente la "validación realizada sobre la identidad del contratante" (folio 31) manifestó:

La contratación del micro préstamo a nombre del denunciante se celebró tras un proceso de validación que incluye "comprobaciones a través del DNI y apellidos en ficheros de morosidad, validación del teléfono móvil, validación de la cuenta bancaria y de la tarjeta de débito aportada así como estudio del proceso de validación donde un algoritmo de procesamiento en base a los parámetros que incluye el cliente dan como positiva o no dicha solicitud". (Folios 43 y 44)

SEXTO: Dineo remitió a la AEPD con su respuesta al requerimiento de la Inspección un certificado expedido por su representante en el que consta que, examinados los libros de contabilidad, a fecha 10 de enero de 2017, el cliente Eusebio, con NIF NUM000 mantiene un préstamo pendiente ( NUM003) por una cantidad pendiente hasta la fecha de 190,45 euros. (Folio 50)

SÉPTIMO: Equifax Ibérica, S.L., ha aportado documentación procedente de su fichero Fotocli, auxiliar de Asnef, que evidencia que Dineo informó al fichero Asnef una deuda por importe de 161,40 euros, asociada al NIF NUM000, del que es titular el denunciante, a su nombre y apellidos, con fecha de alta 15/04/2016. La incidencia se dio de baja el 04/05/2016. El domicilio atribuido al deudor que la acreedora informante comunicó a EQUIFAX, y al que ASNEF hizo las notificaciones de inclusión, era CALLE000 número NUM001, Alcalá de Henares, 28802. (Folios 155, 156 y 160)

OCTAVO: Obra en el expediente copia de la carta que el denunciante recibió de Asnef Equifax, S.L., fechada el 16/04/2016, en la que pone en su conocimiento que sus datos personales han sido incluidos en el fichero de solvencia ASNEF con fecha de alta 15/04/2016, informados por Dineo, por una deuda de 161,40 euros

(folio 18)

NOVENO: El denunciante se dirigió a Dineo por correo certificado de 25/04/2016 adjuntándole copia de la denuncia presentada en la Policía y solicitud de cancelación de sus datos. Pide también que remita toda la información del préstamo a la Policía Nacional de Alcalá de Henares (folios 17 y 26)

DÉCIMO: Orange Espagne, S.A.U., ha facilitado a la AEPD la identidad de quien en fecha 18/02/2016 figuraba como titular del número de móvil NUM006 -número que consta en el contrato celebrado por Dineo vinculado a los datos personales del denunciante-. Se verifica que los datos del titular de esa línea (nombre, apellidos y NIF) no coinciden con los del denunciante, pues según los registros de Orange el titular era Juan Carlos. cuyo NIF finaliza en los dígitos " NUM007" y tiene asignada la letra NUM008. (Folios 208 y 209)

UNDÉCIMO: Bankia, S.A., ha facilitado a la AEPD la identidad de quien figuraba como titular de la cuenta bancaria NUM005, que consta en el contrato celebrado por Dineo vinculado a los datos personales del denunciante. Se verifica que ni el nombre y apellidos del titular de esa cuenta, desde su apertura, el 18/02/2016, hasta su cancelación, el 07/07/2016, ni el NIF coinciden con los del denunciante, a cuyo nombre Dineo celebra el contrato de micro préstamo. Según los registros de Bankia, S.A., el titular de la cuenta era Dª Mónica., cuyo NIF finalizaba en los dígitos " NUM009" y tenía asignada la letra NUM010. (Folios 142 a 145)".

La sentencia ahora recurrida, tras examinar en su fundamento jurídico segundo la cuestión debatida en el proceso sobre la posible concurrencia de prejudicialidad penal -cuestión sobre la que no se ha suscitado debate en casación- entra luego a examinar, en sus fundamentos jurídicos tercero y siguientes, los argumentos de impugnación que aducía la demandante en el proceso de instancia. Las razones que allí expone la Sala de instancia para fundamentar la desestimación del recurso contencioso-administrativo son, en lo que interesa al presente recurso de casación, las siguientes:

" (...) TERCERO.- La primera infracción por la que se sanciona a la parte demandante se encuentra recogida en el art. 44.3.b) de la LOPD, que establece como infracción grave: "Tratar los datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo".

Asimismo, el art. 6 de la LOPD establece en su apartado primero que, "el tratamiento de datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa". A continuación, dicho precepto en su apartado segundo establece aquellos supuestos en los que no será preciso dicho consentimiento, entre los que se encuentra el supuesto en que los datos se refieran a las partes de un contrato o precontrato de una relación negocial.

El art. 3.h) de la LOPD define el "consentimiento del interesado" como "toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen".

El principio del consentimiento expresado conllevará, por tanto, la necesidad del consentimiento inequívoco del afectado para que puedan tratarse sus datos de carácter personal, permitiéndose así a aquel ejercer efectivo control sobre dichos datos y garantizando su poder de disposición sobre los mismos. Dicho consentimiento podrá prestarse de forma expresa, oral o escrita, o de manera tácita, mediante actos reiterados y concluyentes que revelen su existencia.

Ahora bien, tal y como ha expresado esta Sala reiteradamente, entre otras, en Sentencia de 28 febrero 2007 -recurso nº.236/2005-, el consentimiento ha de ser necesariamente "inequívoco". De modo que ha de aparecer como evidente, o, lo que es lo mismo, que no admite duda o equivocación, pues éste y no otro es el significado del adjetivo utilizado para calificar el consentimiento.

CUARTO.- La parte actora aduce que tiene implantados las medidas pertinentes para verificar la identidad del titular que contrato el micro préstamo el 18 de febrero de 2016, y vuelve a poner de manifiesto en la demanda las medidas relativas para la verificación de la identidad del solicitante del crédito. Todas las medidas, en su conjunto, como argumenta la parte actora, permiten observar que Dineo cumple, holgadamente, con las medidas de diligencia debida, a efectos de protección de datos personales, en relación con la identificación de sus clientes en las contrataciones on-line.

A mayores, la verificación de doble factor del D.N.I. aportado, que incluye Dineo en su proceso de validación de dicho D.N.I., hacen que dicha validación sustituya plenamente a la aportación de copia o fotografía del propio D.N.I., por cuanto: Por un lado, se asegura que el nº y la letra se corresponden y no son inventados, ni falsos; y por otro lado, se asegura que el solicitante en el momento de realizar el trámite está en presencia y/o poder del documento o de una copia del mismo.

Así las cosas, en la resolución sancionadora se analiza de manera detalla el mecanismo de verificación de identidad del solicitante del crédito que tenía en dicho momento la parte aquí recurrente.

En este sentido, en cuanto al "registro en la plataforma", en el que se recaba del cliente lo determinados datos, entre ellos, como el "número de D.N.I.", "dos teléfonos" y el correo electrónico. Hay poner de manifiesto, que con ello únicamente se demuestra que desde ese momento, existe un tratamiento de datos personales, pero se ignora es si los datos facilitados por el cliente y recogidos por Dineo, son de la persona que los facilita como suyos o de un tercero.

En relación con la segunda fase es la que se denomina por la parte actora de "validación del D.N.I." que consiste en un algoritmo que permite determinar si el DNI facilitado por el cliente se corresponde o no con un D.N.I. real o válido. Dicha medida únicamente demuestra a la entidad que "alguien" es titular de ese D.N.I., por cuanto le confirma que es un número de documento que existe.

Por lo que respecta a la tercera fase, llamada "validación del número de móvil", que consiste en el envío al terminal móvil del contratante de una clave o pin de cuatro cifras que, posteriormente, el cliente debe introducir en el formulario al que accede desde la página web de Dineo. Lo que se puede extraer de dicha medida es que quien pretende contratar con Dineo, tiene acceso a ese número de móvil, pero, por sí sola, esta nada dice sobre la identidad del contratante.

La fase del procedimiento de contratación del préstamo denominada "validación de datos bancarios", que consiste en verificar si la cuenta bancaria "es real" y está asociada efectivamente a una cuenta bancaria. Medida que es también irrelevante desde el punto de vista del respeto a las obligaciones impuestas por la normativa de protección de datos, y cuyo alcance no es otro, que asegurar el buen fin del préstamo, en otros términos, que el importe prestado se dirigirá a una cuenta abierta y activa.

Y, por último, la fase denominada validación de la "tarjeta de crédito", para lo que se carga en ella un céntimo que automáticamente resulta reintegrado, no consta en el caso que nos ocupa, que se llevara a cabo al no aparecer en los registros informáticos de la parte actora, en el que vuelca los datos vinculados al cliente, referencia alguna a una tarjeta de crédito, no siendo necesaria la enumeración completa.

A lo expuesto, tenemos que añadir que como se derivan de las pruebas practicadas en la vía administrativa, que por la información aportada por Orange, que era la operadora que prestaba el servicio para la línea NUM006 en fecha 18 de febrero de 2016 cuando se solicitó el crédito, ni el nombre, apellidos y NIF del titular de la línea, coinciden en febrero de 2016 con los datos personales del denunciante. Y, con la información suministrada por Bankia en relación con la cuenta bancaria que figura en los registros de Dineo, y a la que se habría transferido el importe del micro préstamo, se deriva que los datos del titular de la cuenta en la fecha de la contratación del crédito, tampoco coinciden con los datos personales del denunciante. Ni siquiera el titular del móvil y el de la cuenta bancaria son la misma persona.

En consecuencia, hay que apreciar que la parte actora en relación con el tratamiento de los datos del denunciante, no adoptó las medidas que la diligencia impone al objeto de acreditar la identidad de la persona que contrata con ella y para garantizar que quien facilita como suyos datos personales es su verdadero titular, sin que resulte para ello necesario, en el caso que nos ocupa, como se alude en la demanda, la aportación de una copia del D.N.I. del solicitante del préstamo.

Por tanto, cabe apreciar la existencia de la infracción del art. 6.1 de la LOPD, que estamos analizando, habiendo prueba suficiente de cargo para destruir la presunción de inocencia.

Por otro lado, la parte actora aduce la no existencia de culpabilidad en el tratamiento de los datos de carácter personal del afectado, ya que actuó con la diligencia exigible en el cumplimiento de sus obligaciones legales, y habida cuenta, que quien contrató el micro préstamo lo hizo con suplantación de la personalidad del denunciante.

El principio de culpabilidad, garantizado por el art. 25 de la Constitución (LA LEY 2500/1978), limita el ejercicio del "ius puniendi" del Estado y exige, según refiere el Tribunal Constitucional en la sentencia 129/2003 (LA LEY 12615/2003), de 20 de junio, que la imposición de la sanción se sustente en la exigencia del elemento subjetivo de culpa, para garantizar el principio de responsabilidad y el derecho a un procedimiento sancionador con todas las garantías ( S.TS. de 1 de marzo de 2012 (LA LEY 15828/2012) -recurso nº. 1.298/2009-).

Ciertamente, el principio de culpabilidad, previsto en el art. 28 de la Ley 40/2015, de 1 de octubre (LA LEY 15011/2015), dispone que solo pueden ser sancionados por hechos constitutivos de infracción administrativa los responsables de los mismos, aún a título de simple inobservancia. Obviamente, ello supone que dicha responsabilidad sólo puede ser exigida a título de dolo o culpa, quedando desterrada del ámbito del derecho administrativo sancionador la llamada "responsabilidad objetiva", y comprendiendo el titulo culposo la imprudencia, negligencia o ignorancia inexcusable. Esta "simple inobservancia" no puede ser entendida, por tanto, como la admisión en el derecho administrativo sancionador de la responsabilidad objetiva, pues la jurisprudencia mayoritaria de nuestro Tribunal Supremo (a partir de sus Sentencias de 24 y 25 de enero y 9 de mayo de 1983) y la doctrina del Tribunal Constitucional (después de su Sentencia 76/1990), destacan que el principio de culpabilidad, aún sin reconocimiento explícito en la Constitución, se infiere de los principios de legalidad y prohibición de exceso ( art. 25.1 CE (LA LEY 2500/1978)), o de las propias exigencias inherentes a un Estado de Derecho, por lo que se requiere la existencia de dolo o culpa (en este sentido, S.TS. de 21 de enero de 2011 (LA LEY 498/2011) -recurso nº. 598/2008-).

No obstante, el modo de atribución de responsabilidad a las personas jurídicas no se corresponde con las formas de culpabilidad dolosas o imprudentes que son imputables a la conducta humana. De modo que, en el caso de infracciones cometidas por personas jurídicas, aunque haya de concurrir el elemento de la culpabilidad, éste se aplica necesariamente de forma distinta a como se hace respecto de las personas físicas. Según la S.TC. 246/1991 (LA LEY 1858-TC/1992): "(...) esta construcción distinta de la imputabilidad de la autoría de la infracción a la persona jurídica nace de la propia naturaleza de ficción jurídica a la que responden estos sujetos. Falta en ellos el elemento volitivo en sentido estricto, pero no la capacidad de infringir las normas a las que están sometidos. Capacidad de infracción y, por ende, reprochabilidad directa que deriva del bien jurídico protegido por la norma que se infringe y la necesidad de que dicha protección sea realmente eficaz y por el riesgo que, en consecuencia, debe asumir la persona jurídica que está sujeta al cumplimiento de dicha norma ". En esta misma línea, se pronuncia la S.TS. de 24 de noviembre de 2011 -recurso nº. 258/2009-.

[...]

En el caso que nos ocupa, la parte actora incorporó a sus sistemas informáticos datos personales del denunciante (nombre, apellidos, NIF,) en relación con un micro préstamo a corto plazo el 18 de febrero de 2016, por importe de 100 euros, que aquel no había solicitado, no habiendo aportado pruebas de que el denunciante realizara la contratación del préstamo.

Por otro lado, la culpabilidad de la parte actora no puede considerarse excluida ni atenuada por el hecho de que haya mediado la posible actuación fraudulenta de un tercero, pues la responsabilidad de la parte actora no deriva de la actuación de éste, sino de la suya propia.

Por tanto, cabe apreciar falta de diligencia en la actuación de la parte actora, sin que quepa apreciar falta de culpabilidad ni tampoco de tipicidad.

QUINTO.- La segunda infracción que se le imputa a la parte actora, se funda en la conculcación del art. 44.3.c) de la LOPD, que tipifica como infracción grave: "Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave".

Por otro lado, el art. 4.3 de la LOPD establece, dentro del principio de calidad de datos, la exigencia de la exactitud y veracidad de los datos: " Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado".

Precepto que hay que conectar en el caso de autos, con el art. 29 de la citada Ley, que regula de forma específica la prestación de servicios de información sobre solvencia patrimonial y crédito, distingue dentro de ellos dos supuestos. Uno de los cuales es el relativo a los ficheros de solvencia patrimonial en los que se tratan datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés, que se regulan en el apartado 2.

Estos ficheros se caracterizan porque no necesitan del consentimiento del afectado para la obtención y tratamiento de sus datos, lo que supone una excepción a los principios rectores de la LOPD (entre ellos el del consentimiento del afectado en el tratamiento y cesión de sus datos de carácter personal). No obstante, frente a esta excepción, la propia norma articula una serie de contrapesos, como es su limitación a un caso concreto (cumplimiento o incumplimiento de obligaciones dinerarias) y la obligación de notificar a los afectados el hecho de que se han registrado sus datos de carácter personal.

Por otra parte, el art. 38 del Real Decreto 1.720/2007, de 21 de diciembre (LA LEY 13934/2007), por el que se aprueba el Reglamento de desarrollo de la LOPD, aplicable a la sazón, (en adelante RLOPD (LA LEY 13934/2007)), fija los "requisitos para la inclusión de los datos" en esos ficheros, precepto que ha sido impugnado en algunos de sus apartados ante el Tribunal Supremo, habiéndose dictado la Sentencia de dicho Tribunal de 15 de julio 2010 recurso nº 23/2008- que anula entre otros apartados, por disconformes a derecho, el último inciso del art 38.1.a) y el apartado 2 del citado art. 38 del RLOPD (LA LEY 13934/2007).

La redacción del art. 38 del RLOPD (LA LEY 13934/2007), tras la aplicación de la citada Sentencia de 15 de julio de 2010, es la siguiente:

"1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:

a) Existencia previa de una deuda cierta, vencida, exigible que haya resultado impagada.

b) Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación.

c) Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.

2. El acreedor o quien actué por su cuenta o interés estará obligado a conservar a disposición del responsable del fichero común y de la Agencia Española de Protección de Datos documentación suficiente que acredite el cumplimiento de los requisitos establecidos en este artículo y del requerimiento previo a que se refiere el artículo siguiente".

Y el art. 39 del reseñado RLOPD (LA LEY 13934/2007), a su vez, dispone: "El acreedor deberá informar al deudor, en el momento en que se celebre el contrato y, en todo caso, al tiempo de efectuar el requerimiento al que se refiere la letra c) del apartado 1 del artículo anterior, que en caso de no producirse el pago en el término prevenido para ello y cumplirse los requisitos previstos en el citado artículo, los datos relativos al impago podrán ser comunicados a ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias" .

Es decir, para la inclusión de los datos en ficheros de información sobre solvencia patrimonial y crédito, se requiere que la deuda sea cierta y que haya sido previamente requerida de pago.

En el caso que nos ocupa, la parte actora incorporó a sus sistemas informáticos datos personales del denunciante asociado a una deuda. Posteriormente, dicha parte informó los datos personales de la denunciante al fichero de solvencia patrimonial Asnef, con fecha de alta el 15 de abril de 2016, por una deuda de 161,40 euros, deuda que no era cierta, vencida y exigible, ya que el denunciante no había contrato el micro-crédito, por lo que cabe apreciar la existencia igualmente de dicha infracción.

En consecuencia, la conducta anteriormente descrita vulnera el principio de calidad del dato consagrado en el art. 4.3 en relación con el art. 29.4 de la LOPD, infracción tipificada en el art. 44.3.c) de la citada norma, no vulnerándose el principio de tipicidad.

Por lo demás, en cuanto a la existencia de prueba de cargo, y de culpabilidad de la parte actora, nos remitimos a lo expuesto en relación con la primera infracción analizada, insistiendo en que la culpabilidad de la parte actora no puede considerarse excluida ni atenuada por el hecho de que haya mediado la posible actuación fraudulenta de un tercero, pues la responsabilidad de la parte actora no deriva de la actuación de éste, sino de la suya propia.

Debemos añadir, que en la apreciación de la existencia de las dos infracciones por las ha sido sancionada la parte actora, no ha resultado vulnerado el principio de interdicción de la arbitrariedad, motivo que lo que basa la parte actora en que se ha sancionada por hechos que se realizan por todas las demás entidades que conceden micro-préstamos, pues como ha quedado reflejado en el caso que nos ocupa, cabe apreciar la infracción de los arts. 6.1 y 4.3 de la LOPD por la parte actora".

Por todo ello la Sala de la Audiencia Nacional termina desestimando el recurso contencioso-administrativo.

TERCERO.- Notificada la sentencia a las partes, preparó recurso de casación contra ella la representación de Dineo Crédito, S.L., siendo admitido a trámite el recurso por auto de la Sección Primera de esta Sala de 12 de marzo de 2021 (LA LEY 11771/2021)en el que asimismo se acuerda la remisión de las actuaciones a la Sección Tercera, con arreglo a las normas sobre reparto de asuntos.

En la parte dispositiva del auto de admisión del recurso se acuerda, en lo que ahora interesa, lo siguiente:

" (....) 2°/ Declarar que la cuestión planteada en el recurso que presenta interés casacional objetivo para la formación de la jurisprudencia consiste en interpretar la normativa de protección de datos de carácter personal vigente a efectos de aclarar si la intervención fraudulenta de un tercero, que suplanta la identidad de otra persona en una contratación on line, permite excluir la infracción del necesario consentimiento inequívoco para el tratamiento de los datos personales que exige el artículo 6 LOPD (actual artículo 6 LO 3/2018, de 5 de diciembre (LA LEY 19303/2018)) al entender que la empresa contratante actuó con diligencia suficiente y en la creencia de que contrataba con el verdadero titular de tales datos".

CUARTO.- La representación de Dineo Crédito, S.L. formalizó la interposición de su recurso de casación mediante escrito de fecha 7 de mayo de 2021 en el que, tras exponer los antecedentes y los datos que considera relevantes, la parte recurrente alega, en síntesis:

1/ La AEPD viene estableciendo, para el sector de los micro préstamos, como medida de diligencia debida a efectos de protección de datos personales, solicitar una copia del DNI a todos sus clientes que realicen contratación online. Criterio que no resulta exigible al resto de los grandes sectores del comercio electrónico (por ejemplo, del retail: Amazon; Wallapop; Zara; Cash Converters; etc.).

2/ La validación que realiza Dineo del DNI (algoritmo para verificar autenticidad del número y letra aportados + algoritmo para solicitar aleatoriamente al cliente determinados dígitos que son únicos en cada soporte DNI y que solo se pueden aportar teniendo el DNI o una copia del mismo en la mano), resulta equivalente a la aportación del DNI por el solicitante por vía electrónica.

3/ Por tanto, Dineo adoptó todas las medidas necesarias y oportunas, desde el punto de vista de la protección de datos personales, para tramitar la solicitud de microcrédito de fecha 18 de febrero de 2016, y pese a la adopción de tales medidas (registro en la plataforma; validación del DNI: con verificación de doble factor de 2 algoritmos que garantizan tanto la veracidad del nº y la letra como que el solicitante tiene en su poder el DNI, por original o copia; validación del número de teléfono móvil a través de un código PIN, validación de datos bancarios y validación de la tarjeta de crédito/débito aportada por el solicitante), se podría haber cometido el delito de suplantación de identidad, de estafa y/o de uso indebido de documento verdadero.

La recurrente sostiene que la sentencia de instancia incurre en "...infracción de los artículos 4.3, 6.1, 29.2 y 29.4, 44.3.b, 44.3.c y 45.2 de la LOPD, los artículos 38.1 (LA LEY 13934/2007) y 38.3 del RDLOPD (LA LEY 13934/2007), y del artículo 60.4 y Disposición Final 1ª de la Ley de Jurisdicción Contencioso-Administrativa (LA LEY 2689/1998) en relación con los artículos 4 (LA LEY 58/2000), 217 (LA LEY 58/2000) y 218 de la Ley de Enjuiciamiento Civil (LA LEY 58/2000), que disponen tanto los requisitos para apreciar la concurrencia de infracción de los principios de protección de datos consagrados en dichos preceptos, como para sustentar unas eventuales infracciones e imponer unas sanciones, que no son ajustadas a Derecho, siendo así la valoración hecha por la Sala de instancia alejada de las reglas de la sana crítica".

Termina el escrito solicitando la íntegra estimación del recurso de casación, la revocación de la sentencia de fecha 13 de marzo de 2020 de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, y que se declare la nulidad de pleno derecho de la resolución sancionadora de fecha 17 de julio de 2018 y se acuerde el inmediato archivo del expediente sancionador.

QUINTO.- Recibidas las actuaciones en esta Sección Tercera, se dictó providencia con fecha 12 de mayo de 2021 en la que se tuvo por interpuesto el recurso y se acordó dar traslado a la parte recurrida para que pudiese formular su oposición.

SEXTO.- La representación procesal de la Administración del Estado formalizó su oposición mediante escrito presentado el 21 de junio de 2021 en el que, tras formular sus alegaciones en contra de lo aducido por la recurrente, solicita que se declare:

1/ Que la simple intervención de un tercero que suplanta la identidad de otra persona en una contratación on line no excluye por sí la exigencia del consentimiento inequívoco del afectado para el tratamiento de sus datos personales.

2/ Que la ponderación que efectúa la sentencia sobre la responsabilidad de la empresa sancionada resulta plenamente ajustada a Derecho.

3/ Que procede desestimar el recurso de casación y confirmar la sentencia recurrida.

SÉPTIMO.- Mediante providencia de 21 de junio de 2021 se acordó no haber lugar a la celebración de vista y quedaron las actuaciones pendientes de señalamiento para votación y fallo; fijándose finalmente al efecto el día 30 de noviembre de 2021, fecha en que tuvo lugar la deliberación y votación.

FUNDAMENTOS DE DERECHO

PRIMERO.- Objeto del recurso de casación.

El presente recurso de casación nº 6109/2020 lo interpone la representación de Dineo Crédito, S.L. contra la sentencia de la Sección 1ª de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 23 de marzo de 2020 (sic) (recurso nº 735/2018) (LA LEY 52174/2020) en la que se desestima el recurso contencioso-administrativo interpuesto por dicha entidad contra la resolución de 16 de julio de 2018 de la Directora de la Agencia Española de Protección de Datos, que confirma en reposición la resolución de 4 de enero de 2018 (expediente NUM011), por la que se impone Dineo Crédito, S.L. una sanción de 60.000 euros por una infracción del artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre (LA LEY 4633/1999), y otra de 20.000 euros, por una infracción del artículo 4.3, tipificadas como graves en los artículo 44.3.b) y 44.3.c) de la misma Ley; con imposición de las costas procesales a la parte demandante.

En el antecedente segundo hemos dejado reseñados los hechos que motivaron la imposición de la sanción, así como las razones que se exponen en la sentencia recurrida -en lo que interesa al presente recurso de casación- para fundamentar la desestimación del recurso contencioso-administrativo.

Procede entonces que entremos a examinar las cuestiones suscitadas en casación, en particular la señalada en el auto de la Sección Primera de esta Sala de 12 de marzo de 2021. Y, como hemos visto en el antecedente tercero, en ese auto de admisión del recurso se declara que la cuestión que presenta interés casacional objetivo para la formación de la jurisprudencia consisten en interpretar la normativa de protección de datos de carácter personal vigente a efectos de aclarar si la intervención fraudulenta de un tercero, que suplanta la identidad de otra persona en una contratación on line, permite excluir que haya existido infracción por falta del necesario consentimiento inequívoco para el tratamiento de los datos personales que exige el artículo 6 de la Ley Orgánica 3/2018, de 5 de diciembre (LA LEY 19303/2018), por entender que la empresa contratante actuó con diligencia suficiente y en la creencia de que contrataba con el verdadero titular de tales datos.

SEGUNDO.- Sobre las infracciones que la recurrente reprocha a la sentencia.

En el antecedente cuarto hemos visto que, según se afirma en el escrito de interposición del recurso, la sentencia de instancia incurre en infracción de los artículos 4.3, 6.1, 29.2 y 29.4, 44.3.b, 44.3.c y 45.2 de la LOPD, los artículos 38.1 (LA LEY 13934/2007) y 38.3 del RDLOPD (LA LEY 13934/2007), y el artículo 60.4 y la disposición final 1ª de la Ley de Jurisdicción Contencioso-Administrativa (LA LEY 2689/1998), en relación con los artículos 4 (LA LEY 58/2000), 217 (LA LEY 58/2000) y 218 de la Ley de Enjuiciamiento Civil (LA LEY 58/2000), preceptos todos ellos que, según señala la propia parte recurrente, " (...) disponen tanto los requisitos para apreciar la concurrencia de infracción de los principios de protección de datos consagrados en dichos preceptos, como para sustentar unas eventuales infracciones e imponer unas sanciones, que no son ajustadas a Derecho, siendo así la valoración hecha por la Sala de instancia alejada de las reglas de la sana crítica".

Pues bien, este último inciso que hemos destacado en cursiva revela el verdadero sentido de la impugnación que se formula. Así, tras aquella genérica enumeración de los preceptos que se dicen infringidos por la sentencia, la parte recurrente no se detiene a explicar, siquiera de forma somera o suscinta, las razones por las que habrían de considerase vulnerados cada una de aquellas normas. Sencillamente, se afirma globalmente que todas ellas han sido infringidas, y añade a continuación un reproche que sí desarrolla luego a lo largo del escrito: que la valoración hecha por la Sala de instancia está alejada de las reglas de la sana crítica.

En definitiva, bajo aquella envoltura formal en la que se alega la vulneración de normas jurídicas, lo que en realidad cuestiona la recurrente es la valoración de los hechos realizada por la Sala de instancia. Y es claro que tal propósito no puede tener acogida, pues es sabido que las cuestiones de hecho están excluidas del recurso de casación ( artículo 87 bis, apartado 1, de la Ley reguladora de la Jurisdicción Contencioso-Administrativo).

Por ello, siendo inviable que ahora en casación llevemos a cabo una revisión de los hechos fijados por la Sala de instancia, nuestra tarea se ceñirá a examinar si tales hechos son incardinables en los tipos de infracción por los que la recurrente ha sido sancionada. Y, en particular, si la intervención fraudulenta de un tercero, que suplanta la identidad de otra persona en una contratación on line, permite excluir que haya existido infracción por falta de consentimiento del interesado para el tratamiento de sus datos personales ( artículo 6 de la Ley Orgánica 3/2018, de 5 de diciembre (LA LEY 19303/2018)), por entenderse que la empresa contratante actuó con diligencia suficiente y en la creencia de que contrataba con el verdadero titular de tales datos.

Centrada así la tarea que debemos abordar, comenzaremos señalando que la sentencia recurrida no cuestiona que existiese la intervención de un tercero que suplantó la identidad del titular de los datos. En realidad, bien puede decirse que la sentencia admite la existencia de aquella intervención fraudulenta de un tercero; pero la Sala sentenciadora considera que este hecho -que no ha sido controvertido- no es por sí mismo suficiente para enervar las exigencias legales de que el interesado preste su consentimiento para la utilización de sus datos y de que estos sean tratados con observancia de los principios y garantías legalmente establecidos (calidad de datos).

Así, la sentencia recurrida aprecia, de un lado, falta de diligencia en la actuación de la recurrente, lo que derivó en un incumplimiento de la exigencia de recabar el consentimiento del titular de los datos ( artículo 6 LOPD); y, de otra parte, vulneración de la exigencia de exactitud y veracidad de los datos (principio de calidad de datos recogido en el artículo 4.3 LOPD), al haber incorporado la recurrente a sus sistemas informáticos, dando luego traslado de ello al fichero de solvencia patrimonial Asnef, datos personales del denunciante asociados a una deuda de 161,40 euros, deuda ésta que no era cierta, vencida ni exigible ya que el denunciante no había contratado el microcrédito.

Respecto de la primera cuestión (falta de diligencia en la actuación) en el recurso de casación se reiteran las alegaciones que la entonces demandante hizo en el proceso de instancia, en el sentido de que Dineo Crédito, S.L. adoptó todas las medidas necesarias y oportunas, desde el punto de vista de la protección de datos personales, para tramitar la solicitud de microcrédito (registro en la plataforma; validación del DNI: con verificación de doble factor de 2 algoritmos que garantizan tanto la veracidad del número y la letra del documento como que el solicitante tiene en su poder el DNI, por original o copia; validación del número de teléfono móvil a través de un código PIN, validación de datos bancarios y validación de la tarjeta de crédito/débito aportada por el solicitante); y pese a la adopción de tales medidas, se podría haber cometido el delito de suplantación de identidad, de estafa y/o de uso indebido de documento verdadero.

Pues bien, hemos visto que el fundamento jurídico cuarto de la sentencia de instancia da cumplida respuesta a tales alegaciones. Señala allí la Sala de la Audiencia Nacional que en la resolución sancionadora se analiza de manera detallada el mecanismo de verificación de identidad del solicitante del crédito que Dineo Crédito, S.L. tenía establecido y queda de manifiesto su insuficiencia. Así, con el denominado "registro en la plataforma", trámite en el que se recaban del cliente determinados datos (entre ellos, el número de D.N.I., dos teléfonos y el correo electrónico) únicamente se demuestra que desde ese momento existe un tratamiento de datos personales, pero se ignora es si los datos facilitados por el cliente y recogidos por Dineo, son de la persona que los facilita como suyos o de un tercero. En cuanto a la fase que la recurrente denomina de "validación del DNI" (un algoritmo que permite determinar si el DNI facilitado por el cliente se corresponde o no con un DNI real o válido), tal medida únicamente demuestra que se trata de un número de documento que existe y que "alguien" es titular de ese DNI. Por su parte, la llamada "validación del número de móvil", que consiste en el envío al terminal móvil del contratante de una clave o pin de cuatro cifras que, posteriormente, el cliente debe introducir en el formulario al que accede desde la página web de Dineo, únicamente acredita que quien pretende contratar con Dineo, tiene acceso a ese número de móvil, pero nada dice sobre la identidad del contratante.

La fase del procedimiento de contratación del préstamo denominada "validación de datos bancarios", que consiste en verificar si la cuenta bancaria "es real" y está asociada efectivamente a una cuenta bancaria, es también irrelevante desde el punto de vista del respeto a las obligaciones impuestas por la normativa de protección de datos, pues sólo asegura el buen fin del préstamo, esto es, que el importe prestado se dirigirá a una cuenta abierta y activa, pero nada aporta en cuanto a que el titular de esa cuenta sea precisamente la persona que figura en el DNI utilizado. Y, por último, la fase denominada validación de la "tarjeta de crédito", consistente en que se carga en ella un céntimo que automáticamente resulta reintegrado, no consta que en el caso que nos ocupa se llevara a cabo, al no aparecer en los registros informáticos de la recurrente.

En definitiva, ninguna de las medidas adoptadas por la recurrente está destinada a acreditar que la persona que solicita el micro-crédito coincide con el titular del DNI aportado. Y, en efecto, continua explicando la sentencia recurrida, las pruebas practicadas en la vía administrativa vinieron a poner de manifiesto que, respecto de la línea de teléfono facilitada cuando se solicitó el crédito, ni el nombre, apellidos y NIF del titular de la línea coinciden con los datos personales del denunciante (titular del DNI); y en relación con la cuenta bancaria que figura en los registros de Dineo, a la que se habría transferido el importe del micro préstamo, los datos del titular de la cuenta en la fecha de la contratación del crédito tampoco coinciden con los datos personales del denunciante. Ni siquiera el titular del móvil y el de la cuenta bancaria son la misma persona.

Estas apreciaciones de la Sala de instancia sobre la insuficiencia de las medidas adoptadas en el procedimiento de contratación on line, y, en definitiva, sobre falta de diligencia en la actuación por la recurrente, en modo alguno han quedado desvirtuadas en casación, donde la representación de Dineo Crédito, S.L. ha reiterado las manifestaciones que hizo en el proceso de instancia pero nada ha aportado que sirva para rebatir las conclusiones de la Sala sentenciadora.

En fin, compartimos el parecer de la Sala de la Audiencia Nacional acerca de la insuficiencia de las medidas aplicadas por la recurrente en el procedimiento de contratación. A las consideraciones que se exponen en la sentencia recurrida, que compartimos y hacemos nuestras, únicamente añadiremos dos observaciones:

En primer lugar, las medidas de verificación aplicadas por la recurrente parecen enteramente encaminadas asegurar el buen fin del préstamo, pero, en cambio, se desentienden enteramente del objetivo de verificar la veracidad y exactitud de los datos, y, en particular, de comprobar que quien solicita el crédito es precisamente quien dice ser. De este modo, en cualquier caso en el que un tercero utilice indebidamente un DNI sustraído o extraviado para realizar una compra o solicitar un crédito on line, siempre se consumaría el tratamiento inconsentido de los datos personales del titular del documento, aunque éste hubiese denunciado en su día ante las autoridades la pérdida o sustracción de su DNI, pues ninguna de las medidas enunciadas por la recurrente aparece mínimamente orientada a impedir o dificultar que ese resultado se produzca.

En segundo lugar, lo anterior no significa que se haga recaer sobre la empresa contratante la responsabilidad de impedir que se produzca un hecho ilícito o delictivo como es la utilización fraudulenta de un DNI por parte de quien no es su titular. Pero sí es exigible a dicha empresa contratante, como diligencia necesaria para que no se le pueda reprochar el incumplimiento de sus obligaciones en materia de protección de datos de carácter personal -tanto en lo que se refiere a la exigencia de consentimiento del interesado como en lo relativo al principio de veracidad y exactitud de los datos- la implantación de medidas de control tendentes a verificar que la persona que pretende contratar es quien dice ser, esto es, que coincide con el titular del DNI aportado.

Por lo demás, en concordancia con lo que llevamos expuesto, también compartimos el parecer de la Sala de la Audiencia Nacional (fundamento jurídico quinto de la sentencia recurrida) en lo que se refiere a la vulneración de la exigencia de exactitud y veracidad de los datos (principio de calidad de datos recogido en el artículo 4.3 LOPD puesto en relación con el artículo 29 de la misma Ley Orgánica y el artículo 38 del Reglamento aprobado por Real Decreto 1.720/2007, de 21 de diciembre (LA LEY 13934/2007)), al haber incorporado la recurrente a sus sistemas informáticos, dando luego traslado de ello al fichero de solvencia patrimonial Asnef, datos personales del denunciante asociados a una deuda que no era cierta, vencida ni exigible ya que el denunciante no había contratado el microcrédito.

TERCERO.- Respuesta de la Sala a la cuestión de interés casacional señalada en el auto de admisión del recurso de casación.

En respuesta a la cuestión que plantea el auto de admisión del presente recurso de casación debemos declarar que la intervención fraudulenta de un tercero, que suplanta la identidad de otra persona en una contratación on line, no excluye que la empresa contratante, que lleva a cabo el tratamiento de los datos personales, haya podido incurrir en infracción por falta del necesario consentimiento inequívoco que exige el artículo 6 de la Ley Orgánica 3/2018, de 5 de diciembre (LA LEY 19303/2018), pues aquella intervención fraudulenta de un tercero no implica por sí misma que la empresa contratante haya actuado con diligencia suficiente.

Lo anterior no significa que se haga recaer sobre la empresa contratante la responsabilidad de impedir que se produzca un hecho ilícito o delictivo, como es la utilización fraudulenta de un DNI por parte de quien no es su titular. Pero sí es exigible a dicha empresa contratante, como diligencia necesaria para que no se le pueda reprochar el incumplimiento de sus obligaciones en materia de protección de datos de carácter personal -tanto en lo que se refiere a la exigencia de consentimiento del interesado como en lo relativo al principio de veracidad y exactitud de los datos- la implantación de medidas de control y verificación tendentes a asegurar que la persona que pretende contratar es quien dice ser, esto es, que coincide con el titular del DNI aportado.

CUARTO.- Resolución del recurso de casación y costas procesales.

En consonancia con esta doctrina que acabamos de exponer en el apartado anterior, y de acuerdo con las consideraciones que hemos dejado recogidas en el fundamento jurídico segundo, procede que declaremos no haber lugar al recurso de casación interpuesto en representación de Dineo Crédito, S.L. contra la sentencia de la Sección 1ª de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 23 de marzo de 2020 (recurso contencioso-administrativo nº 735/2018).

De conformidad con lo dispuesto en los artículos 93.4, 139.1 y 139.4 de la Ley reguladora de esta Jurisdicción, entendemos que no procede la imposición de las costas derivadas del recurso de casación a ninguna de las partes. Y en cuanto a las costas del proceso de instancia, debe mantenerse el pronunciamiento que hizo al respecto la Sala de la Audiencia Nacional.

Vistos los preceptos citados, así como los artículos 86 a 95 de la Ley de esta Jurisdicción,

FALLO

Por todo lo expuesto, en nombre del Rey y por la autoridad que le confiere la Constitución, esta Sala ha decidido

1.- No ha lugar al recurso de casación nº 6109/2020 interpuesto en representación de DINEO CRÉDITO, S.L. contra la sentencia de la Sección 1ª de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 23 de marzo (sic) de 2020 (recurso contencioso-administrativo nº 735/2018). (LA LEY 52174/2020)

2.- No se imponen las costas derivadas del recurso de casación a ninguna de las partes, manteniendo, en cuanto a las costas del proceso de instancia, el pronunciamiento de la sentencia recurrida.

Notifíquese esta resolución a las partes e insértese en la colección legislativa.

Así se acuerda y firma.

Queremos saber tu opiniónNombreE-mail (no será publicado)ComentarioWolters Kluwer no se hace responsable de las opiniones vertidas en los comentarios. Los comentarios en esta página están moderados, no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor de la página o a cualquier otro comentarista.
Introduce el código que aparece en la imagencaptcha
Enviar

Últimos tweets

NÚMEROS DISPONIBLES

Scroll