SAN, 22 de Junio de 2006
| Ponente | JOSE ARTURO FERNANDEZ GARCIA |
| Emisor | Audiencia Nacional. Sala Contencioso Administrativo, Sección 1ª |
| ECLI | ES:AN:2006:2957 |
| Número de Recurso | 556/2004 |
MARIA LUZ LOURDES SANZ CALVOMARIA NIEVES BUISAN GARCIAJOSE ARTURO FERNANDEZ GARCIACARLOS LESMES SERRANO
SENTENCIA
Madrid, a veintidos de junio de dos mil seis.
La Sala constituida por los Sres. Magistrados relacionados al margen ha visto el recurso
contencioso-administrativo número 556/04 interpuesto por LA CAJA DE AHORROS DE LA INMACULADA DE ARAGÓN, representada por el Procurador de los Tribunales don Pedro Alarcón
Rosales, contra la resolución del Director de la Agencia Española de Protección de Datos( en
adelante AEPD), de 7 de septiembre de 2004, por la que se le impone a dicha entidad, por una
infracción del artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre , de Protección de Datos
de Carácter Personal (en adelante LOPD), calificada como grave en el artículo 44.3.g) de esa misma Ley , una infracción de 60.101,21 euros, de conformidad con lo establecido en el artículo 45.2 de la citada Ley Orgánica. Es parte la Administración General del Estado, representada por el
Abogado del Estado.
Admitido el presente recurso, y previos los oportunos trámites, se confirió traslado a la parte actora para que formalizase la demanda, lo que llevó a efecto mediante escrito presentado el 28 de diciembre de 2004, en el que, tras alegar los hechos y fundamentos de derecho que consideró oportunos, termina solicitando, en esencia, que se dicte sentencia estimando la demanda, se declare la disconformidad a Derecho de la actuación administrativa impugnada, y, en consecuencia, sea anulada y se decrete la devolución del importe ingresado por la sanción, que asciende a 60.101,20 euros, más los intereses legales de demora.
El Abogado del Estado contestó la demanda mediante escrito presentado en el que, tras formular las alegaciones que estimó procedentes, solicita el dictado de sentencia desestimando el recurso y confirmando la resolución impugnada por ser ajustada a derecho.
Seguidamente, se fijó la cuantía del procedimiento en 60.101,21 euros. Al no solicitarlo las partes, no se recibió el juicio a prueba.
Sustanciado el trámite de conclusiones por escrito por ambas partes, quedaron las actuaciones pendientes de señalamiento, fijándose finalmente al efecto el día 21 de junio de 2006, fecha en que tuvo lugar la deliberación y votación.
Ha sido PONENTE el Ilmo. Magistrado D. José Arturo Fernández García
El presente recurso contencioso administrativo tiene como objeto la resolución del Director de la Agencia de Protección de Datos, de 2 de abril de 2004, por la que declara que la entidad recurrente ha cometido una infracción del artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), calificada como grave en el artículo 44.3.g) de esa misma Ley, y se le impone una multa de 60.101,21 euros.
La mencionada resolución administrativa impugnada se sustenta en los siguientes hechos referidos a la actora, la Caja de Ahorros de la Inmaculada de Aragón( en delante CAI):
CAI ofrece a sus clientes el servicio denominado "CAI Online", que permite la realización de operaciones a través de Internet, para lo cual es necesario que el cliente firme un contrato. Asimismo presta a sus clientes el "servicio de correspondencia electrónica CAI" que se instrumenta a través del documento denominado "Modificación Domicilio de Notificaciones"( folios 39 a 42).
Eurosytem Consulting es cliente de CAI y titular de la cuenta nº 2086 00 17 11 71 000369 62 (folios 39 a 42).
Eurosytem Consulting S.L. suscribió con fecha 03/02/2003 un contrato para la prestación del servicio "CAI Online" y solicitó telefónicamente, según ha manifestado CAI, el servicio de correspondencia electrónica CAI, sin que hubiera firmado el documento de "Modificación Domicilio de Notificaciones" (folios 65 y 146).
La dirección de correo de Eurosytem Consulting SL es DIRECCION001(folio 50)
CAI remitió tres correos electrónicos a la dirección errónea de correo DIRECCION000. en fechas 28/02/2003, 03/03/2003 y 31/03/2003. Los dos primeros hacían referencia a movimientos de la cuenta bancaria de Eurosytem Consulting SL y el resultado del envío fue "NOK".
El tercer envío remitido a la dirección DIRECCION000 en fecha 31/03/2003 con el resultado OK, contenía también información sobre los movimientos de la cuenta bancaria de Eurosytem Consulting SL.Tres de dichos movimientos se referían a transferencias de nómina realizadas a D. Julián, D. Juan Carlos y D. Ildefonso por importe de 1.687,12 ¤, 420,71 ¤ y 1.492,12 ¤(folios 148 a 154).
Ese tercer correo se recibió en el servidor de correo "grupo.com" y fue reenviado de DIRECCION002 a DIRECCION001 (folio 4)
En el sistema de información de CAI consta que se corrigió con fecha 01/04/2003 la cuenta de correo de Eurosytem Consulting, SL, sustituyéndose la dirección de correo DIRECCION000 por la de DIRECCION001, enviándose los posteriores correos dirigidos a la sociedad Eurosytem a la dirección correo DIRECCION000 ( folios 64 a 148).
CAI en su escrito de fecha de entrada en esta Agencia de 05/11/2003 reconoce que el procedimiento que tiene establecido para la comunicación de los correos electrónicos de sus clientes no es suficiente para impedir cualquier tipo de envío erróneo y que se va a proceder a implantar un procedimiento más riguroso( folio 147).
Asimismo consta en el Acta de inspección E/352/2003-I/2003 que CAI no realiza ninguna actuación tendente a confirmar la validez de la dirección de correo registrada y que se ha solicitado a la entidad responsable de la gestión del servicio "servicio de correspondencia electrónica CAI" que incluya un proceso de validación de las direcciones de correo proporcionada, con el fin de evitar errores en las mismas( folios 39 a 42).
Para la resolución originaria impugnada, esos hechos declarados probados acreditan que CAI remitió por error un correo electrónico a una dirección distinta a la del destinatario, su clienta la empresa Eurosystem Consulting SL, conteniendo los movimientos de la cuenta, datos de nombres y apellidos e importe de salarios por nóminas de tres trabajadores de ésta última, siendo recibido ese correo por un tercero ajeno a dicha empresa destinataria, por lo que entiende que se ha vulnerado el deber de secreto que impone el artículo 10 de la LOPD. Igualmente, dicho acto administrativo razona que en este caso CAI no ha probado que el mensaje erróneamente remitido exigiera una identificación del usuario y una clave de acceso distintas a las establecidas para el nombre del dominio del servido grupox.com, que fue quien recibió el citado mensaje, ni tampoco ha probado que la persona que lo recibió se hubiera identificado con un nombre de usuario y clave de acceso que no fueran los suyos para tener acceso al citado mensaje. También señala que se ha acreditado que ese tercero que recibió el mensaje erróneamente, efectivamente tuvo acceso al mismo, pues en el correo que se reenvía a la dirección correcta de la empresa afectada contenía, aparte del extracto bancario de una cuenta, el nombre y dirección de su titular, lo que evidencia el acceso de este tercero a los datos contenidos en el extracto bancario de la empresa titular de la cuenta, Eurosystem Consulting SL, entre ellos de tres transferencias de nóminas de tres trabajadores. En consecuencia, existe constancia de vulneración del deber de secreto imputable a CAI.
Respecto a la culpabilidad, considera la resolución recurrida que no se ha apreciado en CAI una conducta diligente tendente a salvaguardar el deber de secreto, reconociendo la misma que el procedimiento que tiene establecido para la comunicación de los correos electrónicos a sus clientes no es suficiente para impedir cualquier tipo de correo erróneo, y que no realiza actuación tendente a confirmar la validez de la dirección de correo registrada; bastando esa mera falta de diligencia para consumar la infracción.
Encuadra el acto recurrido los hechos declarados probados en el mismo en una infracción grave del artículo 44.3,g de la LOPD, puesto que se ha vulnerado el deber de secreto relativo a servicios financieros, que puede servir para obtener una evaluación de la personalidad del individuo, pues se conocen los nombres y apellidos de los afectados, la empresa en la que trabajan y el salario que perciben. No se aplica la atenuante cualificada del artículo 45.5 de la LOPD , pues CAI ha reconocido que el procedimiento establecido para la comunicación de los correos electrónicos no era suficiente para impedir el envío erróneo de correos electrónicos; no obstante, se impone la sanción en el grado mínimo.
La entidad pública recurrente articula como primer motivo de su recurso la impugnación del documento aportado en su momento por los denunciantes, los cuales denunciaban que una persona del grupox.com ha remitido un correo para DIRECCION001 en el cual manifiesta haber tenido acceso a un extracto de operaciones de la cuenta de la sociedad Eurosystem Consulting SL, sólo apareciendo como única información de este remitente la dirección de su correo electrónico DIRECCION002 y el nombre escrito:" Ivan". Por lo tanto, no consta todavía la identidad de la persona que aparentemente tuvo acceso a esos datos de los denunciantes y no se sabe cómo se produjo el mismo. Todo ello lleva a deducir que ante la falta de prueba de cargo ha de prevalecer el derecho a la presunción de inocencia ( art.24.2 de la CE y el 137 de la Ley 30/1992, de 26 de noviembre ).
En cualquier caso, continua dicha parte, en autos existen unas deficiencias probatorias que...
Para continuar leyendo
Solicita tu prueba