SAN, 9 de Octubre de 2007

• Ponente: CARLOS LESMES SERRANO
• Emisor: Audiencia Nacional. Sala Contencioso Administrativo, Sección 1ª
• ECLI: ES:AN:2007:4625
• Número de Recurso: 213/2006

SENTENCIA

Madrid, a nueve de octubre de dos mil siete.

Vistos por esta Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia

Nacional los autos del recurso contencioso-administrativo núm. 213/06 interpuesto por el

Procurador DON CARLOS ANDREU SOCIAS, en nombre y representación de SFERA JOVEN,

S.A., contra resolución de fecha 30 de mayo de 2006 de la Agencia Española de Protección de

Datos, representada y defendida por el Sr. Abogado del Estado, por desestimación del recurso de

reposición promovido contra la resolución de fecha 21 de marzo de 2006 dictada en expediente

sancionador. La cuantía del recurso es de 601,01 Euros.

ANTECEDENTES DE HECHO

PRIMERO

Por la entidad recurrente se interpuso recurso contencioso-administrativo mediante escrito presentado el 18 de julio de 2006, acordándose por providencia de 18 de septiembre de 2006 su tramitación de conformidad con las normas establecidas en la Ley 29/98, y la reclamación del expediente administrativo.

SEGUNDO

En el momento procesal oportuno la parte actora formalizó la demanda mediante escrito presentado el 8 de noviembre de 2006, en el cual, tras alegar los hechos y fundamentos de derecho que estimó procedentes, terminó suplicando se dictara sentencia por la que se declare nula de pleno derecho la resolución impugnada por infringir derechos y libertades de SFERA S.A. susceptibles de amparo constitucional, con todos los pronunciamientos legales favorables derivados de dicho reconocimiento. Subsidiariamente suplica, la anulación de la resolución por haberse dictado en infracción del ordenamiento jurídico, con todos los pronunciamientos legales favorables derivados de dicho reconocimiento.

TERCERO

El Abogado del Estado contestó a la demanda mediante escrito presentado el 15 de diciembre de 2006, en el cual, tras alegar los hechos y los fundamentos jurídicos que estimó oportunos, terminó suplicando se dicte sentencia por la que se desestime el presente recurso, confirmando íntegramente la resolución impugnada por ser conforme a Derecho.

CUARTO

No habiéndose solicitado por las partes el recibimiento a prueba del presente recurso, se dio traslado para conclusiones a la parte actora y después al Sr. Abogado del Estado, quienes las evacuaron en sendos escritos en los que concretaron y reiteraron sus respectivos pedimentos.

QUINTO

Conclusos los autos, se señaló para la votación y fallo de este recurso el día 2 de octubre de 2007, fecha en la que tuvo lugar la deliberación y votación, habiendo sido Ponente el Ilmo. Sr. Magistrado Don Carlos Lesmes Serrano, quien expresa el parecer de la Sala.

FUNDAMENTOS JURIDICOS

PRIMERO

SFERA JOVEN, S.A. interpone recurso contencioso-administrativo contra la resolución del Director de la Agencia Española de Protección de Datos, de fecha 30 de mayo de 2006, por la que se desestima el recurso de reposición presentado contra la resolución del Director de la mencionada Agencia, de 21 de marzo de 2006, por que se imponía a dicha entidad una sanción de 601,01 euros por infracción del art. 5 de la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Tal resolución combatida declara como hechos probados los siguientes:

"PRIMERO: Dña. María Milagros, en fecha 14/10/04, realizó una compra con tarjeta de crédito en la tienda "SFERA" del Centro Comercial L´Illa de Barcelona. No fue informada de que su firma había sido digitalizada y guardada con el resto de los datos de la operación de compra (folio 5).

SEGUNDO

En fecha 24/08/05, Inspectores de Datos, adscritos a la Subdirección General de Inspección de Datos de la Agencia Española de Protección de Datos, se desplazaron a la tienda "SFERA" del Centro Comercial L´Illa de Barcelona, y realizaron una compra con tarjeta de crédito, comprobado que, en ningún momento, se informa al cliente de la digitalización de su firma. Tampoco se aprecia la disposición de carteles informativos sobre dicho tratamiento en ningún lugar visible del comercio (folios 13-15 ).

TERCERO

En fecha 01/09/05, a consecuencia de la visita de Inspección a Sfera, se constató que tienen implantado un sistema de recogida electrónica de la firma de aquellos clientes que abonan la compra mediante tarjeta de crédito o débito (ya fuera la emitida por el Grupo Corte Inglés o una tarjeta externa), utilizando para su captura una tableta digitalizadora. En el proceso de compra se imprime un sólo tique que el cliente firma sobre una tableta digitalizadora. Este tique es entregado al cliente, no realizándose ninguna otra impresión para su conservación por la entidad (folios 24-26, 34-39).

CUARTO

Los datos recabados en las compras abonadas con tarjetas externas, no emitidas por ninguna empresa del Grupo El Corte Inglés, son almacenados en el fichero denominado "Clientes Otras Tarjetas Externas" inscrito en el Registro General de Protección de Datos y cuyo responsable es la sociedad El Corte Inglés, S.A. (folio 25).

QUINTO

En la visita de Inspección realizada en Sfera, se comprobó la existencia de los siguientes datos correspondientes a Dña. María Milagros : nombre y apellidos, número de tarjeta de crédito, tipo (VISA), fecha de caducidad, importe de la compra y tipo de artículo o departamento, además de la firma digitalizada realizada por la denunciante en aquella ocasión asociada a la operación de compra. También se encontró la misma tipología de datos correspondientes a la compra realizada por los Inspectores de Datos en fecha 24/08/05 (folios 36-39).

SEXTO

Los datos referidos en el Hecho Probado anterior, se conservan en el fichero denominado "Clientes Otras Tarjetas Externas", inscrito en el Registro General de Protección de Datos, cuyo responsble es El Corte Inglés, S.A.. Su finalidad es la gestión de cobros y pagos con otras tarjetas externas de crédito o debito, dentro de la red comercial de El Corte Ingles, S.A. (folios 25, 104-108).

SÉPTIMO

Sfera y El Corte Inglés tienen suscrito un contrato de prestación de servicios informáticos, de fecha 01/11/01, en el cual se estipula, como objeto del mismo, que El Corte Inglés se compromete a gestionar toda la actividad informática de Sfera, incluyendo el tratamiento automatizado de los datos de la misma, constituyéndose expresamente como encargado del tratamiento (folios 29-31). A pesar de ello, es responsable del fichero citado en el Hecho Probado anterior, así como del cobro de los importes de las transacciones, gestión de posibles reclamaciones y conservación de la información durante el plazo establecido (folios 104-108)."

Según la Agencia el artículo 5 de la LOPD impone la obligación de informar al afectado en la recogida de datos, pues sólo así queda garantizado el derecho del afectado a tener una apropiada información y a consentir o no, en función de aquélla, el tratamiento. Por tanto, es necesaria una información previa para que el consentimiento que se presta sea válido.

Como quiera que tal información no se realizó en el presente caso, el cliente no pudo saber que, cuando firmó el justificante de compra, se capturó y conservó su firma digitalizada en un fichero, como también desconoció si firmar en la tableta digitalizadora era obligatorio o facultativo, ni cuáles eran las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

Esas informaciones debían haber sido proporcionadas por SFERA por lo al no realizarlo ha incurrido en la infracción por la que ha sido sancionada.

SEGUNDO

La parte actora sustenta la pretensión impugnatoria de su demanda, en las siguientes consideraciones:

1. - SFERA, según la propia resolución de la Agencia Española de Protección de Datos, no es responsable del fichero ni del tratamiento de los datos por lo que ninguna obligación de informar tiene al amparo del art. 5.1 de la LOPD ya que la obligación allí referida compete exclusivamente al responsable del fichero o del tratamiento.

2. - La entidad actora tampoco tiene la consideración de encargada del tratamiento y por tanto tampoco es sujeto responsable con arreglo a lo dispuesto en el art. 43.1 de la LOPD.

3. - La obligación de información contenida en el art. 5.1 de la LOPD no es aplicable a una entidad que no solicita datos de carácter personal sino que es el propio interesado quien de forma libre y sin...