TERCERO: Con fecha 09/03/2004, el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a Tainsa Administraciones, S.L. con arreglo a lo dispuesto en el artículo 18.1 del Real Decreto 1332/1994, de 20 de junio, por la presunta infracción del artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, pudiendo ser sancionada con multa de 601,01 € a 60.101,21 € de acuerdo con el artículo 45.1 de la citada Ley Orgánica, dándose traslado para alegaciones.

CUARTO Notificado el citado acuerdo de inicio de procedimiento sancionador, Tainsa Administraciones, S.L. no formuló alegaciones al respecto.

QUINTO: En fecha 19/04/2004, se acordó por la instructora del procedimiento la apertura de un período de práctica de pruebas en el que se dieron por reproducidos algunos documento obrantes en las actuaciones de inspección nº. E/00349/2003, realizadas al inicio del procedimiento.

SEXTO: Concluido el período probatorio se inició el trámite de audiencia, de conformidad con lo establecido en el artículo 18.4 del Real Decreto 1332/1994, de 20 de junio, comunicándose la apertura del citado trámite a Tainsa Administraciones, S.L. quien no formuló alegaciones al respecto.

SÉPTIMO: Con fecha 01/07/2004, se formuló propuesta de resolución en el sentido de que por el Director de la Agencia Española de Protección de Datos se sancione a Tainsa Administraciones S.L. con multa de 601,01€ (seiscientos un euros con un céntimo) por la infracción del artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, tipificada como leve en el artículo 44.2e) de dicha norma, dándose traslado para alegaciones. Transcurrido el plazo de alegaciones éstas no fueron formuladas

HECHOS PROBADOS

PRIMERO: Tainsa Administraciones, S.L. gestiona la comunidad de propietarios “V.R.” (C\......).

SEGUNDO: Tainsa Administraciones, S.L. dispone de un fichero automatizado que contiene, entre otros, los datos de nombre y apellidos de los propietarios de la comunidad “V.R.” (C\......), y el número de las cuentas bancarias en que se encuentran domiciliados los recibos (folios 25 a 27)

TERCERO: Tainsa Administraciones, S.L. remitió a los propietarios de la citada comunidad una carta fechada el 20/05/2003 en la que se informaba que el recibo de comunidad girado en el mes 05/03 está erróneo (...) en el recibo del mes 06/03, le descontaremos el exceso girado en el mes 05/03 que representa una media por recibo de 10-11 €.
Junto con la mencionada carta se remitió una relación acerca de los recibos de la facturación correspondiente al 01/05/2003. Esta relación contenía además del nombre y apellidos de los propietarios de la citada finca, el nombre de la entidad bancaria y el número de cuenta en que se encontraban domiciliados los recibos. (folios 14 a 16 y 21 a 23).

CUARTO: La relación de recibos que se remitió a los propietarios de la comunidad se realizó a través del programa que gestiona los datos de la comunidad (folios 14 a 16).

FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
II
El artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, dispone que “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.”

Dado el contenido del precepto, ha de entenderse que el mismo tiene como finalidad evitar que por parte de quienes están en contacto con los datos personales almacenados en ficheros se realicen filtraciones de los datos no consentidas por los titulares de los mismos. Así el Tribunal Superior de Justicia de Madrid ha declarado en su sentencia n. 361, de 19/07/01: “El deber de guardar secreto del artículo 10 queda definido por el carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho individual y no colectivo. Por ello es igualmente ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a que se refiera la información (...)”.
En este sentido, la sentencia de la Audiencia Nacional de fecha 14/09/2001, recoge en su Fundamento de Derecho Segundo, segundo y tercer párrafo: “Este deber de sigilo resulta esencial en las sociedades actuales cada vez mas complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la CE. En efecto, este precepto contiene un “instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos” (STC 292/2000). Este derecho fundamental a la protección de los datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino” (STC 292/2000) que impida que se produzcan situaciones atentatorias con la dignidad de la persona, “es decir, el poder de resguardar su vida privada de una publicidad no querida”
Esta misma sentencia señala que “la autorización para acceder al conocimiento de los datos de una cuenta bancaria precisa de un consentimiento que ha de ser expreso... “
En el presente caso ha quedado acreditado que Tainsa Administraciones, S.L. remitió a los propietarios de la comunidad “V.R.” (C\......), en mayo de 2003, un listado conteniendo además del nombre de los propietarios de la citada finca el nombre de la entidad bancaria y el número de cuenta de la que son titulares; sin embargo no consta acreditado que Tainsa Administraciones, S.L. contara con el consentimiento expreso de los titulares de los datos para la revelación de los mismos a terceros, por lo que ha de entenderse vulnerado el deber de secreto que impone el artículo 10 de la Ley Orgánica 15/1999.

III
El artículo 44.2e) califica como infracción leve: “Incumplir el deber de secreto establecido en el artículo 10 de esta ley, salvo que constituya infracción grave”
En este caso Tainsa Administraciones, S.L. ha incurrido en la infracción leve descrita pues incumplió el deber de secreto previsto en el artículo 10 de la Ley Orgánica 15/1999, revelando los datos relativos al número de cuenta y banco de los propietarios de la comunidad “V.R.” (C\......).
Los hechos que se imputan en el presente procedimiento constituyen la infracción leve descrita en el artículo 44.2e), dado que la información que consta en sus ficheros no puede servir para obtener una evaluación de la personalidad del individuo, pues el incumplimiento del deber de secreto sólo constituye el tipo agravado en los casos específicamente enunciados en el artículo 44.3g), es decir, cuando la vulneración del secreto afecte a “...los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo”
En este sentido, la Audiencia Nacional ha sentado la doctrina contenida, entre otras, en su sentencia de 18/01/2002 referente a que la diferencia entre los dos tipos señalados se encuentra, además de la circunstancia de que el dato proceda de uno de los ficheros que relaciona el artículo 44.4g) que el contenido del dato tenga esa naturaleza a que alude el inciso final del expresado precepto legal.
En este caso la información proporcionada no permite hacer ninguna valoración sobre el perfil o personalidad de los titulares de los datos, por lo que la conducta es subsumible en la infracción leve del artículo 44.2e)
IV
De acuerdo con el artículo 45.1 de la Ley Orgánica 15/1999 las infracciones leves serán sancionadas con multa de 601,01 € a 60.101,21 €, y de acuerdo con su punto 4 “La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad a la reincidencia, a los daños y perjuicios causados a personas interesadas y a tercera personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuiridicidad y de culpabilidad presentes en la concreta actuación infractora”.
En base a estos criterios, procede imponer a Tainsa Administraciones, S.L. una sanción de 6.010,12 €.
Vistos los preceptos citados y demás de general aplicación
El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: Imponer a la entidad Tainsa Administraciones S.L, por una infracción del artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, tipificada como leve en el artículo 44.2e) de dicha norma, una multa de 6.010,12 € (seis mil diez euros con doce céntimos), de conformidad con lo establecido en el artículo 45.1 de la citada Ley Orgánica.

SEGUNDO: Notificar la presente resolución a TAINSA ADMINISTRACIONES S.L., con domicilio en Divino Pastor 7 3º Dcha., 28004-Madrid, y a D. “J.R.A.”, con domicilio en (C\...........).

TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 20 del Reglamento General de Recaudación aprobado por Real Decreto 1684/1990, de 20 de diciembre, mediante su ingreso en la cuenta nº “0000 0000 00 0000000000” a nombre de la Agencia Española de Protección de Datos del Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su exacción por vía de apremio. Si recibe la notificación entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 5 del mes siguiente o inmediato hábil posterior, y si recibe la notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 20 del mes siguiente o inmediato hábil posterior.

CUARTO: De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003. de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará preferentemente a través de medios informáticos o telemáticos.

Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la Ley Orgánica 15/1999, de 13 de diciembre), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, según la redacción dada por la Ley 4/1999, de 13 de enero, que la modifica, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.

Madrid, 12 de agosto de 2004
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: José Luis Piñar Mañas