Procedimiento Nº PS/00185/2005 RESOLUCIÓN: R/00062/2006
En el procedimiento sancionador PS/00185/2005, instruido por la Agencia Española de Protección de Datos a la entidad GESTIÓN Y ADMINISTRACIÓN INMOBILIARIA GESTIN, S.A., vista la denuncia presentada por D. D.F.M., y en base a los siguientes,
ANTECEDENTES
PRIMERO: Con fecha de 08/11/2004, tuvo entrada en esta Agencia un escrito de D. D.F.M. (en lo sucesivo el denunciante), en el que denuncia que la sociedad Gestión y Administración Inmobiliaria Gestin, S.A. (en lo sucesivo Gestin) ha remitido un escrito a los vecinos de la Comunidad de Propietarios de la calle (..............) (en lo sucesivo la Comunidad), en el que constan los números de cuenta bancaria de cada uno de los propietarios. Adjunta a su escrito copia del mencionado escrito, de fecha 03/11/2004, en cuyo encabezamiento consta el título: “Informe de recibos a fecha 03/11/2004 Comunidad: (..............)” y contiene la relación de propietarios junto con la cuenta bancaria de cada uno de ellos.
SEGUNDO: En el marco de las actuaciones previas de inspección realizadas por la Inspección de Datos de esta Agencia, se giró visita de Inspección a la entidad Gestin, durante la cual el representante de la entidad manifestó que la entidad presta los servicios de gestión y administración inmobiliaria a la Comunidad. El documento aportado por el denunciante en su escrito de denuncia fue distribuido entre todos los propietarios de la Comunidad, con fecha de 03/11/2004, dentro de un dossier que se remitió con motivo de la convocatoria de la Junta General Ordinaria que se celebraría con fecha de 11/11/2004. Asimismo, manifestó que dicha información se distribuyó por error, ya que la distribución de los “informes de recibos” se realiza utilizando un modelo diferente.
En la citada Inspección se verificó que la aplicación informática que permite el acceso al fichero “CLIENTES” de Gestin, inscrito en el Registro General de Protección de Datos, permite generar informes similares al que fue distribuido, con fecha 03/11/2004, a los propietarios de la Comunidad. Asimismo se verificó que la citada aplicación también permite generar el documento denominado “informe de conceptos” en el que no constan las cuentas bancarias de los propietarios.
TERCERO: Con fecha 05/09/2005, el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a Gestin, con arreglo a lo dispuesto en el artículo 18.1 del Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, que continúa en vigor de conformidad con lo establecido en la disposición transitoria tercera de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), por presunta infracción del artículo 10 de la citada norma, tipificada como leve en el artículo 44.2.e), pudiendo ser sancionada con multa de 601,01 € a 60.101,21 €, de acuerdo con el artículo 45.1 de la citada Ley Orgánica.
CUARTO: Notificado el citado acuerdo de inicio de procedimiento sancionador, Gestin adujo que cumple con las prescripciones de la LOPD y que los hechos que se le imputan se produjeron por un error humano.
QUINTO: En fecha 10/10/2005, se acordó por la instructora del procedimiento la apertura de un período de práctica de pruebas, en el que se practicaron las pruebas acordadas de oficio, cuyos resultados obran en el procedimiento.
SEXTO: Concluido el período probatorio se inició el trámite de audiencia, de conformidad con lo establecido en el artículo 18.4 del citado Real Decreto 1332/1994, en el que Gestin formuló alegaciones en las que reiteró que cumple con lo dispuesto en la normativa de protección de datos y que los hechos imputados se produjeron por error, sin que se haya producido daño alguno, solicitando la imposición de la sanción en su cuantía mínima.
SÉPTIMO: Con fecha 09/12/2005, se formuló propuesta de resolución en el sentido de que por el Director de la Agencia Española de Protección de Datos se sancione a Gestin con multa de 601,01 € (seiscientos un euros con un céntimo) por la infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, dándose traslado para alegaciones, sin que éstas fueran formuladas en el plazo establecido al efecto.
HECHOS PROBADOS
PRIMERO: Gestin desempeña el cargo de Administrador de fincas en la Comunidad de Propietarios de la calle (..............) (folios 35 a 37).
SEGUNDO: El documento, de fecha 03/11/2004, denominado“Informe de recibos a fecha 03/11/2004 Comunidad: (..............)”, elaborado por Gestin contiene una relación de los propietarios de la citada Comunidad de propietarios junto con sus cuentas bancarias (folio 4).
TERCERO: Dicho documento fue distribuido por Gestin a todos los propietarios de la citada Comunidad de propietarios, con fecha de 03/11/2004, dentro de un dossier que se remitió con motivo de la convocatoria de la Junta General Ordinaria que se celebraría con fecha de 11/11/2004 (folios 32 y 33).
CUARTO: Gestin ha manifestado que la remisión del citado documento a los propietarios de la comunidad se produjo por error (folios 32, 33 y 70 a 73).
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD.
II
En el presente procedimiento se imputa a Gestin una infracción del artículo 10 de la LOPD, que dispone que “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.”
Este precepto ha de ponerse en relación con el artículo 11.1 de la LOPD que exige, con carácter, general el consentimiento del afectado para la cesión de sus datos de carácter general, salvo en los supuestos contenidos en el apartado 2 del mismo artículo. Y asimismo con el artículo 3.i) de la LOPD a cuyo tenor constituye cesión “toda revelación de datos realizada a una persona distinta del interesado”.
El deber de secreto tiene como finalidad evitar que, por parte de quienes están en contacto con los datos personales almacenados en ficheros, se realicen filtraciones de los datos no consentidas por los titulares de los mismos. Así el Tribunal Superior de Justicia de Madrid ha declarado en su Sentencia nº 361, de 19/07/2001: “El deber de guardar secreto del artículo 10 queda definido por el carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho individual y no colectivo. Por ello es igualmente ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a que se refiera la información (...)”.
En este sentido, la Sentencia de la Audiencia Nacional, de fecha 14/09/2001, recoge en su Fundamento de Derecho Segundo, segundo y tercer párrafo, lo siguiente: “Este deber de sigilo resulta esencial en las sociedades actuales cada vez mas complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la CE. En efecto, este precepto contiene un “instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos” (STC 292/2000). Este derecho fundamental a la protección de los datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino” (STC 292/2000) que impida que se produzcan situaciones atentatorias con la dignidad de la persona, “es decir, el poder de resguardar su vida privada de una publicidad no querida”.
Esta misma Sentencia señala que “la autorización para acceder al conocimiento de los datos de una cuenta bancaria precisa de un consentimiento que ha de ser expreso... “.
En el presente caso, ha quedado acreditado que Gestin facilitó, con fecha de 03/11/2004, a los propietarios de la Comunidad de propietarios de la calle (..............) de la cual es Administrador, un documento denominado “Informe de recibos a fecha 03/11/2004 Comunidad: (..............)” que contiene una relación de los propietarios de la citada Comunidad de propietarios junto con sus cuentas bancarias.
La entrega de dicho documento se realizó sin el consentimiento de los propietarios y sin que dicha comunicación se ampare en ninguna norma legal, suponiendo tales hechos una vulneración del deber de secreto que impone el artículo 10 de la LOPD.
III
Alega Gestin que cumple con las disposiciones de la LOPD y que los hechos se produjeron como consecuencia de un error, a este respecto el Tribunal Supremo viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el sujeto infractor no se comporta con la diligencia exigible. El grado de exigencia se determinará en atención a las circunstancias concurrentes tales como el especial valor del bien jurídico protegido, o la profesionalidad exigible al infractor.
El Tribunal Superior de Justicia de Madrid, en su Sentencia de 16/10/2001, en la que declaró en cuanto al error alegado por la parte demandante que “el TC en su Sentencia 76/1990, de 26 de abril, nos recuerda que, aún sin reconocimiento explícito en la Constitución, el principio de culpabilidad puede inferirse de los principios de legalidad y prohibición de exceso (art. 25.1 CE) o de las exigencias inherentes al Estado de Derecho; manifestando la STC 246/1991, de 19 de diciembre, que es inadmisible en el ámbito del derecho administrativo sancionador una responsabilidad sin culpa. La Ley 30/92 ha pretendido regular la cuestión en su artículo 130.1 al consagrar el principio de responsabilidad como uno de los informadores del ejercicio de la potestad sancionadora, estableciendo que “sólo podrán ser sancionados por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aún a título de simple inobservancia”; el último inciso “aún a título de simple inobservancia” no es muy preciso puesto que pudiera pensarse que consagra una responsabilidad objetiva sin dolo o culpa del sujeto, por lo que deberá interpretarse conforme a la doctrina aludida, así como señala la más reciente jurisprudencia del Tribunal Supremo (SS 16 y 22 de abril de 1991 y 5 de febrero de 1992) uno de los principales componentes de la infracción administrativa es el elemento culpabilista, del que se desprende que la acción u omisión, calificada de infracción sancionable administrativamente, ha de ser, en todo caso, imputable a su autor, por dolo o imprudencia, negligencia o ignorancia inexcusable.- Probablemente, el legislador de la Ley 30/92 haya pretendido aludir a que serán sancionables las infracciones meramente formales, aunque no produzcan un resultado dañosos al interés publico e, igualmente, que será incriminable la culpa inconsciente o sin representación, atendiendo al aspecto normativo de la culpabilidad según el cual puede reprocharse no haber previsto lo que se podía y debía prever.” Consiguientemente, aún en el supuesto en que se hubiera padecido algún tipo de error, el mismo constituiría una falta de diligencia plenamente imputable a la entidad sancionada, con claro incumplimiento del artículo 10 (...) tipificado correctamente y sancionado como falta grave (...).”.
En este sentido se pronuncia también la Audiencia Nacional en Sentencia de 29/06/2005 en la que rechaza el argumento de la demandante consistente en que se produjo un error informático declarando que “Ante un error de esa envergadura y tan visible no cabe sino concluir que la indebida aparición –en la mayoría de las facturas- de datos correspondientes a personas ajenas a cada una de esas facturas pudo haberse evitado si la empresa hubiese habilitado algún mecanismo de control previo a la remisión de aquéllas a sus destinatarios. Y no nos referimos a un sistema complejo y sofisticado de comprobación pues el error en la facturación era tan visible y generalizado que el control más liviano habría bastado para detectarlo. La demandante afirma haber realizado en su día las oportunas pruebas de validación del programa informático; y no cuestionamos aquí la veracidad de tales alegaciones. Pero nada nos dice la demandante respecto a la realización de controles o muestreos que podían y debían haberse realizado sobre facturas ya emitidas e impresas y que habrían permitido detectar la indebida aparición en ellas de datos correspondientes a personas ajenas a la realización contractual a que se refiere la factura”.
Conforme a esta doctrina jurisprudencial, es evidente la existencia, en este caso de, al menos, una falta de diligencia plenamente imputable a Gestin por haber revelado datos personales referentes al número de cuenta bancaria de los titulares de los datos en un documento que se entregó a todos los propietarios de la comunidad de la calle (..............), hecho que pudo haberse detectado si se hubiera empleado la diligencia debida que le resulta exigible.
IV
El artículo 44.2.e) califica como infracción leve: “Incumplir el deber de secreto establecido en el artículo 10 de esta ley, salvo que constituya infracción grave”.
En este caso Gestin ha incurrido en la infracción leve descrita, pues incumplió el deber de secreto previsto en el artículo 10 de la LOPD, revelando los datos relativos al número de cuenta bancaria de los propietarios de la comunidad de la calle (..............).
Los hechos que se imputan en el presente procedimiento constituyen la infracción leve descrita en el artículo 44.2.e), dado que la información que consta en el documento entregado a los propietarios por Gestin no puede servir, por sí misma, para obtener una evaluación de la personalidad del individuo, pues el incumplimiento del deber de secreto sólo constituye el tipo agravado en los casos específicamente enunciados en el artículo 44.3.g), es decir, cuando la vulneración del secreto afecte a “...los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo”.
En este sentido, la Audiencia Nacional ha sentado la doctrina contenida, entre otras, en su Sentencia de 18/01/2002 referente a que “la diferencia entre los dos tipos señalados se encuentra, además de la circunstancia de que el dato proceda de uno de los ficheros que relaciona el artículo 44.4.g) que el contenido del dato tenga esa naturaleza a que alude el inciso final del expresado precepto legal.”
En este caso la información proporcionada no permite hacer una valoración sobre el perfil o personalidad de los titulares de los datos, por lo que la conducta es subsumible en la infracción leve del artículo 44.2.e).
V
El artículo 45.1 y 4 de la LOPD disponen lo siguiente:
“1. Las infracciones leves serán sancionadas con multa de 601,01 a 60.101,21 €”.
“4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad a la reincidencia, a los daños y perjuicios causados a personas interesadas y a tercera personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuiridicidad y de culpabilidad presentes en la concreta actuación infractora”.
De acuerdo con los criterios de graduación de las sanciones que recoge el artículo 45.4 de la LOPD, y, en especial, en la no constatación en el presente procedimiento de reincidencia en la comisión de la infracción y en la ausencia de daño o perjuicio para el denunciante, procede imponer la sanción en su cuantía mínima.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO:IMPONER a la entidad GESTIÓN Y ADMINISTRACIÓN INMOBILIARIA GESTIN, S.A., por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 601,01 € (seiscientos un euros con un céntimo) de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.
SEGUNDO: NOTIFICAR la presente resolución a GESTIÓN Y ADMINISTRACIÓN INMOBILIARIA GESTIN, S.A., (C/...............), y a D. D.F.M., (C/...............).
TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº 0000 0000 00 0000000000 abierta a nombre de la Agencia Española de Protección de Datos en el Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.
Madrid, 8 de febrero de 2006
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: José Luis Piñar Mañas
