Texto completo Audiencia Nacional (Sala de lo Contencioso

Anuncio
Texto completo
Audiencia Nacional (Sala de lo Contencioso-Administrativo,
Sección 1ª). Sentencia de 8 julio 2008
JUR\2008\259975
Jurisdicción: Contencioso-Administrativa
Recurso contencioso-administrativo núm. 321/2006
Ponente: Excmo. Sr. Carlos Lesmes Serrano
SENTENCIA
Madrid, a ocho de julio de dos mil ocho.
Vistos por esta Sección Primera de la Sala de lo Contencioso-Administrativo
de la Audiencia Nacional los autos del recurso
contencioso-administrativo núm. 321/06 interpuesto por la Procuradora
DOÑA LETICIA CALDERÓN GALÁN, en nombre y
representación de MARSH, S.A., MEDIADORES DE SEGUROS, contra
resolución de fecha 12 de septiembre de 2006 de la
Agencia Española de Protección de Datos, representada y defendida por el
Sr. Abogado del Estado, sobre expediente
sancionador. A dichas actuaciones se acumuló el recurso 1/07 interpuesto
por la Procuradora DOÑA MAGDALENA CORNEJO
BARRANCO en nombre y representación de HILO DIRECT SEGUROS Y
REASEGUROS, S.A. contra la resolución de fecha 7
de noviembre de 2006, desestimatoria del recurso de reposición promovido
contra la resolución de fecha 12 de septiembre de
2006, dictada en expediente sancionador PS/00378/2005. La cuantía es de
60.101,21 Euros por cada una de las partes
recurrentes.
ANTECEDENTES DE HECHO
PRIMERO.- Por la entidad MARSH, S.A. se interpuso recurso contenciosoadministrativo mediante escrito presentado el 24 de octubre de 2006,
acordándose por providencia de 17 de noviembre siguiente su tramitación de
conformidad con las normas establecidas en la Ley 29/98 , y la reclamación
del expediente administrativo.
Por la entidad HILO DIRECT SEGUROS Y REASEGUROS, S.A. se interpuso
recurso contencioso-administrativo mediante escrito presentado el 20 de
diciembre de 2006,acordándose por providencia de 1 de febrero de 2007 su
tramitación de conformidad con las normas establecidas en la Ley 29/98 , y la
reclamación del expediente administrativo.
SEGUNDO.- En el momento procesal oportuno la representación de MARSH,
S.A. formalizó la demanda mediante escrito presentado el 16 de enero de
2007, en el cual, tras alegar los hechos y fundamentos de derecho que estimó
procedentes, terminó suplicando se dictara sentencia por la que se anule la
Resolución de la Agencia Española de Protección de Datos de fecha 12 de
noviembre de 2006, condenándose a la Administración demandada a la
devolución
del
importe
de
la
sanción
con
los
intereses
legales
correspondientes.
TERCERO.- Acordada la acumulación de los recursos 321/06 y 1/07
mediante Auto de fecha 4 de abril de 2007 , se dio traslado para formalizar
demanda a la representación de HILO DIRECT SEGUROS Y REASEGUROS, S.A.,
quien evacuó el trámite mediante escrito presentado el 17 de mayo de 2007,
en el que tras alegar los hechos y fundamentos de derecho que estimó
procedentes, terminó suplicando se dictara sentencia por la que se revoque la
resolución
impugnada,
archivándose
el
expediente
sancionador
y
exonerándose a la parte de cualquier responsabilidad por inexistencia de
infracción alguna del artículo 6.1 de la Ley Orgánica 15/1999 de 13 de
diciembre de Protección de Datos de Carácter Personal .
Subsidiariamente suplica la reducción de la cuantía de la sanción aplicando
la escala relativa a las infracciones leves en su grado mínimo.
CUARTO.- El Abogado del Estado contestó a la demanda mediante escrito
presentado el 21 de febrero de 2008, en el cual, tras alegar los hechos y los
fundamentos jurídicos que estimó oportunos, terminó suplicando se dicte
sentencia por la que se desestime el presente recurso, y confirmando la
resolución impugnada por ser conforme a Derecho.
QUINTO.- No habiéndose solicitado el recibimiento a prueba del presente
recurso, se concedió a las partes por su orden, el plazo de diez días para
formular sus conclusiones, quienes evacuaron el trámite mediante sendos
escritos en lo que concretaron y reiteraron sus respectivos pedimentos.
SEXTO.- Conclusas las actuaciones se señaló para la votación y fallo de este
recurso el día 2 de julio de 2007, fecha en la que tuvo lugar la deliberación y
votación, habiendo sido Ponente el Ilmo. Sr. Magistrado Don Carlos Lesmes
Serrano, quien expresa el parecer de la Sala.
FUNDAMENTOS JURIDICOS
PRIMERO.- MARSH, S.A., Mediadores de Seguros, y DIRECT SEGUROS Y
REASEGUROS, S.A. interponen recurso contencioso-administrativo contra la
Resolución de la Agencia Española de Protección de Datos de 12 de
septiembre de 2006 por la que se impone a la primera por una infracción del
art. 11.1 de la LOPD , tipificada como muy grave en el art. 44.4 .b) de dicha
norma, una multa de 60.101,21 euros, de conformidad con lo establecido en
el art. 45.2, 4 y 5 de la citada Ley Orgánica, y a la segunda , por una
infracción del art. 6.1 de la LOPD , tipificada como grave en el art. 44.3 .d)
de dicha norma, también una multa de 60.101,21 euros, de conformidad con
lo establecido en el art. 45.2 y 4 de la citada Ley Orgánica .
En la resolución combatida se declaran como hechos probados los
siguientes:
PRIMERO: Con fecha 22/05/98, D. Evaristo, contrató, a través del corredor
de seguros GRAS SABOYE (actualmente MARSH), una póliza de seguro de
automóvil con la entidad ATHENA SEGUROS (actualmente ALLIANZ) (folio 36).
SEGUNDO: Desde el 10/05/01 DIRECT SEGUROS y EUROBROK S.A.
(actualmente MARSH) mantienen un acuerdo, en virtud del cual la correduría
realiza la actividad de promoción y asesoramiento preparatorio de la
formalización de contratos de seguro entre la compañía y personas físicas
(folios 48-54).
TERCERO: Con fecha 16/04/04, MARSH envió una carta a D. Evaristo en la
que le informaba de una oferta referida al seguro de su automóvil, en los
siguientes términos:
".... Analizando su caso particular, tenemos el placer de informarlo que
hemos obtenido unas condiciones más ventajosas, quedando el precio de su
seguro establecido en 341,95 euros, frente a los 376,35 euros de la anterior
anualidad.
La entidad aseguradora es Direct Seguros ...
Usted no tiene que hacer ningún tipo de trámite para beneficiarse de las
ventajas comentadas. En caso de no recibir ninguna noticia de su parte,
comunicándonos que no desea realizar el cambio, nuestra oficina de seguros
se encargará de realizar las gestiones necesarias para conseguir la emisión de
su nuevo contrato y enviárselo a su domicilio antes del vencimiento de su
actual contrato."
Dicha carta contiene asimismo, tanto la dirección y números de teléfono de
MARSH para ponerse en contacto en caso de cualquier duda relativa a la
póliza de seguro ofertada, como los datos de su vigente seguro de automóvil
con ALLIANZ, como son su nombre y apellidos, NIF, domicilio completo, código
postal, vencimiento de la póliza, matrícula, marca y modelo del vehículo y
cuenta bancaria (folio 182).
CUARTO: Con fecha 07/05/04, DIRECT SEGUROS procedió a emitir el
documento "Confirmación de solicitud y condiciones particulares de Seguro de
Automóvil", en la que figura como entidad mediadora la Correduría de Seguros
MARSH. En dicho documento constan los datos del vehículo asegurado, los
datos del conductor principal que se corresponden con los de D. Evaristo
(nombre y apellidos, dirección, fecha de nacimiento, sexo, profesión...), los
datos de las garantías elegidas, los datos de cobertura y los datos de
domiciliación bancaria. Junto a este documento DIRECT SEGUROS también
emitió una orden de domiciliación bancaria. D. Evaristo no firmó los citados
documentos (folios 2,3, 183, 184).
QUINTO: MARSH mantuvo su condición de corredor en el seguro de
automóvil que D.Evaristo mantenía con ALLIANZ, hasta el 22/05/05 (folio
185).
SEXTO: La póliza de seguro de automóvil de DIRECT SEGUROS, con tomador
D. Evaristo, quedó anulada el 22/05/04 por el impago de la prima (folio 123).
Estos hechos no son negados por los recurrentes.
La Resolución impugnada, tras realizar determinadas consideraciones sobre
la figura del corredor de seguros como mediador de seguros privados, sostiene
que MARSH contaba con el consentimiento del denunciante para la remisión
del escrito de propaganda sobre la póliza de seguro de automóvil acordada
con DIRECT SEGUROS, de acuerdo con el artículo 6.2 de la LOPD, por cuanto
mantenía una relación negocial derivada del arrendamiento de servicios que
mantenía con el denunciante. Sin embargo, para la cesión de sus datos
personales a dicha compañía de seguros, la citada Correduría no contaba con
el consentimiento del denunciante, ya que se trataba de una nueva póliza
totalmente independiente de la que tenía suscrita con ALLIANZ.
Así, considera que en el presente caso ha quedado acreditado que MARSH
comunicó a DIRECT SEGUROS los datos del denunciante para que ésta le
ofertara una nueva póliza de seguros que ofrecía similares coberturas a las ya
disfrutadas, pero con menor coste económico y que dicha comunicación se
había producido antes de realizar la oferta al denunciante. Se habría
producido así una cesión inconsentida de datos personales.
En relación con la actuación de DIRECT SEGUROS sostiene la Agencia que ha
quedado acreditado que no contaba con el consentimiento del denunciante
para tratar sus datos y ello porque la cesión de los datos fue inconsentida al
carecer MARSH de la representación del denunciante, vulnerándose así el art.
6.1 de la LOPD .
SEGUNDO.- MARSH, S.A., Mediadores de Seguros, explica en su demanda el
contenido de la función desarrollada por los Corredores de Seguros,
particularmente la encaminada a recabar información de las entidades
aseguradoras de manera permanente acerca de sus productos para así poder
realizar su cometido de asesorar de quien trata de concertar un seguro. Para
poder recabar información útil para su cliente necesita dar a conocer sus
circunstancias personales (salud, edad, historial como asegurado, etc...) pues
sólo de esa manera podrá concretar ofertas que sean de su interés. En
definitiva, según su tesis, para poder cumplir con su función le resulta
indispensable comunicar a las compañías aseguradoras algunos datos
personales de los propios clientes, entorpeciéndose extraordinariamente su
función si tuviera que recabar su consentimiento expreso y escrito cada vez
que busca un nuevo producto que satisfaga mejor sus necesidades.
En el caso enjuiciado envió al denunciante una oferta de seguro más
favorable que la que tenía suscrita con la compañía ALLIANZ. Al no contestar
entendió que le apoderaba tácitamente para realizar la gestión, por lo que
habría existido consentimiento. En todo caso, la cesión de los datos estaría
amparada en el art. 11.2.c) de la LOPD pues la cesión respondería a la libre y
legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y
control implica necesariamente la conexión del tratamiento con los ficheros
de terceros.
Como último argumento invoca la falta de culpabilidad.
HILO DIRECT SEGUROS Y REASEGUROS, S.A., sostiene que actuó en todo
momento de buena fe ya que se limitó a adoptar una posición pasiva de
receptora de una solicitud de seguro, en beneficio del denunciante, que
mejorara las condiciones del seguro que tenía vigente para su automóvil,
actuando en la creencia de que dicha solicitud realizada por la Correduría del
denunciante contaba con su conocimiento y consentimiento. Por tanto,
cuando trató los datos de carácter personal del denunciante lo hizo en la
creencia de que disponía del consentimiento del afectado para realizarlo.
TERCERO.- Teniendo en cuenta que en el presente caso interviene un
Mediador o Corredor de Seguros, ha de traerse a colación lo estipulado en la
Ley 9/1992, de 30 de abril , que regulaba la actividad de Mediación en los
Seguros Privados en el momento de los hechos, cuyo artículo 14.1 establecía
que: " Son corredores de seguros las personas físicas o jurídicas que realizan la
actividad mercantil de mediación de seguros privados, sin mantener vínculos
que
supongan
afección
con
entidades
aseguradoras..
y
ofreciendo
asesoramiento profesional imparcial a quienes demandan cobertura de los
riesgos a que se encuentran expuestos sus personas, sus patrimonios, sus
intereses o responsabilidades".
Añadiendo el apartado 2 del artículo 14 de la repetida Ley 9/1992 que "Los
corredores de seguros deberán informar a quien trate de concertar el seguro
sobre las condiciones del contrato que a su juicio conviene suscribir,
ofreciendo la cobertura que, de acuerdo a su criterio profesional, mejor se
adapte a las necesidades de aquél, y velarán por la concurrencia de los
requisitos que ha de reunir la póliza para su eficacia y plenitud de efectos".
Como complemento de lo anterior debemos destacar que el Tribunal
Supremo, en sentencia de la Sala Primera, de 17 de julio de 1995 , declaró
que la esencia del contrato de mediación o corretaje radica en que el
corredor o mediador se obliga a poner en contacto a una persona (la que
contrató sus servicios) con otra para que entre ellas puedan celebrar el
contrato objeto de la mediación, sin que el referido contrato de corretaje
entrañe, por sí solo y a falta de estipulación expresa en tal sentido,
conferimiento de mandato alguno en favor del mediador o corredor para que
éste pueda actuar, como representante o mandatario del que contrató sus
servicios, en el perfeccionamiento o celebración del contrato objeto del
corretaje.
De lo anterior se deduce que MARSH, por el simple hecho de actuar como
corredor de seguros de don Evaristo no tenía otorgado un mandato
representativo por parte de éste para contratar seguros de ningún tipo, como
tampoco autorización para ceder sus datos de carácter personal con la
finalidad de que le ofertaran otros contratos de seguros de automóviles que
mejoraran las condiciones del que ya tenía suscrito con la compañía ALLIANZ.
Para
poder
cederlos
legítimamente
debería
haber
contado
con
su
consentimiento, siendo perfectamente conciliable con su función como
corredor el solicitar autorización previa del afectado para poder ceder sus
datos personales a determinadas compañías de seguros para que éstas puedan
formalizar sus ofertas.
CUARTO.- El articulo 11 LOPD regula la cesión de los datos bajo el título
"comunicación de datos", con lo que se consagra la plena identificación que,
en el ámbito de protección de datos, poseen los conceptos de cesión y
comunicación de datos. Equiparación de ambas figuras que asimismo se
refuerza mediante la definición, también conjunta que de cesión o
comunicación de datos se contiene en el artículo 3 apartado i) de dicha Ley
15/1999 , que conceptúa como tal toda "revelación de datos realizada a
persona distinta del interesado".
El fundamento de la figura jurídica de la cesión de datos personales lo
encontramos en la STC 292/2000, de 30 de noviembre, que razona que el
derecho fundamental a la intimidad no aporta por sí solo una protección
suficiente frente a las amplias posibilidades que la informática ofrece, dado
que una persona puede ignorar no sólo que datos suyos se hallan recogidos en
un fichero, sino también si se han trasladado a otro y con qué finalidad. Y
ello, según el mismo Tribunal Constitucional ( F J 13º) porque ".. el derecho a
consentir la recogida y el tratamiento de los datos personales ( Art. 6 LOPD )
no implica en modo alguno consentir la cesión de tales datos a terceros, pues
constituye una facultad especifica que también forma parte del contenido del
derecho a la protección de tales datos. Y por tanto la cesión de los mismos a
un tercero para proceder a un tratamiento con fines distintos de los que
originaron su recogida, aun cuando puedan ser compatibles con éstos (Art. 4.2
LOPD), supone una nueva posesión y un uso que requiere el consentimiento
del interesado. Una facultad que sólo cabe limitar en atención a derechos y
bienes de relevancia constitucional y por tanto esté justificada, sea
proporcionada y, además se establezca por Ley, pues el derecho fundamental
a la protección de datos personales no admite otros límites.
De otro lado, es evidente que el interesado debe ser informado tanto de la
posibilidad de cesión de sus datos personales y sus circunstancias, como del
destino de éstos, pues solo así será eficaz su derecho a consentir, en cuanto
facultad esencial de su derecho a controlar y disponer de sus datos
personales. Para lo que no basta que conozca que tal cesión es posible según
la disposición que ha creado o modificado el fichero, sino también las
circunstancias de cada cesión concreta. Pues en otro caso sería fácil al
responsable del fichero soslayar el consentimiento del interesado mediante la
genérica información de que sus datos pueden ser cedidos".
Resultan pues, de la interpretación sistemática de dicha normativa y
doctrina constitucional, dos notas esenciales y definitorias de la figura
jurídica de la cesión o comunicación de datos en nuestro derecho:
La primera de ellas es que se trata de un concepto de gran amplitud y así,
cualquier revelación o manifestación de datos a un tercero, distinto del
interesado, constituye cesión o comunicación de los mismos a efectos de la
LOPD.
La segunda es la trascendencia que el consentimiento del interesado,
válidamente otorgado, posee en todo el marco regulador de esta figura. Esto
último enlaza, directamente, no solo con la previsión que del "consentimiento
inequívoco del afectado" contiene el artículo 6 LOPD, sino con el propio
concepto que de la "autodeterminación informativa" han desarrollado tanto la
doctrina como la Jurisprudencia constitucional, concepto básico y esencial en
materia de protección de datos.
La amplitud y omnicomprensión de la figura jurídica de la cesión, ha sido
declarada por un gran numero de sentencias de esta Sala. Las SSAN, Secc. 1ª,
21-6-2002 (Rec. 990/2000), 19-5-2004 (Rec. 259/2003), 9-11-2005 (Rec.
371/2003) y 18-5-2006 (Rec. 429/2004 ) señalan que el concepto de cesión no
puede ser más amplio, pues si determinados datos se encuentren en poder del
titular o responsable del fichero, cualquier comunicación de los mismos a una
persona distinta del interesado o afectado, constituye cesión en sentido
técnico. Y asimismo que se exige como requisito de necesaria concurrencia,
para que sea válida la revelación de los datos a un tercero, que dicho
consentimiento del interesado sea previo, a diferencia del requerido, con
carácter general, para el tratamiento de los datos.
Ya la STS, Sala 3ª, 31-10-2000 (Rec. 6188/1996), enumeró los requisitos
necesarios para que la cesión de datos personales pudiera considerarse
validamente producida, indicando que el artículo 11.1 exige la concurrencia
de tres notas: el consentimiento previo del afectado; que la cesión se
relacione con el cumplimiento de los fines del cedente, y que la cesión se
relacione también con los fines del cesionario.
Se trata de requisitos que en la Ley aparecen exigidos de forma simultanea
y que se fundamentan en el riesgo que la cesión supone para el afectado, a
cuyo tenor el principio de consentimiento necesita ser reforzado, por lo que
el mismo se exige con carácter "previo" en tales casos (a parte del requerido,
con carácter general, en el artículo 6 ), pues solo mediante la exigencia de
consentimiento, se otorga al afectado la posibilidad de determinar el nivel de
protección de los datos a él referentes.
La trascendencia que para tal cesión de datos personales ostenta el
"consentimiento" del titular de los datos, se expresa con claridad en la SAN
Secc. 1ª, 9-11-2001 ( Rec. 565/2000 ) , que razona que el reforzamiento del
consentimiento previsto en tal artículo 11.1 sirve para garantizar, de este
modo, el llamado contenido positivo del derecho o "libertad informática"
regulado en el Art. 18.4 de la Constitución -STC 202/1999, de 8 de noviembre
y STC 292/2000, de 30 de noviembre -. Y también en la SAN Secc. 1ª, 30-62004 (Rec. 619/2002) según la cual:
".......uno de los pilares básicos de la normativa reguladora del tratamiento
automatizado de datos es precisamente el principio del consentimiento o
autodeterminación..... Se trata de una garantía fundamental, legitimadora
del régimen de protección establecido por la Ley, en desarrollo del Art. 18.4
de la Constitución, dada la notable incidencia que el tratamiento
automatizado de datos tiene sobre el derecho a la privacidad en general, y
que sólo encuentra, como excepciones al consentimiento del afectado,
aquellos supuestos que, por lógicas razones de interés general, puedan ser
establecidos por una norma de rango de Ley. Tal protección que se dispensa
al ciudadano frente al tratamiento de datos personales sin su consentimiento
se proyecta, también, sobre la hipótesis de la cesión.... Precepto ha de ser
completado con el artículo 1.2 del RD 1332/1994 de 20 de junio ,..Y también
con la Directiva 95/46 / CE, de 24 de octubre de 1995”.
En el caso enjuiciado no existió consentimiento previo sin que pueda
deducirse su existencia de la mera omisión del denunciante ante los términos
de la carta que le fue dirigida por MARSH.
En definitiva, no habiendo existido dicho consentimiento previo la cesión de
los datos personales de don Evaristo es ilegítima.
QUINTO.- MARSH para el caso de que no se admita, como es el caso, la
existencia de un mandato tácito que conlleva la existencia de un
consentimiento previo, sostiene que la cesión está comprendida en las
excepciones al principio del consentimiento que se contienen en el art. 11 de
la LOPD, concretamente en el apartado 2 .c) que trata de aquellos casos en
que "el tratamiento responda a una libre y legítima aceptación de una
relación
jurídica
cuyo
desarrollo,
cumplimiento
y
control
implique
necesariamente la conexión de dicho tratamiento con ficheros de terceros. En
este caso la comunicación sólo será legítima cuando se limite a la finalidad
que la justifique".
Se requiere en este precepto la existencia de una relación jurídica, ya sea
contractual, laboral, administrativa o de otro tipo, en virtud de la cual obren
en poder del responsable del fichero determinados datos del afectado. Se
trata, por tanto de aquellos casos en que el tratamiento responde a una
relación libre y legítimamente aceptada por tal interesado, y los datos salen
del círculo de dicha relación jurídica a fin de desarrollar, cumplimentar, y
controlar la misma.
Ya nos hemos referido anteriormente a la naturaleza jurídica del contrato
de corretaje y como éste no conlleva mandato representativo alguno.
Además, aunque este contrato permita la realización de ofertas por parte del
corredor a su cliente y legitima el tratamiento de sus datos personales en este
sentido, a lo que no alcanza es a autorizar cesiones de datos de carácter
personal a terceros, pues para que dicha cesión sea legítima, como antes
vimos, es preciso siempre el consentimiento previo del afectado.
Abunda en esta interpretación el apartado 3 del artículo 63 de la nueva Ley
26/2006, de 17 de julio , de mediación de seguros y reaseguros privados, que
hace expresa referencia a las obligaciones de los corredores de seguros en
materia de protección de datos. Dice así:
3. Los corredores de seguros podrán tratar los datos de las personas que se
dirijan a ellos, sin necesidad de contar con su consentimiento:
a) Antes de que aquéllos celebren el contrato de seguro, con las finalidades
de ofrecerles el asesoramiento independiente, profesional e imparcial al que
se refiere esta Ley y de facilitar dichos datos a la entidad aseguradora o
reaseguradora con la que fuese a celebrarse el correspondiente contrato.
b) Después de celebrado el contrato de seguro, exclusivamente para
ofrecerles el asesoramiento independiente, profesional e imparcial al que se
refiere esta Ley o a los fines previstos en su art. 26.3.
Para la utilización y tratamiento de los datos para cualquier otra finalidad
distinta de las establecidas en las dos letras anteriores, los corredores de
seguros deberán contar con el consentimiento de los interesados.
Como es fácil de ver sólo se exime del consentimiento antes de celebrar el
contrato de seguro, en cuyo caso puede el corredor no solo realizar
tratamientos sino también ceder los datos a la entidad aseguradora o
reaseguradota con la que se va a celebrar el contrato. Pero una vez celebrado
el contrato el tratamiento sin consentimiento sólo es legítimo para continuar
ofreciendo asesoramiento independiente pero no para ceder los datos a un
tercero, ya que la norma no lo autoriza ni de forma expresa ni implícita,
debiendo obtenerse el consentimiento previo del afectado por aplicación de
las normas generales de la Ley Orgánica, concretamente del art. 11.
SEXTO.- Finalmente invoca MARSH la falta de culpabilidad. Sobre ello debe
observarse que el ilícito administrativo por el que ha sido sancionada se
consuma, como suele ser norma general en la infracciones administrativas,
por la concurrencia de una culpa leve. En efecto, el principio de culpabilidad
previsto en el artículo 130.1 de la Ley 30/1992 dispone que solo puede ser
sancionadas por hechos constitutivos de infracción administrativa los
responsables de los mismos, aún a titulo de simple inobservancia.
Esta simple inobservancia no puede ser entendida como la admisión en el
derecho administrativo sancionador de la responsabilidad objetiva, pues la
jurisprudencia mayoritaria de nuestro Tribunal Supremo (a partir de sus
sentencias de 24 y 25 de enero y 9 de mayo de 1983 ) y la doctrina del
Tribunal Constitucional (después de su STC 76/1990 ), destacan que el
principio de culpabilidad, aún sin reconocimiento explícito en la Constitución,
se infiere de los principios de legalidad y prohibición de exceso (artículo 25.1
CE ), o de la exigencias inherentes a un Estado de Derecho, y requieren la
existencia de dolo o culpa.
Pues bien, la conducta que configura el ilícito administrativo aplicado en
este caso requiere la existencia de culpa, que se concreta, por lo que ahora
interesa, en la falta de diligencia observada por la entidad recurrente para
asegurarse de que el afectado tenía que haber consentido de forma
inequívoca la cesión de sus datos de carácter personal a un tercero y es esta
falta diligencia lo que configura el elemento culpabilístico de la infracción
administrativa y resulta imputable a la recurrente.
Por razón de éstas y las anteriores consideraciones debe desestimarse el
recurso contencioso-administrativo interpuesto por MARSH, S.A., Mediadores
de Seguros.
SÉPTIMO.- En relación a la responsabilidad de HILO DIRECT SEGUROS Y
REASEGUROS, S.A debe tomarse en consideración, como argumenta con
reiteración, que los datos personales los recibió del corredor de seguros y que
éste tenía una relación profesional con el denunciante, por lo que es
perfectamente aceptable entender que actuó en la creencia de que contaba
con el consentimiento del denunciante para ceder sus datos personales.
Así, teniendo en cuenta la especial naturaleza jurídica de la figura del
"corredor" o "mediador" de seguros ya mencionada, y las circunstancias
concurrentes en el caso, el Tribunal entiende excesivo exigir también, a la
compañía de seguros, la comprobación fehaciente de la prestación del
consentimiento
inequívoco
por
parte
del
asegurado
ya
que
dicha
comprobación le compete al mediador cuando interviene como tal en la
celebración del contrato de seguro.
En definitiva la Sala entiende que HILO DIRECT SEGUROS Y REASEGUROS,
S.A actuó con el convencimiento legítimo de que el consentimiento, por parte
de las denunciantes, había sido prestado al mediador de seguros, tal y como
dicho mediador le dio a entender con la remisión de sus datos de carácter
personal para que procediera a dar de alta la póliza de seguro de automóviles.
Ante la falta de culpabilidad de este recurrente, procede la estimación de
su recurso contencioso-administrativo, con anulación de la sanción que le ha
sido impuesta.
OCTAVO.- No se aprecia temeridad o mala fe para la imposición de las
costas procesales, de conformidad con lo dispuesto en el artículo 139.1 de la
LRJCA.
FALLAMOS
PRIMERO.- DESESTIMAR
el recurso contencioso-administrativo interpuesto por la Procuradora DOÑA
LETICIA CALDERÓN GALÁN, en nombre y representación de MARSH, S.A.,
MEDIADORES DE SEGUROS, contra resolución de fecha 12 de septiembre de
2006 de la Agencia Española de Protección de Datos por la que se impone por
una infracción del art. 11.1 de la LOPD , tipificada como muy grave en el art.
44.4 .b) de dicha norma, una multa de 60.101,21 euros, de conformidad con
lo establecido en el art. 45.2, 4 y 5 de la citada Ley Orgánica , resolución que
confirmamos.
SEGUNDO.- ESTIMAR el recurso contencioso-administrativo interpuesto por
la Procuradora DOÑA MAGDALENA CORNEJO BARRANCO en nombre y
representación de HILO DIRECT SEGUROS Y REASEGUROS, S.A. contra la
resolución de fecha 7 de noviembre de 2006, desestimatoria del recurso de
reposición promovido contra la resolución de fecha 12 de septiembre de 2006,
dictada en expediente sancionador PS/00378/2005, , por la que se le imponía
por una infracción del art. 6.1 de la LOPD , tipificada como grave en el art.
44.3 .d) de dicha norma, también una multa de 60.101,21 euros, de
conformidad con lo establecido en el art. 45.2 y 4 de la citada Ley Orgánica ,
resoluciones que anulamos por ser contrarias a derecho.
TERCERO.- No hacer imposición de costas.
Así por esta nuestra sentencia lo pronunciamos mandamos y fallamos.
PUBLICACIÓN.- Leída y publicada ha sido la anterior sentencia en la forma
legalmente establecida. Doy fe. En Madrid, a
LA SECRETARIA
Mª ELENA CORNEJO PÉREZ
Descargar