De nuevo sobre la Protección de datos y consentimiento del uso de los mismos: doctrina general

Santiago Carretero Sánchez
Profesor Titular de Filosofía del Derecho

La sentencia de la AN de enero de dos mil ocho que interpuso "Gas Natural Andalucía, S.A.", contra la Resolución del Director de la Agencia Española de Protección de Datos de 2 de junio de 2006, que impuso a la recurrente una sanción de multa de 300.506,05 euros es una interesante sentencia de la que extraer doctrina al respecto.

¿Por qué se originó el recurso? Lo de siempre

El presente recurso contencioso-administrativo se interpone contra la Resolución del Director de la Agencia Española de Protección de Datos de 2 de junio de 2006, que impuso a la sociedad anónima recurrente una sanción de multa de 300.506,05 euros, por la infracción del artículo 11 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter Personal, por la infracción prevista en el artículo 44.4.b) de la misma Ley, como falta muy grave.
La secuencia de los hechos que da lugar a la imposición de la sanción que ahora se impugna es la siguiente. 1.- La Asociación de Consumidores y Usuarios en Acción de Córdoba (FACUA), actuando en representación de Dña. María Inés y otra afectada, presenta escrito de denuncia ante la Agencia Española de Protección de Datos señalando sus datos han sido cedidos por la recurrente a "Gas Natural Servicios SDG, S.A.", sin su consentimiento. 2.- Los denunciantes habían contratado sus servicios con la recurrente "Gas Natural Andalucía, S.A." en el año 1999 y era esta quién expedía sus facturas. 3.- Posteriormente, la sociedad recurrente, el seis de febrero de 2001 formaliza un acuerdo de cesión de datos con "Gas Natural Servicios SDG, S.A.", en el que se hace constar que se dispone de la autorización de los clientes para ceder sus datos personales (folio 176 y siguientes del expediente administrativo). 4.- A partir de la formalización de dicho contrato, las facturas se empezaron a girar por la sociedad cesionaria "Gas Natural Servicios SDG, S.A." 5.- La entidad "Tiempo BBDO, S.A.P." se encargó, por cuenta de la recurrente, de remitir a los titulares de los datos una carta en la que consta que "acepta que sus datos puedan ser cedidos en el futuro a otras empresas del Grupo Gas Natural (...). Si no desea que las empresas del grupo puedan compartir dicha información, puede comunicarnos su decisión en nuestro domicilio en el plazo de un mes. Transcurrido dicho plazo, entenderemos prestado el consentimiento".

Cuestión principal suscitada

La cuestión suscitada en el presente recurso contencioso-administrativo, pues sobre ella construye la parte recurrente la pretensión anulatoria que ejercita, se centra en determinar si se ha producido infracción del artículo 11 de la citada Ley Orgánica 15/1999, en relación con la prestación del consentimiento, pues la parte recurrente arguye como motivo de impugnación que ha de entenderse que los clientes han prestado el consentimiento, pues este puede no ser expreso.

Se debe comenzar, por elementales razones de orden lógico, por señalar, en primer lugar, que la conducta sancionada consiste en "la comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas" (artículo 44.4 .b) de la Ley Orgánica 15/1999 citada), suele ser con mucho, la conducta más vulnerada.

Principio general de la cesión de datos

Teniendo en cuenta, por lo que ahora interesa, que los datos de carácter personal objeto de tratamiento automatizado sólo pueden ser cedidos para el cumplimiento de los fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del afectado (artículo 11.1 de la Ley Orgánica 15/1999).
Exceptuándose de esta norma general los supuestos que se relacionan en el apartado 2 del expresado artículo 11 , además del supuesto previsto en el artículo 27.1 de la misma Ley , que no hace al caso por no haber sido invocados por la recurrente.

Pues bien, si la conducta que integra la contravención administrativa descrita en el artículo 44.4 .b) consiste en "la comunicación o cesión" de los datos fuera de los casos previstos en la Ley, debemos analizar como elementos integrantes del tipo sancionador, a saber, qué se entiende por cesión y cuales son los casos en que la Ley autoriza esta transferencia de datos personales.

El concepto de cesión de datos personales viene establecido en la propia Ley Orgánica 15/1999. Es el artículo 3. i) el que define como "cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado". Lo que en el caso examinado se traduce en la entrega por parte de la recurrente, "Gas Natural Andalucía, S.A." a la entidad de su mismo grupo "Gas Natural Servicios SDG, S.A.", de los datos personales de los clientes que formalizaron su contrato para la prestación del servicio con la recurrente, que tiene un fichero denominado "Clientes" inscrito en el Registro General de Protección de Datos.
En este sentido no se suscita duda alguna la entrega o transferencia de datos personales entre la sociedad recurrente y la entidad del mismo grupo empresarial, pues tal cesión aparece documentada (folio 176 del expediente administrativo) mediante la formalización de un acuerdo suscrito entre ambas el 6 de febrero de 2001. Esta entrega de datos personales a un tercero ajeno a la relación comercial entre el prestador del servicio y el usuario, por tanto, aparece reconocida por la parte recurrente.
Sucede, no obstante, que dicha cesión, a juicio de la recurrente, no integra el tipo sancionador al estar amparada por la Ley, toda vez que se ha realizado con consentimiento de los afectados. Y efectivamente en el acuerdo de 2001 citado consta en el apartado IV que "el cedente dispone del consentimiento de todos los clientes incluidos en el fichero para ceder sus datos a las empresas que forma parte del Grupo Gas Natural", por lo que la cuestión se traslada a determinar qué tipo de consentimiento del titular de los datos es el previsto legalmente para la cesión de los mismos a un tercer y si este ha tenido lugar, o no, en el caso examinado.

Espíritu de la Ley

La expresada Ley Orgánica 15/1999 únicamente autoriza, como regla general, que los datos puedan ser comunicados a un tercero, cuando sea para "el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado", según dispone el artículo 11.1 de la Ley Orgánica 15/1999. Y aunque la Ley prevé excepciones a este principio general, relacionadas en el apartado 2 del artículo 11 , las mismas no son del caso, insistimos, pues la recurrente no invoca la aplicación de ninguna de ellas al caso examinado.
En definitiva, la contravención prevista en la ley se consuma por la entrega de datos a persona, en este caso persona jurídica, distinta del interesado titular de los datos y sin su previo consentimiento, por no haberse recabado respecto de los titulares de los datos su anuencia. Repárese, a estos efectos, que en el caso ahora examinado se sanciona por una cesión de datos, entendida como una entrega a persona distinta del interesado, ex artículo 3.i) de la Ley Orgánica 15/1999 , que para que resulte conforme a la Ley necesita simplemente el "previo consentimiento" del afectado, ex artículo 11.1 de la LO de tanta cita.
Pues bien,- en el caso examinado- no se ha prestado el "previo consentimiento" de la titular de los datos personales, pues la certificación por la entidad "Tiempo BBDO, S.A.P." sobre la impresión, manipulado y ensombrado de la carta remitida a los clientes, y su entrega en las oficinas de correos, así como su constancia notarial (folios 311 y siguientes del expediente administrativo), tan solo revelan que se han remitido las comunicaciones pero no acredita la recepción de las mismas por los titulares de los datos personales, lo que resulta esencial atendidas las consecuencias que se derivan para el derecho fundamental a la protección de los datos personales.

Conviene tener en cuenta, a estos efectos, que la exigencia del previo consentimiento tiene un carácter medular cuando se trata de la protección del derecho fundamenta previsto en el artículo 18.4 de la CE , como ha declarado el Tribunal Constitucional[1].

Este poder de disposición se vería mutilado, o simplemente soslayado, si se pudieran ceder los datos personales prescindiendo de las garantías previstas legalmente, esto es, sin que conste que se ha recabado un previo consentimiento del titular de los datos. Conviene recordar que el consentimiento es una manifestación de voluntad que si bien puede ser, efectivamente, expresa o tácita, lo cierto es que para que el titular de los datos pueda entenderse vinculado jurídicamente ha de tenerse constancia de que concurre dicha voluntad manifestada, y lo cierto es que en el caso examinado la única constatación real es que la parte recurrente ha contratado el envio de las comunicaciones, pero no que el titular de los datos haya prestado tal consentimiento o realizado actos que revelen que recibió tal carta y que asintió respecto de cuanto se le comunicaba.

DOCTRINA GENERAL SOBRE LAS PRESUNCIONES DEL CONSENTIMIENTO

De modo que cualquiera que sea la prestación del consentimiento previo, previsto en el artículo 11.1 de la Ley Orgánica 15/1999, ha de evidenciar que concurre una manifestación de voluntad, que constituye la esencia para vincularse jurídicamente, por lo que hace al caso, con los efectos que se anudan a la prestación del consentimiento para la cesión de datos personales a un tercero. El establecimiento de presunciones o suposiciones, sobre si se ha remitido la comunicación y si la misma habrá llegado a su titular, pulverizaría esta exigencia esencial del consentimiento, a que antes nos referimos, desvirtuando la naturaleza y significado que desempeña como garantía en la protección de los datos personales, incumpliendo la finalidad que está llamado a verificar, esto es, que el poder de disposición de los datos corresponde a su titular, que ha tener cumplido conocimiento de quién tiene su datos y para que finalidad.

Además, de cuanto llevamos expuesto hasta ahora, podemos deducir que la citada comunicación señalando que el titular de los datos personales "acepta que sus datos puedan ser cedidos en el futuro a otras empresas del Grupo Gas Natural (...). Si no desea que las empresas del grupo puedan compartir dicha información, puede comunicarnos su decisión en nuestro domicilio en el plazo de un mes. Transcurrido dicho plazo, entenderemos prestado el consentimiento", pone de manifiesto una presunción que no parece corresponderse con la manifestación de voluntad en que se concreta el consentimiento, pues la pasividad de la que, según la comunicación, se deduce el consentimiento, puede ser atribuible a muchos factores y circunstancias impeditivas que no puede equipararse a una manifestación de voluntad y, por ende, a la prestación del consentimiento.

Por cuanto antecede, concurre, por tanto, la descripción de conducta que establece el artículo 44.4.b) de la Ley Orgánica 15/1999 , en relación con el artículo 11 , transcritos en el fundamento anterior, constituyendo la falta descrita una infracción muy grave de cesión de datos fuera de los casos que ampara la Ley.