El 22 de marzo del 2017, la Agencia Española de Protección de Datos (en adelante, AEPD), dicta Resolución R/00596/2017, mediante la cual sanciona a la Asociación de Técnicos de Informática (en adelante ATI) por incumplimiento de los preceptos contenidos en la ya derogada Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD), así como en la Ley de Servicios de Sociedad de la Información y comercio electrónico (LSSI), cuya cuantía asciende a un total de 50.000€.
En el presente artículo vamos a realizar un breve análisis de la Sentencia de la Audiencia Nacional, de 30 de noviembre de 2018, la cual procede a desestimar el recurso contencioso-administrativo interpuesto por la Asociación, confirmando así la resolución dictada por la AEPD en todos sus efectos.
Los hechos por los cuales la AEPD sanciona a ATI, son, en primer lugar, incumplimiento del artículo 33 de la LOPD, al haber estado realizando la Asociación transferencias internacionales de datos sin mediar la autorización necesaria del Director de la AEPD a tales efectos, durante los meses de octubre del año 2015 y marzo del 2016 a la empresa The Rocket Science Group (TRS), entidad que se encuentra en los EEUU, y que presta el servicio de gestión de envíos de correos electrónicos MailChimp.
Una de las cuestiones que la Asociación plantea ante el Tribunal, solicitando que se interponga reenvío prejudicial ante el Tribunal de Justicia de la UE, y que nos parece interesante resaltar, es el hecho de considerar o no el correo electrónico de contacto de una asociación de profesionales como un dato de carácter personal. A este respecto debemos acudir a la propia definición del concepto de dato de carácter personal, que se encontraba recogido en el art. 3 a) de la ya derogada LOPD 15/1999, y que actualmente dispone el artículo 4 1) del Reglamento General de Protección de Datos (RGPD) como “toda información concerniente a una persona física identificada o identificable”.
A este respeto, nuestra Sentencia toma como base la Sentencia de la Audiencia Nacional de 25 de mayo de 2006, que determina que “con independencia de que la denominación de la dirección corresponda o no con el nombre y apellido de su titular, país o empresa en la que trabaja, lo cierto es que se puede mediante una operación nada difícil, identificar perfectamente a una persona física, ya que esa dirección de correo electrónico aparecerá vinculada a un dominio concreto, por lo que sólo será necesario consultar al servidor en que se gestione dicho servicio”.
La Sala considera, por tanto, el concepto de correo electrónico como un dato de carácter personal, y por ende, sometido a la normativa en materia de protección de datos, siempre y cuando éste permita identificar al titular sin esfuerzos desproporcionados, situación que concurre en nuestro supuesto, al contener el fichero denominado “Asociados”, los correos electrónicos de los mismos, así como su nombre, apellidos, dirección y DNI. A este respecto, también debemos mencionar la Resolución de la AEPD R/01979/2013, que determina que aún en aquellos supuestos donde la dirección de correo no parezca mostrar datos relacionados con la persona titular, también se considerará como un dato de carácter personal en tanto la identificación del titular mediante otros datos, como su dominio, permitan su identificación sin un esfuerzo desproporcionado.
A tenor de lo dispuesto, y siendo de plena aplicación la normativa en materia de protección de datos en el supuesto que nos ocupa, la AEPD sanciona a ATI con una multa de 45.000€, al haber estado la Asociación realizando transferencias internacionales de datos a EEUU para la realización de 11 campañas, durante los meses de octubre de octubre de 2015 a marzo de 2016, sin contar con la previa autorización del Director de la AEPD, tipificando la LOPD dicha infracción en su artículo 44.4 como una infracción muy grave.
Durante el periodo de tiempo mencionado, EEUU no ofrecía un nivel de garantía adecuado en materia de protección de datos, por lo que debíamos regirnos por lo dispuesto en la obligación contenida en el artículo 33 de la LOPD 15/1999, que establecía que: “No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.”.
En la actualidad, la regulación de las transferencias internacionales de datos viene recogida en los artículos 40-43 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de datos Personales y garantía de los derechos digitales (LOPDGDD), la cual deriva su regulación a lo contenido en los artículos 44-50 del RGPD, así como en las normas de desarrollo de la LOPDGDD y circulares de la AEPD y sus autoridades autonómicas de protección de datos.
La segunda sanción que la AEPD impone ATI en calidad de prestador de servicio de sociedad de la información, y cuya cuantía asciende a un total de 5.000€, deriva del incumplimiento del deber de información previa, tipificado como infracción leve, tal y como establece el artículo 38.4 g) de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI).
La Asociación alega que ellos no ostentan la figura de prestadores de servicios de la sociedad de la información, por lo que no les sería de aplicación la LSSI, cuestión que el Tribunal rechaza en todo caso, manifestando que la Asociación sí es, a todos los efectos, un prestador de servicios de la sociedad de la información. Dicho concepto viene definido en el apartado b) del Anexo de la LSSI, como aquella “persona física o jurídica que proporciona un servicio de la sociedad de la información”. En el Anexo a) se procede a definir y establecer una categorización de estos servicios, indicando cuales se engloban dentro de la normativa, y cuales no entrarían dentro de su ámbito de aplicación.
Por tanto, la LSSI los define como «Servicios de la sociedad de la información» o «servicios»: todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario.
El concepto de servicio de la sociedad de la información comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios. Son servicios de la sociedad de la información, entre otros y siempre que representen una actividad económica, los siguientes:
- La contratación de bienes o servicios por vía electrónica.
- La organización y gestión de subastas por medios electrónicos o de mercados y centros comerciales virtuales.
- La gestión de compras en la red por grupos de personas.
- El envío de comunicaciones comerciales.
- El suministro de información por vía telemática.
La citada ley, que actualmente se encuentra en vigor y que no ha sufrido modificación alguna desde la entrada en vigor del RGPD, así como de nuestra actual LOPDGDD, dispone en su artículo 22.2 que: “los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.”
La Asociación, como prestadora de servicios de la sociedad de la información, tenía la obligación de informar de manera previa a la realización de los envíos de las campañas a los destinatarios de los correos electrónicos, esto es, socios y amigos de ATI, sobre la instalación de dispositivos de seguimiento de la actividad de sus destinatarios, “a fin de controlar la apertura de los correos y la pulsación de los enlaces contenidos en los correos, y poder elaborar con la información recabada informes de seguimiento de las campañas”
Con todo, la Sala no procede a estimar el recurso planteado por ATI, atendiendo que la resolución interpuesta por la AEPD resulta ponderada y proporcionada a la gravedad de la infracción cometida por la parte recurrente, en base a la naturaleza, alcance, volumen de datos en los ficheros, y habitualidad en el manejo de la actividad realizada por la Asociación.