Body

PRIMERO

Por resolución del Director de la Agencia de Protección de Datos de 26 de noviembre de 2004, se acuerda imponer a REALIA BUSSINES S.A. una multa de 300.506,05 euros como autor de una infracción prevista en el articulo 44.4.b) de la Ley Orgánica de Protección de Datos ; así como al BANCO BILBAO VIZCAYA ARGENTARIA S.A. la multa de 60.101,21 euros como autor de una infracción prevista en el articulo 44.3 .d) de la misma norma.

Formulado recurso contencioso administrativo por ambas entidades, la Sala de instancia realiza el siguiente relato de hechos:

"- Con fecha 13 de Febrero de 2001 BANCO BILBAO VIZCAYA ARGENTARIA S.A. y REALIA BUSINES S.A. suscribieron un contrato por el que el banco se comprometía a ofrecer a los clientes de REALIA BUSINES S.A. una oferta de financiación de la compra de inmuebles y esta se comprometía a entregar una lista de las personas que hubieran adquirido inmuebles en sus promociones.

- Cayetano recibió una oferta de financiación de la compra que supuestamente había realizado en "Residencial Valmarino".

- Cayetano no había sido cliente de REALIA BUSINES S.A. por compra de ningún inmueble en dicho Residencial, sin embargo, en el año 1997 había suscrito con REALIA BUSINES S.A. un contrato de arras en relación a la promoción " DIRECCION000 C.B."

- A resultas de recibir dicha información, Cayetano formuló denuncia ante la Agencia de Protección de Datos y, tras la tramitación del oportuno expediente dio lugar a la resolución que ahora es objeto del presente recurso."

Por lo que se refiere a la sanción impuesta a Realia Bussines, S.A., por infracción del art. 44.4.b) de la Ley Orgánica 15/1999 , en relación con el art. 12 de la misma, la Sala de instancia señala que " El contrato suscrito entre BANCO BILBAO VIZCAYA ARGENTARIA S.A. y REALIA BUSINES S.A. aparece incorporado al folio 204 del expediente y se rubrica como "Contrato Marco de Prestación de Servicio" y en dicho documento aparece la obligación de BBVA de ofrecer a los clientes de REALIA BUSINES S.A. una oferta de financiación de la compra respecto de la que hubieran suscrito un contrato de arras para la reserva de inmuebles y ello con la finalidad de que REALIA BUSINES S.A. pueda "dar un mayor valor añadido a la compra efectuada" y procurar a sus clientes unas mejores condiciones de financiación ", y considera que " no puede encuadrarse en los términos de dicho articulo 12 que contempla el supuesto de contratos en los que una empresa (encargada del tratamiento) presta un servicio a otra (responsable del tratamiento) pero en interés de esta ultima y para lo que es necesaria la cesión de los datos de los que dispone la responsable del tratamiento, y sin que estos datos puedan ser usados en beneficio exclusivo de la encargada del tratamiento.

En el caso presente se trata de un contrato de prestación de servicios recíprocos en interés de ambos contratantes y no es un supuesto de externalización de servicios como en aquellos otros supuestos a los que nos referimos en otras sentencias dictadas por esta Sala en otros recursos como el numero 982/2002 en los que se presta un servicio en beneficio del responsable del tratamiento. Evidentemente, no todo contrato puede justificar que nos encontremos en presencia de un supuesto amparado por el articulo 12 de la LOPD que exige determinados requisitos para que entre en juego la excepción a la no necesidad del consentimiento; solo cuando se trate de contratos específicamente amparados por esa excepción, se podrá justificar la cesión de datos sin consentimiento mientras que en todos los demás casos debe jugar la aplicación del principio general de consentimiento que procede del articulo 6 de la propia Ley Orgánica ."

En consecuencia, desestima el recurso y confirma la sanción impuesta.

SEGUNDO

No conforme con ello la entidad Realia Bussines, S.A. interpone este recurso de casación, en cuyo primer motivo, formulado al amparo del art. 88.1.d) de la Ley de la Jurisdicción , denuncia la infracción de los arts. 3.a), 3.g) y 12 de la LOPD, alegando que en este caso concurren todas y cada una de las circunstancias necesarias para la aplicación de la excepción del citado art. 12, argumentando: que el BBVA tiene el carácter de encargado del tratamiento, en cuanto accede a los datos por cuenta del responsable del tratamiento, Realia Bussines, para realizar la actividad que esta le había encargado; el acceso está limitado a la prestación del servicio, entendiendo que el art. 12 de la LOPD no exige requisito alguno para la aplicación de la regla en cuanto al tipo de servicios o el interés específico que puedan tener la empresa arrendadora y la arrendataria de los servicios; las partes están vinculadas por un contrato escrito; y el contrato contiene las estipulaciones legales.

Se cuestiona por la parte recurrente la interpretación que la Sala de instancia hace del contrato a que se refiere el art. 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal , según el cual: "1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el art. 9 de esta Ley que el encargado del tratamiento está obligado a implementar.

3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente."

A tal efecto, lo primero que se desprende del precepto es que el contrato tiene por objeto el tratamiento de datos por cuenta de terceros, es decir, que se trata de sustituir al responsable del tratamiento y tiene por objeto prestar un servicio a ese responsable del tratamiento, de ahí que se establezca que quien se encarga del tratamiento de los datos deba hacerlo conforme a las instrucciones del responsable y no pueda aplicarlos o utilizarlos con fin distinto al que figure en el contrato, añadiendo que cuanto dicha utilización se produzca, el encargado del tratamiento será considerado también responsable del tratamiento, respondiendo de las infracciones que hubiera incurrido personalmente, que es tanto como decir que no queda amparado por el contrato que le ha permitido acceder a los datos y queda sujeto a las exigencias y responsabilidades propias de la condición de responsable del tratamiento.

La parte entiende que, no obstante, es indiferente el tipo de servicios o el interés específico que puedan tener la empresa arrendadora y la arrendataria de los servicios, planteamiento que no puede compartirse, pues, en primer lugar, el precepto es claro al señalar que se trata de prestar un servicio al responsable del fichero (en este caso Realia Bussines, S.A.) no al encargado del tratamiento (BBVA), y no sólo eso sino que cuando éste último utilice los datos para un objeto distinto, más aún si es propio, adquiere la posición de responsable del fichero o tratamiento, sujeto a las exigencias propias de tal condición y las correspondientes responsabilidades. Por otro lado, a la hora de determinar los servicios a prestar al responsable del tratamiento, no debe olvidarse que el precepto regula una excepción a las exigencias propias de la comunicación o cesión de datos, fundamentalmente el consentimiento de su titular, que ha de ponerse en relación con las previsiones de los arts. 6 y 11 de dicha LOPD , que regulan el tratamiento de datos y su comunicación, respectivamente, refiriendo la exclusión de la exigencia del consentimiento del interesado a los casos que se justifican por el mantenimiento o cumplimiento de la relación o negocio jurídico que los une, lo que en lógica conclusión lleva a considerar que los servicios al responsable del tratamiento a que se refiere el art. 12 deben corresponderse con esa relación jurídica que le une al interesado y que le permite su tratamiento y no con otros servicios para los cuales el propio responsable no estaría facultado para el tratamiento directo de los datos y menos aún un tercero.

Desde estas consideraciones necesariamente ha de concluirse que no puede ampararse en el art. 12 de la LOPD la cesión de datos a que se refiere el contrato suscrito entre la recurrente y BBVA, cuyo objeto principal, según se desprende de la exposición tercera y el acuerdo primero del mismo, es la oferta de financiación por parte del BBVA a los clientes de Realia Bussines, para la adquisición de inmuebles a esta última, de manera que el tratamiento de los datos tiene como principal finalidad ofertar los servicios de financiación del BBVA (encargado del tratamiento), aunque indirectamente ello favorezca la posición de vendedor de Realia Bussines, servicios que además son distintos y no se prestan por esta entidad responsable del fichero. Que ello fue percibido así por los propios interesados titulares de los datos personales, lo pone de manifiesto el hecho de que la denuncia formulada se produce, precisamente, cuando, quien había mantenido determinada relación con Realia Bussines, S.A., recibe una oferta de financiación por parte del BBVA ajena a aquella relación jurídica.

Se desprende de todo ello que la interpretación y aplicación por la Sala de instancia de los preceptos legales en que funda su pronunciamiento no incurre en las infracciones que se denuncian en este motivo de casación, que por lo tanto debe ser desestimado.

Las mismas razones conducen a la desestimación del segundo motivo de casación, en el que se alega la infracción del art. 25 de la Constitución, entendiendo que al confirmarse la sanción por considerar que el art. 12 de la LOPD no resulta de aplicación al caso, se vulnera el principio de legalidad en cuanto se establecen ciertas condiciones que no están previstas literal, clara y terminantemente por la norma sancionadora, extendiendo más allá de los límites previstos las conductas prohibidas, pues este planteamiento resulta desvirtuado por lo que se acaba de exponer sobre el alcance del referido art. 12 de la LOPD , que la Sala de instancia se limita a aplicar según el contenido que le es propio, siendo, precisamente, la posición de la parte la que pretende extender más allá de su contenido la excepción al consentimiento del interesado para la cesión de datos de carácter personal que se regula en dicho precepto, que como tal y más aún en cuanto afecta a derechos fundamentales, debe ser objeto de una interpretación restrictiva en garantía de los mismos.

TERCERO

La desestimación de los motivos invocados lleva a declarar no haber lugar al presente recurso de casación, lo que determina la imposición legal de las costas a la parte recurrente, si bien, la Sala, haciendo uso de la facultad que otorga el artículo 139.3 LRJCA y teniendo en cuenta la entidad del proceso y la dificultad del mismo, señala en 3.000 euros la cifra máxima como honorarios del Abogado del Estado, sin que devengue costas en tal concepto el Letrado del Banco Bilbao Vizcaya Argentaria, S.A. que no se opuso al recurso, manteniendo una actitud procesal de adhesión al recurso interpuesto impropia de quien concurre al proceso en la condición de recurrida y por ello sin virtualidad alguna.