La Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional (AN), encargada de los recursos contra las resoluciones de la Agencia Española de Protección de Datos (AEPD) ha dictado una importante Sentencia que destruye el modo de llevar la inspección o investigación por parte de la AEPD en lo que respecta a los envíos de Fax.

La Sentencia fue dictada el 24/09/2010 y anula la Resolución 200/2009 de la AEPD por la que se imponía a una empresa de marketing una multa de 600 Euros por el envío de un fax de venta directa a la persona que denunció este envío (infracción del Art. 38.3.h de la LGT).

Ciertamente en el procedimiento nunca apareció el fax, ni el envío del mismo, ni la recepción del mismo en el número de teléfono del denunciado. Únicamente los inspectores de la Agencia encontraron un registro telefónico, y esa fue su única prueba para sancionar.

La Sentencia acoge como suyos todos los alegatos de la parte recurrente y afirma que la fundamentación de la Resolución resulta excesivamente forzada al no haberse podido probar la recepción del fax ni el envío del mismo. Dice que la AEPD considera acreditado tal envío en base exclusivamente a un pantallazo que se obtuvo en la visita de los inspectores en los locales de la entidad inicialmente sancionada, quienes, al no conseguir pruebas, se centraban en otro tipo de información, como eran registros de llamadas telefónicas con el objeto de atribuir el registro de una llamada telefónica al envío de un fax, y es tal registro telefónico el que obtenían a través del pantallazo.

Sentencia la AN diciendo que ese pantallazo es, como mucho, una información relativa a una campaña de la recurrente.

Incide la Sentencia en que al no haber documentación relativa al contenido del fax ni el envío ni la recepción del mismo, no existe prueba que incrimine a la entidad recurrente.

Recuerda la AN a la AEPD las exigencias propias del derecho a la presunción de inocencia que tiene declaradas el Tribunal Constitucional y el Tribunal Supremo, diciendo que la sanción tiene que estar basada en en actos o medios probatorios de cargo o incriminadores de la conducta imputada, y que recae sobre la Administración pública la carga probatoria de la comisión del hecho ilícito y de la participación del denunciado (no al revés). Le recuerda también la AN a la AEPD que en derecho administrativo sancionador es necesario que exista una prueba PLENA DE LA CULPABILIDAD, de tal forma que la presunción de inocencia HA DE PRIMAR en todas las situaciones en las que se plantee la duda.

Termina la Sentencia diciendo que la AEPD no ha practicado prueba de cargo suficiente y que el derecho de presunción de inocencia persiste.

Es importante esta Sentencia para el derecho de protección de datos, sociedad de la información y telecomunicaciones: contribuye a cambiar el sistema de fundamentación y valoración de las pruebas obtenidas por la AEPD, dota de seguridad jurídica al tráfico mercantil español y a las comunicaciones comerciales efcetuadas a través de medios electrónicos, y constituye un necesario revés para la inspección e instrucción pública conminando a las instituciones a una mejor formación y a un más transparente desempeño de su función.

El procedimiento administrativo ha sido dirigido y ganado por Don Daniel Santos García, miembro de SANTOS & ROJAS ABOGADOS, S.L.P.

Con la LOPD y su Reglamento de desarrollo (RD 1720/2007, de 21 de diciembre), se pretende básicamente garantizar el libre ejercicio de los derechos de acceso, rectificación, cancelación y oposición por los interesados (personas físicas titulares de los datos personales sometidos a tratamiento) y el cumplimiento de los principios de información, consentimiento, finalidad, calidad y seguridad recogidos en la Ley. A través de la LOPD y su desarrollo reglamentario cobra vida el núcleo esencial del derecho fundamental a la protección de los datos de carácter personal definido como el derecho de toda persona física a tener pleno poder disposición sobre sus datos personales, a conocer y consentir las finalidades para las que van a ser objeto de tratamiento por terceros, así como de las cesiones que de dichos datos se vayan a efectuar.

Muchas organizaciones (empresas, profesionales liberales, asociaciones, fundaciones, administraciones públicas, etc) cumplen ya con los principios y derechos recogidos en la LOPD mediante las siguientes acciones:

- Notificando los ficheros de datos personales al Registro General de Protección de Datos, dependiente de la Agencia Española de Protección de Datos (AEPD), institución independiente que vela por la garantía del derecho fundamental a la protección de los datos de carácter personal.

- Informando a los interesados de los pormenores del tratamiento de sus datos de carácter personal y recabando, en su caso, su consentimiento a los tratamientos informados.

- Imponiendo a terceros prestadores de servicios garantías contractuales en el acceso a los ficheros de datos personales o tratamientos a efectuar.

- Recogiendo en un documento de seguridad el elenco de medidas técnicas y organizativas de nivel básico o medio o alto a implementar en los ficheros de datos personales, automatizados o no automatizados, de los que sean responsables o que accedan cuando tengan la cualidad de encargados del tratamiento.

- Garantizado a los interesados el ejercicio de sus derechos de acceso, rectificación, cancelación y oposición mediante procedimiento sencillos y gratuitos.

-Formando a los usuarios de los ficheros de datos personales sobre las medidas de seguridad recogidas en el documento de seguridad y su aplicación en el desarrollo de las funciones que se les asignen.

Dado que estamos en la Era del Conocimiento, de la transmisión de todo tipo de información por las redes de comunicaciones electrónicas, en un mundo global y virtual por el uso de Internet, está claro que el futuro de la protección del derecho fundamental a la protección de los datos de carácter personal pasa por establecer controles y habilitar procedimientos y recomendaciones que permitan a los internautas disfrutar de la red de redes (Internet), sin ver vulnerado este derecho fundamental y el restos de derechos fundamentales que pueden ser potencialmente vulnerados a través de la infracción de las normativas de la protección de datos.

Por ello, desear a la LOPD una larga vida, por ser medio de protección de las personas y contribuir al desarrollo de la calidad de vida de los ciudadanos.

La problemática se centra en que el emisor de la comunicación comercial tiene que probar que cuenta con el consentimiento del abonado, consentimiento que ha de ser previo, expreso e informado. El calificativo de previo indica que antes de proceder al envío del fax comercial se ha de tener autorización del abonado para realizarlo. Además ha de ser expreso. ¿Cómo se puede acreditar un consentimiento expreso si el abonado niega haberlo otorgado? Sólo mediante su constatación en un soporte que demuestre indubitadamente haberse prestado el consentimiento por el abonado podrá calificarse de expreso, por eso se recomienda la firma por el abonado de un documento otorgando dicho consentimiento. Y además, el consentimiento ha de ser informado, es decir, que cuando se produjo su solicitud se debió suministrar al abonado información plena sobre la identidad del responsable, la finalidad del tratamiento, la posibilidad de oponerse al mismo, etc.

Por ello, las empresas en sus envíos publicitarios por las redes de comunicaciones comerciales (email, fax, sms, etc) deberán tener en cuenta un conjunto de normas legales y reglamentarias diversas que inciden en el concreto tratamiento de la información y medio utilizado. A saber, esas normas son básicamente:

 Ley Orgánica de Protección de Datos de Carácter Personal.
 Ley de Servicios de la Sociedad de la Información.
 Ley General de Telecomunicaciones.
 Ley de Firma Electrónica.
 Ley General de Publicidad.
 Ley General de Consumidores y Usuarios.