La digitalización de firma que se lleva a cabo en algunos comercios podría ser considerada firma electrónica simple y con medidas técnicas especiales de custodia, podría defenderse su valor probatorio.

Sin embargo, tras una reciente resolución (la R/00098/2006) del Director de la Agencia de Protección de Datos (en el Procedimiento Nº PS/00241/2005), habrá que tener mucho cuidado en los detalles de la implementación de estos sistemas, y, en general, de los que utilizan datos biométricos en la identificación.

Transcribo el documento que tiene un gran interés:

En el procedimiento sancionador PS/00241/2005, instruido por la Agencia Española de Protección de Datos a las entidades SFERA JOVEN, S.A. y EL CORTE INGLÉS, S.A., vista la denuncia presentada por DÑA. E.B.P., y en base a los siguientes,

ANTECEDENTES

PRIMERO: En fecha 20/12/04, tuvo entrada en esta Agencia un escrito de Dña. E.B.P. (en lo sucesivo la denunciante), en el que manifiesta que, en fecha 14/10/04, al realizar una compra con tarjeta de crédito en la tienda «SFERA» del Centro Comercial ……., recibe el original del tique de compra y advierte a la dependienta de ello. La dependienta le contesta que en el momento de estampar su firma la misma ha quedado digitalizada y guardada con el resto de la operación, por lo que el original en papel del tique de compra le puede ser entregado.

Manifiesta no haber sido informada en su momento del tratamiento y que, en el comprobante de la operación, no figura ningún tipo de cláusula informativa de que los datos personales quedarían recogidos, ni del uso o fin de la recogida y tratamiento de esos datos.

Con posterioridad, en fecha 10/11/04, ejerce ante Sfera Joven, S.A. el derecho de acceso a sus datos personales, indicándole en la contestación que sus datos no figuran en fichero alguno de la entidad y que los datos de la operación de compra quedan en poder de los emisores de las tarjetas.

SEGUNDO: En fecha 24/08/05, Inspectores de Datos, adscritos a la Subdirección General de Inspección de Datos de la Agencia Española de Protección de Datos, se desplazaron a la tienda «SFERA» del Centro Comercial ……., siendo la entidad responsable de la mencionada marca Sfera Joven, S.A. (en lo sucesivo Sfera). En dicha visita se constató que el comercio dispone de diversos puntos de venta dotados de terminales de marca IBM, a los cuales se encuentran conectadas pequeñas tabletas digitalizadoras. Las tabletas digitalizadoras incluyen el logotipo «Sfera» y constan de una tapa de metacrilato que restringe la posibilidad de escribir sobre la tableta, salvo en una pequeña zona del tamaño adecuado para una firma manuscrita.

Realizada una compra con tarjeta de crédito por los Inspectores de Datos, comprueban que, una vez aceptada la operación e impreso el resguardo de la compra correspondiente, la empleada de la tienda ofrece a la firma el mismo, situándolo entre la tableta digitalizadora y la tapa de metacrilato descritas. Una vez firmado, el resguardo es entregado al comprador, constando de un sólo ejemplar y verificándose que la empleada no procede a emitir o imprimir ningún otro tique.

En ningún momento se informa al cliente de la digitalización de su firma. Tampoco se aprecia la disposición de carteles informativos sobre dicho tratamiento en ningún lugar visible del comercio.

TERCERO: Aunque los representantes de Sfera manifestaron que existen carteles informativos al respecto, los Inspectores de Datos que se personaron en la tienda «SFERA» del Centro Comercial ……., constataron que no se encontraba expuesta ninguna información sobre el sistema de recogida electrónica de firma.

Los datos recabados en las compras abonadas con tarjetas externas, no emitidas por empresa del Grupo El Corte Inglés, son almacenados en el fichero denominado «Clientes Otras Tarjetas Externas» inscrito en el Registro General de Protección de Datos y cuyo responsable es la sociedad El Corte Inglés, S.A. Su finalidad es la gestión de cobros y pagos con otras tarjetas externas de crédito o debito, dentro de la red comercial de El Corte Ingles, S.A.

Todo el tratamiento de los tiques de compra se realiza por El Corte Inglés, S.A., siendo esta entidad la responsable del cobro de los importes de las transacciones, gestión de las posibles reclamaciones y conservación de la información durante el plazo establecido.

En la referida Inspección, se comprobó la existencia de los siguientes datos correspondientes a la operación realizada por la denunciante: nombre y apellidos, número de tarjeta de crédito, tipo (VISA), fecha de caducidad, importe de la compra y tipo de artículo o departamento, además de la firma digitalizada realizada por la denunciante en aquella ocasión asociada a la operación de compra.

También se encontró la misma tipología de datos correspondientes a la compra realizada por los Inspectores de la Agencia en fecha 24/08/05.

Sfera y El Corte Inglés, S.A. (en lo sucesivo El Corte Inglés) tienen suscrito un contrato de prestación de servicios informáticos, de fecha 01/11/01, en el cual se estipula como objeto del mismo que El Corte Inglés se compromete a gestionar toda la actividad informática de Sfera, incluyendo el tratamiento automatizado de los datos de la misma, constituyéndose expresamente como encargado del tratamiento.

A pesar de que en el referido contrato El Corte Inglés se identifique como encargado del tratamiento, es responsable del fichero denominado «Clientes Otras Tarjetas Externas», así como del cobro de los importes de las transacciones, gestión de las posibles reclamaciones y conservación de la información durante el plazo establecido.

CUARTO: A la vista del resultado de estas actuaciones previas de investigación, el Director de la Agencia Española de Protección de Datos acordó, en fecha 26/09/05, iniciar procedimiento sancionador a Sfera por la presunta infracción del artículo 5.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como leve en el artículo 44.2.d) de dicha norma, pudiendo ser sancionada con multa de 601,01 € a 60.101,21 € , de acuerdo con el artículo 45.1 de la citada Ley Orgánica.

Igualmente, el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a El Corte Inglés por la presunta infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, pudiendo ser sancionada con multa de 60.101,21 € a 300.506,05 €, de acuerdo con el artículo 45.2 de la citada Ley Orgánica.

QUINTO: Notificado el acuerdo de inicio de procedimiento sancionador, ambas entidades presentaron alegaciones al respecto.

Sfera manifiesta que no realiza ningún tratamiento de datos personales, simplemente acepta, como medio de pago, las tarjetas previamente convenidas con su gestor de pasarela de pago que, en este caso, es El Corte Inglés. Los sistemas de cobro de Sfera no son de su propiedad y no guarda ningún tipo de datos, dado que Sfera no tiene ningún fichero de clientes. Por tanto, si no hay tratamiento, no hay obligación de informar. Además, los datos que se obtienen del cliente son el número de tarjeta y la firma digitalizada, y este tipo de datos no puede considerarse como datos de carácter personal.

El Corte Inglés alega que, respecto a los clientes que pagan con tarjeta de crédito, no guardan ninguna información identificativa del mismo. No es necesario el consentimiento para tratar esos datos, dado que son necesarios para la relación negocial que el propio cliente ha aceptado al realizar el pago con tarjeta de crédito, cuyo emisor ya le ha informado de la necesaria captura de datos por parte del responsable del comercio donde sea utilizada.

SÉXTO: En la fase de pruebas se practicaron, entre otras, la prueba propuesta por El Corte Inglés consistente en que la denunciante aportase copia del contrato suscrito con su emisor de tarjeta de crédito.

SÉPTIMO: Terminada la fase de práctica de pruebas, el expediente se puso de manifiesto a los interesados, otorgándoles un plazo de quince días para presentar alegaciones. Solicitada ampliación de dicho plazo, el Instructor del procedimiento acordó ampliar el plazo en siete días más. Transcurrido la totalidad del plazo otorgado, no se han recibido alegaciones de ambas entidades interesadas en el presente procedimiento.

OCTAVO: En fecha 23/01/06 se emitió Propuesta de Resolución en el sentido que por el Director de la Agencia Española de Protección de Datos se sancionase a Sfera con multa de 601,01€ por la infracción del artículo 5 de la LOPD, tipificada como leve en el artículo 44.2.d) de dicha norma, y a El Corte Inglés con multa de 60.101,21 € por la infracción del los artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma.

NOVENO: En fecha 24/01/06 se recibieron las alegaciones de Sfera y El Corte Inglés a la fase de audiencia en las que se ratifican en sus manifestaciones anteriores.

DÉCIMO: En fecha 28/02/06 se han recibido las alegaciones de Sfera y El Corte Inglés a la Propuesta de Resolución, indicando que la Propuesta emitida es nula dado que no se han tenido en cuenta las alegaciones realizadas en la fase de audiencia. No obstante, reconocen la posibilidad de que las mismas se hubiesen recibido en esta Agencia con posterioridad a la emisión de la Propuesta. Añaden que es importante que se sumen dos hechos de interés: de una parte, que en el contrato de tarjeta aportado por la denunciante, ésta se compromete a identificarse ante el comerciante y firmar los comprobantes de compra que le sean presentados, y por otra, que El Corte Inglés es gestor de la pasarela de pagos de Sfera. Esta última aclaración es importante porque demuestra que El Corte Inglés tiene una doble cualidad respecto a su filial Sfera. Por un lado, le presta servicios informáticos (confección de nómina, contabilidad, etc.) conforme al contrato de prestación de servicios firmado el 01/11/01. Pero, por otro lado, El Corte Inglés es gestor de la pasarela de pagos y respecto a los datos referidos a pagos con tarjeta es el único titular. Reinciden en que no conocen ningún procedimiento para identificar al titular de la tarjeta con los datos que se conservan. El Corte Inglés manifiesta que no es necesario solicitar el consentimiento de los interesados dado que existe una relación negocial. Sfera afirma que es innecesaria la información por su parte, dado que quien debe informar, en tal caso, es el emisor de la tarjeta, y concluye que, en contra de lo manifestado en la Propuesta de Resolución, existen folletos explicativos para los clientes.

HECHOS PROBADOS

PRIMERO: Dña. E.B.P., en fecha 14/10/04, realizó una compra con tarjeta de crédito en la tienda «SFERA» del Centro Comercial …….. No fue informada de que su firma había sido digitalizada y guardada con el resto de los datos de la operación de compra (folio 5).

SEGUNDO: En fecha 24/08/05, Inspectores de Datos, adscritos a la Subdirección General de Inspección de Datos de la Agencia Española de Protección de Datos, se desplazaron a la tienda «SFERA» del Centro Comercial ……., y realizaron una compra con tarjeta de crédito, comprobado que, en ningún momento, se informa al cliente de la digitalización de su firma. Tampoco se aprecia la disposición de carteles informativos sobre dicho tratamiento en ningún lugar visible del comercio (folios 13-15).

TERCERO: En fecha 01/09/05, a consecuencia de la visita de Inspección a Sfera, se constató que tienen implantado un sistema de recogida electrónica de la firma de aquellos clientes que abonan la compra mediante tarjeta de crédito o débito (ya fuera la emitida por el Grupo Corte Inglés o una tarjeta externa), utilizando para su captura una tableta digitalizadora. En el proceso de compra se imprime un sólo tique que el cliente firma sobre una tableta digitalizadora. Este tique es entregado al cliente, no realizándose ninguna otra impresión para su conservación por la entidad (folios 24-26, 34-39).

CUARTO: Los datos recabados en las compras abonadas con tarjetas externas, no emitidas por ninguna empresa del Grupo El Corte Inglés, son almacenados en el fichero denominado «Clientes Otras Tarjetas Externas» inscrito en el Registro General de Protección de Datos y cuyo responsable es la sociedad El Corte Inglés, S.A. (folio 25).

QUINTO: En la visita de Inspección realizada en Sfera, se comprobó la existencia de los siguientes datos correspondientes a Dña. E.B.P.: nombre y apellidos, número de tarjeta de crédito, tipo (VISA), fecha de caducidad, importe de la compra y tipo de artículo o departamento, además de la firma digitalizada realizada por la denunciante en aquella ocasión asociada a la operación de compra. También se encontró la misma tipología de datos correspondientes a la compra realizada por los Inspectores de Datos en fecha 24/08/05 (folios 36-39).

SEXTO: «Clientes Otras Tarjetas Externas», inscrito en el Registro General de Protección de Datos, cuyo responsble es El Corte Inglés, S.A.. Su finalidad es la gestión de cobros y pagos con otras tarjetas externas de crédito o debito, dentro de la red comercial de El Corte Ingles, S.A. (folios 25, 104-108).

SÉPTIMO: , de fecha 01/11/01, en el cual se estipula, como objeto del mismo, que El Corte Inglés se compromete a gestionar toda la actividad informática de Sfera, incluyendo el tratamiento automatizado de los datos de la misma, constituyéndose expresamente como encargado del tratamiento (folios 29-31). A pesar de ello, es responsable del fichero citado en el Hecho Probado anterior, así como del cobro de los importes de las transacciones, gestión de posibles reclamaciones y conservación de la información durante el plazo establecido (folios 104-108).

FUNDAMENTOS DE DERECHO

I

Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37.g) en relación con el artículo 36 de la LOPD.

II

Como cuestión previa, procede responder a la petición de nulidad de la Propuesta de Resolución emitida por no haberse tenido en cuenta las alegaciones efectuadas por El Corte Inglés y Sfera en la fase de audiencia.

Terminado el período de práctica de pruebas, el expediente se puso de manifiesto a ambas entidades, mediante la notificación de la relación de documentos obrantes en el expediente y la posibilidad de presentar alegaciones en el plazo de quince días hábiles a contar desde la recepción de dicho escrito. Sfera y el Corte Inglés recibieron dicha comunicación el 19/12/05, según aviso de recibo del Servicio de Correos. Por consiguiente, el plazo para presentar alegaciones terminaba el 05/01/06. No obstante, en fecha 03/01/06 se recibió solicitud de ampliación del plazo para presentar alegaciones, y el Instructor del procedimiento, de conformidad con lo dispuesto en el artículo 49.1 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (en lo sucesivo LRJPAC), admitió la ampliación en un plazo de siete días a contar desde el día siguiente a aquél en que finalice el primer plazo. Por tanto, teniendo en cuenta la ampliación, el plazo de alegaciones finalizaba el 14/01/06.

En fecha 23/01/06 se emitió la Propuesta de Resolución. Las alegaciones de Sfera y El Corte Inglés se recibieron en esta Agencia el 24/01/06, aunque consta en las mismas su presentación en el Servicio de Correos en fechas 19/01/06 y 20/01/06, respectivamente. Esto demuestra que dichas alegaciones, con independencia de que se recepcionasen en esta Agencia con posterioridad a la emisión de la Propuesta de Resolución, se habían presentado transcurrido el plazo otorgado para formular dichas alegaciones.

No obstante, dado que la Propuesta de Resolución no pone fin al procedimiento sancionador, no se produce ninguna indefensión a las entidades interesadas, dado que tras la Propuesta, existe un nuevo plazo de presentación de alegaciones.

Y, respecto a este último plazo, procede concretar que la Propuesta de Resolución fue notificada a El Corte Inglés y a Sfera el 27/01/06, otorgándoles un plazo de quince días hábiles para presentar alegaciones. Dicho plazo vencía el 14/02/06. Sin embargo, ambas entidades han presentado sus alegaciones en el Servicio de Correos en fecha 16/02/06, es decir, transcurrido el plazo otorgado para presentar alegaciones, siendo recibidas en esta Agencia el 28/02/06.

No obstante, aunque las alegaciones de Sfera y El Corte Inglés realizadas tras la fase de audiencia y después de la Propuesta de Resolución, han sido presentadas vencidos los plazos otorgados para tal fin, se ha procedido a tener en cuenta las mismas para elaborar la presente Resolución.

III

Respecto al fondo del asunto, procede analizar si los datos obtenidos por Sfera de los clientes que pagan con tarjetas de crédito o débito externas, y que se recogen y conservan en el fichero denominado «Clientes Otras Tarjetas Externas»de El Corte Inglés, deben considerarse datos de carácter personal. Sfera y El Corte Inglés manifiestan que los datos que se conservan no permiten identificar a la persona física que realizó la operación, sin embargo ha quedado acreditado en el procedimiento que en el fichero informático denominado «Clientes Otras Tarjetas Externas» se almacenan los talones de compras abonadas con tarjetas externas al grupo Corte Inglés y estos talones contienen datos sobre la identificación de los productos adquiridos, importe de la compra, fecha, número de tarjeta, nombre, apellidos del titular de la misma y firma digitalizada de éste, según consta en los folios 36 a 39.

El artículo 3.a) de la LOPD define datos de carácter personal como «cualquier información concerniente a personas físicas identificadas o identificables,» añadiendo el apartado 4 del artículo 1, del Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, que continúa en vigor de acuerdo con lo establecido en la disposición transitoria tercera de la LOPD, que dato de carácter personal es «toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificada o identificable.»

En línea con lo anterior el artículo 2.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24/10/95, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, considera identificable «toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos característicos de su identidad física, fisiológica, psíquica, económica, cultural o social.»

Este concepto de dato personal es sumamente amplio. La Audiencia Nacional en su Sentencia de 08/03/02, ha señalado que «no hay datos de carácter personal, y por tanto no es posible aplicar la Ley de Protección de Datos a los llamados «datos disociados» y así el mismo artículo 3 de la Ley, pero en su apartado f), define como «Procedimiento de disociación: Todo tratamiento de datos personales de modo que la información que se obtengas no pueda asociarse a persona determinada o determinable» <

Y añade la citada sentencia «Procedimiento de disociación que consiste en eliminar la conexión entre el dato y la persona, en «despersonalizar» el dato, actuando como barrera que impide la identificación y entrañando en definitiva un elemento protector de la intimidad o privacidad del afectado.

Sin embargo, para que exista dato de carácter personal (en contraposición con dato disociado) no es imprescindible una plena coincidencia entre el dato y una persona concreta, sino que es suficiente con que tal identificación pueda efectuarse sin esfuerzos desproporcionados, tal y como se desprende del mencionado artículo 3 de la Ley, en sus apartados a) y f) y también del Considerando 26 de la invocada Directiva 95/46/CE que expresamente señala que, para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona; que los principios de la protección no se aplicarán a aquellos datos hechos anónimos de manera tal que ya no sea posible identificar al interesado; que los códigos de conducta con arreglo al art. 27 pueden constituir un elemento útil para proporcionar indicaciones sobre los medios gracias a los cuales los datos pueden hacerse anónimos y conservarse de forma tal que impida identificar al interesado» (El subrayado es de la Agencia Española de Protección de Datos).

Aplicando la anterior doctrina al presente caso, en el que se registran en el fichero, entre otros datos, la identificación de la tarjeta de crédito o débito, el nombre y apellidos y la firma de los afectados, ha de concluirse que tales datos son datos de carácter personal, pues contienen información concerniente a una persona física identificable o determinable, ya que con tales datos es posible identificar, sin utilizar esfuerzos desproporcionados, a la persona titular de los mismos.

IV

El artículo 5 de la LOPD regula el derecho de información al interesado en la recogida de sus datos. Los apartados 1, 2 y 3 del citado artículo disponen:

«1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.

2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

3. No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.»

Y el artículo 6 de la LOPD regula el principio del consentimiento, disponiendo en sus apartados 1 y 2:

«1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.

2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.»

La obligación que impone el artículo 5 es la de informar al afectado en la recogida de datos, pues sólo así queda garantizado el derecho del afectado a tener una apropiada información y a consentir o no, en función de aquélla, el tratamiento. Por tanto, es necesaria una información previa para que el consentimiento que se presta sea válido.

La Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, al delimitar el contenido esencial del derecho fundamental a la protección de los datos personales, ha considerado el derecho de información como un elemento indispensable del derecho fundamental a la protección de datos, al declarar que: «el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos. En fin, son elementos característicos de la definición constitucional del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. Y resultan indispensables para hacer efectivo ese contenido el reconocimiento del derecho a ser informado de quién posee sus datos personales y con qué fin, y, el derecho a poder oponerse a esa posesión y uso requiriendo a quien corresponda que ponga fin a la posesión y empleo de los datos. Es decir, exigiendo del titular del fichero que le informe de qué datos posee sobre su persona, accediendo a sus oportunos registros y asientos, y qué destino han tenido, lo que alcanza también a posibles cesionarios; y, en su caso, requerirle para que rectifique o los cancele» (El resaltado es de la Agencia Española de Protección de Datos).

En este caso, el cliente desconoce que, cuando firma el justificante de compra, se captura y conserva su firma digitalizada en un fichero. Tampoco conoce si firmar en la tableta digitalizadora es obligatorio o facultativo, ni cuáles son las consecuencias de la obtención de los datos o de la negativa a suministrarlos. Sfera, como entidad que recaba los datos que van a ser incluidos en un fichero cuyo responsable es El Corte Inglés, tampoco informa a los clientes que pagan con tarjeta de crédito, de que sus datos van a ser conservados, de la finalidad de ese almacenamiento, de quién es el responsable del fichero, ni de la posibilidad de poder ejercer sus derechos de acceso, rectificación, cancelación y oposición. Es cierto que ella no es responsable del fichero ni del tratamiento de los mismos, tal y como expondremos más adelante, pero la LOPD no exige que esa información haya de ser facilitada en todos los casos por el responsable del fichero, sino que establece la obligación de una información previa que incluya, en su caso, la identificación del responsable por parte de aquellos que soliciten de los interesados la recogida de datos personales.

Sfera y El Corte Inglés alegan que los usuarios que abonan sus compras con tarjeta están informados por los emisores de dichas tarjetas de los datos que necesariamente deben facilitar a los comerciantes en el momento de realizar las operaciones de compra, por lo que no es exigible a Sfera el deber de información impuesto por la LOPD. Sin embargo Sfera es la que recaba los datos de los afectados para someterlos a un tratamiento automatizado, por lo que es a ella a quien incumbe la obligación de informar. Y, aunque sean los propios afectados quienes facilitan sus datos, y el artículo 5 de la LOPD se refiere a que deberán ser informados «los interesados a los que se soliciten datos personales», hay que tener en cuenta que la obligación que impone el citado artículo 5 es informar al afectado en la recogida de datos, pues sólo así queda garantizado el derecho de éste a tener una apropiada información en base a la cual pueda prestar válidamente su consentimiento. El derecho a ser informado quedaría sin duda frustrado, con la extensión e importancia que lo consagra la LOPD, si se excluyeran los supuestos en los que los afectados voluntariamente facilitan sus datos.

Aunque Sfera ha manifestado que tiene a disposición de los clientes folletos informativos del sistema y fórmulas alternativas para aquellos clientes que no deseen firmar en las tablillas, en este procedimiento sancionador no se ha constatado la existencia de dichos folletos ni, en su caso, que los mismos cumplan la misión de informar conforme exige el artículo 5 de la LOPD.

V

Además, en este caso, los datos personales recabados de los clientes que han abonado con tarjetas de crédito o débito en las compras realizadas en la entidad Sfera, son incluidos en un fichero en el que la citada entidad no es responsable. Esto supone que el cliente de Sfera desconoce quién es el titular del fichero que gestiona sus datos y dónde poder ejercer sus derechos.

Así ocurrió con la denunciante que tras ejercer el derecho de acceso ante Sfera, dado que era la entidad a la que ella había facilitado sus datos materialmente, le contesta que no existen datos relativos a su persona en sus ficheros. Y dicha afirmación es completamente cierta dado que, como se ha venido argumentado, los datos se incluyen en un fichero cuyo responsable es El Corte Inglés, por lo que es esta entidad la responsable de atender los derechos de los titulares de los datos que ella trata.

Pero la denunciante, cliente de Sfera, no es informada al respecto, por lo que el tratamiento de los datos personales ejercido por El Corte Inglés como titular del fichero «Clientes Otras Tarjetas Externas» es un tratamiento viciado. Aunque existe una relación negocial entre el cliente y el establecimiento que, en principio, permitiría el tratamiento de datos en virtud de la excepción del consentimiento prevista en el artículo 6.2 de la LOPD, no obstante, conforme a la obligación de la información previa que ha sido argumentada en el Fundamento de Derecho anterior, no puede ser aplicada dicha excepción porque para que exista la misma, la relación negocial debe ser admitida entre ambas partes y, en este caso, el cliente considera que la relación la mantiene con Sfera, desconociendo que es otra entidad la responsable del tratamiento de sus datos.

VI

Respecto al contrato suscrito entre El Corte Inglés y Sfera cuyo objeto es el compromiso de El Corte Inglés para gestionar toda la actividad informática de Sfera, incluyendo el tratamiento automatizado de los datos de la misma, constituyéndose expresamente como encargado del tratamiento, lo cierto es que, respecto a los datos de clientes que pagan con tarjeta externas, sus datos son incluidos en el fichero «Clientes Otras Tarjetas Externas» cuyo responsable es El Corte Inglés. Por lo tanto, respecto a la gestión de este tipo de datos, el contrato suscrito por ambas entidades, de fecha 01/11/01, no es aplicable, estando constatado que el responsable del fichero y del tratamiento es El Corte Inglés.

Esta cuestión ha sido aclarada por ambas entidades en sus últimas alegaciones al reconocer que el referido contrato de prestación de servicios se refiere a servicios informático tales como confección de nóminas, contabilidad, etc., reconociendo El Corte Inglés ser el único responsable de la titular del fichero «Clientes Otras Tarjetas Externas.»

VII

El artículo 44.2.d) de la LOPD considera infracción leve: «Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la presente Ley.»

En este caso, Sfera ha recabado datos personales sin facilitar a la denunciante la información que señala el artículo 5 de la LOPD, por lo que debe considerarse que ha incurrido en la infracción leve descrita.

VIII

El artículo 44.3.d) de la LOPD considera infracción grave:

«Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.»

La Audiencia Nacional ha manifestado, en su Sentencia de 22/10/03, que «la descripción de conductas que establece el artículo 44.3d) de la Ley Orgánica 15/1999 cumple las exigencias derivadas del principio de tipicidad, a juicio de esta Sala, toda vez que del expresado precepto se desprende con claridad cuál es la conducta prohibida. En efecto, el tipo aplicable considera infracción grave «tratar de forma automatizada los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la Ley», por tanto, se está describiendo una conducta –el tratamiento automatizado de datos personales o su uso posterior- que precisa, para configurar el tipo, que dicha conducta haya vulnerado los principios que establece la Ley Orgánica. Ahora bien, estos principios no son de aquellos que deben inferirse de dicha regulación legal, sino que aparecen claramente determinados y relacionados en el título II de la Ley, concretamente, por lo que ahora interesa, en el artículo 6 se recoge un principio que resulta elemental en la materia, que es la necesidad de consentimiento del afectado para que puedan tratarse automatizadamente datos de carácter personal. Por tanto, la conducta ilícita por la que se sanciona a la parte recurrente como responsable del tratamiento consiste en usar datos sin consentimiento de los titulares de los mismos, realizando envíos publicitarios.»

Conforme se ha expuesto en los Fundamentos de Derecho anteriores, se considera que El Corte Inglés ha infringido el artículo 6 de la LOPD. Este artículo regula uno de los principios básicos del derecho fundamental a la protección de datos de carácter personal, el del consentimiento inequívoco de los interesados para el tratamiento de sus datos. Por tanto, El Corte Inglés ha infringido uno de los principios de la LOPD, y, en consecuencia, ha incurrido en la infracción grave descrita.

IX

A tenor de lo establecido en el artículo 45.1 y 2 de la LOPD, las infracciones leves serán sancionadas con multa de 601,01 euros a 60.101,21 euros , y las graves serán sancionadas con multa de 60.101,21 euros a 300.506,05 euros.

El mismo artículo, en sus apartados 4 y 5, establece criterios de graduación de la sanción:

«4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.»

5. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate.»

La Audiencia Nacional, en sus Sentencias de 24/05/02 y 16/02/05, ha señalado en cuanto a la aplicación del apartado 5 del citado precepto que «… la presente regla debe aplicarse con exquisita ponderación y sólo en los casos en los que la culpabilidad y la antijuridicidad resulten sustancialmente atenuadas atendidas las circunstancias del caso concreto, de forma que repugne a la sensibilidad jurídica, siempre guiada por el valor justicia, la imposición de la sanción correspondiente al grado. Lo cual insistimos puede darse, por excepción, en casos muy extremos (de aquí la expresión «especialmente cualificada») y concretos».

En este caso, no se aprecia una disminución cualificada de la culpabilidad de Sfera y de El Corte Inglés, o de la antijuridicidad de los hechos, que permita la aplicación de la graduación de las sanciones prevista en el artículo 45.5 de la LOPD.

No obstante, teniendo en cuenta los criterios recogidos en el artículo 45.4 de la LOPD y, en especial, el volumen de tratamientos efectuados por ambas entidades y a la ausencia de beneficios obtenidos acreditados en el presente procedimiento, procede imponer las sanciones correspondientes en su cuantía mínima.

Vistos los preceptos citados y demás de general aplicación,

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad SFERA JOVEN, S.A., por una infracción del artículo 5 de la LOPD, tipificada como leve en el artículo 44.2.d) de dicha norma, una multa de 601,01€ (seiscientos un euros con un céntimo) de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.

SEGUNDO: IMPONER a la entidad EL CORTE INGLÉS, S.A. por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.

TERCERO: NOTIFICAR la presente resolución a SFERA JOVEN, S.A., (C/………………….), a EL CORTE INGLÉS, S.A., (C/………………..), y a DÑA. E.B.P., (C/………………..).

CUARTO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº 0000 0000 00 0000000000 abierta a nombre de la Agencia Española de Protección de Datos en el Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.

De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones.

Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.

Madrid, 21 de marzo de 2006

EL DIRECTOR DE LA AGENCIA ESPAÑOLA

DE PROTECCIÓN DE DATOS

Fdo.: José Luis Piñar Mañas