El Tribunal Supremo confirma que ARVATO SERVICES IBERIA, S.A, no deberá pagar 360.607 € a la Agencia Española de Protección de Datos, al actuar la empresa conforme al criterio de sucesivas resoluciones de la Agencia.
La importancia de leer resoluciones
Una persona recibió una carta de CITIBANK, en la que se le ofrecían productos financieros. A su vez, se le informaba que sus datos personales habían sido facilitados por ARVATO, que los había obtenido de CEAC (CENTRO DE ESTUDIOS CEAC, S.L.).
La persona que recibió la información comercial, denunció el caso ante la Agencia Española de Protección de Datos (AEPD), al considerar que se estaban tratando y cediendo sus datos sin su consentimiento.
Con fecha 11.05.2007, la AEPD sancionó a las tres empresas, y especialmente a ARVATO, a la que impuso dos sanciones por importe total de 360.607,26 €.
PS-00223-2006
ARVATO recurrió la Resolución de la AEPD ante la Audiencia Nacional, con el objetivo de que este organismo analizase una cuestión fundamental: “Si ARVATO ha actuado como encargado de CEAC, no se habría producido vulneración alguna de la Ley de Protección de Datos”
Asimismo, ARVATO aportó tres Resoluciones de la Agencia Española de Protección de Datos que habían considerado su actividad, y la de empresas de su grupo como “encargado”, por lo que no podría considerársele responsable (PS/00053/2005, PS/00136/2003 y PS/00093/2003).
La Audiencia Nacional entendió que ARVATO realizaba tratamientos propios y que no había actuado como encargado, sin embargo, la Audiencia Nacional anuló las multas al considerar que, en virtud de las tres resoluciones de la AEPD, ARVATO había actuado con el convencimiento de estar realizando una actividad legal, y de ser encargado.
Con fecha 27.02.2012, el Tribunal Supremo ha confirmado el criterio de la Audiencia Nacional, destacando:
Se ha acreditado la identidad sustancial de supuestos entre los que ahora contemplamos y lo resuelto por la Agencia Española de Protección de Datos en los tres expedientes mencioandos, habiéndose dictado las resoluciones de los procedimientos sancionadores en relación con Arvato o empresas de su mismo grupo, por lo que se pudo inducir a error a la recurrente que pudo razonablemente considerar que su conducta era legal y que actuaba amparada por el cumplimiento de las exigencias de la Ley Orgánica de Protección de Datos, afirmando que no es posible que la Agencia en la resolución que ahora es objeto de recurso contencioso administrativo, como se apreció en la sentencia de 13 de junio de 2008 , considere cometida una infracción cuando la misma conducta había sido considerada impune en resoluciones anteriores, entendiendo que en materia sancionadora los nuevos criterios, por muy razonables que éstos sean, ya estén contenidos en una norma o deriven de una decisión de la Administración interpretando las normas, han de desplegar sus efectos hacia el futuro pero nunca proyectarse hacia actuaciones pasadas que se acomodaran a los criterios entonces existentes, así como que la relación de los administrados con la Administración debe sustentarse en un principio de confianza legitima, confianza que sólo puede generarse cuando se tiene previsibilidad y seguridad en la actuación de la Administración, por lo que concluye que si bien Arvato no puede amparar su conducta en la condición de encargado del tratamiento, al concurrir una grave infracción de las exigencias derivadas del principio de culpabilidad, procede, por infracción del principio de culpabilidad la estimación del recurso y la anulación de la resolución impugnada
Fuente: STS 1299/2012 Nº de Recurso: 747/200
