Sentencia del Tribunal Supremo de 19 de noviembre de 2014 (D. Rafael Sarazá Jimena).
[Ver resolución completa en Tirant On Line Premium. http://www.tirantonline.com/tol]
OCTAVO.- Formulación del único motivo del recurso de casación
1.- El único motivo del recurso de casación se encabeza con el
siguiente epígrafe: « Infracción del art. 2.2 de la L.O. 1/1982 y del art. 1.101
Cc. ».
2.- La infracción legal se habría producido, según alega la
recurrente, (i) porque la actuación de la Caja Rural al comunicar los datos de la
demandante a un fichero de morosos estaba autorizada por la Ley , (ii) no existe ninguna
acción u omisión en que intervenga culpa o negligencia, como exige el art. 1101
CC, y (iii) no cabe entender automáticamente lesionado el derecho al honor por
el mero hecho de que existiera una hipotética sanción administrativa, que
todavía no ha sido enjuiciada por la jurisdicción contencioso-administrativa.
NOVENO.- Decisión de la
Sala. La vulneración del derecho al honor producida por la
indebida inclusión en un "registro de morosos"
1.- El derecho fundamental vulnerado
Los llamados "registros de morosos" son ficheros
automatizados (informáticos) de datos de carácter personal sobre incumplimiento
de obligaciones dinerarias, destinados a informar a los operadores económicos
(no solo a las entidades financieras, también a otro tipo de empresas que
conceden crédito a sus clientes o cuyas prestaciones son objeto de pagos
periódicos) sobre qué clientes, efectivos o potenciales, han incumplido
obligaciones dinerarias anteriormente, para que puedan adoptar fundadamente sus
decisiones sobre las relaciones comerciales con tales clientes.
La sentencia de esta Sala núm. 284/2009, de 24 de abril, sienta como
doctrina jurisprudencial que inclusión indebida en un fichero de morosos
vulnera el derecho al honor de la persona cuyos datos son incluidos en el
fichero, por la valoración social negativa de las personas incluidas en estos
registros y porque la imputación de ser "moroso" lesiona la dignidad
de la persona, menoscaba su fama y atenga a su propia estimación (« pues esta
clase de registros suele incluir a personas valoradas socialmente en forma
negativa o al menos con recelos y reparos [...] es una imputación, la de ser
moroso, que lesiona la dignidad de la persona y menoscaba su fama y atenta a su
propia estimación »).
Afirma esta sentencia que para que tal vulneración se produzca es
intrascendente el que el registro haya sido o no consultado por terceras
personas, puesto que la jurisprudencia ha distinguido en el derecho al honor un
doble aspecto, el aspecto interno de íntima convicción -inmanencia- y el
aspecto externo de valoración social -trascendencia-.
No es preciso, pues, que haya existido una efectiva divulgación del
dato para que se haya vulnerado el derecho al honor del afectado y se le hayan
causado daños morales. Si el dato ha sido divulgado, porque el registro ha sido
consultado, y tal divulgación tiene consecuencias económicas, habrían de
indemnizarse tanto el daño moral como el patrimonial.
Consecuencia lógica de lo expuesto es que lo determinante para que la
sentencia recurrida haya apreciado la vulneración del derecho al honor de la
demandante no es la existencia de una sanción administrativa impuesta a la Caja de Ahorros demandada por
la Agencia Española
de Protección de Datos, como alega la recurrente, sino la inclusión indebida de
los datos de la demandante en un registro de morosos llevada a cabo por dicha
recurrente.
2.- La actuación autorizada por la ley como excluyente de la
ilegitimidad de la afectación del derecho fundamental
La demandada alegó que no existía vulneración ilegítima en el derecho
al honor porque su actuación había sido lícita, y el art. 2.2 de la Ley Orgánica 1/1982,
de sobre protección civil del derecho al honor, a la intimidad personal y
familiar y a la propia imagen, prevé que « no se apreciará la existencia de
intromisión ilegítima en el ámbito protegido cuando estuviere expresamente
autorizada por Ley... ».
La regulación de la protección de datos de carácter personal es
determinante para decidir si la afectación del derecho al honor, en el caso de
inclusión de los datos del afectado en un "registro de morosos",
constituye o no una intromisión ilegítima, puesto que si el tratamiento de los
datos ha sido acorde con las exigencias de dicha legislación (es decir, si el
afectado ha sido incluido correctamente en el "registro de morosos"),
no puede considerarse que se haya producido una intromisión ilegítima. Ha de
examinarse por tanto cómo se regula en nuestro ordenamiento la protección de
datos de carácter personal, y en concreto, en relación con los denominados
"registros de morosos".
3.- La regulación de la protección de datos de carácter personal
El art. 18.4 de la
Constitución española (en lo sucesivo, CE) prevé que « la ley
limitará el uso de la informática para garantizar el honor y la intimidad
personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos ».
El Tribunal Constitucional ha declarado la especial importancia que en
la interpretación del art. 18.4 CE tiene el Convenio núm. 108 del Consejo de
Europa, de 28 de enero de 1981, para la protección de las personas con respecto
al tratamiento automatizado de datos de carácter personal. Conforme al art.
10.2 CE, las normas relativas a los derechos fundamentales que la Constitución reconoce
deben interpretarse conforme a los tratados y acuerdos internacionales sobre
las mismas materias ratificados por España.
La normativa comunitaria también ha concedido gran relevancia a la
protección de datos de carácter personal y a los derechos de los ciudadanos en
relación a tal cuestión, hasta el punto de que el art. 8 de la Carta de Derechos Fundamentales
de la Unión Europea
reconoce como fundamental el derecho a la protección de los datos de carácter
personal. A diferencia de lo que ocurre con la mayoría de los derechos
fundamentales contenidos en tal carta, el legislador constituyente comunitario
no se ha limitado a mencionar el derecho, sino que ha enunciado en el precepto
su contenido esencial, al establecer en el párrafo 2º: « estos datos se
tratarán de modo leal, para fines concretos y sobre la base del consentimiento
de la persona afectada o en virtud de otro fundamento legítimo previsto por la
ley. Toda persona tiene derecho a acceder a los datos recogidos que la
conciernan y a su rectificación ».
El Derecho comunitario también ha regulado la cuestión en una
directiva, la Directiva
1995/46/CE, de 24 octubre, del Parlamento Europeo y del Consejo de la Unión Europea , de
protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos.
Los dos elementos fundamentales que se repiten en la regulación
contenida en el Convenio, la
Carta de Derechos Fundamentales y la Directiva , y que se
relacionan íntimamente entre sí, son los de la exigencia de calidad en los
datos personales objeto de tratamiento automatizado en ficheros, en sus aspectos
de adecuación, pertinencia, proporcionalidad y exactitud, y la concesión al
afectado de los derechos de información, acceso, rectificación y cancelación.
4.- En Derecho interno, el art. 18.4 CE ha sido desarrollado por la Ley Orgánica 15/1999,
de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo
sucesivo, LOPD), actualmente en vigor.
Posteriormente fue dictado el Real Decreto 1720/2007, de 21 de
diciembre, que aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999,
de 13 de diciembre de 1999, de protección de datos de carácter personal (en lo
sucesivo, el Reglamento). Algunos preceptos de este reglamento fueron anulados
por las sentencias de la Sala
de lo Contencioso Administrativo del Tribunal Supremo, Secc. 6ª, de 15 de julio
de 2010 (varias, pues fueron varios los recursos interpuestos por diversas
empresas) por considerar la redacción defectuosa o de tal vaguedad « que
origina una gran inseguridad jurídica que puede dar lugar a la apertura de
expedientes sancionadores », esto es, por exigencias del Derecho Administrativo
sancionador.
5.- El tratamiento de datos personales destinado o realizado con
ocasión de la prestación de servicios de información sobre solvencia
patrimonial y crédito
Esta cuestión merece una regulación específica en la LOPD y su Reglamento. Con el
título « prestación de servicios de información sobre solvencia patrimonial y
crédito », los dos primeros apartados del art. 29 LOPD establecen:
« 1. Quienes se dediquen a la prestación de servicios de información
sobre la solvencia patrimonial y el crédito solo podrán tratar datos de
carácter personal obtenidos de los registros y las fuentes accesibles al
público establecidos al efecto o procedentes de informaciones facilitadas por
el interesado o con su consentimiento.
»2. Podrán tratarse también datos de carácter personal relativos al
cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el
acreedor o por quien actúe por su cuenta o interés. En estos casos se
notificará a los interesados respecto de los que hayan registrado datos de
carácter personal en ficheros, en el plazo de treinta días desde dicho
registro, una referencia de los que hubiesen sido incluidos y se les informará
de su derecho a recabar información de la totalidad de ellos, en los términos
establecidos por la presente Ley ».
Se trata de ficheros de diferente naturaleza. El apartado 1 se está
refiriendo a los ficheros positivos o de solvencia patrimonial, exigiéndose
para el tratamiento de los datos su obtención de los registros y fuentes
accesibles al público o de las informaciones facilitadas por el propio
interesado o con su consentimiento. El apartado 2 hace mención a los ficheros
negativos o de incumplimiento, formados con datos facilitados por el acreedor o
por quien actúe por su cuenta e interés.
Los ficheros en los que fueron incluidos los datos de la demandante
son de este segundo tipo, sobre incumplimiento de obligaciones dinerarias, y
son los llamados comúnmente "registros de morosos", que por su
naturaleza son susceptibles de provocar vulneraciones del derecho al honor y
daños tanto morales como patrimoniales.
6.- El principio de calidad de los datos
Uno de los ejes fundamentales de la regulación del tratamiento
automatizado de datos personales es el que ha venido en llamarse
"principio de calidad de los datos". Los datos deber ser exactos,
adecuados, pertinentes y proporcionados a los fines para los que han sido
recogidos y tratados. El art. 4 LOPD, desarrollando las normas del Convenio
núm. 108 del Consejo de Europa y la normativa comunitaria, exige que los datos
personales recogidos para su tratamiento sean adecuados, pertinentes y no
excesivos en relación con el ámbito y las finalidades determinadas, explícitas
y legítimas para las que se hayan obtenido, exactos y puestos al día de forma
que respondan como veracidad a la situación actual del afectado, y prohíbe que
sean usados para finalidades incompatibles con aquellas para las que los datos
hubieran sido recogidos.
7.- La calidad de los datos en los registros de morosos
Estos principios y derechos son aplicables a todas las modalidades de
tratamiento automatizado de datos de carácter personal. Pero tienen una
especial trascendencia cuando se trata de los llamados "registros de
morosos".
El art. 29.4 LOPD establece que « sólo se podrán registrar y ceder los
datos de carácter personal que sean determinantes para enjuiciar la solvencia
económica de los interesados y que no se refieran, cuando sean adversos, a más
de seis años, siempre que respondan con veracidad a la situación actual de
aquéllos ».
El art. 38 del Reglamento exige para la inclusión en estos ficheros de
datos de carácter personal que sean determinantes para enjuiciar la solvencia
económica del afectado, la existencia previa de una deuda cierta, vencida,
exigible, que haya resultado impagada.
Por tanto, los datos que se incluyan en estos registros de morosos han
de ser ciertos y exactos, pero hay datos contractuales que pueden ser exactos
sin por ello ser determinantes para enjuiciar la solvencia económica de los
interesados, en cuyo caso no son pertinentes. Además, se exige la existencia de
una deuda previa, vencida y exigible, que haya resultado impagada.
La sentencia de esta Sala num. 13/2013, de 29 de enero, realiza
algunas declaraciones generales sobre esta cuestión, al declarar que la LOPD «... descansa en
principios de prudencia, ponderación y sobre todo, de veracidad, de modo que
los datos objeto de tratamiento deben ser auténticos, exactos, veraces y deben
estar siempre actualizados, y por ello el interesado tiene derecho a ser
informado de los mismos y a obtener la oportuna rectificación o cancelación en
caso de error o inexactitud, y en cuanto a obligaciones dinerarias se refiere,
la deuda debe ser además de vencida y exigible, cierta, es decir, inequívoca,
indudable, siendo necesario además el previo requerimiento de pago; por tanto
no cabe inclusión de deudas inciertas, dudosas, no pacíficas o sometidas a
litigio, bastando para ello que aparezca un principio de prueba documental que
contradiga su existencia o certeza ».
8.- Consecuencias del incumplimiento de los principios de calidad de
los datos en un registro de morosos
Corresponde a los responsables del tratamiento garantizar el
cumplimiento de tales requisitos. Si los datos de carácter personal registrados
resultaran ser inexactos o incompletos, serán cancelados y sustituidos de
oficio por los correspondientes datos rectificados o completados, sin perjuicio
de que los afectados puedan ejercitar sus derechos de rectificación o cancelación.
Si no fueran respetadas estas exigencias y como consecuencia de dicha
infracción se causaran daños y perjuicios de cualquier tipo a los afectados, el
art. 19 LOPD, en desarrollo del art. 23 de la Directiva , les reconoce
el derecho a ser indemnizados, así como que la acción en exigencia de
indemnización, cuando los ficheros sean de titularidad privada, se ejercitará
ante los órganos de la jurisdicción ordinaria.
La jurisprudencia de esta Sala ha reconocido el derecho de los
afectados a ser indemnizados por los daños morales y materiales que hayan
sufrido como consecuencia de la indebida inclusión de sus datos personales en
un registro de morosos y la vulneración del derecho al honor que tal inclusión
haya provocado.
9.- Incumplimiento de los principios de calidad de datos por la Caja Rural demandada
La demandada Caja Rural de Teruel vulneró la normativa de protección
de datos. Cuando lo que existía era una disputa sobre quién debía asumir las
consecuencias del extravío y uso indebido de la tarjeta de crédito enviada por la Caja a la cliente, que esta
no recibió, la demandada, por su cuenta y riesgo, incluyó los datos de la
demandante en dos registros de morosos, asignándole una deuda impagada que
ascendía a la totalidad de las disposiciones indebidas realizadas con la
tarjeta extraviada.
Los datos no eran veraces ni exactos, no existía previamente una deuda
cierta, vencida, exigible, que hubiera resultado impagada, sino una disputa
legítima sobre quién debía soportar el quebranto patrimonial producido por el
uso ilegítimo por un tercero desconocido de la tarjeta de crédito enviada por
correo por la Caja
a su cliente y que esta no recibió.
Y, sobre todo, como destacaron tanto el Juzgado de Primera Instancia
como la Audiencia
Provincial , no se respetaron los principios de prudencia y
proporcionalidad, puesto que los datos no eran determinantes para enjuiciar la
solvencia económica. No se trataba de una cliente que hubiera impagado un
préstamo o la liquidación mensual de los cargos de la tarjeta de préstamo, situaciones
que pueden indicar la insolvencia económica de la afectada, sino de una cliente
a la que se había enviado una tarjeta de crédito por correo, que había llegado
a poder de un tercero que la había usado ilegítimamente, y existía una
controversia razonable sobre si era la cliente o la Caja la que debía asumir tal
quebranto patrimonial.
Ha existido por tanto una vulneración ilegítima del derecho al honor
de la cliente por la indebida inclusión de sus datos personales en dos
registros de morosos, por lo que el recurso de casación debe ser desestimado, y
la sentencia de la
Audiencia Provincial , confirmada.
No hay comentarios:
Publicar un comentario