1/10. Procedimiento PS/00505/2009 RESOLUCIÓN: R/00634/2010

Transcripción

1 1/10 Procedimiento PS/00505/2009 RESOLUCIÓN: R/00634/2010 En el procedimiento sancionador PS/00505/2009, instruido por la Agencia Española de Protección de Datos a la entidad Endesa Energía SA, vista la denuncia presentada por A.A.A. y en base a los siguientes, ANTECEDENTES Primero: Con fecha de 4 de febrero de 2008 tiene entrada en esta Agencia un escrito de A.A.A. en el que denuncia a Endesa Energía SA por el uso de sus datos personales sin su consentimiento, en base a que: 1 A finales de Noviembre de 2007 recibió una factura fechada el 19/11/07 de Endesa Energía SA en la que se incluían datos suyos como si él fuese cliente de ellos en el suministro de gas, cuando en ningún momento había solicitado dichos servicios. 2 El 04/12/07 empleados de Doble Imagen SL se personan en su casa para realizar "el mantenimiento preventivo de la instalación de gas", y al no encontrarse nadie allí no lo realizan y se lo hacen saber por una nota que dejan en su buzón. En dicha nota ellos se presentan como "Punto de Servicio Endesa", con dirección en C/Antonio Ríos 32-bajo, A Coruña. 3 Aproximadamente el 19 o 20 de Diciembre de 2007 debió de llegar a su domicilio un aviso de impago fechado el 12/12/07 (que leyó días más tarde pues tampoco estaba en casa) en el que le comunican que si no les pagaba esa factura antes del 2212/07 iniciarían los trámites para rescindir "el contrato suscrito con Vd." 4 Por esas mismas fechas recibió una llamada de Caixa Galicia, entidad bancaria en la que tiene domiciliados todos sus recibos, en la que le comunican que Endesa ha enviado un recibo a su nombre pero que no coincide exactamente con su número de cuenta, y le indicó a la entidad bancaria que no pagara ese recibo ya que no había contratado ningún servicio de Endesa y que probablemente debía de ser un error de ellos. 5 Inmediatamente puso esto en conocimiento de la compañía que le suministra el gas (Gas Natural) y el hecho de que en ningún momento había ni ha solicitado los servicios de otra compañía y su deseo de continuar trabajando con ellos (Gas Natural). 6 Como en ningún momento Endesa se había puesto en contacto con él para confirmar su supuesta alta como cliente, les envió un telegrama fechado el 03/01/08 en el que les comunicaba lo siguiente: "En ningún momento he firmado con ustedes ningún contrato de suministro de gas, así que les ruego den de baja ese c. Jorge Juan Madrid

2 supuesto contrato n *****CONTRATO1 o actuaré legalmente". 7 Unos días después de haber enviado ese telegrama, Endesa le envió una carta fechada el 24/12/07 con el título: AVISO DE BAJA DE SUMINISTRO en el que le comunicaban:...les manifestamos nuestra voluntad de rescindir el contrato suscrito con Vd., cosa que se llevará a efecto, de persistir el impago, con fecha 29 de Diciembre de 2007 (pero esta carta llega días después de esa fecha) y..."se les otorga un plazo de 7 días para que procedan a hacer efectivo el pago... transcurrido dicho plazo sin atender su obligación de pago, el contrato se de suministro de gas suscrito con Vd., se entenderá resuelto de pleno derecho, sin necesidad de nueva comunicación, estando obligado a pagar todas las cantidades pendientes hasta el día de la resolución del contrato, junto con los intereses de demora previstos contractualmente y sin perjuicio de la indemnización que por daños y perjuicios resulte exigible". El denunciante aporta copia de los documentos a que se refiere su escrito. Segundo: A la vista de los hechos denunciados, en fase de actuaciones previas, por los Servicios de Inspección de esta Agencia se solicita información a la entidad Combray Solutions SL y a Endesa Energía SA, y que concluyen con el informe del Inspector actuante Tercero: Con fecha 5 de octubre de 2009, el Director de la Agencia Española de Protección de Datos acordó iniciar, procedimiento sancionador a Endesa Energía SA con arreglo a lo dispuesto en el artículo 127 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, por la presunta infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de la citada Ley Orgánica. Cuarto: Notificado el acuerdo de inicio, Endesa Energía SA, mediante escrito de 10/11/09, después de haber solicitado y obtenido copia del expediente y ampliación del plazo, formuló alegaciones, solicitando la suspensión del procedimiento en base a una comunicación de la Xunta de Galicia de 24/04/08 comunicando a Endesa que se ha dado traslado al Ministerio Fiscal los hechos denunciados por tratarse de una posible falsificación de firma del denunciante en el contrato de suministro. Igualmente alega que nada en el comportamiento de Endesa en los hechos denunciados ha vulnerado la normativa vigente en materia de protección de datos. Los documentos contractuales son cumplimentados con los datos recogidos por Combray, con contrato de agencia comercial, conforme a las condiciones generales pactadas. Quinto: Con fecha 23/07/09 se inició el período de práctica de pruebas, ordenándose las siguientes: 1. Se dan por reproducidos a efectos probatorios la denuncia interpuesta por A.A.A. y su documentación, los documentos obtenidos y generados por los Servicios de Inspección ante Endesa Energía SA, y el Informe de actuaciones previas de Inspección que forman parte del expediente

3 3/10 E/00445/ Asimismo, se da por reproducido a efectos probatorios, las alegaciones al acuerdo de inicio PS/00505/2009 presentadas por Endesa Energía SA, y la documentación que a ellas acompaña. 3. Solicitar de A.A.A. que, en el plazo de DIEZ DÍAS hábiles, a contar desde la recepción de este escrito, se ratifique y amplíe -si lo estima conveniente- de forma pormenorizada la descripción de los hechos; aporte copia de todas las comunicaciones, notificaciones o escritos en formato papel o electrónico- que haya recibido de Endesa o de cualquier otra persona o entidad en su nombre, y de las reclamaciones, solicitudes o escritos dirigidos a dicha entidad o a sus agentes, copia de los contratos suscritos o solicitudes de servicios dirigidos a la misma, QUE NO HUBIEREN SIDO YA APORTADOS. 4. Solicitar a Endesa que, en el plazo de DIEZ DÍAS hábiles, a contar desde la recepción de este escrito, aporte copia de todos los contratos en cualquier modalidad de producto, suministro o servicio suscritos por la persona denunciante; documentación que acredite el consentimiento de la persona denunciante para tratar sus datos personales; copia de los documentos que obren en poder de la entidad en relación a dichos contratos en cualquiera de los formatos en que consten- en que la persona denunciante figuraba como solicitante, titular o beneficiaria, QUE NO HUBIEREN SIDO APORTADOS. No se han recibido respuestas. Sexto: El 16/02/10 el Instructor del procedimiento formula propuesta de resolución sancionadora consistente en Que por el Director de la Agencia Española de Protección de Datos se sancione a Endesa Energía SAU con multa de ,21 (sesenta mil ciento un euros con veintiún céntimos) por la infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma. Recibida la propuesta la imputada solicito copia de documentos, que le fueron remitidos, y ampliación del plazo, que le fue denegado. El 05/03/10 formuló alegaciones reiterando su solicitud de suspensión del procedimiento y de archivo del expediente al no concurrir los requisitos objetivos ni los subjetivos. De las actuaciones practicadas en el presente procedimiento han quedado acreditados los siguientes HECHOS PROBADOS 1. D. A.A.A., con DNI *****DNI1 y domicilio en Lugo, tiene contratado con Gas Natural el suministro de gas natural para la vivienda de calle (C/.C1). c. Jorge Juan Madrid

4 2. Combray Solutions SL, como empresa de servicios contratada por Endesa Energía SAU, a través de sus empleados u agentes cumplimentó -siguiendo las instrucciones recibidas- el formulario de Solicitud de suministro de gas natural y condiciones particulares del contrato del servicio de mantenimiento y reparación gas plus, proporcionados por Endesa en el que figura como titular A.A.A.. Dichos formularios están fechados el 22/03/07 y contienen además del código del agente PDS- nombre y apellidos de la titular, NIF, dirección de la vivienda de suministro, teléfono, CUPS, producto contratado (plus ahorro), datos de pago (CCC *****CCC1) y en el lugar de firma de cliente una rubrica (distinta a la firma de la denuncia y del DNI). Los datos a la contratación del suministro fueron introducidos en el sistema informático de Endesa el 04/04/07 y los formularios cumplimentados remitidos a Endesa el 11/04/ Endesa Energía SAU, una vez recibido de Combray dichos formularios cumplimentados, incorporó los datos que contienen a su fichero de clientes y procedió a tramitar la baja del suministro en Gas Natural y el alta en Endesa. Figura como día de alta el 12/09/ Endesa Energía SAU, como consecuencia de ese alta en el suministro de gas natural, emitió el 19/11/07, a nombre de la denunciante, la primera factura por importe de 54,09, correspondiente al período 12/09/2007 al 13/11/ El Sr. A.A.A.el día 04/12/07 encuentra en el buzón de su casa una nota escrita de la empresa Doble Imagen SL, empresa punto servicio de Endesa para realizar el mantenimiento de las instalaciones de gas, comunicándole que en su ausencia habían acudido para mantenimiento preventivo. 6. Por esas fechas el Sr. A.A.A. recibe llamada telefónica de Caixa Galicia comunicándole que han recibido recibo de Endesa en el que no coinciden algunos dígitos de número de cuenta bancaria; da orden para que no paguen dicho recibo pues no ha contratado con Endesa. Por escrito de 12/12/07 Endesa comunica al denunciante aviso de impago por el importe del cargo de ese recibo devuelto. Por escrito de 24/12/07, por la misma razón, Endesa le comunica aviso de baja de suministro. 7. El Sr. A.A.A. se pone en contacto con Gas Natural para comunicar que no ha contratado con otra compañía y su deseo de seguir con dicha compañía. Por telegrama entregado el 03/01/08 comunica a Endesa que En ningún momento he firmado ningún contrato de gas con ustedes así que les ruego me den de baja ese supuesto contrato nº *****CONTRATO1 o actuare

5 5/10 legalmente. 8. Endesa emite con los datos personales del denunciante diversas facturas: - Factura *****FACT1 correspondiente al período 12/09/2007 al 13/11/2007, por 40,59, que sustituye a la factura *****FACT2, que el denunciante aportó con su escrito, correspondiente al mismo período, por 54,09. - Factura *****FACT3 correspondiente al período 13/11/2007 al 03/01/2008, por 141,04, que sustituye a la factura *****FACT Factura *****FACT5 correspondiente al período 03/01/2008 al 03/02/2008, por 9. En los sistemas informáticos de Endesa figuran los siguientes contactos con el denunciante: 03/07/2007 Figura un contacto saliente, con el comentario rechazo contrato *****CONTRATO2. rechazo reprocesable. motivo: el cliente ya esta en el mercado liberalizado. 29/01/2008 Figura una gestión interna, con el comentario recibimos telegrama con fecha 08/01/08 y n reg.261 en el que don A.A.A. solicita la baja con Endesa Energía del suministro situado en (C/..C1), con n de contrato *****CONTRATO1. por lo que procedemos a la tramitación de la baja solicitada. 10. Con fecha 14/01/08 es interpuesta por el denunciante ante la Xunta de Galicia, delegación provincial de consumo en Lugo, denuncia sobre los hechos expuestos arriba. Después de varios tramites la Xunta de Galicia, por escrito de 24/04/2008, requiere a Endesa que paralice las actuaciones de cobro de la factura en tanto no se resuelva el expediente por la Xunta. Asimismo la Xunta informa que, dado que el fondo de la reclamación es una posible falsificación de la firma del denunciante, el expediente fue remitido el mismo 24/04/2008 al Ministerio Fiscal, por razones de la competencia para conocer del delito. FUNDAMENTOS DE DERECHO Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37.g) en relación con el artículo 36 de la LOPD. I II c. Jorge Juan Madrid

6 Antes de analizar el fondo de la cuestión, conviene estudiar la solicitud contenida en las alegaciones efectuadas por Endesa de que se suspenda el procedimiento sancionador, en virtud del principio Non bis in idem -ninguna persona puede ser juzgada dos veces por la misma causa-, hasta tanto concluyan las actuaciones del procedimiento penal. Solicita la paralización del procedimiento sancionador como consecuencia del escrito de la Xunta de Galicia en que le comunica que ha dado traslado al Ministerio Fiscal de los hechos denunciados por la posible falsificación de la firma del Sr. A.A.A.en los formularios de contratos gestionados por Endesa en los hechos que nos ocupan. No se tiene conocimiento de que exista procedimiento penal iniciado, ni en que Organo Judicial se sigue. La imputada solicitante de la suspensión en el tiempo trascurrido y después de numerosos escritos no ha aportado ningún dato mas referido a dicho tema. No consta acreditado exista procedimiento penal. Desde este punto de vista no se da, ninguna de las duplicidades procedimental y material-, a que alude el Tribunal Constitucional en su sentencia 177/1999. Ha de resaltarse que no se da tampoco la triple identidad de hechos, de sujetos y de fundamento. En este procedimiento la imputada es Endesa Energía SAU, en el supuesto procedimiento penal la persona imputada forzosamente habría de ser una persona física probablemente empleada de otra persona jurídica-, sujeto distinto. Los hechos, en el penal falsificación de firma del denunciante-, en el presente administrativo tratamiento de datos personales sin consentimiento del denuncianteambos hechos distintos en el tiempo. Tampoco hay evidentemente identidad de fundamento. Por todo ello no procede la suspensión de este procedimiento sancionador. La LOPD establece: Artículo 6. Consentimiento del afectado 1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa. 2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7 apartado 6 de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado. 3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos. III 4. En los casos en los que no sea necesario el consentimiento del afectado para

7 7/10 el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado. El principio del consentimiento del afectado para la recogida o tratamiento de los datos personales del mismo es uno de los pilares de la protección de datos en el vigente ordenamiento jurídico español, imprescindible para preservar el derecho fundamental constitucionalmente protegido de la intimidad de las personas. Se imputa a la denunciada en el presente procedimiento, la comisión de una infracción del artículo 6.1 de la LOPD, que dispone que El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa. El apartado 2 del mencionado artículo contiene una serie de excepciones tasadas a la regla general contenida en el 6.1: No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato, de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento.... El tratamiento de datos sin consentimiento de los afectados o sin otra habilitación amparada por la Ley constituye una vulneración del derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre (F.J. 7, primer párrafo), consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (...). Son pues elementos característicos del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. No se ha acreditado el consentimiento de la afectada para que la empresa contratada por Endesa y siguiendo sus instrucciones recogiera sus datos personales -nombre apellidos y dirección postal, datos de vivienda, de su contrato de suministro de gas y cuenta bancaria- y los incorporara a la solicitud de contrato de suministro de gas y mantenimiento de instalaciones para la vivienda de la persona denunciante. Formularios que entregaron a Endesa Energía SAU. Carece de consentimiento Endesa Energía SAU para tratar los datos de la persona denunciante: tramitar la baja del contrato en su suministradora de gas antigua e incorporarlos a sus ficheros como cliente a suministrar gas natural. c. Jorge Juan Madrid

8 Para que el tratamiento de los datos de la denunciante por parte de dicha empresa resultara conforme con los preceptos de la LOPD, hubieran debido concurrir en el procedimiento examinado alguno de los supuestos contemplados en el artículo 6 de la Ley mencionada. Sin embargo, nunca hubo consentimiento para el tratamiento de sus datos. Tampoco concurre ninguno de los supuestos exentos de prestar tal consentimiento, de modo que se considera infringido el citado artículo 6.1 de la LOPD. El artículo 44.3.d) de la LOPD tipifica como infracción grave: Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave. La Audiencia Nacional ha manifestado en su Sentencia de 22/10/2003 que... la descripción de conductas que establece el artículo 44.3.d) de la Ley Orgánica 15/1999 cumple las exigencias derivadas del principio de tipicidad, a juicio de esta Sala, toda vez que del expresado precepto se desprende con claridad cual es la conducta prohibida. En efecto, el tipo aplicable considera infracción grave tratar de forma automatizada los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la Ley, por tanto, se está describiendo una conducta el tratamiento automatizado de datos personales o su uso posterior- que precisa, para configurar el tipo, que dicha conducta haya vulnerado los principios que establece la Ley Orgánica. Ahora bien, estos principios no son de aquellos que deben inferirse de dicha regulación legal, sino que aparecen claramente determinados y relacionados en el título II de la Ley, concretamente, por lo que ahora interesa, en el artículo 6 se recoge un principio que resulta elemental en la materia, que es la necesidad de consentimiento del afectado para que puedan tratarse automatizadamente datos de carácter personal. Por tanto, la conducta ilícita por la que se sanciona a la parte recurrente como responsable del tratamiento consiste en usar datos sin consentimiento de los titulares de los mismos, realizando envíos publicitarios. Endesa Energía SAU recibe los formularios proporcionados y efectúa el tratamiento de los datos personales que en el se contienen sin efectuar eficazmenteoperaciones de control que le permitan asegurarse de la identidad de la persona y de la manifestación de voluntad de esta y su consentimiento para tratar sus datos personales. A pesar de que con la documentación proporcionada no se aporta copia del DNI, pasaporte u otro documento de identidad que permitiera comprobar que la persona titular de los datos de ese contrato es la que estaba frente al agente tramitador y no otra. En este caso, ha incurrido en la infracción arriba descrita Endesa ya que el consentimiento para el tratamiento de los datos personales es un principio básico del derecho fundamental a la protección de datos, recogido en el artículo 6 de la LOPD. Han tratado los datos de la denunciante sin contar con su consentimiento lo que supone una vulneración de este principio, conducta que encuentra su tipificación en este artículo 44.3.d) de la citada Ley Orgánica. El artículo 45 de la LOPD establece: IV V

9 9/10 Tipo de sanciones 1. Las infracciones leves serán sancionadas con multa de 601,01 a ,21 euros. 2. Las infracciones graves serán sancionadas con multa de ,21 a ,05 euros. 3. Las infracciones muy graves serán sancionadas con multa ,05 a ,10 euros. 4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora. 5. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate. 6. En ningún caso podrá imponerse una sanción más grave que la fijada en la Ley para la clase de infracción en la que se integre la que se pretenda sancionar. 7. El Gobierno actualizará periódicamente la cuantía de las sanciones de acuerdo con las variaciones que experimenten los índices de precios. Teniendo en cuenta los criterios de graduación de las sanciones previstos en el artículo 45.4 de la LOPD y las circunstancias acreditadas en el procedimiento, en cuanto al numero de tratamientos y los daños y perjuicios causados, procede que se imponga a la imputada la sanción en cuantía de ,21. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a la entidad Endesa Energía SA, por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de ,21 (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica. SEGUNDO: NOTIFICAR la presente resolución a Endesa Energía SA y a A.A.A.. TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº abierta a nombre de la Agencia Española de Protección de Datos en el Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la notificación c. Jorge Juan Madrid

10 entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 26 de marzo de 2010 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte