Archivo de la categoría: Administración pública

LAS CESIONES DE DATOS EN LA ADMINISTRACIÓN. LA SEMPITERNA CONFUSIÓN SOBRE EL CONSENTIMIENTO COMO BASE JURÍDICA APLICABLE

Durante los últimos años asistimos a una evolución técnica y jurídica de la Administración que se encuentra enfocada a facilitar a la ciudadanía la relación con la Administración a través de medios electrónicos.

Sin embargo, las propias Administraciones plantean trabas en el marco de sus relaciones para ejecutar transmisiones de datos personales que coadyuvarían a cumplir el derecho de la ciudadanía a relacionarse con el sector público a través de los mencionados medios electrónicos sin mayores cargas burocráticas basadas en una especial protección de sus datos que no parece necesaria.

El derecho a no presentar datos que obra en poder de la Administración y la potestad de verificación de datos de la Administración deben aportar el marco jurídico esencial a las transmisiones de datos basadas en disposiciones con rango de ley o la ejecución de competencias con las garantías derivadas de los principios que rigen la seguridad y la interoperabilidad.


La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales establece en su artículo 8 con respecto a los tratamientos y cesiones de datos realizados en el marco de las disposiciones legales y competencias aplicables a las Administraciones Públicas:

Artículo 8. Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos.

1. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) del Reglamento (UE) 2016/679, cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV del Reglamento (UE) 2016/679.

2. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el artículo 6.1 e) del Reglamento (UE) 2016/679, cuando derive de una competencia atribuida por una norma con rango de ley.

La Agencia Española de Protección de Datos, en sus Informes AEPD 175/2018 y 050/2019 ha venido a interpretar las reglas generales con respecto a las cesiones de datos entre Administraciones Públicas a la luz del RGPD y del mencionado artículo 8 LOPDGDD:

  • La cesión de datos entre Administraciones habrá de tener en cuenta la legislación especial que pueda determinar una restricción a las cesiones de datos personales (Ej, ámbito tributario)
  • La ausencia de norma no supone que los datos no puedan cederse, sino que serán aplicables las reglas generales (ámbito competencial, misión de interés público).
  • Entidad cesionaria, es decir, aquella que solicita datos, debe fundamentar y motivar su petición.
  • Entidad cedente: debe valorar si los datos solicitados son realmente necesarios, pertinentes y proporcionados, atendiendo a la competencia que pretende ejercer la Administración cesionaria.
  • Aplicación del principio de minimización y proporcionalidad: no cabe un acceso masivo e indiscriminado a datos personales, y por lo tanto, el acceso deberá ser siempre “específico en cada caso ajustado a los datos que resulten precisos para la tramitación de un expediente determinado y no de un acceso masivo e indiscriminado”
  • No cabe utilizar los datos para finalidades distinta salvo archivo en interés público, fines de investigación científica e histórica o fines estadísticos. (Para finalidad ulterior y distinta, se aplica el 155.3 Ley 40/2015 (RDL 14/2019))
  • Atención al artículo 155 de la Ley 40/2015 de régimen jurídico del sector público, en materia de Interoperabilidad de datos y que realiza una llamada a los instrumentos jurídicos aplicables al marco de cesiones (Convenios, protocolos generales de actuación, etc.)

“las Administraciones están sujetas al deber de colaboración entre ellas según disponen las leyes 39/2015 y 40/2015. Pero dicho deber de colaboración está sujeto frente al interesado persona física a la normativa de protección de datos personales (art. 13.h) ley 39/2015), lo que supone que la Administración está sujeta también a la normativa de protección de datos”

Visto lo anterior, existen potestades de las Administraciones para realizar cesiones de datos y derechos de la ciudadanía que habilitan y promueven las mismas.

En concreto, la Disposición Adicional Octava de la Ley Orgánica de Protección de Datos establece:

Disposición adicional octava. Potestad de verificación de las Administraciones Públicas.

Cuando se formulen solicitudes por cualquier medio en las que el interesado declare datos personales que obren en poder de las Administraciones Públicas, el órgano destinatario de la solicitud podrá efectuar en el ejercicio de sus competencias las verificaciones necesarias para comprobar la exactitud de los datos.

La Disposición refrenda más si cabe la potestad de la Administración para verificar datos que obran en poder de otras Administraciones en base a una petición de cualquier interesado. Por ejemplo, si deseo acceder a una ayuda de una Administración General de la Comunidad o Foral, podría indicar mi vecindad administrativa en un municipio de la Comunidad, territorio histórico, provincia sin mayores requerimientos, posibilitando a la Administración convocante de la ayuda a comprobar mis datos de empadronamiento en el municipio señalado.

Se trata de un supuesto de cesión de datos personales que no requiere mayor amparo jurídico o licitud que el propio ejercicio de competencias de la Administración.

Ello entronca con el propio derecho a no presentar datos que obran en poder de la Administración con lo previsto en el artículo 28 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas y que todavía genera confusión en no pocas entidades del sector público.

Recordemos que la propia Ley Orgánica de Protección de Datos de diciembre de 2018 modificó los apartados 2 y 3 del mencionado artículo que reproducimos a continuación.

Artículo 28. Documentos aportados por los interesados al procedimiento administrativo.

1. Los interesados deberán aportar al procedimiento administrativo los datos y documentos exigidos por las Administraciones Públicas de acuerdo con lo dispuesto en la normativa aplicable. Asimismo, los interesados podrán aportar cualquier otro documento que estimen conveniente.

2. Los interesados tienen derecho a no aportar documentos que ya se encuentren en poder de la Administración actuante o hayan sido elaborados por cualquier otra Administración. La administración actuante podrá consultar o recabar dichos documentos salvo que el interesado se opusiera a ello. No cabrá la oposición cuando la aportación del documento se exigiera en el marco del ejercicio de potestades sancionadoras o de inspección.

Las Administraciones Públicas deberán recabar los documentos electrónicamente a través de sus redes corporativas o mediante consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto.

Cuando se trate de informes preceptivos ya elaborados por un órgano administrativo distinto al que tramita el procedimiento, estos deberán ser remitidos en el plazo de diez días a contar desde su solicitud. Cumplido este plazo, se informará al interesado de que puede aportar este informe o esperar a su remisión por el órgano competente.

3. Las Administraciones no exigirán a los interesados la presentación de documentos originales, salvo que, con carácter excepcional, la normativa reguladora aplicable establezca lo contrario.

Asimismo, las Administraciones Públicas no requerirán a los interesados datos o documentos no exigidos por la normativa reguladora aplicable o que hayan sido aportados anteriormente por el interesado a cualquier Administración. A estos efectos, el interesado deberá indicar en qué momento y ante qué órgano administrativo presentó los citados documentos, debiendo las Administraciones Públicas recabarlos electrónicamente a través de sus redes corporativas o de una consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto, salvo que conste en el procedimiento la oposición expresa del interesado o la ley especial aplicable requiera su consentimiento expreso. Excepcionalmente, si las Administraciones Públicas no pudieran recabar los citados documentos, podrán solicitar nuevamente al interesado su aportación.

En primer lugar, el artículo 28 de la Ley 39/2015 constata el derecho a no presentar datos que ya obran en poder de la Administración, o que hayan sido elaborados por otras, abriendo la puerta a las cesiones de datos y a la potestad de verificación que anteriormente se ha expuesto.

La incorrecta interpretación entendemos que deriva de la mención al consentimiento y a la posibilidad de ejercer la oposición contemplada en los apartados 2 y 3 del artículo 28. Sin embargo, desde el punto de vista de la normativa de protección de datos y de las interpretaciones doctrinales, la base jurídica aplicable a las cesiones de datos entre Administraciones no es el consentimiento. Y es que tal y como recuerdan las Autoridades de Protección de Datos continuamente, con carácter general, la base jurídica del tratamiento en las relaciones con la Administración, en aquellos supuestos en que existe una relación en la que no puede razonablemente predicarse que exista una situación de equilibrio entre el responsable del tratamiento (la Administración), y el interesado (el administrado) no sería el consentimiento (art. 6.1.a) RGPD), sino, según los casos, el cumplimiento de una obligación legal (art. 6.1.c) RGPD) o el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos (art. 6.1.e) RGPD).

De este modo, la base jurídica del tratamiento basada en el interés público (art. 6.1 e) RGPD) sí admite el derecho de oposición, pero con expresión de la causa, y la consiguiente ponderación de derechos e intereses de la Administración, pero no se admite la revocación del consentimiento “ad nutum”, de modo inmediato, precisamente porque el consentimiento no es la base jurídica del tratamiento.

En la práctica, algunas Administraciones Públicas siguen negándose a comunicar datos si la entidad solicitante no ha recabado el consentimiento previo del interesado. Articulando en base al consentimiento las relaciones jurídicas entre Administraciones Públicas sin mayores fundamentos que aplicar una especial protección del derecho a la protección de datos de la ciudadanía que no cabe aplicar cuando la cesión encaja en las competencias de la entidad solicitante y se respeta el principio de minimización, de petición de datos estrictamente necesarios.

A modo ilustrativo, cuando las fuerzas y cuerpos de seguridad del estado solicitan datos a una Administración Pública en el ámbito de su actuación (instrucción, investigación, etc..) nunca se recaba el consentimiento del ciudadano. Pues de igual modo se debería interpretar el marco del resto de cesiones de datos.

Un buen ejemplo de lo anteriormente expuesto lo encontramos en el ámbito de la normativa reguladora de la Administración Local y en concreto, en materia del padrón municipal de habitantes como registro de acreditación de la vecindad de la ciudadanía.

El artículo 16.3 de la Ley de Bases de Régimen Local interpretado por el Tribunal Constitucional en su sentencia 17/2013, de 31 de enero de 2013 dispone:

3. Los datos del Padrón Municipal se cederán a otras Administraciones públicas que lo soliciten sin consentimiento previo al afectado solamente cuando les sean necesarios para el ejercicio de sus respectivas competencias, y exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes. También pueden servir para elaborar estadísticas oficiales sometidas al secreto estadístico, en los términos previstos en la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública y en las leyes de estadística de las comunidades autónomas con competencia en la materia

La previsión mencionada habilita las cesiones de datos a otras AAPP que requieran datos padronales cuando resulte necesario para el ejercicio de competencias de la entidad requirente, y sin necesidad de recabar consentimiento previo de la persona interesada.

El Tribunal Constitucional ha determinado las reglas aplicables:

  • habrá de evitarse el acceso indiscriminado y masivo a los datos personales
  • el dato en cuestión solicitado habrá de ser pertinente y necesario
  • para la finalidad establecida en el precepto
  • la solicitud de acceso a los concretos datos personales habrá de motivarse y justificarse expresamente,
  • de manera que ello posibilite su control por el cedente
  • y se evite un uso torticero de esa facultad con accesos masivos.
  • ha de quedar garantizada la posibilidad de analizar si en cada caso concreto el acceso tenía amparo en lo establecido en la ley (art. 16.3 LBRL).

En definitiva, la cesión de los datos contenidos en el Padrón municipal de habitantes amparada en la normativa reguladora del mismo únicamente será posible en caso de que concurran dos requisitos acumulativos:

  • En primer lugar, que la misma tenga por finalidad el ejercicio por la administración cesionaria de sus competencias.
  • En segundo lugar, que el dato correspondiente a la residencia o domicilio del afectado resulte relevante para el citado ejercicio.

Ciertamente, tal y como indica la doctrina de las autoridades de protección de datos y las resoluciones judiciales, además de la previsión normativa, se ha de aplicar como regla general el principio de minimización de datos, que fundamentalmente consiste en tratar los datos adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados, y lógicamente, para proceder a las cesiones que se requieran (Art. 5.1.c RGPD).

Volviendo al ejemplo de las ayudas, en numerosas ocasiones, para ejecutar competencias en materia de acción social, como concesión de ayudas se requiere un certificado de empadronamiento a las personas interesadas, acreditar unas rentas o ingresos determinados, etc.. para ser beneficiario de la ayuda. Pues bien, para efectuar la cesión quizá sólo resulte necesario realizar una consulta a través de medios electrónicos entre la Administración competente y la Administración cedente o consultada, por ejemplo, si la persona interesada se encuentra empadronada en un municipio o no (Simple respuesta de SI/NO) y para acreditar la vecindad de acuerdo con el 16.3 de la LBRL.

Y por otro lado, si la entidad local requiere consultar a Administraciones con competencia en materia tributaria, de igual manera, quizá la consulta únicamente comporta una respuesta acerca de si la persona interesada se encuentra en un nivel de renta o de ingresos inferior a, por ejemplo, 12.000€ anuales, con un simple, SI o NO de respuesta. O incluso se podrían aplicar técnicas de seudonimización, cuando la entidad consultante de datos al sistema electrónico interoperable de la Administración con competencia en materia tributaria simplemente emite una respuesta (la persona interesada se encuentra en el rango 1 de ingresos anuales) y ello significaría, por ejemplo, que se han establecido niveles de rentas por categorías

1 inferior a 12000

2 entre 12 y 18000

3 entre 18000 y 24000

Etc.

En definitiva, se considera que no se trata de un problema jurídico de protección de datos, dado que, las cesiones de datos entre Administraciones Públicas se encuentran amparadas siempre y cuando encajen en las competencias y se transmitan los datos estrictamente necesarios sin perder de vista lo dispuesto en el artículo 155 de la Ley 40/2015 de régimen jurídico del sector público relativo a las transmisiones de datos entre Administraciones Públicas

Con carácter general, no es necesario el consentimiento de la persona interesada salvo oposición expresa de la persona interesada en el procedimiento y con motivación de la causa, o porque la información tiene una especial protección (por ejemplo, en el caso de los datos tributarios) y la ley especial aplicable así lo refleja (Ver dictamen CN19-010 de la Agencia Vasca de Protección de Datos). Y aún así, se considera que pueden existir medios y técnicas jurídicas como la seudonimización que permiten la comunicación de los datos estrictamente necesarios para ejecutar las competencias, y no haría falta la entrega de los concretos datos personales sino un simple SI/NO puede ser suficiente respuesta para la Administración solicitante de la información para desarrollar sus competencias.


EL SOFTWARE LIBRE (Y GENERALMENTE GRATUITO) EN EL ÁMBITO DE LA ADMINISTRACIÓN PÚBLICA

 

27/11/2015

El autor se cuestiona el uso del software libre y generalmente gratuito, que se utiliza en el ámbito del sector público en base a una apariencia de libertad y gratuidad que no ha de someterse a las reglas del procedimiento administrativo como si quedase en un limbo legal o alegal de tal modo que puede utilizarse sin mayores cuestionamientos o dudas interpretativas.

 

A menudo me encuentro en la tesitura de que muchas entidades del sector público utilizan aplicaciones, software o hablando en términos estrictamente jurídicos, programas de ordenador, sin mayores requerimientos que una simple “instalación y acepto” de condiciones o términos de uso que no suscitan ninguna duda al usuario, empleado de la Administración, bajo pretexto de que se trata de software libre y gratuito.

 

Parece entenderse de este modo que el propio usuario es responsable de lo que haga con las aplicaciones que instala puesto que son libres y gratuitas.

 

Me gustaría destacar en primer lugar que no existe un concepto de software ni de software libre en nuestra normativa de propiedad intelectual, si bien se regula lo que es un programa de ordenador.

Asimismo, considero oportuno traer a colación cuál es la filosofía que dio origen al software libre, puesto que para ser considera como tal, los usuarios deben tener libertad para ejecutar, copiar, distribuir, estudiar, modificar y mejorar el software siempre y cuando se reconozca la paternidad del programa.

¿Esa filosofía tiene encaje un encaje jurídico en el ámbito del sector público? Quizá sí la filosofía como tal pero también es cierto que la legislación exige a la Administración una transparencia, publicidad, idoneidad, garantías, no discriminación, etc. a la hora de contratar bienes y servicios como puede ser, evidentemente, un programa de ordenador.

 

13990741818712

Veamos un ejemplo que a mi entender ilustra la cuestión planteada.

Se está popularizando un sistema de intercambio de archivos entre usuarios denominado FILEZILLA. La aplicación permite compartir carpetas con otros usuarios a través de internet con el fin de enviar archivos grandes que a través del correo electrónico quizá no podríamos remitir por límites de capacidad de envío.

El programa en cuestión se puede descargar desde la dirección url https://filezilla-project.org/ de manera libre, y gratuita.

De hecho, se anuncia como un servicio “The free FTP solution”

En el enlace dedicado a “licencia” en inglés se indica lo siguiente:

 

“Both FileZilla and FileZilla Server are free open-source software distributed under the Terms and Conditions of the GNU General Public License (GPL) version 2 or (at your option) any later version.

For using FileZilla and FileZilla Server, no restrictions apply. You can further redistribute and/or modify this software under the terms of the GPL.

This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

For details, have a look at the full text of the GPL.

 

picjumbo.com_HNCK4530

Lo primero que cabe destacar de las condiciones de la licencia es que se trata de un software “open-source” es decir, el usuario puede acceder al código del programa de ordenador bajo los términos y condiciones de una licencia GNU, en este caso, GPL. De este modo, cabe indicar que aunque se trate de software denominado libre, eso no quiere decir que no se establezcan unos términos de uso del mismo cuando el usuario se descarga, y por lo tanto, acepta las mismas.

Reitero, que sea gratuito y no haya que pagar por la descarga e instalación, no significa que no existan unas condiciones de uso del mismo.

 

Software libre (y gratuito) en el ámbito del sector público

A partir de aquí es objeto de debate cuál es el encaje jurídico de una descarga e instalación de un programa de ordenador libre o de código abierto y gratuito en el ámbito de una organización del sector público.

 

En primer lugar, cabe indicar que la Ley de contratos del sector público (Real Decreto Legislativo 3/2011, de 14 de noviembre, por el que se aprueba el texto refundido de la Ley de Contratos del Sector Público) establece en su ámbito de aplicación lo siguiente:

 

Artículo 2 Ámbito de aplicación

  1. Son contratos del sector público y, en consecuencia, están sometidos a la presente Ley en la forma y términos previstos en la misma, los contratos onerosos, cualquiera que sea su naturaleza jurídica, que celebren los entes, organismos y entidades enumerados en el artículo 3

 

Se regulan, por tanto, los contratos onerosos en el ámbito de la Administración pero no existen referencias a los contratos de carácter gratuito. De este modo, ya tenemos una primera situación no regulada y que a nuestro entender queda en un limbo ciertamente alegal.

En todo caso, existen principios rectores de la contratación administrativa que a mi juicio también chocan con la descarga e instalación de un programa de ordenador libre y gratuito como el caso de nuestro ejemplo, el software de intercambio de archivos FILEZILLA.

 

  1. En primer lugar, ¿quién tiene capacidad de contratación en una organización perteneciente al sector público? ¿Cualquier usuario puede descargar, instalar, y por lo tanto aceptar las condiciones de la licencia?
  2. ¿Se ha planteado en la organización la necesidad e idoneidad de la adquisición del programa de ordenador así como la eficiencia de la contratación?
  3. Los contratos administrativos han de contener un mínimo de estipulaciones, que sin carácter exhaustivo, son algunas de las que enumeramos a continuación y que difícilmente pueden articularse si el ente público de turno se acoge a una licencia tipo como la GPL:
  • La identificación de las partes.
  • La acreditación de la capacidad de los firmantes para suscribir el contrato.
  • Definición del objeto del contrato.
  • Referencia a la legislación aplicable al contrato.
  • La enumeración de los documentos que integran el contrato. Si así se expresa en el contrato, esta enumeración podrá estar jerarquizada, ordenándose según el orden de prioridad acordado por las partes, en cuyo supuesto, y salvo caso de error manifiesto, el orden pactado se utilizará para determinar la prevalencia respectiva, en caso de que existan contradicciones entre diversos documentos.
  • El precio cierto, o el modo de determinarlo.
  • La duración del contrato o las fechas estimadas para el comienzo de su ejecución y para su finalización, así como la de la prórroga o prórrogas, si estuviesen previstas.
  • Etc

 

Otra cuestión destacable es que normalmente, este tipo de aplicaciones informáticas o programas son distribuidas sin garantía, y el caso de nuestro ejemplo, es notorio en tal sentido puesto que la propia página de FILEZILLA dedicada a la licencia, así lo estipula “WITHOUT ANY WARRANTY” lo cual a nuestro entender, choca con los numerosos capítulos y artículos de la contratación administrativa dedicados a establecer el régimen de garantías, y por lo tanto, de responsabilidades que se pueden derivar fruto de un incumplimiento de un contrato.

 

Bonus track:

Y si esa aplicación o programa de ordenador (software libre) se ha adquirido adecuadamente por la Administración ¿podría declararla de fuentes abiertas para que terceras AAPP la utilicen bajo las condiciones de la licencia GPL que se han aceptado anteriormente?¿Podría tener encaje jurídico en nuestra legislación?

 

Gracias y agradecería comentarios al respecto:

 


La Audiencia Nacional estima el recurso interpuesto por un Ayuntamiento ante una sanción de la Agencia Española de Protección de Datos por falta de prueba

La Agencia Española de Protección de Datos sancionó inicialmente a un Ayuntamiento por infringir el artículo 4.2 de la LOPD, tipificada como grave, por utilizar los datos para un fin incompatible [Enlace a la resolución]. En concreto, se enjuicia la remisión desde un teléfono del que es titular un Alcalde de dos SMS de contenido electoral a vecinos de la localidad, sirviéndose para ello, supuestamente, de los datos de ficheros del Ayuntamiento.

La resolución impugnada ante la Sala de lo Contencioso de la Audiencia Nacional relata como hechos probados que varios denunciantes recibieron mensajes de móvil relacionados con unas elecciones locales con el siguiente contenido:

 “1) Pacto PSOE, fulanito en el Ayuntamiento. A mí me da miedo. 2) PSOE-Paro-PSOE-ruina. Votar al chaquetero es votar al PSOE pásalo”

El titular del número desde el que se enviaron los SMS, según el operador era el Alcalde quien se presentaba como candidato del PP, y que negó ser el autor de los hechos.

Los denunciantes indican que aportaron sus direcciones de correo electrónico y números de teléfono móvil cuando acudieron a realizar actividades deportivas al Polideportivo del Ayuntamiento. Los números de teléfono que constan en la aplicación informática del Área de Deportes son los mismos en los que se recibieron los SMS objeto de denuncia y son parte del fichero que tiene registrado el Ayuntamiento ante la Agencia Española de Protección de Datos con el fin declarado de gestionar “la inscripción en cursos, la reserva de instalaciones, el cobro de cuotas y la gestión de competiciones”

El Ayuntamiento adujo ante la Audiencia Nacional que la resolución de la Agencia Española de Protección de Datos vulneraba el principio de presunción de inocencia, porque la imputación que se le dirigía no se sustentaba sobre prueba directa sino sobre sospechas y conjeturas, al utilizarse manifestaciones tales como “sospechaban”, “posiblemente”, “no sería descabellado pensar”, etc.

Se alegó que no quedaba acreditado que para el supuesto envío de SMS el Ayuntamiento hubiese utilizado datos de los denunciantes del fichero de Deportes.

En conclusión, dispone la Audiencia Nacional en su sentencia que, si bien resulta acreditado que los mensajes SMS remitidos al teléfono móvil de los denunciantes fueron enviados desde la línea telefónica titularidad del Alcalde no es menos cierto que no se ha podido acreditar que los números de teléfono móvil se obtuvieran del fichero “Deportes” puesto que se desconoce en qué fecha se dieron de alta en la base de datos informática, y por lo tanto, pudieron introducirse incluso después del envío de los SMS.