La Sentencia de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 31 de enero de 2003 desestima el recurso interpuesto contra resolución de la Agencia de 21 de febrero de 2001 por infracción de los artículos 5, 6, 11 y 9 de la LOPD.

Ante la vulneración del artículo 5 de la LOPD, el recurrente alega que encargó la recogida de datos personales a otra entidad por lo que la responsabilidad recae sobre ésta. Según la Sala este argumento se rebate porque la actora no puede eludir su responsabilidad respecto de la creación de un fichero del que ella es beneficiaria y decide sobre su finalidad, contenido y uso, que no cumplía las garantías establecidas en el citado artículo 5 al no adoptar previsiones al respecto, ni tampoco impuso ninguna obligación a la entidad prestadora de un servicio, quedando también probado que en posteriores fases de tratamiento de datos, tampoco se cumple con la obligación de informar de modo expreso e inequívoco a los interesados a los que se solicitan datos personales. Asimismo se declara que se trataron datos personales considerados especialmente sensibles por la LOPD (ideología, afiliación sindical, religión y creencias) sin el consentimiento expreso y por escrito de los afectados, como la Ley requiere. También se trataron datos sobre la vida sexual de los interesados, así como sobre su salud, pasando por alto tanto la necesidad de su consentimiento para tratarlos como la obligación de advertir al interesado de su derecho a no prestarlo. Queda también acreditada la infracción del artículo 11 de la LOPD al producirse una entrega de datos personales a dos personas físicas con las que la recurrente no tenía relación jurídica alguna, porque con ellos no había firmado contrato, y en ese caso se precisaba el consentimiento de los afectados.