La AEPD puede extender el procedimiento sancionador abierto por denuncias individuales al documento de política de protección de datos de las empresas

La Sala de lo Contencioso-Administrativo del Tribunal Supremo ha establecido en una sentencia que la Agencia Española de Protección de Datos (AEPD) puede, a partir de una o varias reclamaciones individuales, extender el objeto del procedimiento sancionador al documento general que define la política en materia de protección de datos de la entidad responsable, cuando se aprecie que las infracciones singulares denunciadas tienen su origen común en dicho documento.

La sentencia estima el recurso de la AEPD contra una sentencia de la Audiencia Nacional, de 2022, que había anulado dos multas por infracciones en materia de protección de datos que la Agencia impuso en el año 2020 al banco BBVA. El banco consideró que la Agencia se había valido de cinco reclamaciones de particulares para abrir una especie de causa general contra la política de privacidad de la entidad recogida en el documento “Declaración de actividad económica y política de protección de datos personales”.

La Audiencia Nacional le dio la razón y anuló las sanciones al entender que no podía considerarse, como había hecho la Agencia, que se había producido una vulneración del principio de trasparencia y del consentimiento por la propia existencia y contenido de la política de protección de datos. Concluyó que no se podía afirmar la existencia de infracción, para lo que, además, una muestra tan pequeña (5 reclamaciones) frente a unos ocho millones de clientes de la entidad “no sería concluyente”.

El Supremo estima ahora el recurso de la Agencia y desestima el de BBVA contra la resolución de la AEPD que impuso las multas y que requería además al banco para que, en el plazo de 6 meses, adecuase a la normativa de protección de datos personales las operaciones de tratamiento que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que deben prestar su consentimiento para la recogida y tratamiento de sus datos personales.

El alto tribunal concluye al respecto que “la Agencia Española de Protección de Datos, en la incoación, tramitación y resolución de un procedimiento sancionador, puede abordar cuestiones fácticas y jurídicas conexas o relacionadas con los hechos y argumentos recogidos en la reclamación que da origen al procedimiento”.

“Y, más específicamente –añade la doctrina fijada por el Supremo-, en el curso de un procedimiento sancionador iniciado a raíz de una o varias reclamaciones en materia de protección de datos personales, cuando se aprecie que las infracciones singulares denunciadas tienen sus origen común en un documento o instrumento de alcance general que define la política de la entidad en materia de protección de datos, la AEPD puede, y aun debe, hacer objeto del procedimiento sancionador a ese mismo documento que alberga la política de privacidad de la entidad responsable”.

Y podrá hacerlo con la finalidad “de examinarlo, detectar sus posibles carencias o deficiencias, y adoptar, en consecuencia, las medidas que resulten necesarias en el seno del propio procedimiento sancionador; en el bien entendido de que de todo ello habrá de darse conocimiento al sujeto del expediente, de manera que durante la tramitación del procedimiento pueda este tener ocasión de formular alegaciones y, en su caso, proponer pruebas, sin que en ningún caso pueda producirse indefensión”.

En relación al caso concreto examinado, la sentencia explica que en las cinco reclamaciones que dieron lugar a la incoación del procedimiento sancionador “ya estaba directamente concernido el documento emitido por BBVA denominado “Declaración de actividad económica y política de protección de datos personales”, y “que no es cierto que el examen del citado documento en el seno del procedimiento sancionador se produjese de manera sorpresiva para BBVA”, como “tampoco lo es que la AEPD decidiese de manera arbitraria, sin conocimiento alguno por parte de la entidad bancaria, ampliar el contenido del expediente a cuestiones en nada relacionadas con las reclamaciones que habían dado origen a su actuación”.

En ese sentido, recuerdan que en el acuerdo de incoación del procedimiento sancionador se hacía expresa referencia a las imprecisiones, insuficiencias y carencias de ese documento emitido por BBVA y a las infracciones que tales deficiencias podrían albergar; sobre todo lo cual tuvo ocasión BBVA de formular alegaciones; mientras que la AEPD dio respuesta razonada –según el Supremo– al alegato de BBVA sobre la inexistente vinculación entre las infracciones que se le imputaban y el contenido de las reclamaciones que habían dado origen al expediente.

Fuente: CGPJ