“La AEPD puede y aun debe” El TS casca al BBVA (y a la Audiencia Nacional)
Hoy toca comentar la sentencia más relevante para la práctica procesal datera desde la publicación del RGPD: al anular la sanción de la AEPD por infracción de principios esenciales del procedimiento sancionador, la Audiencia Nacional había recortado sustancialmente las alas de la AEPD, pero el Supremo ha dado un sonoro puñetazo en la mesa (STS 5358/2024).
En lo que viene siendo la vuelta a la tortilla más espectacular de los últimos años, el Tribunal Supremo no sólo dejó al Banco sancionado con la misma cara que Alemania e Inglaterra ante los postreros golazos de la selección española este verano: de paso también le dio en toda la cresta a la Audiencia Nacional.
El comentario de esta sentencia está incluido en nuestra nueva, fastuosa (y bastante grasiosa) newsletter: Zero Party Data.
Apúntate aquí:
Antecedentes del Caso
Entre octubre de 2018 y agosto de 2019, la AEPD recibió cinco reclamaciones de clientes de BBVA en relación con el tratamiento de sus datos personales.
Lo relevante es que la AEPD agarró fuerte la política de privacidad general de la entidad, encontró diversos puntos gris oscuro casi negro y sancionó dos de ellos.
Impuso dos multas, una por 2 kilos y otra por tres, por infracciones de la obligación de transparencia y por tratamientos sin base legítima (interés legítimo mal gestionado).
En este y este post, comenté el caso in extenso.
Enlace a la sentencia del Supremo STS 5358/2024.
Audiencia Nacional
La Audiencia Nacional anuló la resolución sancionadora, argumentando que la AEPD había vulnerado principios básicos del derecho administrativo sancionador, como el de seguridad jurídica, interdicción de la arbitrariedad y culpabilidad.
El choque de pechos y chin-chín de celebración de los abogados de protección de datos que tenemos cosas en la ANacional se oyeron en Islandia. La Audiencia Nacional enconsertaba a la autoridad de control, imponiéndole una visión de túnel sobre aquello (y sólo aquello) que se había denunciado, vedándole aventuras paralelas. Un poco como lo del caso LaLiga, pero mucho más contundente y de mayor perímetro: encima de la mesa había argumentos esgrimibles en un montón de casuísticas. PERO.
Recurso de casación de la AEPD
La AEPD interpuso recurso de casación ante el Tribunal Supremo contra la sentencia de la Audiencia Nacional.
Al casar la sentencia de la Audiencia Nacional, el Supremo confirma la validez de la resolución sancionadora de la AEPD bajo los siguientes argumentos:
Argumentos esenciales de la entidad sancionada:
- La AEPD había ampliado arbitrariamente el contenido del expediente a cuestiones no relacionadas con las reclamaciones iniciales. Y además había utilizado en contra de la entidad su propia política general de privacidad.
- La AEPD se había desvinculado de las reclamaciones iniciales y había utilizado las mismas como pretexto para iniciar una «causa general» contra su política de privacidad
- La imposición de sanciones basándose en cinco reclamaciones de un total de más de ocho millones de clientes vulneraba el principio de culpabilidad.
Los argumentos del Supremo que considero más útiles para el picapedrero del dato son los siguientes:
Lo relevante de la política de privacidad es que de ella resultaban infracciones que potencialmente afectaban a todos los clientes de la entidad.
Por eso, no importa que sólo se hubieran tramitado cinco denuncias (recordemos aquí que el Banco interpretaba el bajo número de denuncias, literalmente como “aquiescencia” al contenido de sus políticas).
(…) “en el curso de un procedimiento sancionador iniciado a raíz de una o varias reclamaciones en materia de protección de datos personales, cuando se aprecie que las infracciones singulares denunciadas tienen sus origen común en un documento o instrumento de alcance general que define la política de la entidad en materia de protección de datos, la AEPD puede, y aun debe, hacer objeto del procedimiento sancionador a ese mismo documento que alberga la política de privacidad de la entidad responsable, a fin de examinarlo, detectar sus posibles carencias o deficiencias, y adoptar, en consecuencia, las medidas que resulten necesarias en el seno del propio procedimiento sancionador”(Pag 15)
Rechaza los argumentos de BBVA sobre la vulneración de los principios de seguridad jurídica (las denuncias mencionan la cacareada política, y el BBVA la aporta al expediente), interdicción de la arbitrariedad (ojo a ese imperioso “la AEPD puede y aun debe”) y culpabilidad (porque las infracciones objeto de sanción estaban ahí ya desde el acuerdo de incoación del sancionador).
En pleno éxtasis casacional, el alto tribunal corrige hasta la cuestión que se le había planteado para resolverla en los siguientes términos:
(…) “la cuestión a dilucidar consiste en realidad en si, en la incoación, tramitación y resolución de un procedimiento sancionador, la Agencia Española de Protección de Datos queda vinculada, y en qué forma y grado, por el contenido de la reclamación que ante ella se haya presentado.”
La AEPD (…) “puede abordar cuestiones fácticas y jurídicas conexas o relacionadas con los hechos y argumentos recogidos en la reclamación que da origen al procedimiento. Y, más específicamente, en el curso de un procedimiento sancionador iniciado a raíz de una o varias reclamaciones en materia de protección de datos personales, cuando se aprecie que las infracciones singulares denunciadas tienen sus origen común en un documento o instrumento de alcance general que define la política de la entidad en materia de protección de datos, la AEPD puede, y aun debe, hacer objeto del procedimiento sancionador a ese mismo documento que alberga la política de privacidad de la entidad responsable, a fin de examinarlo, detectar sus posibles carencias o deficiencias, y adoptar, en consecuencia, las medidas que resulten necesarias en el seno del propio procedimiento sancionador.”
Muy buena semana, y mejor puente.
Jorge García Herrero
Abogado y Delegado de protección de datos