El Supremo se pronuncia sobre la posibilidad de ampliación de procedimiento sancionador de la AEPD.
La Sala de lo Contencioso-Administrativo del Tribunal Supremo ha determinado que la AEPD tiene la potestad para ampliar el objeto de un procedimiento sancionador hacia el análisis de la política de protección de datos de una empresa. Incluso si el proceso inició por reclamaciones individuales. Esta sentencia permite que la AEPD examine políticas generales de tratamiento de datos cuando se observe un origen común de las infracciones denunciadas.
Antecedentes del caso: sanción al BBVA por incumplimiento en protección de datos
Este fallo surge a raíz de un recurso presentado por la AEPD contra una decisión de la Audiencia Nacional. La decisión, de 2022, anuló sanciones impuestas al BBVA en 2020 por un total de cinco millones de euros. Las multas se emitieron tras detectarse incumplimientos en la política de protección de datos de la entidad. Concretamente en el documento “Declaración de actividad económica y política de protección de datos personales”. La Audiencia Nacional argumentó que la base para tales sanciones era insuficiente, ya que las reclamaciones individuales (cinco en total) no representaban una muestra concluyente frente al total de clientes del banco.
Criterios del Tribunal Supremo sobre la potestad de la AEPD
En la sentencia, el Tribunal Supremo revoca la decisión de la Audiencia Nacional. Establece que la AEPD puede abordar elementos relacionados con un documento o política general cuando las infracciones tienen un origen común en dicho documento. Según el Supremo, es válido que la AEPD, al instruir un procedimiento sancionador, amplíe su análisis para evaluar los posibles defectos o insuficiencias de un documento de políticas de privacidad de una entidad, siempre que comunique al afectado los elementos específicos bajo investigación.
El Tribunal destacó que la ampliación del expediente debe permitir que el responsable tenga oportunidad de responder y aportar pruebas, salvaguardando así el derecho de defensa. En el caso concreto del BBVA, el Supremo recuerda que la AEPD había indicado en la apertura del expediente que el documento general del banco presentaba deficiencias, por lo que no hubo elementos sorpresivos o arbitrarios en su análisis.
Fuente: CGPJ.