Con ocasión de un procedimiento sancionador iniciado por la AEPD contra la entidad bancaria Caixabank, la autoridad de control declaró que la compañía había cometido dos infracciones de la normativa de protección de datos. Así, se afirmó que, por un lado, había vulnerado los artículos 13 y 14 del RGPD, por cuanto la información facilitada a sus clientes en el nuevo contrato marco era insuficiente; mientras que, por otro, había infringido el artículo 6 del mismo texto normativo, al considerar que el consentimiento recabado con ocasión de dicho contrato no era válido. En este sentido, ambas infracciones fueron tipificadas de manera individual, imponiéndose una sanción diferenciada por cada una de ellas.
Una vez notificada dicha resolución, la entidad bancaria interpuso el correspondiente recurso contencioso-administrativo ante la Audiencia Nacional, que estimó parcialmente el mismo, adoptando un enfoque distinto sobre la tipificación de las infracciones y la imposición de las sanciones. De este modo, La Audiencia Nacional declaró que las infracciones no debían sancionarse de forma separada, por cuanto estaban estrechamente vinculadas y formaban parte de una misma acción. En este sentido, se indicó en la resolución que la deficiencia informativa no constituía una infracción autónoma, sino que era el medio o instrumento a través del cual se había obtenido el consentimiento inválido, apreciando así la existencia de un concurso medial. Sobre dicha base, la Audiencia Nacional declaró que únicamente debía sancionarse la infracción más grave.
Contra esta resolución, la AEPD interpuso recurso de casación, centrado en la cuestión relativa a la interpretación o aplicación del artículo 83.3 del RGPD (Condiciones generales para la imposición de multas administrativas) cuando concurren varias infracciones en un mismo tratamiento de datos. Dicho artículo establece que “si un responsable o un encargado del tratamiento incumpliera de forma intencionada o negligente, para las mismas operaciones de tratamiento u operaciones vinculadas, diversas disposiciones del presente Reglamento, la cuantía total de la multa administrativa no será superior a la cuantía prevista para las infracciones más graves”.
El Tribunal Supremo ha admitido a trámite el recurso, por lo que nos encontramos a la espera de que se dicte un pronunciamiento sobre esta cuestión que permita aportar claridad sobre el criterio aplicable y sobre el alcance de la regla contenida en el artículo transcrito.
Más allá del caso concreto, el fondo de la cuestión reviste especial relevancia práctica, por cuanto la autoridad de control ha venido adoptando una estrategia sancionadora que tiende a diferenciar y acumular los tipos infractores, otorgando a cada infracción una su propia calificación y sanción diferenciada.
