Zabía-Abogados

Sentencia del Tribunal Supremo que estima el recurso interpuesto por la AEPD, declarando que la autoridad de control puede abordar cuestiones fácticas y jurídicas conexas o relacionadas con los hechos y argumentos de la reclamación que da origen al procedimiento

Con ocasión de la sanción de 5.000.000 euros impuesta por la AEPD a BBVA por la infracción de los artículos 13 y 14 (2 millones de euros) y 6 (3 millones de euros) del RGPD, la entidad bancaria interpuso recurso contencioso-administrativo. La Audiencia Nacional dictó sentencia estimando el mismo y anulando la sanción, declarando que existía una total desconexión entre el objeto del procedimiento sancionador y las reclamaciones. En este sentido, se indicó que la AEPD aprovechó las reclamaciones presentadas, que no analizó en ningún caso, para “iniciar una suerte de revisión general de la actuación de BBVA e instruir un procedimiento que ninguna relación guarda con el contenido de las reclamaciones”, excediendo ampliamente su alcance. Así, se declaraba que los fundamentos de la resolución se centraban en el examen del documento «Declaración de actividad económica y política de protección de datos personales», pero sin efectuar ninguna valoración de las pruebas practicadas respecto de las reclamaciones.

Contra esta resolución, se interpuso recurso de casación por parte de la autoridad de control alegando, entre otras:

  • Que, con motivo de las reclamaciones, tuvo conocimiento de la utilización de un formulario de recogida de datos personales, mediante el que daba a conocer su política de privacidad, por lo que al considerar que existían indicios sobre la no adecuación del documento, se acordó la apertura del procedimiento sancionador para analizar el mismo.
  • Que en las reclamaciones se hace referencia expresa a este documento. Así, el expediente sancionador sí estaba vinculado a las reclamaciones.
  • Que las reclamaciones pueden ser un vehículo a través del que se conozca la posible existencia de otras infracciones, pudiéndose iniciar un procedimiento sancionador. La norma no recoge que la actuación de la AEPD se restringa a los hechos que específicamente indican los afectados.

En el auto de admisión se declaraba que la cuestión tiene interés casacional, a efectos de determinar si presentada una reclamación, la actuación de la AEPD “queda vinculada al contenido de dicha reclamación […] o si puede tramitar y resolver el procedimiento sancionador al margen de las causas y los hechos en los que se fundan las reclamaciones presentadas”. En su escrito de oposición, BBVA alegó, entre otras cuestiones, que la AEPD, sin investigación alguna, procedió a la apertura, de forma sorpresiva, de un procedimiento por unos hechos que no guardaban relación con las reclamaciones; que se limitó a admitir las mismas, pero sin pretender resolverlas, utilizándolas como un mero pretexto para ello, vulnerando el principio de seguridad jurídica y generando un perjuicio a la entidad.

Se ha declarado por el TS que, si bien la sentencia de la Audiencia Nacional ha considerado probada la vulneración del principio de seguridad jurídica, de interdicción de la arbitrariedad de los poderes públicos y de culpabilidad, no comparte esta opinión por los siguientes motivos:

  1. Respecto al principio de seguridad jurídica, en las cinco reclamaciones estaba directamente relacionado el documento emitido por BBVA. Además, varios de los reclamantes hicieron mención expresa a dicho documento. Así, no se puede afirmar que se haya vulnerado este principio por el mero hecho de que en el procedimiento se haya examinado el contenido de este documento, no pudiéndose indicar tampoco que dicho análisis se haya producido de manera sorpresiva.
  2. Tampoco resulta cierto que la AEPD decidiese, de manera arbitraria y sin conocimiento de la entidad, ampliar el contenido del expediente a temas que no guardaran relación con las reclamaciones, por cuanto en estas se hacía referencia a dicho documento y ya en el acuerdo de incoación se hacían constar las posibles imprecisiones o insuficiencias del mismo.

En relación con el examen de este documento, concluye el TS que “en el curso de un procedimiento sancionador iniciado a raíz de una o varias reclamaciones en materia de protección de datos personales, cuando se aprecie que las infracciones singulares denunciadas tienen sus origen común en un documento o instrumento de alcance general que define la política de la entidad en materia de protección de datos, la AEPD puede, y aun debe, hacer objeto del procedimiento sancionador a ese mismo documento que alberga la política de privacidad de la entidad responsable, a fin de examinarlo, detectar sus posibles carencias o deficiencias, y adoptar, en consecuencia, las medidas que resulten necesarias”. Es por ello por lo que se indica que en este caso la resolución no se ha apartado de las causas o hechos en los que se fundan las reclamaciones.

Puede acceder a la Sentencia del Alto Tribunal aquí.

Share the Post:

Related Posts

Política de Cookies

En esta web utilizamos cookies de terceros para mejorar nuestros servicios y su experiencia de navegación, para permitirle una navegación más rápida y sencilla.

Si está de acuerdo, pulse ACEPTAR. Si no está de acuerdo, pulse RECHAZAR.

Ir al contenido