El Tribunal Supremo (TS) ha dado la razón a la Agencia de Protección de Datos (AEPD) y ha avalado las multas impuestas al BBVA por importe de 5 millones de euros al revocar una sentencia de la Audiencia Nacional, toda vez que considera que el organismo público no decidió de manera "arbitraria" y sin conocimiento del banco ampliar el expediente que le había abierto.
Los magistrados han establecido que la Agencia de Protección de Datos puede, a partir de una o de varias reclamaciones individuales, extender el objeto del procedimiento sancionador al documento general que define la política en materia de protección de datos de la entidad responsable cuando se aprecie que las infracciones singulares denunciadas tienen su origen común en dicho documento.
La Sala de lo Contencioso-Administrativo se ha pronunciado así al estimar el recurso que presentó la Agencia contra la sentencia de la Audiencia Nacional que en 2022 anuló dos multas por infracciones en materia de protección de datos que la Agencia impuso en el año 2020 al banco BBVA.
El Supremo concluye que "la Agencia Española de Protección de Datos, en la incoación, tramitación y resolución de un procedimiento sancionador, puede abordar cuestiones fácticas y jurídicas conexas o relacionadas con los hechos y argumentos recogidos en la reclamación que da origen al procedimiento", más aún cuando tienen lugar en medio de un procedimiento sancionador iniciado a raíz de reclamaciones y cuando se aprecie que las infracciones tienen su origen común en un mismo documento o instrumento.
SOSTIENE QUE LA AEPD INFORMÓ AL BANCO
Sobre el caso concreto que atañe al BBVA, los magistrados explican que en las cinco reclamaciones que dieron lugar a la incoación del procedimiento sancionador "ya estaba directamente concernido el documento" emitido por la entidad denominado 'Declaración de actividad económica y política de protección de datos personales'.
Al hilo, el tribunal concluye que "no es cierto que el examen del citado documento en el seno del procedimiento sancionador se produjese de manera sorpresiva para BBVA", como "tampoco lo es que la AEPD decidiese de manera arbitraria, sin conocimiento alguno por parte de la entidad bancaria, ampliar el contenido del expediente a cuestiones en nada relacionadas con las reclamaciones que habían dado origen a su actuación".
Así las cosas, el Supremo sostiene que en el acuerdo de incoación del procedimiento sancionador se hacía "expresa referencia a las imprecisiones, insuficiencias y carencias de ese documento emitido por BBVA y a las infracciones que tales deficiencias podrían albergar". Además, los magistrados añaden que la entidad bancaria tuvo ocasión de "formular alegaciones".
Con todo, el tribunal incide en que la Agencia de Protección de Datos dio respuesta razonada al alegato de BBVA sobre la inexistente vinculación entre las infracciones que se le imputaban y el contenido de las reclamaciones que habían dado origen al expediente.