Foto de Tingey Injury Law Firm en Unplash

La AEPD puede, y debe, investigar y sancionar carencias en el documento de Protección de Datos de una empresa, siempre que las infracciones denunciadas tengan su origen en dicho documento. El Alto Tribunal revoca una sentencia previa y confirma las multas de 5 millones de euros impuestas al BBVA.

La Sala de lo Contencioso-Administrativo del Tribunal Supremo (TS) ha establecido que la Agencia Española de Protección de Datos (AEPD) puede ampliar un procedimiento sancionador iniciado a raíz de reclamaciones individuales para investigar la Política general de Protección de Datos de la compañía reclamada. Así ha resuelto el Supremo ante recurso de casación presentado por la AEPD tras la anulación, por parte de la Audiencia Nacional, de dos sanciones impuestas a dicha entidad bancaria.

El BBVA argumentaba que la AEPD había utilizado cinco reclamaciones de interesados como base para abrir una especie de causa general contra su documento “Declaración de actividad económica y política de protección de datos personales”, lo que consideraba una extensión improcedente del objeto del procedimiento sancionador. La Audiencia Nacional (AN) falló a favor de la entidad bancaria, anulando las sanciones al considerar que no podía derivarse una infracción únicamente por el contenido de dicho documento. Según la AN, una muestra de cinco reclamaciones resultaba insuficiente para concluir que existía una infracción generalizada, dada la magnitud de la clientela del banco.

No obstante lo anterior, el TS estima el recurso de la AEPD contra dicha resolución y concluye que, dentro del marco de un procedimiento sancionador, la agencia puede abordar cuestiones relacionadas con los hechos denunciados, y extender su análisis al documento general de la Política de Protección de Datos si considera que las infracciones tienen origen en dicho documento. Y podrá hacerlo con la finalidad de “examinarlo, detectar sus posibles carencias o deficiencias, y adoptar, en consecuencia, las medidas que resulten necesarias en el seno del propio procedimiento sancionador; en el bien entendido de que de todo ello habrá de darse conocimiento al sujeto del expediente, de manera que durante la tramitación del procedimiento pueda este tener ocasión de formular alegaciones, y en su caso, proponer pruebas, sin que en ningún caso pueda producirse indefensión”.

Esta doctrina fijada por el TS, que supone la potestad de la AEPD para investigar y sancionar la Política general de Protección de Datos de una organización cuando se aprecie que las infracciones denunciadas tienen su origen común en dicho documento, resalta, más aún si cabe, la importancia de que las empresas cuenten con un equipo experto asesor en materia de Protección de Datos.

Enlace a la comunicación: https://www.poderjudicial.es/cgpj/es/Poder-Judicial/Tribunal-Supremo/Noticias-Judiciales/El-Tribunal-Supremo-fija-que-la-AEPD-puede-extender-el-procedimiento-sancionador-abierto-por-denuncias-individuales-al-documento-de-politica-de-proteccion-de-datos-de-las-empresas-

Pedro Fanjul González

Abogado