- El Tribunal Supremo ha avalado las sanciones de 5 millones de euros impuestas por la Agencia Española de Protección de Datos (AEPD) al BBVA, revocando una sentencia previa de la Audiencia Nacional.
- Los magistrados han concluido que la AEPD actuó de forma legal y justificada al ampliar el expediente sancionador basándose en un documento clave del banco que afectaba a su política de protección de datos.
- El Supremo subraya que la entidad bancaria tuvo la oportunidad de presentar alegaciones, por lo que no hubo arbitrariedad en la actuación de la AEPD.
El Supremo confirma la actuación de la AEPD en el caso BBVA
El Tribunal Supremo ha dado la razón a la Agencia Española de Protección de Datos (AEPD) al ratificar las multas impuestas al BBVA por un valor total de 5 millones de euros, en un fallo que revoca la decisión de la Audiencia Nacional de 2022 que anulaba dichas sanciones. El tribunal ha determinado que la actuación de la AEPD no fue arbitraria, sino que se basó en un análisis detallado del documento general de la política de protección de datos del banco.
Según los magistrados, la AEPD tiene la potestad de extender un procedimiento sancionador más allá de las reclamaciones individuales que lo originan, si se aprecia que estas infracciones tienen un origen común en la política general de datos de la entidad afectada. En este caso, el documento clave era la ‘Declaración de actividad económica y política de protección de datos personales’ del BBVA.
Ampliación del procedimiento basada en evidencias
El Supremo ha dejado claro que la AEPD informó debidamente al BBVA sobre las deficiencias en su política de protección de datos. Los jueces destacan que, desde el inicio del procedimiento sancionador, se hizo referencia explícita a las posibles infracciones derivadas del documento emitido por el banco, que presentaba imprecisiones y carencias en el cumplimiento normativo.
Además, el tribunal señala que el BBVA tuvo la oportunidad de defenderse y presentar alegaciones durante el proceso. Por tanto, no se produjo ninguna actuación sorpresiva ni arbitraria por parte de la AEPD, como argumentaba la defensa del banco.
Un precedente para el ámbito de la protección de datos
La sentencia del Supremo establece un precedente importante en la aplicación de las sanciones en materia de protección de datos. El fallo confirma que la AEPD tiene el derecho de analizar y ampliar los procedimientos sancionadores si detecta que las infracciones están relacionadas con documentos clave de la entidad investigada, especialmente cuando estas prácticas pueden afectar de forma general a los derechos de los usuarios.
El Supremo ha concluido que la AEPD, en su papel de garante de la privacidad, actuó dentro de los límites legales al abordar tanto las cuestiones fácticas como jurídicas relacionadas con las reclamaciones iniciales.
