Madrid, 12 nov (EFECOM).- El Tribunal Supremo ha establecido que la Agencia Española de Protección de Datos (AEPD) puede extender el procedimiento sancionador abierto por denuncias individuales al documento de política de protección de datos de las empresas.

En una sentencia fechada el pasado 5 de noviembre a la que ha tenido acceso EFE, la sala de lo contencioso revoca un fallo de la Audiencia Nacional de diciembre de 2022 que anuló multas de la AEPD a BBVA por un total de 5 millones de euros.

La Sala estima el recurso de la AEPD contra una sentencia que había anulado dos multas por infracciones en materia de protección de datos impuestas en 2020 al banco, que consideró que la Agencia se había valido de cinco reclamaciones de particulares para abrir una especie de causa general contra su política de privacidad.

La Audiencia Nacional anuló las sanciones al entender que no podía considerarse, como había hecho la AEPD, que se había producido una vulneración del principio de transparencia y del consentimiento por la propia existencia y contenido de la política de protección de datos.

Concluyó que no se podía afirmar la existencia de infracción, para lo que, además, una muestra tan pequeña (cinco reclamaciones) frente a unos ocho millones de clientes de la entidad “no sería concluyente”.

El Supremo estima ahora el recurso de la Agencia y desestima el de BBVA contra la resolución de la AEPD que impuso las multas y que requería además al banco para que, en el plazo de 6 meses, adecuase a la normativa de protección de datos personales las operaciones de tratamiento que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que deben prestar su consentimiento para la recogida y tratamiento de sus datos personales.

Los magistrados defienden que, en el curso de un procedimiento sancionador iniciado a raíz de una o varias reclamaciones en materia de protección de datos personales, cuando se aprecie que las infracciones singulares denunciadas tienen su origen en un documento de alcance general que define la política de la entidad en materia de protección de datos, la AEPD "puede, y aun debe, hacer objeto del procedimiento sancionador a ese mismo documento que alberga la política de privacidad de la entidad responsable”.

Todo ello para "examinarlo, detectar sus posibles carencias o deficiencias, y adoptar las medidas que resulten necesarias en el seno del propio procedimiento sancionador", permitiendo formular alegaciones y, en su caso, proponer pruebas, para evitar que haya indefensión.

En el caso examinado, las cinco reclamaciones que dieron lugar a la incoación del procedimiento sancionador se referían al documento elaborado por BBVA, de modo que "no es cierto que el examen del citado documento en el seno del procedimiento sancionador se produjese de manera sorpresiva para BBVA".

Tampoco cabe considerar que la AEPD decidiese de manera arbitraria, sin conocimiento alguno por parte de la entidad bancaria, ampliar el contenido del expediente a cuestiones ajenas al contenido de las reclamaciones.

La Sala destaca que, en el expediente sancionador, se hacía expresa referencia a las "imprecisiones, insuficiencias y carencias de ese documento"; y a las infracciones que tales deficiencias podrían implicar.

El banco pudo hacer alegaciones, a las que la AEPD dio una respuesta razonada, concluyen los magistrados.