El Tribunal Supremo ha resuelto un recurso de casación interpuesto por la Agencia Española de Protección de Datos (AEPD) contra una sentencia de la Audiencia Nacional que anuló las sanciones impuestas al BBVA en 2020. La cuestión central radica en si la AEPD puede, en el marco de un procedimiento sancionador iniciado a partir de reclamaciones individuales, extender su análisis a documentos o políticas generales de la entidad denunciada, como la "Declaración de actividad económica y política de protección de datos personales".
El Tribunal Supremo establece que la AEPD puede abordar instrumentos de alcance general que regulen la política de protección de datos de una entidad siempre que:
• Exista una conexión razonable entre las infracciones individuales denunciadas y la política general.
• Se respeten las garantías procesales, permitiendo al investigado alegar y proponer pruebas. En particular, debe notificarse a la entidad investigada sobre la ampliación del objeto del procedimiento, permitiéndole formular alegaciones y proponer pruebas, de forma que no se cause indefensión.
La sentencia subraya que el Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos Personales otorgan a la AEPD facultades no solo para sancionar infracciones individuales, sino también para revisar prácticas generales que puedan derivar en vulneraciones sistemáticas.
En virtud de esta resolución, el Supremo respalda tanto las sanciones impuestas por la AEPD como el requerimiento realizado al BBVA para adecuar sus operaciones de tratamiento de datos, la información proporcionada a sus clientes y el procedimiento de obtención del consentimiento a la normativa vigente en materia de protección de datos personales.
Sentencia.