Carlos B Fernández. La sentencia de la Sala de lo Contencioso-Administrativo, Sección primera, de la Audiencia Nacional, ha dictado una sentencia de fecha 23 de diciembre de 2022 (Recurso 104/2021 (LA LEY 365001/2022), ponente señora Sanz Calvo), por la que anula la Resolución de la Directora de la Agencia Española de Protección de Datos, de fecha 18 de noviembre de 2020 (PS/00070/2019), que impuso al BBVA dos multas por un importe conjunto de cinco millones de euros.
En concreto, la Agencia impuso a la entidad bancaria una multa por importe de 2.000.000 de euros, por una infracción de los artículos 13 (LA LEY 6637/2016) y 14 del Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016), tipificada en el artículo 85.3.b) y calificada como leve a efectos de prescripción en el artículo 74.a) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) (LA LEY 19303/2018); y una multa de 3.000.000 de euros por una infracción del artículo 6 RGPD (LA LEY 6637/2016), tipificada en el artículo 83.5.a) y calificada como muy grave a efectos de prescripción en el artículo 72.1.b) de la LOPDGDD (LA LEY 19303/2018).
Además, se requería a esta entidad bancaria para que “en el plazo de 6 meses, adecúe a la normativa de protección de datos personales las operaciones de tratamiento que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que deben prestar su consentimiento para la recogida y tratamiento de sus datos personales”.
Los hechos que fundamentaron estas sanciones se refieren a cinco reclamaciones sucesivas interpuestas contra el banco por diferentes clientes, tres de las cuales versan sobre el tratamiento de datos de los reclamantes con fines comerciales después de haber ejercitado el derecho de oposición a la recepción de dichas comunicaciones o de estar incluidos en la lista Robinson; otra versa sobre el tratamiento de datos con fines comerciales y la quinta sobre la forma de obtener el consentimiento en la App del banco y con el posterior ejercicio del derecho de oposición ejercitado por el reclamante.
Según la AEPD, el formulario de recogida de datos personales utilizado por BBVA, con posterioridad al RGPD, aplicable a partir del 25 de mayo de 2018, denominado " Declaración de actividad económica y política de protección de datos personales", que da a conocer los términos aplicables a la protección de datos personales, por razón de los servicios contratados con la entidad, presenta una serie de deficiencias respecto de la normativa de protección de datos que suponen una vulneración del principio de trasparencia regulado en los artículos 13 (LA LEY 6637/2016) y 14 del RGPD (LA LEY 6637/2016) y del principio del consentimiento del artículo 6 del RGPD (LA LEY 6637/2016) en relación con el artículo 7 del mismo Reglamento y artículo 6 de la LOPDGDD (LA LEY 19303/2018), que tienen un alcance general, de modo que se ven afectados todos los clientes de la entidad, de lo que resulta que la infracción no se produce exclusivamente respecto de los cinco reclamantes, sino con carácter general como consecuencia de dicha política de privacidad.
De una reclamación concreta no cabe derivar un procedimiento contra la política de privacidad
Según la Audiencia Nacional, la AEPD no examinó dichas reclamaciones, ni realizó una valoración de las pruebas practicadas en relación con las mismas, que se conectan con el documento de privacidad, sino que se valió de las mismas para abrir una especie de causa general contra la política de privacidad de BBVA recogida en el referido documento de política de protección de datos personales.
En opinión del tribunal, “el hecho de que se haya hecho alusión por BBVA y se haya aportado la suscripción de dicho documento en relación con unos hechos determinados hechos faculta a la AEPD para investigar dichos hechos o el "motivo de la reclamación" como señala el artículo 57.1.f) del RGPD (LA LEY 6637/2016), pero no para abrir contra BBVA en un procedimiento sancionador incoado como consecuencia de dichas reclamaciones, un procedimiento contra la política de protección de datos personales de la entidad”.
Y es que, en opinión de la Sala, si bien en los hechos probados de la propuesta de resolución y resolución sancionadora, así como en los Hechos del acuerdo de inicio, se hace referencia a las cinco reclamaciones, los Fundamentos de Derecho de dicha resolución se centran en el examen del documento " Declaración de actividad económica y política de protección de datos personales", pero sin efectuar ninguna valoración de las pruebas practicadas respecto de las mismas en los Fundamentos de derecho que se centran en analizar la política de privacidad de BBVA, en general, sin conectarla con las citadas reclamaciones.
“Y si no se examinan las citadas conductas concretas, difícilmente se puede colegir, en el presente procedimiento, que trascienden a dichos casos y son un botón de muestra de la política de privacidad viéndose afectados todos los clientes de la entidad”.
Vulneración de los principios del procedimiento administrativo sancionador
En consecuencia, la Sala considera aplicable al caso de autos la doctrina establecida en la SAN de 29 de abril de 2019 (LA LEY 78839/2019) en relación con el principio de tipicidad del procedimiento administrativo sancionador que “según señala la STS de 28 de mayo de 2009 (Rec. 172/2003 (LA LEY 177232/2009)), conforme a reiterada doctrina del Tribunal Constitucional, "se traduce en la imperiosa exigencia de predeterminación normativa de las conductas ilícitas y de las sanciones correspondientes". Este principio es una proyección de la necesidad de certidumbre que debe guiar el ejercicio de la potestad sancionadora de la Administración que recoge el artículo 25.1 CE (LA LEY 2500/1978) y cuyo fundamento se encuentra en el respeto de otros dos valores como son la libertad y la seguridad jurídica”.
En esa misma sentencia, recuerda la Sala, “se señalaba como otro elemento determinante del procedimiento sancionador el de valoración de la prueba, que según la doctrina tanto del Tribunal Constitucional como del Tribunal Supremo se encuentra íntimamente ligado al principio de presunción de inocencia, y que exige que el fallo condenatorio se apoye en verdaderos actos de prueba que han de ser conformes a la Ley y a la Constitución, y como hemos dicho la resolución no hace ninguna específica valoración de las pruebas en relación con las citadas denuncias, sino que se limita a recogerlas en los hechos probados, pero sin hacer una valoración específica de las mismas”.
Por tanto, la AN considera que "la AEPD no ha procedido a incoar un procedimiento sancionador, a partir de la denuncia de unos hechos concretos, y en el que respetando los principios que rigen tal procedimiento, haya llegado a una resolución sancionadora después de hacer una valoración razonable de las pruebas".
Y añade que “No se puede considerar, como hace la AEPD, que se ha producido una vulneración del principio de trasparencia y del consentimiento por la propia existencia y contenido de la política de protección de datos. Sería en todo caso, una infracción potencial que no está castigada por las normas de protección de datos”.
Si se hubiera probado la existencia de las infracciones individuales podría considerarse que la propia "Política" favorece su comisión. Al no ser así, no se puede afirmar la existencia de infracción, para lo que, además, una muestra tan pequeña (5 reclamaciones), sobre una base de unos ocho millones, no sería concluyente En consecuencia, a tenor del criterio seguido en la citada Sentencia de 23 de abril de 2019, no habiendo sido respetados los principios de la potestad sancionadora más arriba expuestos y teniendo en cuenta que según el Considerando 129 del RGPD, los poderes de las autoridades de control deben ejercerse de conformidad con garantías procesales adecuadas establecidas en el Derecho de la Unión y los Estados miembros, procede la estimación del motivo y en definitiva del recurso contencioso administrativo interpuesto.
Por todo ello, la Sala estima el recurso contencioso administrativo interpuesto por BBVA, anula la resolución recurrida por no ser conforme a Derecho e impone las costas a la parte demandada.
La sentencia es susceptible de recurso de casación ante el Tribunal Supremo.