En la tramitación y resolución de un procedimiento sancionador la AEPD tiene la facultad de ampliar el contenido del expediente a cuestiones relacionadas con las reclamaciones que dan origen a su actuación

La cuestión planteada ante la Sala consiste en determinar si, en la incoación, tramitación y resolución de un procedimiento sancionador, la Agencia Española de Protección de Datos -AEPD- queda vinculada, y en qué forma y grado, por el contenido de la reclamación que ante ella se haya presentado.

Iustel

Señala el Tribunal que la AEPD puede abordar cuestiones fácticas y jurídicas conexas o relacionadas con los hechos y argumentos recogidos en la reclamación que da origen al procedimiento. Y, en el curso de un procedimiento sancionador iniciado a raíz de una o varias reclamaciones en materia de protección de datos personales, cuando se aprecie que las infracciones singulares denunciadas tienen su origen común en un documento o instrumento de alcance general que define la política de la entidad en materia de protección de datos, la AEPD puede hacer objeto del procedimiento sancionador a ese mismo documento que alberga la política de privacidad de la entidad responsable, a fin de examinarlo, detectar sus posibles carencias o deficiencias, y adoptar las medidas que resulten necesarias en el seno del propio procedimiento sancionador.

TRIBUNAL SUPREMO

Sala de lo Contencioso-Administrativo

Sección 3.ª

Sentencia 1792/2024, de 11 de noviembre de 2024

RECURSO DE CASACIÓN Núm: 2960/2023

Ponente Excmo. Sr. EDUARDO CALVO ROJAS

En Madrid, a 11 de noviembre de 2024.

Esta Sala ha visto el recurso de casación n.º 2960/2023 interpuesto por la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, representada y asistida por la Abogacía del Estado, contra la sentencia de la Sección 1.ª de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 23 de diciembre de 2022 (recurso contencioso-administrativo n.º 104/2021). Se ha personado como parte recurrida el BANCO BILBAO VIZCAYA ARGENTARIA S.A. (BBVA), representado por la procuradora Dña. María Jesús Gutiérrez Aceves y asistido por el abogado D. Agustín Puente Escobar.

Ha sido ponente el Excmo. Sr. D. Eduardo Calvo Rojas.

ANTECEDENTES DE HECHO

PRIMERO.- La Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional dictó sentencia con fecha 23 de diciembre de 2022 (procedimiento ordinario n.º 104/2021) en cuya parte dispositiva se acordaba:

““ ESTIMAR el recurso contencioso administrativo interpuesto por la Procuradora de los Tribunales Sra. Gutiérrez Aceves, en nombre y representación de BANCO BILBAO VIZCAYA ARGENTARIA S.A. (BBVA), frente a la Resolución de la Directora de la Agencia Española de Protección de Datos de fecha 18 de noviembre de 2020 (PS/00070/2019), resolución que se anula por no ser conforme a Derecho; con imposición de costas a la parte demandada”“.

La parte dispositiva de la resolución sancionadora de la AEPD, anulada en la sentencia, es el siguiente:

- Imponer a BBVA, por una infracción de los artículos 13 y 14 del Reglamento (UE) 2016/79 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, ( Reglamento General de Protección de Datos, en lo sucesivo RGPD), tipificada en el artículo 85.3.b) y calificada como leve a efectos de prescripción en el artículo 74.a) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), una multa por importe de 2.000.000 €.

- Imponer a dicha entidad por una infracción del artículo 6 RGPD, tipificada en el artículo 83.5.a) y calificada como muy grave a efectos de prescripción en el artículo 72.1.b) de la LOPDGDD una multa por importe de 3.000.000 €.

- Requerir a BBVA para que, en el plazo de 6 meses, adecúe a la normativa de protección de datos personales las operaciones de tratamiento que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que deben prestar su consentimiento para la recogida y tratamiento de sus datos personales, con el alcance expresado en el Fundamento de Derecho X. En el plazo indicado, BBVA deberá justificar ante la Agencia Española de Protección de Datos la atención del presente requerimiento. Medidas que se imponen al amparo del artículo 58.2.d) del RGPD y que, se razona, son compatibles con la sanción ex art 83.2 del RGPD.

SEGUNDO.- Según indica la Sala de la Audiencia Nacional (F.J. 2 de la sentencia recurrida), la resolución sancionadora impugnada en el proceso se basa en los siguientes hechos probados:

““ 1.º. Con fecha 16/10/2018, tuvo entrada en esta Agencia una reclamación formulada por el reclamante 1 frente a BBVA, por el envío a su línea de teléfono móvil, en fecha 11/10/2018, de un SMS promocional sin su autorización.

En relación con esta reclamación BBVA informó a esta Agencia que el reclamante 1 mostró su conformidad al envió de publicidad mediante la suscripción, en fecha 7/6/2016, del documento "Identificación del cliente, tratamiento de datos personales y firma digitalizada", aportado a las actuaciones por la propia entidad.

2.º. Con fecha 9/12/2018, tuvo entrada en esta Agencia una reclamación formulada por el reclamante 2 contra BBVA, señalando que la App BBVA no cumple los requisitos legales relativos al consentimiento libre e informado.

En relación con su denuncia, el reclamante 2 aportó copia de un correo electrónico que dirigió a BBVA, de fecha 9/11/2018, en el que expresamente indica lo siguiente:

"Estimado/a DPO de BBVA

El documento adjunto al anterior mensaje procede de la APP BBVA ofrecida en la plataforma Android. La citada aplicación requiere al usuario, como paso previo a su uso, prestar consentimiento mediante la firma electrónica de un documento que solo ofrece la posibilidad de oponerse al tratamiento de datos personales para fines distintos a los necesarios a los fines de la prestación de servicios financieros si el cliente activa las casillas de oposición a un tratamiento que por DEFECTO (véase artículo 25 del RGPD) debieran considerarse como activadas. El texto informativo resulta poco coherente con el principio de trasparencia del art. 12 del RGPD...".

BBVA respondió a este correo mediante otro de fecha 29/11/2018 en el que literalmente indica:

"La forma en que se recaba el consentimiento al que usted hace referencia ha sido considerada valida no solo en los análisis internos de nuestra propia entidad, sino en todos aquellos foros donde se ha planteado la cuestión, ya que el interesado tiene la opción de escoger de una manera sencilla y fácilmente entendible la opción que prefiera."

El reclamante aportó a las actuaciones copia del documento generado por la App, con el rótulo "Declaración de Actividad Económica y Política de Protección de Datos Personales", en cuyo apartado 1 constan los datos identificativos del cliente (el reclamante 2) y su declaración de actividad económica. En este documento figuran marcadas todas las opciones habilitadas para que el interesado preste su consentimiento al tratamiento de los datos personales con las finalidades que en dichas opciones se expresan (" No quiero...").

3.º. Con fecha 13/2/2019, tuvo entrada en esta Agencia una reclamación formulada por el reclamante 3 contra BBVA, en la que pone de manifiesto que la citada entidad le requirió, para el desbloqueo de su cuenta, suscribir el documento de protección de datos personales.

Dicho documento que consta aportado a las actuaciones por el reclamante 3, se corresponde con el denominado "Declaración de Actividad Económica y Política de Protección de Datos Personales". Este documento aparece fechado el 11/2/2019 y sin firma del interesado. De las opciones habilitadas para que el interesado preste su consentimiento al tratamiento de sus datos personales con las finalidades que se expresan en cada caso, figura marcada la opción "No quiero que BBVA trate mis datos para ofrecerme productos de BBVA, del Grupo BBVA y de otros personalizados para mí por email".

Con su escrito de alegaciones, BBVA aportó, además, otro ejemplar de la citada "Declaración", suscrito por el reclamante en fecha 17/1/2019 y con la marca en la misma opción de los consentimientos.

4.º. Con fecha 23/5/2019, tuvo entrada en esta Agencia una reclamación formulada por el reclamante 4 contra BBVA, por el envío de comunicaciones comerciales que no ha solicitado ni autorizado.

En relación con esta reclamación, BBVA informó a esta Agencia que el reclamante 4 no se opuso al tratamiento de datos denunciado en el documento "Declaración de Actividad Económica y Política de Protección de Datos Personales", suscrito por el mismo en fecha 26/11/2018.

En el documento citado, que ha sido aportado a las actuaciones por BBVA, no figura marcada ninguna de las opciones que se ofrecen al interesado para consentir el tratamiento de sus datos personales.

5.º. Con fecha 27/8/2019, tuvo entrada en esta Agencia una reclamación formulada por el reclamante 5 contra BBVA, por la realización de llamadas telefónicas y envíos de SMS publicitarios.

En relación con esta reclamación, BBVA informó a esta Agencia que el reclamante 5, en fecha 18/6/2018, firmó el documento "Declaración de Actividad Económica y Política de Protección de Datos Personales", consintiendo el tratamiento de sus datos con fines comerciales. Añade que dicho documento fue firmado por segunda vez por el reclamante 5, en fecha 27/05/2019, manifestando su

oposición a los tratamientos citados.

Ambos documentos constan aportados a las actuaciones por la entidad BBVA. En el primero de ellos no consta ninguna marca en las casillas habilitadas para que el cliente manifieste su consentimiento a los tratamientos que se indican y en el segundo el interesado marcó todas sus opciones ("No quiero..." ).

6.º. Para la adecuación de sus actuaciones al RGPD, la entidad BBVA habilitó el formulario de recogida de datos denominado "Declaración de actividad económica y política de protección de datos personales [...]

9.º. En respuesta al requerimiento de pruebas que le fue realizado por el instructor del procedimiento, BBVA aportó a las actuaciones los documentos siguientes:

-Evaluación de impacto en la protección de datos personales de los tratamientos relacionados con la realización de perfilados comerciales (el detalle del contenido de este documento en lo que interesa al presente procedimiento consta reseñado en el Antecedente Octavo).

-Evaluación de impacto en la protección de datos personales de los tratamientos relacionados con la realización de perfilados de riesgos (el detalle del contenido de este documento en lo que interesa al presente procedimiento consta reseñado en el Antecedente Octavo).

-Informe de ponderación de la prevalencia del interés legítimo en los tratamientos a que se refiere la finalidad numerada como dos en el apartado "¿Para qué finalidades los usaremos?, contenido en el formulario de recogida de datos personales "Declaración de actividad económica y política de protección de datos personales" (el contenido de dicho documento consta igualmente reseñado en el Antecedente Octavo).

-Registro de actividades de tratamiento (el contenido de este documento consta igualmente extractado en el Antecedente Noveno).

Estos documentos se declaran reproducidos en este acto a efectos probatorios.

10.º. BBVA ha declarado en su escrito de alegaciones que el total de clientes personas físicas asciende a ocho millones treinta y un mil. En la Web de la entidad se informa que el número de clientes supera los diez millones”“.

TERCERO.- De la fundamentación de esta sentencia -ahora recurrida en casación- interesa reseñar aquí, a los efectos del presente recurso de casación, lo razonado en el F.J. 5 de la sentencia, cuyo contenido es el que sigue:

““ (...) QUINTO.- En tercer lugar se esgrime, la total desconexión entre el objeto del procedimiento en que recayó la resolución y las reclamaciones formuladas ante la AEPD.

A tal fin se aduce, que la Agencia se limita a aprovechar la existencia de reclamaciones centradas en hechos concretos e individuales, referidas exclusivamente a operaciones de tratamiento de los reclamantes con fines comerciales para iniciar una suerte de revisión general de la actuación de BBVA e instruir un procedimiento que ninguna relación guarda con el contenido de las reclamaciones, hasta el punto de que la resolución no vincula ninguno de sus razonamientos al contenido de dichas reclamaciones. Solo una de las reclamaciones, la correspondiente al reclamante 2 podría considerarse dotada de mayor generalidad, no obstante, la AEPD no circunscribe el objeto del tratamiento a tal reclamación, sino que excede ampliamente de su alcance.

Es decir, se aprovecha la existencia de dichas reclamaciones para tramitar una especie de "causa general", algo a lo que expresamente se refiere al tratar de vincular las reclamaciones con la "política general de la entidad en materia de protección de datos", en su Fundamento de Derecho III.

Señala que la actuación de la AEPD se asimila a la ya reprochada por esta Sección su Sentencia de 23 de abril 2019 (Rec. 88/2017) al no haber procedido a incoar un procedimiento sancionador, a partir de la denuncia de unos hechos concretos, y en el que respetando los principios que rigen tal procedimiento, haya llegado a una resolución sancionadora, después de hacer una valoración razonable de las pruebas, sino que ha hecho uso de un procedimiento sancionador para sentar una nueva doctrina acerca del alcance de las obligaciones de información y la base jurídica de los tratamientos llevados a cabo por la recurrente, sustentada además en meros dictámenes y recomendaciones a los que eleva a la categoría de fuente de derecho para alcanzar un resultado distinto del previsto en la norma.

A la vista del planteamiento de la actora, debemos tomar como punto de partida, que el artículo 63.2 de la LOPDGDD dispone: " Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos".

Por su parte, el artículo 65.2 de la misma ley establece "Cuando el procedimiento tenga por objeto la determinación de la posible existencia de una infracción de lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgánica, se iniciará mediante acuerdo de inicio adoptado por propia iniciativa o como consecuencia de reclamación".

Acuerdo de incoación, que según el artículo 63.1 de la Ley 39/2015, se iniciará siempre de oficio por acuerdo del órgano competente.

En el presente caso, el procedimiento sancionador se inicia como consecuencia de las reclamaciones interpuestas en relación con unos determinados hechos.

-El reclamante 1, presenta reclamación ante la AEPD el 16/12/18 frente a BBVA por el envío de mensajes a su línea móvil y en concreto, uno el 11/10/2018, ofreciéndole un préstamo de 9.000 €, sin haberlo autorizado, está inscrito en la lista Robinson desde hace tiempo.

BBVA informó a la Agencia que dicho reclamante mostró su conformidad al envió de publicidad mediante la suscripción, en fecha 7 de junio de 2016, del documento "Identificación del cliente, tratamiento de datos personales y firma digitalizada", que aporta, pero qué, no obstante, a la vista de la reclamación, ha procedido a inhabilitar la opción de recibir comunicaciones comerciales.

-Con fecha 9/12/2018 se presentó reclamación por el reclamante 2, alegando que el 6/6/2018 la financiera de BBVA le reconoció por carta su derecho de oposición al tratamiento de datos personales con fines comerciales y el 9/11/2018 la App móvil del BBVA para sistema Android, le requiere mediante pantalla emergente prestar el consentimiento y el alcance de dicho consentimiento solo podía conocerse mediante el enlace a otra página en la que aparecía por defecto activada la opción cesión de datos a terceros.

Aporta un correo dirigido a BBVA el miso 9/11/2018, en el que denunciaba que la citada aplicación requiere al usuario, como paso previo a su uso, prestar el consentimiento mediante la firma electrónica de un documento que solo ofrece la posibilidad de oponerse al tratamiento de datos personales para fines distintos a los necesarios de prestación de servicios financieros si el cliente activa las casillas de oposición a un tratamiento que por DEFECTO (véase artículo 25 RGPD) debieran considerarse como activadas. Añade que el texto informativo resulta poco coherente con el principio de trasparencia del artículo 12 RGPD y sobre todo porque tras activar las citadas casillas de oposición aparece una nueva pantalla emergente con una nueva advertencia que coarta la libertad del consentimiento.

El reclamante aportó a las actuaciones copia del documento generado por la App, con el rótulo "Declaración de Actividad Económica y Política de Protección de Datos Personales", en la que figuran marcadas todas las opciones habilitadas para que el interesado preste su consentimiento al tratamiento de los datos personales con las finalidades que en dichas opciones se expresan ("No quiero...").

BBVA respondió a ese correo mediante otro de fecha 29/11/2018 contestando que esa forma de recabar el consentimiento ha sido considerada valida ya que el interesado tiene la opción de escoger de una forma sencilla y fácilmente entendible la opción que prefiera y acerca de las pantallas emergentes que comenta el reclamante, BBVA entiende que debe proporcionar a los interesados la información necesaria para que sepan que sucede al activar dichas casillas, para que con toda información en su mano, decidan la opción que más les satisfaga.

Dicha reclamación se admitió a trámite directamente, sin oír a BBVA, por Acuerdo dictado el 12/2/2019, en la misma fecha en que se admitió a trámite la reclamación precedente.

-Posteriormente, el 13/2/2019 se presenta por el denunciante 3 una tercera reclamación, en la que relata que BBVA le bloqueo su cuenta por la Ley de prevención de blanqueo de capitales y para su desbloqueo tuvo que acudir el viernes 8/2/2019 a su oficina y entregar una serie de documentos, pero el lunes, seguía sin poder acceder a la cuenta pues tenía que suscribir el documento de protección de datos personales que le fue remitido telemáticamente ese mismo día, tras lo cual le desbloquean la cuenta. Señala, que la firma del documento de la LOPD tiene varias opciones que si desea puede o no marcar para el tratamiento de la información, "la cuestión es que no es posible en el momento de la firma, algo que tampoco informan si estas en la oficina firmando presencialmente en la tableta, en cambio en el email, indica que se lea atentamente". Añade, que la cuestión es que con la cuenta bloqueada no dejan margen de maniobra para valorar si se firma o se opone para otro día pasarse por la oficina y hacerlo de otra manera, ya que tampoco dispone de tiempo, por lo que entiende que la forma de proceder de la entidad no ha sido correcta.

Adjunta copia de un correo electrónico remitido desde BBVA con un archivo adjunto denominado LOPDDAE y el texto "tienes un documento pendiente de firma. Te recomendamos que leas con calma el documento que te enviamos antes de firmarlo". A continuación, se incluye un botón con la leyenda "Firma ahora" y seguidamente se le indica "Y también puedes firmar" informándole de los distintos canales que pone a su disposición (oficina, App, web y banca telefónica), para que "firmes como prefieras, haz clic sobre cada uno de ellos y te contamos como".

También un documento "Declaración de actividad económica y política de protección de datos personales" de 11/2/2019, sin firma, en el que figura marcada la opción "No quiero que BBVA trate mis datos para ofrecerme productos de BBVA, del Grupo BBVA y de otros personalizados para mí por email".

Reclamación que se trasladó a BBVA para que la analizase y remitiese la documentación precedente -obra en la página 86 del expediente recepción de la notificación en fecha 21 de mayo 2019- habiendo presentado dicha entidad alegaciones el 21 de junio de 2019 por correo certificado, cuyo contenido no consta en el expediente. Con el escrito de alegaciones al acuerdo de inicio presentó BBVA un ejemplar de la citada "Declaración de Actividad Económica y Política de Protección de Datos Personales" suscrito por el reclamante 3 en fecha 17/1/2019, en la que figura -página 869 del espediente- marcada la casilla no quiero que BBVA trate mis datos para ofrecerme productos y servicios de BBVA, del Grupo BBVA y de otros personalizados para mí, por email.

Se admitió a trámite por Acuerdo de 6/8/19.

-El reclamante 4 presentó el 23/5/2019 reclamación ante la AEPD por el envío de comunicaciones comerciales que no había solicitado ni autorizado, que ejerció su derecho de oposición, le comunicaron que habían adoptado las medidas oportunas para impedir en lo sucesivo el envío de publicidad de la entidad, dejó de recibir spams por correo electrónico, pero semanas después, ha seguido recibiendo comunicaciones comerciales vía SMS, que no contienen ningún mecanismo para efectuar baja, el último de ellos el 21 de mayo. Señala que, ante esta situación, envió un correo a BBVA solicitando ser incluido en el listado Robinson para dejar de seguir recibiendo dichas comunicaciones por cualquier vía remitiendo.

BBVA, en respuesta al traslado de la reclamación, contestó que inicialmente se le remitieron comunicaciones comerciales pues no se opuso al tratamiento de datos en el documento suscrito el 26/11/2018, que, tras ejercitar el derecho de oposición, comunicó por escrito al reclamante el 22/3/019 que se habían adoptado todas las medidas necesarias para impedir el envío de comunicaciones comerciales; que el 3/4/2019 dicho Sr. envió una comunicación manifestando qué ante la situación de estar recibiendo información comercial de BBVA, solicita ser incluido en el listado Robinson para dejar de recibir dichas comunicaciones por cualquier vía, respondiéndole por correo electrónico de 10/4/2019 que se habían adoptado las medidas oportunas para el cese de dichos envíos por cualquier vía. Tras estudiar el caso, señala BBVA, se ha comprobado que el teléfono móvil al que se mandaron los mensajes no figura asociado al cliente en las bases de datos de la entidad, y que no se han enviado comunicaciones publicitarias al correo electrónico que del denunciante figura en los sistemas de la entidad.

Posteriormente, manifestó BBVA que los SMS recibidos en el teléfono del reclamante el 10/4/2019 y el 21/5/2019 fueron enviados desde el móvil corporativo de un gestor comercial de una oficina de BBVA, sin comprobar que estaba incluido en la lista Robinson, que para evitar estas situaciones, BBVA ha enviado un comunicado a toda la red comercial de la entidad para recordar a las oficinas que se abstengan de enviar este tipo de comunicaciones sin haber consultado previamente los listados de personas que han ejercitado su derecho de oposición, y se ha publicado en la intranet un comunicado informando y recordando los requisitos legales que deben cumplir las comunicaciones comerciales enviadas a clientes a través de SMS y otros medios electrónicos.

Se admitió a trámite la reclamación por acuerdo del 13/9/19.

-La quinta reclamación se presentó el 27/8/2019 manifestando el reclamante que sigue recibiendo llamadas telefónicas y envíos de SMS publicitarios, a pesar de que había ejercitado su derecho de oposición a que sus datos fueran cedidos a empresas para prospecciones comerciales o publicitarias y de haber recibido el 7 de marzo de 2018 carta de BBVA (que aporta) comunicándole que se aplica el derecho de oposición ejercitado. Que se puso en contacto con su gestora BBVA y con fecha 27/5/2019 le dice que está resuelto, pero sigue recibiendo llamadas de dos números de BBVA para ofrecerle seguros, tarjetas de crédito y financiación para sus recibos de seguro.

Aporta también, como anexo 2, mensajes entre el reclamante y su gestora BBVA, en el primero de fecha 26/5/2019 manifiesta que dado que continua recibiendo mensajes publicitarios, solicita nuevamente su deseo de no recibir publicidad, respondiendo su gestora al día siguiente con un mensaje de disculpa y remitiéndole la actualización de sus datos donde se recoge que no quiere ser contactado comercialmente, para si está de acuerdo lo formalice a través de la App, contestando el reclamante el mismo día 27 que estaba de acuerdo y lo firmaba una vez se corrigiera un dato referente a su estado civil, mandándoselo a la firma ese mismo día ya corregido.

Trasladada la reclamación a BBVA, alega que el 7/3/2018 comunicó al reclamante haber accedido a su petición de impedir la cesión de sus datos personales a terceros y de paralizar el envío de comunicaciones comerciales por cualquier canal derecho de oposición, pero el 18/6/2018 dicho reclamante firmó digitalmente el documento "Declaración de actividad económica y política de protección de datos personales", que adjunta, prestando su consentimiento al tratamiento de datos con fines comerciales, a pesar de que se le daba la oportunidad de oponerse a la utilización de sus datos para ofrecerle productos y servicios de BBVA, del Grupo BBVA y de otros productos especializados por varios canales. El 26/5/2019 el reclamante se puso en contacto con su gestora en el banco dado que seguía recibiendo mensajes publicitarios y al rellenar el formulario relativo a la "Declaración de actividad económica y política de protección de datos personales", a través de la banca a distancia de BBVA, se opuso al envió de dichas comunicaciones y BBVA el 27/5/2019 adoptó las medidas necesarias para impedir su envío.

Añade que el reclamante tenía contratadas dos pólizas de seguros con BBVA Seguros, a la que pertenecían las líneas desde las que le llamaron los días 20, 21 y 27 de agosto, con posterioridad al 27/5/2019, y que BBVA trasladó el escrito de oposición del reclamante a BBVA Seguros, que tomó las medidas oportunas para el cese de las comunicaciones comerciales el mismo día 27/8/2019.

Es decir, de las cinco reclamaciones interpuestas, tres (la primera, cuarta y quinta) versan sobre el tratamiento de datos de los reclamantes con fines comerciales después de haber ejercitado el derecho de oposición a la recepción de dichas comunicaciones o de estar incluidos en la lista Robinson. La tercera, también versa sobre el tratamiento de datos con fines comerciales y la segunda, así mismo está conectada con el derecho de oposición ejercitado por el reclamante y con la forma de obtener el consentimiento en la App del BBVA al activar las casillas de oposición a un tratamiento que por defecto debieran verse activadas.

Ahora bien, la AEPD no examina dichas reclamaciones que se refieren a unos determinados hechos, ni en los fundamentos de derecho hace una valoración de las pruebas practicadas en relación con las mismas, ni se conectan con el documento de privacidad, sino que se vale de las mismas para abrir una especie de causa general contra la política de privacidad de BBVA recogida en el documento "Declaración de actividad económica y política de protección de datos personales".

El hecho de que se haya hecho alusión por BBVA y se haya aportado la suscripción de dicho documento en relación con unos hechos determinados hechos faculta a la AEPD para investigar dichos hechos o el "motivo de la reclamación" como señala el artículo 57.1.f) del RGPD, pero no para abrir contra BBVA en un procedimiento sancionador incoado como consecuencia de dichas reclamaciones, un procedimiento contra la política de protección de datos personales de la entidad.

Señala la resolución sancionadora - página 1624 del expediente- que la doctrina aplicada en la SAN de 23 de abril de 2019 (Rec. 88/2017) es aplicada a hechos anteriores al RGPD el cual establece un régimen jurídico nuevo y distinto que ha de tenerse en cuenta en el procedimiento. Sin embargo, en relación con el examen del presente motivo y en lo que ahora nos atañe, no cabe apreciar ninguna modificación sustancial, por cuanto el artículo 28 de la Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, entonces vigente y ahora derogada por el RGPD, ya contemplaba que la autoridad de control entenderá de las solicitudes que se le presentare en relación con la protección de sus derechos y libertades respecto del tratamiento de datos personales, siendo dicha autoridad de control quienes se encargan de vigilar la aplicación de las disposiciones de la citada Directiva. En la misma línea el artículo 37 de la Ley Orgánica 15/1999, de 13 de diciembre, (LOPD), también derogada, al tratar de las funciones de la Agencia Española de Protección de Datos, establecía en su apartado 1, entre otras, como tales: a) Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación; d) atender las reclamaciones formuladas por las personas afectadas. En cualquier caso, los principios y garantías del derecho sancionador no se han visto modificados por el RGPD.

Indica también la AEPD en la misma página del expediente que a diferencia del caso contemplado en dicha sentencia, "en la presente resolución se hace referencia a las concretas denuncias, se efectúa una valoración individualizada de las pruebas practicadas en torno a las mismas, que son conductas concretas e individualizas en relación a unas determinadas personas físicas pero que además trascienden a dichas denuncias".

Al respecto hay que señalar, que si bien en los hechos probados de la propuesta de resolución y resolución sancionadora, así como en los Hechos del acuerdo de inicio, se hace referencia a las cinco reclamaciones, los Fundamentos de Derecho se centran en el examen del documento "Declaración de actividad económica y política de protección de datos personales", pero sin efectuar ninguna valoración de las pruebas practicadas respecto de las mismas en los Fundamentos de derecho que se centran en analizar la política de privacidad de BBVA, en general, sin conectarla con las citadas reclamaciones.

Y si no se examinan las citadas conductas concretas, difícilmente se puede colegir, en el presente procedimiento, que trascienden a dichos casos y son un botón de muestra de la política de privacidad viéndose afectados todos los clientes de la entidad.

Así las cosas, resulta aplicable al caso de autos la doctrina establecida en nuestra sentencia de 29 de abril de 2019. En dicha sentencia hacíamos referencia a los principios del procedimiento administrativo sancionador, como el de tipicidad, que según señala la STS de 28 de mayo de 2009 (Rec. 172/2003), conforme a reiterada doctrina del Tribunal Constitucional, "se traduce en la imperiosa exigencia de predeterminación normativa de las conductas ilícitas y de las sanciones correspondientes". Este principio es una proyección de la necesidad de certidumbre que debe guiar el ejercicio de la potestad sancionadora de la Administración que recoge el artículo 25.1 CE y cuyo fundamento se encuentra en el respeto de otros dos valores como son la libertad y la seguridad jurídica.

Además, también señalábamos como otro elemento determinante del procedimiento sancionador el de valoración de la prueba, que según la doctrina tanto del Tribunal Constitucional como del Tribunal Supremo se encuentra íntimamente ligado al principio de presunción de inocencia, y que exige que el fallo condenatorio se apoye en verdaderos actos de prueba que han de ser conformes a la Ley y a la Constitución, y como hemos dicho la resolución no hace ninguna específica valoración de las pruebas en relación con las citadas denuncias, sino que se limita a recogerlas en los hechos probados, pero sin hacer una valoración específica de las mismas.

Por tanto, como dijimos en la tan citada Sentencia de 23 de abril de 2019, considera la Sala que "la AEPD no ha procedido a incoar un procedimiento sancionador, a partir de la denuncia de unos hechos concretos, y en el que respetando los principios que rigen tal procedimiento, haya llegado a una resolución sancionadora después de hacer una valoración razonable de las pruebas".

No se puede considerar, como hace la AEPD, que se ha producido una vulneración del principio de trasparencia y del consentimiento por la propia existencia y contenido de la política de protección de datos.

Sería en todo caso, una infracción potencial que no está castigada por las normas de protección de datos. Si se hubiera probado la existencia de las infracciones individuales podría considerarse que la propia "Política" favorece su comisión. Al no ser así, no se puede afirmar la existencia de infracción, para lo que, además, una muestra tan pequeña (5 reclamaciones), sobre una base de unos ocho millones, no sería concluyente.

En consecuencia, a tenor del criterio seguido en la citada Sentencia de 23 de abril de 2019, no habiendo sido respetados los principios de la potestad sancionadora más arriba expuestos y teniendo en cuenta que según el Considerando 129 del RGPD, los poderes de las autoridades de control deben ejercerse de conformidad con garantías procesales adecuadas establecidas en el Derecho de la Unión y los Estados miembros, procede la estimación del motivo y en definitiva del recurso contencioso administrativo interpuesto”“.

Por tales razones, la Sala de la Audiencia Nacional acuerda estimar el recurso contencioso-administrativo y anular la resolución sancionadora de la AEPD.

CUARTO.- Notificada a las partes la sentencia, preparó recurso de casación contra ella la Agencia Española de Protección de Datos, siendo admitido a trámite el recurso por auto de la Sección Primera de esta Sala de 29 de junio de 2023 en el que, asimismo, se acuerda la remisión de las actuaciones a la Sección Tercera.

En la parte dispositiva del auto de admisión se acuerda, en lo que ahora interesa, lo siguiente:

““ 2.º) Declarar que la cuestión planteada en el recurso que presenta interés casacional objetivo para la formación de la jurisprudencia consiste en interpretar los artículos 57 y 58.2 del Reglamento (UE) 2016/79 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y 63, 64 y 65 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, a fin de determinar si, presentada una reclamación ante la Agencia Española de Protección de Datos, la actuación de ésta queda vinculada al contenido de dicha reclamación, en concreto a los hechos objeto de reclamación y a su encaje y tipificación en los tipos descritos en la norma, o si puede tramitar y resolver el procedimiento sancionador al margen de las causas y los hechos en los que se fundan las reclamaciones presentadas.

3.º) Identificar como normas jurídicas que, en principio, serán objeto de interpretación: artículos 57, 58.2 77, 78, 79 y 83 del Reglamento (UE) 2016/79 del Parlamento Europeo y del Consejo, de 27 de abril de 2016; artículos 63, 64 y 65 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales; y artículos 58, 62, 64, 88, 89.3 y 90.2 de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común. Todo ello, sin perjuicio de que la sentencia pueda extenderse a otras cuestiones y normas jurídicas si así lo exigiere el debate finalmente trabado en el recurso, ex artículo 90.4 de la LJCA.”“

QUINTO.- La representación procesal de la Agencia Española de Protección de Datos formalizó la interposición de su recurso de casación mediante escrito presentado el 13 de septiembre de 2023 en el que, tras exponer los antecedentes del caso y los datos que considera relevantes, la parte recurrente desarrolla los argumentos en los que basa su impugnación.

En lo que interesa para la resolución del presente recurso de casación, las alegaciones de la parte recurrente las sintetizaremos en los siguientes puntos:

1/ Con motivo de varias reclamaciones formuladas por clientes de BBVA, la AEPD tuvo conocimiento de la utilización por dicha entidad de un formulario de recogida de datos personales denominado "Declaración de actividad económica y política de protección de datos personales", mediante el que da a conocer su política de protección de datos personales o política de privacidad, expone los tratamientos de datos que realiza y dispone el mecanismo para que los clientes puedan prestar su consentimiento al tratamiento de datos personales.

La AEPD consideró, y así se pone de manifiesto desde el mismo acuerdo de inicio del procedimiento sancionador, que existían indicios sobre la no adecuación de aquel documento a los requisitos legales y acordó la apertura de procedimiento sancionador con el objeto específico de analizar dicho formulario de recogida de datos personales, determinar su alcance y las posibles irregularidades que pudieran apreciarse desde el punto de vista de la normativa de protección de datos personales.

2/ En el apartado de "hechos probados" de la resolución sancionadora se describen brevemente las cinco reclamaciones recibidas de distintos particulares relacionadas con el tratamiento de sus datos personales por parte del BBVA. En cuatro de esas cinco reclamaciones, presentadas entre el 11-10-2018 y el 27-8-19, bien se aporta, bien se hace una remisión expresa al documento denominado " Declaración de actividad Económica y Política de Protección de Datos Personales", señalando que se trata de un formulario sobre la recogida de datos personales, habilitado por BBVA con la finalidad de adecuar sus actuaciones al RGPD.

Ya en los fundamentos jurídicos de la resolución sancionadora se constata que no existe impedimento alguno para tramitar un solo procedimiento que tenga origen en varias reclamaciones dirigidas contra un mismo responsable (Fto. II); y el Fto. III del propio el acuerdo desarrolla los argumentos para justificar el objeto y alcance del procedimiento.

3/ La "reclamación" de los afectados, que es el trasunto en el RGPD y la LOPDGDD de la "denuncia" en el procedimiento administrativo, puede llevar a conocimiento de la autoridad de control no sólo conculcaciones de los derechos del interesado regulados en los artículos 15 a 22 RGPD (véase artículo 63.1 LOPDGDD) sino que pueden ser también un vehículo a través del cual la AEPD conoce la "posible" existencia de otras infracciones del RGPD (artículo 64.2 LOPDGDD), trascendiendo de esa forma lo que son las reclamaciones individuales y dando lugar a la posibilidad de iniciar el procedimiento sancionador previsto en el Título VIII LOPDGDD (artículo 64.2 en relación con el artículo 68 de la Ley Orgánica). Lo que en ningún caso se recoge en la norma es que la actuación de la autoridad de control quede restringida a los hechos que constituyen la específica y concreta queja de los afectados.

Además, el RGPD no ha limitado las funciones o competencias de las autoridades de control independientes a la condición de mero órgano sancionador, sino que le ha atribuido directamente la facultad de determinar cuáles son los criterios de aplicación de la normativa de protección de datos, de manera que si bien el responsable del tratamiento está sujeto conforme al RGPD a una responsabilidad proactiva, corresponde a las autoridades de control la determinación de cuál ha de ser la correcta forma de llevar a cabo un determinado tratamiento de datos personales.

4/ Se plantea aquí la cuestión de si cabe considerar que el examen por una autoridad de control (la AEPD) de la política de privacidad de un responsable (como el BBVA) cuando dicho responsable alega que dichos tratamientos, sobre los que el interesado (en este caso, cinco interesados) ha presentado reclamación ante la AEPD -con cita expresa en sus reclamaciones a la política de privacidad, incluso con cuestionamiento de tal documento-, están justificados por haber el interesado aceptado dicho política de privacidad, supone un tratamiento de datos que "conciernen al interesado".

Entendemos que sí y que, por tanto, dado que el responsable (BBVA) trata dichos datos personales "que conciernen a los reclamantes" como consecuencia de haber aceptado los interesados la política de protección de datos personales del BBVA, la autoridad de control está obligada a examinar dicha política como parte de la investigación acerca de la posible infracción al RGPD que se desprende de las reclamaciones planteadas por los interesados. Es más, esa obligación de investigar de la autoridad de control la impone directamente el artículo 78.2 RGPD transcrito más arriba. Y, teniendo presente el objetivo que persigue el RGPD, tal como ha sido declarado por el TJUE ( STJUE asunto C-319/20, apartado 73), se justifica una interpretación amplia del término "concernir", y dicha amplitud ha de alcanzar a considerar como concernientes al interesado, para asegurar a este una elevada protección de sus derechos y libertades, los tratamientos de datos derivados de la aceptación por el interesado de la política de privacidad del responsable, alegada por el responsable como justificativa de los tratamientos de datos a que se refieren las reclamaciones.

Sobre la base de las anteriores consideraciones puede afirmarse, en resumen, que la "Declaración de actividad económica y política de protección de datos personales" es un elemento de cargo, en sí mismo, con suficiente valor probatorio, y constituye un verdadero acto de prueba en relación con la sanción.

5/ Conclusión. La AEPD recibió entre 11 de octubre de 2018 y el 27 de agosto de 2019 hasta cinco reclamaciones de clientes de BBVA relativas al tratamiento de datos personales. En cuatro de ellas, la cuestión se relacionaba expresamente con el documento "Declaración de actividad económica y política de protección de datos personales", y en todas ellas esa política venía a predeterminar la actuación censurada por los interesados.

La AEPD, sobre la base de las facultades conferidas por el RGPD y LOPDGGD, inició expediente sancionador cuyo objeto, sin dejar de estar vinculado a las reclamaciones presentadas por los afectados, era el propio documento de "Declaración de actividad económica y política de protección de datos personales".

Para la Sala de instancia, esa forma de actuar es censurable porque la AEPD " no examina dichas reclamaciones que se refieren a unos determinados hechos, ni en los fundamentos de derecho hace una valoración de las pruebas practicadas en relación con las mismas, ni se conectan con el documento de privacidad, sino que se vale de las mismas para abrir una especie de causa general contra la política de privacidad de BBVA recogida en el documento". Sin embargo, consideramos que el juicio de la Sala de instancia es excesivamente restrictivo y que la AEPD estaba facultada para actuar como lo hizo, a la vista de un documento que se ha aportado al expediente sancionador, que está vinculado a las reclamaciones y que puede ser objeto de examen, con la finalidad de evaluar su conformidad con la normativa de protección de datos, acudiendo al procedimiento sancionador previsto en la normativa, imponiendo la correspondiente sanción.

En la formulación del auto de admisión, lo que debe decidirse es si la AEPD puede resolver un procedimiento sancionador "al margen de las causas y los hechos en los que se fundan las reclamaciones" concretas presentadas. La respuesta, a nuestro modo de ver, ha de ser positiva por partida doble: en primer término, porque la AEPD no actúa al margen de las reclamaciones presentadas, aunque realiza una abstracción de los hechos para enjuiciar la política de protección de datos y, en segundo término, porque una vez que tiene conocimiento del documento, la autoridad de control viene obligada a examinar si incurre o no en infracción de la normativa de protección de datos.

La representación de la AEPD solicita que la sentencia que se dicte en el presente recurso de casación establezca la siguiente doctrina:

Presentada una reclamación ante la Agencia Española de Protección de Datos, la actuación de ésta no queda vinculada al contenido de dicha reclamación, en concreto a los hechos descritos en la misma y a su encaje y tipificación en los tipos descritos en la norma, de manera que puede tramitar y resolver un procedimiento sancionador al margen de las causas y los hechos en los que se fundan las reclamaciones presentadas, cuando a través de ellas se tiene conocimiento de documentos o criterios generales seguidos por el responsable del tratamiento que pueden infringir la normativa de protección de datos, que van a constituir el objeto de ese procedimiento.

Termina el escrito solicitando que se dicte sentencia que fije doctrina en los términos señalados y que estime el recurso de casación, revocando la sentencia recurrida y confirmando en todos sus extremos la resolución de la AEPD de 18 de noviembre de 2020.

SEXTO.- Recibidas las actuaciones en esta Sección Tercera, mediante providencia de 19 de septiembre de 2023 se tuvo por interpuesto el recurso y se dio traslado a la parte recurrida para que pudiese formular su oposición.

SÉPTIMO.- La representación procesal del BANCO BILBAO VIZCAYA ARGENTARIA S.A. (BBVA) formalizó su oposición mediante escrito presentado el día 13 de noviembre de 2023 en el que expone los fundamentos jurídicos en los que sustenta su oposición. De sus alegaciones interesa reseñar aquí las siguientes:

1/ De la lectura del expediente administrativo se desprende que la actuación de la AEPD durante la fase previa a la incoación del procedimiento sancionador se limitó únicamente a (i) la recepción de las cinco reclamaciones detalladas los fundamentos de derecho segundo y quinto de la sentencia de instancia; (ii) su traslado, en cuatro de los cinco casos, a mi representada, a fin de que alegase lo que estimase pertinente en relación con ellas; y (iii) la admisión a trámite de las reclamaciones.

No consta en el expediente actuación alguna de la AEPD, ni frente a BBVA ni acreditativa de ninguna investigación adicional efectuada por aquélla, que se encuentre relacionada con el que luego resultó ser el objeto del procedimiento sancionador tramitado contra BBVA. No consta siquiera la existencia de una valoración previa por la AEPD acerca de si de la política de privacidad de mi representada (contenida en la "Declaración de actividad económica y política de protección de datos personales") podía derivarse la comisión de las infracciones que a la misma se imputaban en las reclamaciones ni ninguna otra actuación de investigación encaminada a valorar la citada política de privacidad.

De este modo, la AEPD, pura y simplemente, y sin investigación alguna, procedió a la apertura de un procedimiento sancionador contra BBVA por unos hechos que ninguna relación guardaban con las reclamaciones formuladas contra la Entidad, tal y como indica la sentencia de instancia, sin analizar ni valorar siquiera con carácter previo los hechos imputados en el acuerdo de inicio. Tampoco existe actuación alguna de la AEPD dirigida a mi representada a fin de que efectuase ninguna aclaración o aportase documento alguno relacionado con la citada Política de Privacidad.

En definitiva, la AEPD se limitó a admitir a trámite a las reclamaciones pero en ningún caso pretendió resolver sobre ellas sino que las utilizó como pretexto para la apertura de un procedimiento que en nada guarda relación con aquéllas.

2/ Lo que se encuentra en discusión en este litigio no es el alcance de las competencias que las normas de protección de datos otorgan a las autoridades de control en la materia sino el modo en que las mismas pueden ejercerse de forma que se respeten los principios y derechos que la Constitución y las leyes otorgan a los administrados, algo que la sentencia de instancia considera que no ha ocurrido en este caso, en que, la actuación de la AEPD ha conculcado, entre otros:

El principio de seguridad jurídica, quebrantada por el hecho de haberse aportado por mi representada, en respuesta a la información requerida y relacionada con una reclamación, un documento, la política de privacidad de BBVA, en la confianza de que con ello se ponía de manifiesto la improcedencia de aquella reclamación, al constar prestado el consentimiento por el reclamante, siendo posteriormente dicho documento utilizado por la AEPD en su perjuicio.

El principio de interdicción de la arbitrariedad de los poderes públicos, vulnerado cuando la AEPD decide arbitrariamente, y de forma completamente sorpresiva para BBVA, ampliar el contenido del expediente, sin conocimiento alguno por mi mandante, a cuestiones en nada relacionadas con las reclamaciones sobre las que se había solicitado información, realizando además una interpretación de las normas de protección de datos personales inédita hasta el momento de proceder a la apertura del procedimiento.

El principio de culpabilidad, vulnerado cuando se toma un total de cinco reclamaciones sobre un total de más de ocho millones de clientes, lo que para la Sala de instancia no constituye una muestra significativa, para imponer a mi mandante sendas sanciones por un total de cinco millones de euros sobre la base de lo que la sentencia recurrida considera "una infracción potencial que no está castigada por las normas de protección de datos".

3/ Se afirma de contrario, citando para ello parte de lo razonado por la AEPD en el fundamento de derecho III de la resolución, que existe una vinculación entre las reclamaciones formuladas y el objeto del procedimiento, recordando que la resolución hace referencia a las reclamaciones, que considera significativas de lo que parece considerar una infracción sistémica por parte de BBVA de las normas de protección de datos. Esta afirmación, sin embargo, se contradice con una simple lectura del citado fundamento de derecho III de la resolución, del que resulta de modo absolutamente palmario que el objeto del procedimiento ninguna relación guarda con las concretas reclamaciones que le han sido formuladas, acerca de las cuales nada se dice en la resolución, salvo para su inclusión en el relato de hechos probados. Ni siquiera, frente a lo señalado por el artículo 57.1 g) del RGPD, en conexión con su artículo 77, se resuelve por la AEPD acerca del contenido de las reclamaciones formuladas, que sólo constituyen una excusa para la apertura de lo que la sentencia de instancia denomina "causa general contra la política de privacidad de BBVA".

Es la propia AEPD la que desvincula de modo expreso su actuación de la obligación de atender y resolver las reclamaciones formuladas contra BBVA, a cuya atención se encuentra obligada por el RGPD, sobre la base de considerar que "[...] cuando una actuación que se considera incorrecta deriva de una política general adoptada por el responsable del tratamiento, de manera que no se trata de errores puntuales en cinco casos, sino que dichos cinco casos son tan sólo el botón o la muestra de una política general adoptada que se considera en infracción del RGPD, la infracción no reside exclusivamente en los cinco casos examinados sino en la política de privacidad adoptada por el responsable. Será dicha política de privacidad la que constituya una infracción del RGPD, y no solamente las infracciones concretas basadas en dicha política de privacidad".

Todo ello pone de manifiesto la manifiesta vulneración por parte de la AEPD del principio de seguridad jurídica, con la consiguiente transgresión del principio de confianza legítima y la generación de una situación de irremediable indefensión para mi representada, al quebrantarse la coherencia y predictibilidad en la aplicación de la norma, que sujeta la actuación de la AEPD a la necesaria atención de la reclamación formulada y vincula a dicha reclamación la actuación que aquélla dirigió contra mi representada. Porque si la actuación de la AEPD se desvincula de las reclamaciones formuladas no cabría, como dice la sentencia de instancia, hablar de una infracción del RGPD sino de "una infracción potencial que no está castigada por las normas de protección de datos".

4/ La parte recurrente pretende dar a entender que la actuación de la AEPD en este caso no es estrictamente sancionadora. Sin embargo, basta la lectura de la parte dispositiva de la resolución para confirmar lo contrario. La AEPD no se limita a hacer uso de sus potestades para indicar a BBVA cómo debe cumplir sus deberes de información o solicitar el consentimiento de los interesados, sino que le impone sendas sanciones, de dos y tres millones de euros, por considerar infringidos los artículos 13 y 14 del RGPD y 6.1 del RGPD, respectivamente.

Si la AEPD, al tener conocimiento de la política de privacidad de BBVA y el modo en que la entidad recaba los consentimientos de sus clientes, hubiera llevado a cabo, con audiencia de mi representada, actuaciones encaminadas a "ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado" (artículo 58.2 d) del RGPD), mi mandante no podría considerar vulnerados los principios que rigen el derecho administrativo sancionador, dado que la actuación tuitiva de la AEPD habría tenido por objeto garantizar el adecuado cumplimiento por BBVA de las disposiciones en materia de protección de datos personales. Sin embargo, no ha sido ésta la actuación seguida por la AEPD, sino que la misma, desentendiéndose por completo de las reclamaciones que le fueron formuladas, optó por tramitar, de forma completamente sorpresiva, un procedimiento sancionador (y no de otra naturaleza), sin siquiera efectuar actuación alguna de investigación ni valorar la licitud de lo denunciado por los reclamantes. Y es aquí donde debe considerarse que esa actuación quebranta los principios y derechos que asisten a BBVA, rompiendo la expectativa razonable acerca de la actuación de la Administración, que sólo se relacionó con mi representada para recabar información acerca de las reclamaciones formuladas, quebrando así los principios de seguridad jurídica, culpabilidad, confianza legítima e interdicción de la arbitrariedad de los poderes públicos y generando una situación de absoluta indefensión a BBVA, a la que ni siquiera informó acerca de la situación de los expedientes, conforme exige la normativa de procedimiento administrativo, pese a las reiteradas ocasiones en que mi mandante solicitó esa información.

De este modo, no existiendo una modificación sustancial por el RGPD de las normas que establecen las funciones y potestades de las autoridades de control, no es posible considerar infringidos los artículos 57 y 58 del RGPD.

5/ Atendiendo a los términos en que la cuestión aparece planteada en el auto de admisión del recurso de casación, se solicita de la Sala a la que nos dirigimos que fije la siguiente doctrina:

Presentada una reclamación ante la Agencia Española de Protección de Datos, su actuación queda vinculada al contenido de dicha reclamación, en concreto a los hechos descritos en la misma y a su encaje y tipificación en los tipos descritos en la norma, sin perjuicio de su potestad de poder iniciar una nueva investigación y, en su caso, tramitar un nuevo procedimiento sancionador, con todas las garantías y respetando íntegramente los principios del derecho administrativo sancionador, en el supuesto en que apreciase la existencia de otras conductas o actuaciones seguidos por el responsable del tratamiento que pudieran infringir la normativa de protección de datos.

Termina el escrito presentado por BBVA solicitando que se dicte sentencia en la que se desestime el recurso de casación, por ser la sentencia de instancia plenamente conforme a derecho. Subsidiariamente, para el caso de que la Sala estimase el recurso de casación, se solicita que se dicte sentencia que estime el recurso contencioso-administrativo interpuesto por BBVA contra la resolución de la Directora de la Agencia Española de Protección de Datos de 18 de noviembre de 2020, al resultar la misma contraria a derecho.

OCTAVO.- Mediante providencia de 4 de octubre de 2024 se acordó no haber lugar a la celebración de vista y quedaron las actuaciones pendientes de señalamiento para votación y fallo; fijándose finalmente al efecto el día 5 de noviembre de 2024, fecha en que tuvo lugar la deliberación y votación.

FUNDAMENTOS DE DERECHO

PRIMERO.- Objeto del recurso de casación. Ámbito del debate casacional.

El presente recurso de casación n.º 2960/2023 lo interpone la representación procesal de la Agencia Española de Protección de Datos contra la sentencia de la Sección 1.ª de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 23 de diciembre de 2022 (recurso contencioso-administrativo n.º 104/2021).

Como hemos visto en el antecedente primero, la sentencia de la Sala de la Audiencia Nacional, ahora recurrida en casación, estima el recurso contencioso- administrativo interpuesto en representación de Banco Bilbao Vizcaya Argentaria S.A. (BBVA) y anula la resolución de la Agencia Española de Protección de Datos de fecha 18 de noviembre de 2020 (PS/00070/2019) en la que se acordaba imponer a BBVA dos multas por importe de 2.000.000 euros y 3.000.000 euros como responsable de sendas infracciones del Reglamento General de Protección de Datos - Reglamento (UE) 2016/79 del Parlamento Europeo y del Consejo, de 27 de abril de 2016- y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.

En el antecedente segundo hemos dejado reseñados los hechos que la Agencia Española de Protección de Datos declara probados la resolución, así como las razones que se exponen en la sentencia recurrida -en lo que interesa al presente recurso de casación- para fundamentar la estimación del recurso contencioso-administrativo y consiguiente anulación de la resolución sancionadora impugnada en el proceso.

Procede entonces que entremos a examinar las cuestiones suscitadas en casación, en particular la señalada en el auto de la Sección Primera de esta Sala de 29 de junio de 2023. Y, como hemos visto en el antecedente cuarto, en ese auto de admisión del recurso se declara que la cuestión que presenta interés casacional objetivo para la formación de la jurisprudencia consiste en interpretar los artículos 57 y 58.2 del Reglamento (UE) 2016/79 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y 63, 64 y 65 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, a fin de determinar si, presentada una reclamación ante la Agencia Española de Protección de Datos, la actuación de ésta queda vinculada al contenido de dicha reclamación, en concreto a los hechos objeto de reclamación y a su encaje y tipificación en los tipos descritos en la norma, o si puede tramitar y resolver el procedimiento sancionador al margen de las causas y los hechos en los que se fundan las reclamaciones presentadas.

Además de los preceptos del Reglamento (UE) 2016/79 y de la Ley Orgánica 3/2018 que acabamos de citar, el auto de admisión del recurso identifica como normas jurídicas que, en principio, serán objeto de interpretación los artículos 58, 62, 64, 88, 89.3 y 90.2 de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común. Todo ello, indica el propio auto, sin perjuicio de que la sentencia pueda extenderse a otras cuestiones y normas jurídicas si así lo exigiere el debate finalmente trabado en el recurso, ex artículo 90.4 de la LJCA.

En fin, a fin de delimitar el ámbito del debate casacional debemos señalar que en los apartados que siguen nos ceñiremos a examinar la cuestión señalada en el auto de admisión del recurso, con las matizaciones que más adelante haremos sobre la manera en la que aparece formulada. Quedan así fuera de nuestro análisis otras cuestiones y argumentos de impugnación que fueron debatidas en el proceso de instancia, y sobre las que se pronuncia la sentencia recurrida, pero que son ajenas al debate suscitado en casación.

SEGUNDO.- Criterio de esta Sala.

A/ Tiene razón la representación de BBVA, parte recurrida, cuando señala que lo que se encuentra en discusión en este recurso no es el alcance de las competencias que la normativa sobre protección de datos otorga a las autoridades de control en la materia sino el modo en que las mismas pueden ejercerse de forma que se respeten los principios y derechos que la Constitución y las leyes otorgan a los administrados.

Partiendo de lo anterior, y siguiendo la síntesis que ofrece la misma representación de BBVA (páginas 7 y 8 del escrito de oposición al recurso de casación), la sentencia de instancia considera que en el caso que examinamos la actuación de la AEPD ha conculcado, entre otros: i) el principio de seguridad jurídica, quebrantada por el hecho de haberse aportado por BBVA, en respuesta a la información requerida y relacionada con una reclamación, un documento, la política de privacidad de BBVA, en la confianza de que con ello se ponía de manifiesto la improcedencia de aquella reclamación, al constar prestado el consentimiento por el reclamante, siendo posteriormente dicho documento utilizado por la AEPD en su perjuicio; ii) el principio de interdicción de la arbitrariedad de los poderes públicos, vulnerado cuando la AEPD decide arbitrariamente, y de forma completamente sorpresiva para BBVA, ampliar el contenido del expediente, sin conocimiento alguno por mi mandante, a cuestiones en nada relacionadas con las reclamaciones sobre las que se había solicitado información, realizando además una interpretación de las normas de protección de datos personales inédita hasta el momento de proceder a la apertura del procedimiento; y iii) el principio de culpabilidad, vulnerado cuando se toma un total de cinco reclamaciones sobre un total de más de ocho millones de clientes, lo que para la Sala de instancia no constituye una muestra significativa, para imponer a BBVA sendas sanciones por un total de cinco millones de euros sobre la base de lo que la sentencia recurrida considera "una infracción potencial que no está castigada por las normas de protección de datos".

Pues bien, no compartimos el parecer de la Sala de la Audiencia Nacional que acabamos de reseñar; y ello por las razones que pasamos a exponer en los puntos que siguen.

1) De los datos que se recogen en los antecedentes primero a quinto de la resolución de la AEPD impugnada en el proceso, así como en la relación de hechos probados y en el fundamento jurídico I de la propia resolución, resulta que en las cinco reclamaciones que dieron lugar a la incoación del procedimiento sancionador estaba directamente concernido, de manera expresa o implícita, el documento emitido por BBVA denominado "Declaración de actividad económica y política de protección de datos personales", documento este al que varios de los reclamantes dedicaban menciones expresas, con aportación de la información disponible en la App de BBVA y de formularios cumplimentados al amparo de la citada "Declaración de actividad..."; ello sin perjuicio de la aportación al expediente del documento completo por parte de BBVA. Por tanto, no cabe apreciar que se haya vulnerado el principio de seguridad jurídica por el hecho de que en el curso del procedimiento sancionador haya sido examinado y valorado el contenido del documento al que nos venimos refiriendo, ni es cierto que tal examen se haya producido de manera sorpresiva tras haberlo aportado BBVA como documento en su defensa frente a una de las reclamaciones.

2) No ha existido vulneración del principio de interdicción de la arbitrariedad de los poderes públicos; y no es cierto que la AEPD decidiese de manera arbitraria y sorpresiva para BBVA, sin conocimiento alguno por parte de la entidad bancaria, ampliar el contenido del expediente a cuestiones en nada relacionadas con las reclamaciones que habían dado origen a su actuación. Muy al contrario, además de reiterar que en aquellas reclamaciones originarias había referencias expresas o implícitas al documento de BBVA denominado "Declaración de actividad económica y política de protección de datos personales", fácilmente se constata que ya en el acuerdo de incoación del procedimiento sancionador (véase antecedente octavo de la resolución administrativa sancionadora) se hacía expresa referencia a las imprecisiones, insuficiencias y carencias de ese documento emitido por BBVA y a las infracciones que tales deficiencias podrían albergar. Y sobre todo ello tuvo ocasión BBVA de formular alegaciones, y efectivamente lo hizo, tanto cuando se le dio traslado de aquel acuerdo de inicio del procedimiento (antecedente noveno de la resolución sancionadora) como, más adelante, cuando se le notificó la propuesta de resolución (antecedente decimotercero de la resolución de la AEPD). En tales ocasiones la representación de BBVA alegó la inexistente vinculación entre las infracciones que se le imputaban y el contenido de las reclamaciones que habían dado origen al expediente (véase, en particular, antecedente decimotercero, apartado 2, de la resolución administrativa); y a tal alegato dio respuesta razonada la AEPD en el fundamento jurídico primero de su resolución.

3) No cabe considerar vulnerado el principio de culpabilidad por el hecho de que la resolución sancionadora tenga su origen en (solo) cinco reclamaciones frente a un total de más de ocho millones de clientes de BBVA, pues lo relevante no es el número de denunciantes sino lo que resulte de sus reclamaciones y del documento denominado "Declaración de actividad económica y política de protección de datos personales", cuyo examen han propiciado aquellas cinco reclamaciones, aunque podría haber sido solo una.

B/ Es cierto que la AEPD, podría haber examinado el documento de BBVA denominado "Declaración de actividad económica y política de protección de datos personales" aunque no hubieran existido las reclamaciones de cinco clientes de la entidad bancaria; examen que podría haber llevado a cabo, de oficio, en el ejercicio de las potestades que, como autoridad de control en materia de protección de datos personales, le confieren los artículos 51 y siguientes de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) ("potestades de investigación y planes de auditoría preventiva"), en concordancia con lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

Sin embargo, en el caso que los ocupa el examen del citado documento de BBVA lo realiza la AEPD en el seno de un procedimiento sancionador que tuvo su origen en cinco reclamaciones formuladas por diferentes clientes de la entidad bancaria. La inserción de ese examen del documento en el procedimiento sancionador la explica la resolución sancionadora (fundamento jurídico III) del modo siguiente:

““ (...) tanto el RGPD como la LOPDGDD consideran que una reclamación de un afectado puede ser la vía o el medio de llevar a conocimiento de la autoridad de control una posible infracción de la normativa de protección de datos pero en ningún caso restringe la actuación de la autoridad de control a la específica y concreta queja de los afectados. Y ello por mucha razones, entre las que destaca, como puede ser el caso en el presente procedimiento, que de la confluencia de varias reclamaciones de personas individuales afectadas se ponga de manifiesto una actuación del responsable que con carácter general (esto es, no sólo en los casos concretos presentados por los reclamantes) de la que resulte que dichos casos concretos son el reflejo de una pauta o política común aplicada a todas aquellas personas afectadas que estén en el mismo caso que los interesados.

Con un ejemplo distinto del procedimiento actual podrá entenderse más claramente. Podría considerarse que una entidad incurre en una infracción de la normativa de protección de datos en un caso concreto cuando dicha actuación individualmente considerada supone un desvío de la norma o de las políticas generales de la empresa (por ejemplo, la introducción de una deuda en un archivo de morosos en un caso puntual incumpliendo su propia política de privacidad); pero cuando una actuación que se considera incorrecta deriva de una política general adoptada por el responsable del tratamiento, de manera que no se trata de errores puntuales en cinco casos, sino que dichos cinco casos son tan sólo el botón o la muestra de una política general adoptada que se considera en infracción del RGPD, la infracción no reside exclusivamente en los cinco casos examinados sino en la política de privacidad adoptada por el responsable. Será dicha política de privacidad la que constituya una infracción del RGPD, y no solamente las infracciones concretas basadas en dicha política de privacidad”“.

Y más adelante, en el mismo fundamento jurídico III de su resolución, la AEPD señala:

““ (...) En base a lo expuesto, todas estas reclamaciones tienen que ver con tratamientos de datos personales de los reclamantes que BBVA ampara en el consentimiento prestado por los titulares de los datos mediante la firma de la repetida "Declaración de Actividad Económica y Política de Protección de Datos". Para valorar la regularidad de estos tratamientos resulta imprescindible analizar el consentimiento prestado y su validez, para lo que resulta determinante, en especial, comprobar la información ofrecida en materia de protección de datos personales y los mecanismos habilitados para recabar el consentimiento de los afectados, sin olvidar el resto de principios y garantías establecidos en la normativa aplicable.

En consecuencia, la AEPD, ha decidido analizar la repercusión del repetido documento "Declaración de actividad económica y política de protección de datos personales", el cual contiene la información que BBVA facilita prioritariamente a sus clientes y los mecanismos de recogida de consentimientos. A la vista de las deficiencias advertidas en el mismo respecto de la normativa de protección de datos, resulta que tales deficiencias tienen un alcance general, de modo que se ven afectados todos los clientes de la entidad, y no sólo los cinco reclamantes, de lo que resultaría, conforme se ha expuesto, que la infracción no se produce exclusivamente respecto de los cinco reclamantes, sino con carácter general como consecuencia de dicha política de privacidad”“.

Esta Sala comparte esas explicaciones ofrecidas en la resolución de la AEPD. Y, expresándolas aquí con la mirada puesta en el caso que se resuelve pero, al mismo tiempo, con una proyección de alcance más general, consideramos oportuno señalar que en el curso de un procedimiento sancionador iniciado a raíz de una o varias reclamaciones en materia de protección de datos personales, cuando se aprecie que las infracciones singulares denunciadas tienen sus origen común en un documento o instrumento de alcance general que define la política de la entidad en materia de protección de datos, la AEPD puede, y aun debe, hacer objeto del procedimiento sancionador a ese mismo documento que alberga la política de privacidad de la entidad responsable, a fin de examinarlo, detectar sus posibles carencias o deficiencias, y adoptar, en consecuencia, las medidas que resulten necesarias en el seno del propio procedimiento sancionador; en el bien entendido que de todo ello habrá de darse conocimiento al sujeto del expediente, de manera que durante la tramitación del procedimiento pueda este tener ocasión de formular alegaciones y, en su caso, proponer pruebas, sin que en ningún caso pueda producirse indefensión.

En fin, discrepamos de las razones que expone la sentencia recurrida pues, como antes hemos señalado, desde el momento mismo del inicio del procedimiento sancionador la AEPD puso de manifiesto que habría de ser objeto de examen el documento emitido por BBVA denominado "Declaración de actividad económica y política de protección de datos personales", que por sus ambigüedades y carencias podría albergar determinadas infracciones de la normativa en materia de protección de datos personales. Y de ello tuvo pleno conocimiento BBVA desde aquel primer momento, que durante la tramitación del procedimiento tuvo ocasión de formular alegaciones, y efectivamente lo hizo, sobre la supuesta desviación en el objeto del procedimiento sancionador.

TERCERO.- Matización a la manera en que aparece formulada en el auto de admisión del recurso la cuestión de interés casacional; y respuesta de esta Sala.

Como vimos, el auto de admisión del presente recurso plantea como cuestión de interés casacional la consistente en ““ (...) determinar si, presentada una reclamación ante la Agencia Española de Protección de Datos, la actuación de ésta queda vinculada al contenido de dicha reclamación, en concreto a los hechos objeto de reclamación y a su encaje y tipificación en los tipos descritos en la norma, o si puede tramitar y resolver el procedimiento sancionador al margen de las causas y los hechos en los que se fundan las reclamaciones presentadas”“. Pues bien, entendemos que la cuestión así formulada puede resultar equívoca, pues, al preguntar si es legítimo que el objeto del procedimiento sancionador se aparte de las causas y los hechos en los que se fundan las reclamaciones que dieron origen a su incoación parece dar por cierto que tal apartamiento ha existido; lo que, según hemos razonado en el apartado anterior, no se corresponde con la realidad de lo sucedido.

Para no incurrir en reiteraciones, nos remitimos a lo que ya hemos razonado en el sentido de que en las cinco reclamaciones que dieron lugar a la incoación del procedimiento sancionador ya estaba directamente concernido el documento emitido por BBVA denominado "Declaración de actividad económica y política de protección de datos personales"; que no es cierto que el examen del citado documento en el seno del procedimiento sancionador se produjese de manera sorpresiva para BBVA; y que tampoco lo es que la AEPD decidiese de manera arbitraria, sin conocimiento alguno por parte de la entidad bancaria, ampliar el contenido del expediente a cuestiones en nada relacionadas con las reclamaciones que habían dado origen a su actuación.

También hemos dejado señalado que ya en el acuerdo de incoación del procedimiento sancionador se hacía expresa referencia a las imprecisiones, insuficiencias y carencias de ese documento emitido por BBVA y a las infracciones que tales deficiencias podrían albergar; que sobre todo ello tuvo ocasión BBVA de formular alegaciones; y que la AEPD dio respuesta razonada (fundamento jurídico I de su resolución) al alegato de BBVA sobre la inexistente vinculación entre las infracciones que se le imputaban y el contenido de las reclamaciones que habían dado origen al expediente.

Con esas precisiones sobre la manera en que el auto de admisión del recurso formula la cuestión de interés casacional, la cuestión a dilucidar consiste en realidad en si, en la incoación, tramitación y resolución de un procedimiento sancionador, la Agencia Española de Protección de Datos queda vinculada, y en qué forma y grado, por el contenido de la reclamación que ante ella se haya presentado.

Y, formulada la cuestión en esos términos, para responderla debemos declarar lo que sigue:

La Agencia Española de Protección de Datos, en la incoación, tramitación y resolución de un procedimiento sancionador, puede abordar cuestiones fácticas y jurídicas conexas o relacionadas con los hechos y argumentos recogidos en la reclamación que da origen al procedimiento. Y, más específicamente, en el curso de un procedimiento sancionador iniciado a raíz de una o varias reclamaciones en materia de protección de datos personales, cuando se aprecie que las infracciones singulares denunciadas tienen sus origen común en un documento o instrumento de alcance general que define la política de la entidad en materia de protección de datos, la AEPD puede, y aun debe, hacer objeto del procedimiento sancionador a ese mismo documento que alberga la política de privacidad de la entidad responsable, a fin de examinarlo, detectar sus posibles carencias o deficiencias, y adoptar, en consecuencia, las medidas que resulten necesarias en el seno del propio procedimiento sancionador; en el bien entendido de que de todo ello habrá de darse conocimiento al sujeto del expediente, de manera que durante la tramitación del procedimiento pueda este tener ocasión de formular alegaciones y, en su caso, proponer pruebas, sin que en ningún caso pueda producirse indefensión.

CUARTO.- Resolución del presente recurso y costas procesales.

De acuerdo con lo expuesto en los apartados anteriores, procede que declaremos haber lugar al recurso de casación interpuesto por la Agencia Española de Protección de Datos contra la sentencia de la Sección 1.ª de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 23 de diciembre de 2022 (recurso contencioso-administrativo n.º 104/2021), que debe quedar casada y sin efecto.

Y, en su lugar, entrando esta a Sala a resolver la controversia planteada, procede desestimar el recurso contencioso-administrativo interpuesto por en representación de Banco Bilbao Vizcaya Argentaria S.A. (BBVA) contra la resolución de la Directora de la Agencia Española de Protección de Datos de fecha 18 de noviembre de 2020 (PS/00070/2019).

Por lo demás, de conformidad con lo dispuesto en los artículos 93.4, 139.1 y 139.4 de la Ley reguladora de esta Jurisdicción, entendemos que no procede la imposición de las costas de casación a ninguna de las partes; y tampoco las costas del proceso de instancia, por existir serias dudas de derecho, como pone de manifiesto la discrepancia de parecer que se advierte entre la sentencia recurrida y la dictada ahora en casación.

Vistos los preceptos citados, así como los artículos 86 a 95 de la Ley de esta Jurisdicción,

F A L L O

Por todo lo expuesto, en nombre del Rey y por la autoridad que le confiere la Constitución, esta Sala ha decidido de acuerdo con la interpretación de las normas establecida en el fundamento jurídico cuarto:

1.º Estimar el recurso interpuesto por interpuesto por la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS contra la sentencia de la Sección 1.ª de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 23 de diciembre de 2022 (recurso contencioso-administrativo n.º 104/2021), que ahora queda anulada y sin efecto.

2.º Desestimar el recurso contencioso-administrativo interpuesto en representación de BANCO BILBAO VIZCAYA ARGENTARIA S.A. (BBVA) contra la resolución de la Directora de la Agencia Española de Protección de Datos de fecha 18 de noviembre de 2020 (PS/00070/2019).

3.º No se imponen las costas derivadas del recurso de casación, ni las del proceso de instancia, a ninguna de las partes.

Notifíquese esta resolución a las partes e insértese en la colección legislativa.

Así se acuerda y firma.

Comentarios