La AEPD puede hacer objeto del procedimiento sancionador abierto por denuncias individuales la política de privacidad de una entidad

Como sabéis tener los textos actualizados de una página web es una tarea de suma responsabilidad, además todos conocemos que tienen que estar permanentemente alineados con la normativa vigente, esto es, tanto con el Reglamento (UE) 2016/79 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, (Reglamento General de Protección de Datos, RGPD), así como con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Cumpliendo con los principios de privacidad por defecto y por diseño de los que tanto se ha hablado. Sin olvidarnos del resto de principios y garantías establecidos en la normativa aplicable.

Tanto es así, que el Tribunal Supremo ha fijado que la AEPD si puede extender el procedimiento sancionador abierto por denuncias individuales al documento de política de protección de datos de las empresas, siempre y cuando pueda apreciarse que el origen de las infracciones deriva de este documento. Revocando la sentencia de la Audiencia Nacional que anuló dos multas de la AEPD a una entidad bancaria por importes de 2 y 3 millones de euros.

El contexto trae causa de cinco reclamaciones formuladas por diferentes clientes de una entidad bancaria. Donde la AEPD detecta indicios sobre la no adecuación del documento de protección de datos a los requisitos legales acordando la apertura de procedimiento sancionador con el objeto específico de analizar el documento de protección de datos y las posibles irregularidades que pudieran apreciarse.

Es más, ante la cuestión de si cabe considerar que el examen por una autoridad de control (la AEPD) de la política de privacidad de un responsable cuando dicho responsable alega que dichos tratamientos, sobre los que el interesado ha presentado reclamación ante la AEPD -con cita expresa en sus reclamaciones a la política de privacidad, incluso con cuestionamiento de tal documento-, están justificados por haber el interesado aceptado dicha política de privacidad; el Tribunal Supremo, entiende, que, la autoridad de control no sólo estaría obligada a examinar dicha política como parte de la investigación acerca de la posible infracción al RGPD que se desprende de las reclamaciones planteadas por los interesados. Si no que estaría obligada.

Así, el debate suscitado en casación se centra en determinar si, presentada una reclamación ante la Agencia Española de Protección de Datos, la actuación de ésta queda vinculada al contenido de dicha reclamación, en concreto a los hechos objeto de reclamación y a su encaje y tipificación en los tipos descritos en la norma, o si por el contrario puede tramitar y resolver el procedimiento sancionador al margen de las causas y los hechos en los que se fundan las reclamaciones presentadas.

Por lo que el Tribunal Supremo, Sala de lo Contencioso, Sección 3ª, el pasado 11.11.24, Nº de Recurso 2960/2023, declara: “La Agencia Española de Protección de Datos, en la incoación, tramitación y resolución de un procedimiento sancionador, puede abordar cuestiones fácticas y jurídicas conexas o relacionadas con los hechos y argumentos recogidos en la reclamación que da origen al procedimiento. Y, más específicamente, en el curso de un procedimiento sancionador iniciado a raíz de una o varias reclamaciones en materia de protección de datos personales, cuando se aprecie que las infracciones singulares denunciadas tienen sus origen común en un documento o instrumento de alcance general que define la política de la entidad en materia de protección de datos, la AEPD puede, y aun debe, hacer objeto del procedimiento sancionador a ese mismo documento que alberga la política de privacidad de la entidad responsable, a fin de examinarlo, detectar sus posibles carencias o deficiencias, y adoptar, en consecuencia, las medidas que resulten necesarias en el seno del propio procedimiento sancionador; (…)”.