Sentencia del supremo con impacto directo a las empresas que traten datos personales
El Tribunal Supremo ha dictado una sentencia que amplía el alcance de los procedimientos sancionadores en materia de protección de datos, otorgando a la Agencia Española de Protección de Datos (AEPD) la facultad de investigar y sancionar documentos generales que definan la política de protección de datos de una entidad.
Esta decisión del Tribunal Supremo, refuerza las competencias de la AEPD, responde a la necesidad de abordar infracciones que, aunque denunciadas de forma individual, podrían tener su origen en deficiencias estructurales del documento de política de protección de datos de las empresas.
El origen del litigio
La sentencia responde a un recurso interpuesto por una conocida entidad bancaria, que alegaba que la AEPD había utilizado reclamaciones individuales de particulares para justificar una investigación más amplia sobre su documento de política de privacidad, titulado «Declaración de actividad económica y política de protección de datos personales». Según el banco, esta actuación suponía una «causa general» contra su política de privacidad basada en una muestra muy limitada de cinco reclamaciones frente a una clientela de aproximadamente ocho millones de personas.
En primera instancia, la Audiencia Nacional dio la razón al banco y anuló las sanciones impuestas por la AEPD, considerando que no existía una relación suficientemente sólida entre las reclamaciones individuales y el supuesto incumplimiento del principio de transparencia en la política de privacidad.
El Supremo confirma las competencias de la AEPD
Sin embargo, el Tribunal Supremo ha revocado esta decisión, argumentando que la AEPD, en el marco de un procedimiento sancionador, está facultada para abordar cuestiones conexas a las denunciadas si detecta que las infracciones tienen un origen común en un documento general, como la política de protección de datos de la empresa.
La sentencia subraya que este enfoque permite a la AEPD examinar de manera integral el documento, identificar posibles deficiencias y adoptar medidas correctoras, siempre garantizando el derecho de defensa de las empresas investigadas. El procedimiento debe desarrollarse con la debida comunicación a las partes implicadas, permitiéndoles formular alegaciones y proponer pruebas en su defensa.
Implicaciones para las empresas
Este fallo tiene un impacto significativo para las empresas, ya que amplía la capacidad de la AEPD para analizar y sancionar políticas de privacidad en su conjunto, incluso cuando el procedimiento sancionador se origina en reclamaciones individuales. La sentencia refuerza la obligación de las entidades de garantizar la adecuación y claridad de sus documentos de política de protección de datos, dado que cualquier deficiencia estructural puede dar lugar a sanciones amplias.
El Tribunal Supremo justifica esta decisión al considerar que el alcance integral del análisis de la AEPD contribuye a garantizar la protección efectiva de los derechos de los ciudadanos en materia de privacidad y datos personales, conforme a la normativa europea y española.
La sentencia como precedente
Esta resolución, contenida en la Sentencia del Tribunal Supremo, Sala de lo Contencioso-Administrativo, Sección 3ª, de 11 de noviembre de 2024 (Recurso n.º 2960/2023), establece un precedente relevante y confirma el papel de la AEPD como garante de una protección efectiva de los derechos de los ciudadanos frente a posibles infracciones generalizadas en materia de privacidad.
Las empresas, por tanto, deben revisar y actualizar de forma proactiva sus políticas de protección de datos para evitar riesgos sancionadores derivados de esta nueva interpretación judicial.
