La AEPD puede, a partir de una o varias reclamaciones individuales, extender el objeto del procedimiento sancionador al documento general que define la política en materia de protección de datos de la entidad responsable, cuando se aprecie que las infracciones singulares denunciadas tienen su origen común en dicho documento.— Tribunal Supremo — Sala de lo Contencioso-Administrativo
El Tribunal Supremo ratificó en noviembre de 2024 las multas de 5 millones de euros que la AEPD había impuesto a BBVA en 2020, revocando la sentencia de la Audiencia Nacional que las había anulado en 2022. La sentencia establece un criterio de enorme trascendencia: la AEPD puede, a partir de reclamaciones individuales de clientes, extender el expediente sancionador al documento general de política de protección de datos de la entidad, si aprecia que las infracciones individuales tienen un origen común en ese documento. BBVA había argumentado que la Agencia se había excedido en sus atribuciones al abrir una especie de "causa general" contra su política de datos a partir de solo cinco reclamaciones de particulares. El Supremo rechazó este argumento de forma contundente.
En 2020 la AEPD impuso dos multas a BBVA por infracciones de los principios de transparencia y consentimiento detectadas al investigar cinco reclamaciones individuales de clientes. La Agencia extendió el análisis al documento "Declaración de actividad económica y política de protección de datos personales" de BBVA y concluyó que las infracciones individuales tenían su origen en las deficiencias generales de ese documento. BBVA recurrió a la Audiencia Nacional, que en diciembre de 2022 anuló las sanciones al considerar que la AEPD no podía investigar más allá de las reclamaciones concretas. La AEPD interpuso recurso de casación ante el Tribunal Supremo.
El Tribunal Supremo estableció que la AEPD tiene potestad para extender un procedimiento sancionador individual al documento general de política de datos de la entidad cuando aprecia que las infracciones singulares tienen un origen común en ese documento. El banco tuvo oportunidad de alegar desde el inicio. La AEPD no actuó de forma sorpresiva ni arbitraria: desde el acuerdo de incoación del procedimiento había referencia explícita a las deficiencias del documento general. El Supremo añadió que una muestra de cinco reclamaciones es suficiente para detectar un patrón sistémico en la política de datos de una entidad con ocho millones de clientes.
Si BBVA te ha tratado los datos de forma opaca, sin informarte correctamente del uso que haría de ellos, o sin obtener tu consentimiento válido, esta sentencia del Tribunal Supremo valida que la AEPD puede investigar a BBVA de forma global y no solo caso a caso. Significa que las quejas individuales de clientes tienen el poder de abrir expedientes que afecten a la política de datos de todo el banco. Las multas de 5 millones avaladas son el resultado de ese principio. Si presentas una denuncia ante la AEPD por el tratamiento de tus datos por parte de BBVA, el Supremo ha dejado claro que la Agencia tiene plena competencia para investigar el fondo.
| Órgano | Tribunal Supremo — Sala de lo Contencioso-Administrativo |
| Referencia | STS 5358/2024 (Recurso de casación 2960/2023) |
| Fecha | 11/11/2024 |
| Entidad | BBVA |
| Condena | 5.000.000,00 € |
| Materia | Datos personales |
| Artículos vulnerados | Arts. 5.1.a) RGPD (transparencia), 6 RGPD (licitud del tratamiento), 13 RGPD (información) |
📄 Fuente oficial:
Ver fuente →El Tribunal Supremo ratificó en noviembre de 2024 las multas de 5 millones de euros que la AEPD había impuesto a BBVA en 2020, revocando la sentencia de la Audiencia Nacional que las había anulado en 2022. La sentencia establece un criterio de enorme trascendencia: la AEPD puede, a partir de reclamaciones individuales de clientes, extender el expediente sancionador al documento general de política de protección de datos de la entidad, si aprecia que las infracciones individuales tienen un origen común en ese documento. BBVA había argumentado que la Agencia se había excedido en sus atribuciones…
El Tribunal Supremo estableció que la AEPD tiene potestad para extender un procedimiento sancionador individual al documento general de política de datos de la entidad cuando aprecia que las infracciones singulares tienen un origen común en ese documento. El banco tuvo oportunidad de alegar desde el inicio. La AEPD no actuó de forma sorpresiva ni arbitraria: desde el acuerdo de incoación del procedimiento había referencia explícita a las deficiencias del documento general. El Supremo añadió que una muestra de cinco reclamaciones es suficiente para detectar un patrón sistémico en la política de…
Si BBVA te ha tratado los datos de forma opaca, sin informarte correctamente del uso que haría de ellos, o sin obtener tu consentimiento válido, esta sentencia del Tribunal Supremo valida que la AEPD puede investigar a BBVA de forma global y no solo caso a caso. Significa que las quejas individuales de clientes tienen el poder de abrir expedientes que afecten a la política de datos de todo el banco. Las multas de 5 millones avaladas son el resultado de ese principio. Si presentas una denuncia ante la AEPD por el tratamiento de tus datos por parte de BBVA, el Supremo ha dejado claro que la Agencia tiene plena competencia para investigar el fondo.
Cuéntanos qué te ha pasado. Consulta gratuita y sin compromiso.