La Sala de lo Contencioso-Administrativo de la Audiencia Nacional ha emitido una nueva sentencia por la cual anula parte de la sanción impuesta en 2020 al Banco Bilbao Vizcaya Argentaria, S.A. (BBVA) por parte de la Agencia Española de Protección de Datos (AEPD). El motivo de la sanción de esta última era la infracción, por un lado, de la obligación de información de los artículos 13 y 14 del RGPD y, por otro, del principio de legitimidad del artículo 6 del RGPD.
El inicio de la sanción de la AEPD tuvo lugar a partir de la recepción en la AEPD de cinco reclamaciones de interesados que habían recibido comunicaciones comerciales de la entidad bancaria, afirmando no haber dado su consentimiento para tal tratamiento de sus datos personales. En este contexto, la AEPD llevó a cabo un análisis del documento utilizado por el BBVA para informar a los interesados de las finalidades del tratamiento de sus datos y para recabar su consentimiento, entre otros, para la recepción de comunicaciones comerciales. Tras este análisis, la AEPD concluyó la existencia de las mencionadas infracciones, por lo que la reclamada resultó sancionada.
El BBVA decidió, posteriormente, recurrir la resolución por entender que “la Agencia se limita a aprovechar la existencia de reclamaciones centradas en hechos concretos e individuales, referidas exclusivamente a operaciones de tratamiento de los reclamantes con fines comerciales para iniciar una suerte de revisión general de la actuación del BBVA e instruir un procedimiento que ninguna relación guarda con el contenido de las reclamaciones, hasta el punto de que la resolución no vincula ninguno de sus razonamientos al contenido de dichas reclamaciones”.
La Audiencia Nacional considera que resulta aplicable al caso la doctrina establecida por una sentencia suya del 29 de abril de 2019, así como a una STS de 28 de mayo de 2009, que establece que el principio de tipicidad en los procedimientos administrativos sancionadores exige la “predeterminación normativa de las conductas ilícitas y de las sanciones correspondientes”, no habiendo la AEPD valorado las pruebas relativas al caso concreto en su resolución.