El Supremo revisará la rebaja millonaria de la megasanción de la AEPD a CaixaBank
La Audiencia Nacional rebajó de seis a dos millones una de las mayores sanciones de Protección de Datos a la banca. Ahora, el Alto Tribunal estudiará si, aunque haya varias infracciones vinculadas, deben declararse todas
Sede de CaixaBank en Valencia. (EFE/Manuel Bruque)
La sanción original de la AEPD se articulaba en dos infracciones distintas. Una multa de dos millones de euros por incumplir los deberes de información al cliente y otra de cuatro millones por tratar datos personales sin un consentimiento válido. En total, seis millones de euros, una cifra inédita hasta entonces en el ámbito de la banca.
CaixaBank recurrió la resolución y la Audiencia Nacional estimó en parte su recurso al entender que ambas infracciones no debían sancionarse de forma separada, sino que estaban estrechamente vinculadas y formaban parte de una misma conducta.
La clave: concurso medial
La Audiencia Nacional aplicó en su sentencia una figura clásica del Derecho sancionador: el concurso medial, que se aprecia cuando una infracción se comete como medio necesario para cometer otra más grave.
En este caso, los magistrados consideraron que la falta de información clara y comprensible a los clientes —regulada en los artículos 13 y 14 del RGPD, que obligan a explicar de forma transparente cómo se van a tratar los datos personales— fue el paso previo imprescindible para obtener un consentimiento inválido, lo que constituye una infracción del artículo 6 del reglamento, que exige que el consentimiento sea libre, informado y específico.
Según este razonamiento, la infracción informativa carecía de autonomía propia y había servido para provocar la infracción más grave, la del consentimiento. Al apreciar ese concurso medial, la Audiencia optó por sancionar únicamente esta última y absorber la anterior.
La consecuencia práctica de esa interpretación fue decisiva. La Audiencia Nacional mantuvo una única sanción de dos millones de euros y dejó sin efecto la multa adicional, lo que supuso una reducción sustancial de la sanción global impuesta por la AEPD.
Ese criterio permitió rebajar en cuatro millones de euros una de las sanciones más elevadas dictadas hasta entonces por Protección de Datos, una decisión que ahora se sitúa en el centro del recurso de casación admitido por el Supremo.
La disputa en el Supremo
La Agencia Española de Protección de Datos, representada por la Abogacía del Estado, ha llevado el caso al Supremo para que fije criterio sobre cómo deben sancionarse los supuestos en los que concurren varias infracciones del RGPD. Así lo recoge el auto de admisión de la Sala de lo Contencioso, fechado el 17 de diciembre, consultado por El Confidencial.
En él, el Alto Tribunal señala que deberá decidir si, en los casos de concurso medial, este “permite sancionar una sola infracción —con el límite de que la cuantía total de la multa administrativa no supere la cuantía prevista para las infracciones más graves— o si deben sancionarse todas las infracciones cometidas y, en este caso, cómo debe determinarse la cuantía de la multa".
Ese es el punto de fricción con la sentencia de la Audiencia Nacional. La AEPD sostiene que, aunque las infracciones estén vinculadas, el artículo 83.3 del RGPD no autoriza a absorber unas conductas en otras, sino que obliga a declarar todas las vulneraciones y tenerlas en cuenta al graduar la sanción, con un único tope máximo.
Para reforzar esa tesis, el regulador invoca las directrices del Comité Europeo de Protección de Datos, que defienden un sistema de acumulación limitada y no de absorción, como el aplicado por la Audiencia al rebajar la multa a CaixaBank.
En términos prácticos, el debate que deberá resolver el Supremo no es menor. Si el Alto Tribunal avala el criterio de la Audiencia Nacional, las autoridades de control podrían verse obligadas a aplicar de forma sistemática el principio de absorción en los supuestos en los que varias infracciones del RGPD estén estrechamente vinculadas, lo que abriría la puerta a reducciones significativas de sanciones en procedimientos complejos.
Por el contrario, si da la razón a la AEPD, quedará fijado que todas las infracciones deben declararse y computarse en la sanción final, aunque exista un único límite máximo.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Ffc1%2Fb2f%2F1c7%2Ffc1b2f1c7a1f42b3af8c2386bc005e05.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F5fd%2F467%2F8a1%2F5fd4678a14b28d2bb6613988090dc7c5.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Ffd0%2F12f%2F844%2Ffd012f84475aebfbe7d6839ec7ed26eb.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fcff%2F3f0%2F999%2Fcff3f0999cf1411f7e44dda6d779e704.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F26c%2F391%2Fc4b%2F26c391c4b07876882d3d5dcbd0316035.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F4fd%2Fc5b%2F6e3%2F4fdc5b6e3027ffba6d41b1ff3e3cc170.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F000%2F9f8%2F894%2F0009f889497738500befe2a3b8df80c4.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fc3c%2F82f%2F2e2%2Fc3c82f2e25a5d96cdadb285e0510163c.jpg)