La entidad recurrió la resolución de Protección de Datos que imponía una sanción de dos millones de euros por «una vulneración» del principio de transparencia regulado en los artículos 13 y 14 del Reglamento General de Protección de Datos (RGPD) y otra multa de tres millones de euros por vulnerar el principio del consentimiento regulado por el artículo 6 de la misma normativa.
La resolución, que se basaba en cinco reclamaciones que la agencia recibió entre 2018 y 2019, también requería a BBVA que, en el plazo de seis meses, adecuase a la normativa de protección de datos personales las operaciones de tratamiento que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que deben prestar su consentimiento para la recogida y tratamiento de sus datos personales.
Contra esta resolución, la entidad decidió iniciar un proceso para impugnarla por varios motivos que se referían tanto a «vicios del procedimiento» que conllevarían la nulidad de pleno derecho de la resolución, como a cuestiones de fondo del asunto.
En la sentencia, la Audiencia Nacional rechaza dos de los motivos esgrimidos por BBVA al no apreciar ruptura o confusión del principio de separación entre órgano instructor y sancionador, ni tampoco conculcación de las normas reguladoras del procedimiento sancionador en materia de protección de datos.
Sin embargo, sí estima el motivo que aduce BBVA sobre la «total desconexión» entre la cuestión del procedimiento y las reclamaciones formuladas ante Protección de Datos.
En concreto, el banco aducía ante la Audiencia Nacional que Protección de Datos se «limitaba a aprovechar la existencia de reclamaciones centradas en hechos concretos e individuales, referidas exclusivamente a operaciones de tratamiento de los reclamantes con fines comerciales para iniciar una suerte de revisión general de la actuación de BBVA e instruir un procedimiento que ninguna relación guarda con el contenido de las reclamaciones», algo en lo que el tribunal ha dado la razón a la entidad.
El tribunal, en cambio, señala que «no se puede considerar, como hace la AEPD, que se ha producido una vulneración del principio de transparencia y del consentimiento por la propia existencia y contenido de la política de protección de datos». «Sería en todo caso, una infracción potencial que no está castigada por las normas de protección de datos», añade.
Así, explica que si se hubiera probado la existencia de las infracciones individuales, podría considerarse que la propia política de protección de datos personales del banco «favorece su comisión». «Al no ser así, no se puede afirmar la existencia de infracción, para lo que, además, una muestra tan pequeña (cinco reclamaciones), sobre una base de unos ocho millones [de clientes], no sería concluyente», afirma el Supremo.
Al estimar este motivo, estima el recurso y condena a Protección de Datos al pago de las costas.