La previsibilidad como límite a la potestad sancionadora en protección de datos
El Tribunal Supremo estimó el recurso de casación interpuesto por la Liga Nacional de Fútbol Profesional (LaLiga) contra la sanción de 250.000 euros impuesta por la Agencia Española de Protección de Datos (AEPD) por una supuesta vulneración del principio de transparencia en el tratamiento de datos personales mediante su aplicación móvil. La resolución abordó una cuestión de enorme relevancia jurídica: la exigencia de previsibilidad normativa para que una conducta pueda ser sancionada, especialmente cuando la infracción se basa en interpretaciones extensivas de conceptos jurídicos como la transparencia.
La AEPD sancionó a LaLiga por considerar que la app oficial de la organización, que captaba fragmentos de sonido ambiental mediante el micrófono de los dispositivos móviles para detectar fraudes en la emisión de partidos en bares no autorizados, no garantizaba adecuadamente el principio de transparencia. Aunque la app informaba al usuario de esta funcionalidad durante la instalación y ofrecía detalles sobre su funcionamiento en la política de privacidad, la Agencia reprochaba la ausencia de un icono o aviso visible que indicara al usuario cada vez que el micrófono se activaba. La Audiencia Nacional confirmó la sanción, entendiendo que LaLiga debía haber implementado una señal visible cada vez que se activara el micrófono, pues solo así se garantizaba una información «en tiempo real» sobre el tratamiento de datos.
El Tribunal Supremo analizó detalladamente el artículo 5.1 a) del RGPD, que consagra el principio de tratamiento «lícito, leal y transparente». La transparencia, según el Tribunal, se traduce normativamente en el cumplimiento del deber de información al interesado, principalmente a través de los artículos 12, 13 y 14 del RGPD y del artículo 11 de la LOPDGDD. La doctrina del Grupo de Trabajo del Artículo 29 (GT29), hoy sustituido por el Comité Europeo de Protección de Datos, establece criterios sobre cómo facilitar esta información en aplicaciones móviles, destacando la accesibilidad, claridad y localización de la información (por ejemplo, que no requiera más de dos toques desde el menú de la app). LaLiga cumplía estos requisitos: ofrecía una política de privacidad específica, informaba claramente del tratamiento, solicitaba consentimiento activo y detallaba cómo se captaban, trataban y anonimizaran los fragmentos de sonido.
La cuestión principal que se planteó el Supremo fue la siguiente: ¿puede la AEPD imponer obligaciones no previstas expresamente en el RGPD?
La respuesta del Tribunal Supremo fue que, sí, pero no podría sancionar directamente por su incumplimiento si esas obligaciones adicionales no eran previsibles para el sujeto obligado. La sentencia reconoce que la AEPD tiene potestad para requerir medidas adicionales de transparencia ante circunstancias específicas, como es el caso de una app que activa el micrófono de manera prolongada en el tiempo. También admite que la transparencia no se agota en la información inicial, sino que puede extenderse durante todo el ciclo de tratamiento de datos.
No obstante, y aquí radica el núcleo de la resolución, el ejercicio de la potestad sancionadora debe respetar el principio de legalidad y previsibilidad. La autoridad administrativa no puede sancionar por la falta de una medida que no está expresamente prevista en la normativa aplicable, ni que resulte razonable suponer de forma clara y anticipada por el responsable del tratamiento. El Tribunal subrayó que el principio de legalidad sancionadora exige que las conductas infractoras estén suficientemente tipificadas y determinadas con anterioridad a su comisión. Este principio, derivado del artículo 25 de la Constitución y desarrollado por el Tribunal Constitucional, exige una «lex certa»: una norma que permita al ciudadano prever con suficiente certeza qué conductas están prohibidas y qué consecuencias se derivan de su infracción.
Aplicando esta doctrina al caso, el Supremo concluyó que, si bien puede considerarse razonable que el usuario reciba un aviso cada vez que se active el micrófono, esta exigencia no estaba expresamente prevista en los artículos 12, 13 o 14 del RGPD ni en la LOPDGDD, ni derivaba de forma clara e inequívoca de la jurisprudencia o guías interpretativas vigentes en el momento de los hechos. Por tanto, imponer una sanción por no incluir ese aviso suponía exigir una obligación que no era jurídicamente previsible, lo que vulneraría el principio de tipicidad y, por ende, hacía nula de pleno derecho la sanción.
Así, el Tribunal Supremo fijó una doctrina con gran trascendencia práctica para el ejercicio de la potestad sancionadora por parte de las autoridades de control en materia de protección de datos: Aunque las autoridades de control puedan, en uso de sus competencias, establecer medidas adicionales para reforzar la transparencia en el tratamiento de datos, estas no pueden ser la base de una sanción si no eran exigibles de forma clara y previsible para el responsable del tratamiento en el momento de la conducta sancionada. Por ello, lo que debería hacer la autoridad de control es requerir previamente al responsable para que ajuste su actuación, y solo en caso de incumplimiento de ese requerimiento cabría plantearse una sanción.
Este criterio protege el principio de seguridad jurídica, garantiza que las empresas sepan a qué atenerse cuando diseñan sus sistemas de tratamiento y asegura que las sanciones se basen en criterios accesibles, comprensibles y estables.
En definitiva, nuestro máximo tribunal nos recuerda que la potestad sancionadora de las autoridades administrativas no puede suplir la falta de claridad normativa ni extenderse mediante interpretaciones que los obligados no tenía por qué conocer, reforzando así el núcleo del Estado de Derecho también en el ámbito de la protección de datos.