Sentencia Contencioso-Administrativo Audiencia Nacional. Sala de lo Contencioso-Administrativo. Sección Primera, Rec. 864/2022 de 16 de mayo del 2025

PRIMERO.-El recurso contencioso-administrativo se interpone contra la resolución de 10 de febrero del 2022 dictada por la directora de la Agencia Española de Protección de Datos en el procedimiento sancionador PS 500/2020, por la que se desestima recurso de reposición frente a la resolución de 22 de septiembre del 2021, en virtud de la cual se impone a la demandante una sanción de 3.000.000 de euros por una infracción del artículo 6.1, en relación con el artículo 83.5 del Reglamento General de Protección de Datos.

SEGUNDO.-En primer lugar se plantea la cuestión de la caducidad del procedimiento sancionador. Esta derivaría de la naturaleza materialmente instructora de las actuaciones previas incoadas el 16 de octubre del 2019- al amparo del artículo 67.2 de la LO 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales- y se excedió el plazo máximo de duración de esta fase, de lo que extrae que el cómputo del plazo para resolver el expediente sancionador- nueve meses- debe contarse desde que se cumplió el año de la fase de actuaciones previas el 16 de octubre del 2020.

Pero como pone de relieve la Abogacía del Estado el plazo de actuaciones previas fue suspendido por el RD 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID, y se mantuvo en esa situación durante 79 días, con lo que el referido plazo de un año no finalizaba hasta el 3 de enero del 2021. El procedimiento sancionador fue incoado el 23 de diciembre del 2020, esto es, antes de que finalizara el plazo para las actuaciones previas, con lo que la resolución notificada el 23 de septiembre del 2021 se encuentra dentro de plazo legal.

Las actuaciones previas efectuadas se amparan en el artículo 67.1 de la LO 3/2018, en relación con el artículo 64.2, según el cual:

"Antes de la adopción del acuerdo de inicio de procedimiento, y una vez admitida a trámite la reclamación si la hubiese, la Agencia Española de Protección de Datos podrá llevar a cabo actuaciones previas de investigación a fin de lograr una mejor determinación de los hechos y las circunstancias que justifican la tramitación del procedimiento"

El origen de las actuaciones es una reclamación de un particular relativa a la utilización de ficheros de solvencia patrimonial (BADEXCUG) sin el consentimiento del particular, que había dejado de ser cliente de la entidad financiera, y con los fines de remitirle publicidad sobre servicios financieros ofrecidos a partir de un perfil del destinatario elaborado con los datos obtenidos.

Tras un archivo inicial de la reclamación, se reconsideró el caso, y se iniciaron actuaciones previas tendentes a esclarecer la forma en la que la entidad cumple con el deber de información a los clientes en el marco de contratación de un producto para que consienta el tratamiento de datos de carácter personal, tras examinar la documentación relativa a este punto presentada por el reclamante al recurrir el archivo de las actuaciones y las alegaciones que efectuó en las que negó que hubiera dado su consentimiento para recabar información en ficheros de solvencia patrimonial con fines de prospección comercial para elaborar perfiles personales y ofrecer productos diseñados a medida (créditos preconcedidos).Durante esta fase se requirió a la entidad financiera toda la información relativa a actividades de tratamiento de datos personales de clientes y/o potenciales clientes que impliquen la elaboración de perfiles de clientes, formas de efectuar el perfilado, forma de informar al interesado y obtención del consentimiento, medios utilizados para recoger el consentimiento, origen de los datos objeto de tratamiento, personas encargadas del tratamiento y medidas para la protección de los datos y número de interesados cuyos datos personales han sido tratados en el desarrollo de la actividad de perfilado.

La entidad demandante solicitó ampliación de plazo para responder al requerimiento de información por la complejidad de su objeto. Finalmente, presentó una copiosa documentación que fue analizada en un informe emitido por la Subdirección General de Datos de la Agencia. Una vez emitido este informe se dicta acuerdo de incoación del procedimiento sancionador.

A la vista de estos antecedentes todo el alegato sobre naturaleza materialmente instructora de las actuaciones previas resuelta huero e impostado, pues la Agencia se limitó a recabar información permitente para determinar los hechos y las circunstancias que podían determinar la iniciación del procedimiento sancionador.

TERCERO.-La alegación sobre la falta de competencia de la titular de la Agencia para dictar la resolución sancionadora rezuma idéntica artificialidad. La firmante de la resolución no había cesado en el ejercicio del cargo, lo que requiere un acto expreso, y por tanto era la autoridad designada legalmente para dictar la resolución sancionadora.

La reciente SAN de 8 de mayo del 2025, correspondiente a los autos nº 1448/2021, asunto deliberado juntamente con el que aquí se trata, se remite para una contestación a este argumento a las SAN de 9 de diciembre del 2022 (autos nº 1994/2021 y 15 de octubre del 2024 (recurso nº 796/2022).

CUARTO.-La alegación sobre vulneración de la presunción de inocencia, que derivaría de unas declaraciones de la Directora de la AEPD que prejuzgaban la resolución final, en la medida en que citaba la inminente adopción de acuerdos sancionadores frente a entidades financieras de alto impacto en el sector, afectan específicamente a la imparcialidad del titular del órgano, pero no dieron lugar a la recusación durante el procedimiento administrativo ni tienen, a nuestro juicio entidad suficiente para refrendar las conclusiones a las que se pretende llegar.

QUINTO.-El principio de confianza legítima se vulnera cuando la Administración realiza actuaciones que claramente permiten a los ciudadanos entender que en el futuro va actuar del mismo modo, siempre que haya obrado con sujeción a la ley.

Que la Agencia no respondiera a correos electrónicos en el que se consultaba sobre la adecuación a la nueva normativa de protección de datos de la documentación elaborada por la entidad financiera para usarla en sus relaciones con sus clientes, no condicionó las actuaciones de la demandante ni indujo a confusión ni había obligación de responder a la petición de un dictamen sobre la política de protección de datos seguida por la empresa, por la que de ninguna manera se infringe este principio.

SEXTO. -La alegación sobre la falta de prueba de personas físicas identificadas en el expediente cuyos datos hayan sido tratados sin consentimiento recibe cumplida respuesta en la SAN de 8 de mayo del 2025, en los siguientes términos:

"El TS en sentencia de fecha 11-11-2024, recurso nº 2960/2023, al tratar un asunto similar al que nos ocupa viene a manifestar que si bien existían unas reclamaciones originarias, el acuerdo de incoación del procedimiento sancionador hacia expresa referencia a las imprecisiones, insuficiencias y las carencias del documento emitido referido a la política de protección de datos y desvincula las reclamaciones originarias del resultado del expediente sancionador pues lo relevante no es el nº de reclamaciones o el nº de denunciantes, lo relevante es el alcance general de ese documento que alberga la política de protección de datos de la entidad responsable cuyas carencias o deficiencias son las que inician el procedimiento sancionador, y dicha sentencia declara de manera textual que: "La Agencia Española de Protección de Datos, en la incoación, tramitación y resolución de un procedimiento sancionador, puede abordar cuestiones fácticas y jurídicas conexas o relacionadas con los hechos y argumentos recogidos en la reclamación que da origen al procedimiento. Y, más específicamente, en el curso de un procedimiento sancionador iniciado a raíz de una o varias reclamaciones en materia de protección de datos personales, cuando se aprecie que las infracciones singulares denunciadas tienen sus origen común en un documento o instrumento de alcance general que define la política de la entidad en materia de protección de datos, la AEPD puede, y aún debe, hacer objeto del procedimiento sancionador a ese mismo documento que alberga la política de privacidad de la entidad responsable, a fin de examinarlo, detectar sus posibles carencias o deficiencias, y adoptar, en consecuencia, las medidas que resulten necesarias en el seno del propio procedimiento sancionador; en el bien entendido de que de todo ello habrá de darse conocimiento al sujeto del expediente, de manera que durante la tramitación del procedimiento pueda este tener ocasión de formular alegaciones y, en su caso, proponer pruebas, sin que en ningún caso pueda producirse indefensión".

En la propia información que la entidad demandante suministró a la Agencia en la fase de actuaciones previas reconoce que durante el año 2018 trató con fines comerciales los datos de 1.578.030 clientes, cifra que se elevó a 2.353.256 clientes durante el año 2019, lo que es revelador de que la política de información sobre datos objeto de tratamiento y fines a los que se destinaban los datos y obtención del consentimiento, que es objeto de reproche en la resolución impugnada, tuvo una aplicación efectiva.

SEPTIMO.-El Reglamento (UE) 2016/679, l Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, dispone lo siguiente:

"El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones".

En la resolución impugnada se sostiene que no se ha producido un verdadero consentimiento al tratamiento de datos porque no se ha informado a los clientes en los términos del artículo 13 del Reglamento. Para la valoración de si ha habido una información adecuada a los clientes la resolución sancionadora se basa en las Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679, elaboradas por el Grupo de Trabajo sobre Protección de Datos, que exige que tengan conocimiento sobre la identidad del responsable del tratamiento, tipo de datos que se van a tratar, finalidad y las consecuencias previstas del tratamiento de datos, entidades a las que se pueden comunicar los datos, entre otros aspectos. El consentimiento debe darse de forma específica. para cada uno de los tratamientos de datos y cada uno de los fines que persiguen y debe haber una oportunidad real de rechazar un concreto tratamiento.

La información relativa a estos puntos era proporcionada por la demandante en el documento CONDICIONES GENERALES DE LA SOLICITUD-CONTRATO DE CRÉDITO.

La Agencia considera que la información sobre el alcance de los tratamientos de perfilado no es suficiente. En el citado documento se dice:

"Detalle de los tratamientos de análisis, estudio y seguimiento para la oferta y diseño de productos y servicios ajustados al perfil de cliente. Otorgando su consentimiento a las finalidades aquí detalladas, Usted nos autoriza a: a) Realizar de manera proactiva análisis de riesgos y aplicar sobre sus datos técnicas estadísticas y de segmentación de clientes, con una triple finalidad: 1) Estudiar productos o servicios que puedan ser ajustados a su perfil y situación comercial o crediticia concreta, todo ello para efectuarle ofertas comerciales ajustadas a sus necesidades y preferencias, 2) Realizar el seguimiento de los productos y servicios contratados, 3) Ajustar medidas recuperatorias sobre los impagos e incidencias derivadas de los productos y servicios contratados. b) Asociar sus datos con los de otros clientes o sociedades con las que tenga algún tipo de vínculo, tanto familiar o social, como por su relación de propiedad como de administración, al efecto de analizar posibles interdependencias económicas en estudio de ofertas de servicios, solicitudes de riesgo y contratación de productos. c) Realizar estudios y controles automáticos de fraude, impagos e incidencias derivadas de los productos y servicios contratados. d) Realizar encuestas de satisfacción por canal telefónico o por vía electrónica con el objetivo de valorar los servicios recibidos. e) Diseñar nuevos productos o servicios, o mejorar el diseño y usabilidad de los existentes, así como definir o mejorar las experiencias de los usuarios en su relación con CaixaBank Payments & Consumer y las empresas del Grupo CaixaBank."

La Agencia considera que el documento solo facilita al interesado información genérica sobre los tratamientos de perfilado, pero de ella no puede colegirse en qué consiste el tratamiento que consiente ni que los productos que se oferten sean exclusivamente de la demandante ni que puede derivar en la asignación de límites de crédito preconcedidosni se informa adecuadamente sobre el tipo de datos que será objeto de tratamiento de perfilado.

Tampoco se contempla el consentimiento específico para cada uno de los fines perseguidos por el tratamiento de datos. Así cuando se enuncia el fin de "la oferta y diseño de productos y servicios ajustados al perfil de cliente" se obvia que esto implica autorización para estudiar productos o servicios ajustados al perfil para realizar ofertas comerciales; un seguimiento de los productos o servicios contratados; y ajustar medidas recuperatorias sobre los impagos e incidencias de estas contrataciones. Se reprocha así que no haya una disociación de los fines y se de la oportunidad de consentir cada uno de ellos por separado.

Asimismo, la resolución sancionadora reprocha a la demandante que el consentimiento se recabe para "el grupo CaixaBank", lo que implica comunicar datos a empresas del grupo, algo que constituye una finalidad específica que requiere un consentimiento separado. Se niega que exista un supuesto de corresponsabilidad que implique ausencia de cesión de datos a terceros, porque el acuerdo de determinación conjunta de los objetivos y los medios del tratamiento carece de fecha y no ha sido firmado por las entidades integrantes del grupo, lo que según su propia redacción priva de fecha de comienzo de efectos, por lo que no se dan las condiciones de las Directrices 7/2020 sobre responsable y encargado de tratamiento, de 7 de julio del 2021, para hablar de corresponsabilidad.

Del mismo modo, se constata la ausencia de información sobre tipo de datos que se tratarán, sosteniendo la Agencia que es genérica e imprecisa, pues solo cita las fuentes de las que se obtienen los datos, siendo estas las siguientes:

"Lo s datos que se tratarán con las finalidades de (i) análisis y estudio de datos, y (ii) para la oferta comercial de productos y servicios serán: a) Todos los facilitados en el establecimiento o mantenimiento de relaciones comerciales o de negocio. b) Todos los que se generen en la contratación y operativas de productos y servicios con CaixaBank Payments & Consumer, con las empresas del Grupo CaixaBank o con terceros, tales como, movimientos de cuentas o tarjetas, detalles de recibos domiciliados, domiciliaciones de nóminas, siniestros derivados de pólizas de seguro, reclamaciones, etc. c) Todos los que CaixaBank Payments & Consumer o las empresas del Grupo CaixaBank obtengan de la prestación de servicios a terceros, cuando el servicio tenga como destinatario al Titular, tales como la gestión de trasferencias o recibos. d) Su condición o no de accionista de CaixaBank según conste en los registros de esta, o de las entidades que de acuerdo con la normativa reguladora del mercado de valores hayan de llevar los registros de los valores representados por medio de anotaciones en cuenta. e) Los obtenidos de las redes sociales que el Titular autorice a consultar f) Los obtenidos de terceras entidades como resultado de solicitudes de agregación de datos solicitadas por el Titular. g) Los obtenidos de las navegaciones del Titular por el servicio de la web de CaixaBank Payments & Consumer y otras webs esta y/o de las empresas del Grupo CaixaBank o aplicación de telefonía móvil de CaixaBank Payments& Consumer y/o de las empresas del Grupo CaixaBank, en las que opere debidamente identificado. Estos datos pueden incluir información relativa a geolocalización. h) Los obtenidos de chats, muros, videoconferencias o cualquier otro medio de comunicación establecida entre las partes. Los datos del Titular podrán ser complementados y enriquecidos por datos obtenidos de empresas proveedoras de información comercial, por datos obtenidos de fuentes públicas, así como por datos estadísticos, socioeconómicos (en adelante, "Información Adicional") siempre verificando que estos cumplen con los requisitos establecidos en las normas vigentes sobre protección de datos."

En particular, se destaca que no se informa de la consulta de ficheros de solvencia, entre otros de la Central de Información de Riesgos del Banco de España o el denominado Risk Score,pues la información solo se refiere a la consulta para finalidades regulatorias y no cuando se trata de una finalidad comercial que es lo que se cuestiona.

En relación con Risk Scorerecrimina al demandante que, tratándose de una operación de perfilado de datos relativos a probabilidad de impago de la solicitante diferenciada, no se informa sobre esta circunstancia al interesado ni de los datos que se utilizarán para este perfilado.

En la demanda se hace una oposición genérica a todos estos argumentos negando primero la obligatoriedad de informar sobre categoría de datos para luego afirmar que se infiere esta información del tipo de fuente de la que se obtienen.

La variedad de datos que pueden obtenerse de alguno de los canales que se enumeran es tan variopinta y sensible que es inadmisible e irresponsable la respuesta que se da a la denuncia de ausencia de información sobre este punto. En especial, se obliga a autorizar la obtención de cualquier dato obtenido de las redes sociales que autorice el cliente o de los canales de comunicación telemática establecidos por el banco, datos obtenidos de prestación de servicios a terceros cuyo destinatario sea el cliente de la demandante, sin siquiera ofrecer la posibilidad de no autorizar una concreta fuente de información. El abanico de datos que esto abarca es tan ingente que es impensable que el firmante pueda imaginar siquiera las consecuencias de asentir al tratamiento de todo este cúmulo de datos.

Se insiste en que la consulta de determinados ficheros de solvencia es obligatoria para concertar operaciones propias de la entidad financiera, argumento falaz que desconoce que no estamos analizando tal supuesto sino el tratamiento de datos para realizar ofertas no vinculantes a clientes. La entidad trata de captar posibles interesados, pero la ofertasiempre se hace previo estudio de las circunstancias de cada cliente.

Para negar la falta de una información adecuada e inteligible se recurre a dos encuestas realizadas a personas terceras sobre la comprensión de determinadas cláusulas, algo que no tiene relevancia. Las encuestas reflejan un alta porcentaje de personas que dicen comprender a lo que se comprometerían, pero esto no permite obviar que una parte no lo ha comprendido. La falta de interés de los encuestados, por no estar comprometiéndose a nada, puede también inducir una respuesta favorable a que son claras las cláusulas sobre las que deben opinar. Puede influir también una falta de conciencia ciudadana sobre los derechos que les asisten en cuanto a la protección de datos personales.

En cuanto a la inexistencia de cesión de datos a terceros por haber corresponsabilidad entre las sociedades integrantes del grupo CaixaBank, que ni siquiera se enumeran en el condicionadopresentado al solicitante de un producto financiero, no puede admitirse que un documento no firmado ni fechado y una información dispersa en una página en red del grupo pueda desencadenar tan importante consecuencia y eludir la necesidad de un consentimiento separado de la cesión de datos.

En consecuencia, coincidimos con los argumentos empleados por la resolución sancionadora para afirmar que se infringió el artículo 6.1 del Reglamento y que el consentimiento no es válido por no haber contener la documentación empleada por la entidad demandante para informar a sus clientes sobre los tratamientos a los que sus datos iban a someterse de manera clara y detallada.

OCTAVO.-También se denuncia que se vulnera el principio de tipicidad, al remitirse el artículo 83.5 del Reglamento a conceptos jurídicos indeterminados. Esta alegación, sin embargo, no repara en que esto es un cuestionamiento de una norma europea y no se ha impulsado el cauce adecuado para esto.

La norma en cuestión dice:

"Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4?% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9;(...).

La conducta típica es la vulneración de la obligación de obtener un consentimiento para el tratamiento de datos con fines comerciales. Que este consentimiento deba prestarse en determinadas condiciones para poder apreciar que es real y consciente del objeto aceptado, no redunda en la ausencia de tipicidad de la conducta.

NOVENO. -Para justificar la extensión de la multa la resolución administrativa enumera una retahíla de agravantes, que más que convencer sus argumentos, agotan. Al ser coincidentes, al menos en su mayor parte, a las apreciadas en el caso de los autos nº 1448/2021, asumiremos también en este punto los razonamientos de dicha sentencia para moderar la sanción.

Sobre este punto la SAN de 8 de mayo del 2025 dice lo siguiente:

"El art. 83 RGPD establece las condiciones generales para la imposición de multas administrativas y en este caso, se estima que concurren: Art.83.2.a: .

La AEPD fundamenta la aplicación de dicha agravante por entender que las deficiencias encontradas en la información revisten especial gravedad. A este respecto, debemos considerar que la gravedad de la infracción es consustancial al hecho típico que se sanciona. La infracción consiste en ofrecer información vaga, imprecisa, incorrecta, insuficiente y poco clara y es lo que ha conducido a otorgar un consentimiento viciado. De esa manera se obtienen consentimientos que no son válidos pues en el momento de la contratación se otorgan consentimientos para cesiones y otros servicios escasamente aclarados, confusos. Es por ello, que esta circunstancia no la consideramos de apreciación.

Otra agravante tomada en consideración es la intencionalidad o negligencia de la infracción del artículo 83.2.b) del RGPD, pero la negligencia o la intencionalidad son los elementos subjetivos consustanciales a la propia infracción, y para considerar apreciable esta circunstancia debe acreditarse un plus de intencionalidad o negligencia cuya acreditación no se ha producido.

La siguiente agravación es la contenida en el apartado d) del mismo precepto, la alta vinculación de la actividad del infractor con la realización de tratamientos de datos personales. Es de apreciar esta agravación, la comercialización de servicios bancarios exige tratar los datos que se conocen por esa actividad con excesivo cuidado pues se están tratando datos personales de aquellas personas físicas que contratan con la actora y las operaciones de tratamiento deben ser cuidadosas y seguras. Existe un elevado volumen de datos y de tratamiento de los mismos, ya se ha expuesto que con ese comportamiento Caixabank está permitiendo unas cesiones de datos o incluso acceso a datos de terceros sin considerar las realizadas por otras empresas del grupo que actúan de manera independiente. Las categorías de datos personales afectados son de extraordinaria relevancia. Siendo apreciable

esta agravación.

Por supuesto, la condición de gran empresa de Caixabank, apartado e) del art. 83.2, es indiscutible y como gran empresa realiza operaciones de tratamiento y su volumen de negocio. La consideración de la entidad como una gran empresa se encuentra vinculado entre otros aspectos a su volumen de facturación, en la medida en que dispone de más medios para el cumplimiento de la normativa de protección de datos.

La aplicación del carácter continuado de la infracción, contemplada en el artículo 83.2.c), del RGPD, la actora ha realizado un diseño en sus contratos totalmente deficientes, pero es que han sido utilizados de manera continuada y constante persistiendo incluso en las diferentes versiones de contrato marco presentadas, por ello es de aplicación esta agravante. No es obstáculo para apreciar esta agravación las manifestaciones de la actora referidas a que se puso en contacto en numerosas ocasiones con la Agencia para comprobar el adecuado cumplimiento del RGPD en sus contratos.

La agravante del art. 83.2 g), elevado nº de interesados. La parte actora viene a manifestar que en ningún momento se ha tenido en cuenta las estadísticas y encuestas realizadas sobre el nivel de comprensión de los contratos y se desconoce por la Agencia el nº de afectados. A este respecto debemos manifestar que la normativa de protección de datos no exige comprobar que el cliente ha entendido la obligación, lo que es obligatorio es que esa información sea clara, concisa, transparente y fácilmente accesible, por eso la utilización de un lenguaje llano y sencillo. Y es que no se exige una verificación del entendimiento por parte del cliente. Ahora bien, que para la comisión de la infracción no se exija un resultado de comprensión no impide la apreciación de esta agravación en la que existen afectados que son los clientes de la entidad Caixabank y que según la Agencia en su resolución la entidad superaba los 15 millones de clientes.

La resolución considera agravante que la entidad imputada no tenga implantados procedimientos adecuados de actuación en la recogida y tratamiento de datos, art. 83.2 h) del Reglamento, entendiendo este Tribunal que esta cuestión es consustancial a las infracciones cuestionadas por lo que no se considera apreciable en ninguna de las dos infracciones.

En relación con la infracción del art. 6 RGPD, infracción principal habida cuenta que la otra infracción se ha considerado medio para la comisión de la presente, la resolución añade como agravantes, además de las mencionadas anteriormente a), b), c), d), e), g) y h), las siguientes:

La naturaleza de los perjuicios causados supone una agravación cuando el alto grado de intromisión, en este caso por parte de Caixabank en la privacidad de sus clientes, que es extraordinaria produciendo un riesgo elevado pues como se ha advertido anteriormente se podrían llegar a conocer hasta datos sensibles o de especial protección del cliente lo que supone una importante invasión en la privacidad del mismo. E incluso esos datos pueden llevar a crear supuestos de discriminación. Por ello se considera apreciable esta agravación.

No se han dejado de apreciar atenuantes como dice la demanda, simplemente las mismas no concurren. Se refiere a los alegados en la demanda en los Fundamentos de derecho 1,4,7,8,9. La caducidad no es una atenuación, como no lo es la alegación de falta de tipicidad que es cuestión de fondo, y el concurso medial se ha apreciado, y ya se ha expuesto que no existe vulneración de la confianza legítima y buena fe. La actora manifiesta que ha realizado importantes esfuerzos de adaptación al RGPD pero ello es una obligación legal no una atenuación de responsabilidad.

En consecuencia, y en atención a la sanción que debemos imponer por la infracción del art. 6 RGPD, al apreciarse la existencia de concurso medial, y considerando aquellas agravaciones existentes anteriormente mencionadas procede mantener la sanción de 2 millones de euros por la sanción muy grave, y ante la existencia de concurso medial, no se impone sanción alguna por la infracción de los arts. 13 y 14 al ser absorbida por la anterior."

En consonancia con la línea adoptada en la sentencia transcrita moderaremos también en este caso la extensión de la multa, reduciéndola a la mitad.

NOVENO.-No haremos especial pronunciamiento sobre las costas, de conformidad con lo dispuesto en el artículo 139.1 de la Ley de la Jurisdicción Contencioso-Administrativa.

Vi stos los artículos citados y demás de general aplicación, la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, sección primera, ha dictado el siguiente