Las sanciones de la AEPD a bancos y entidades financieras ganan respaldo del Tribunal Supremo, al avalar un criterio que permite investigar y castigar incumplimientos de protección de datos cuando las reclamaciones de clientes apuntan a un problema estructural de fondo. La decisión del Alto Tribunal parte de un litigio en el que una entidad bancaria cuestionó que la Agencia Española de Protección de Datos (AEPD) utilizara varias reclamaciones individuales para abrir un expediente de mayor alcance sobre su política de privacidad. El Tribunal Supremo asestó así un golpe relevante al sector financiero al confirmar que la AEPD puede ampliar el foco del procedimiento sancionador a documentos e instrumentos generales, como textos informativos o políticas internas, cuando ahí se encuentra el origen común de las posibles infracciones. Con este criterio, el Supremo deja claro que las obligaciones de transparencia, información y consentimiento, en el marco del RGPD y, en España, de la LOPDGDD, no son un mero trámite: constituyen una pieza central para proteger a los clientes del sistema financiero cuando el uso de sus datos deriva en prácticas invasivas o poco claras. En su razonamiento, el Tribunal Supremo rechazó el criterio que había anulado previamente las sanciones y sostuvo que la AEPD, en la incoación y tramitación del expediente, puede analizar cuestiones fácticas y jurídicas vinculadas a las reclamaciones que dieron origen al procedimiento. El Alto Tribunal precisó que esta facultad no supone convertir el expediente en una causa general automática, siempre que exista conexión objetiva entre las denuncias y el elemento común que se investiga, como puede ser una política de privacidad o un sistema de tratamiento de datos. Asimismo, el Supremo puso el foco en las garantías del procedimiento: si la ampliación del objeto del expediente se comunica debidamente y se ofrece una oportunidad real de alegar y proponer pruebas, no existe indefensión. En este sentido, la supervisión puede ser más exigente, pero debe seguir siendo transparente y previsible para todas las partes. Otro punto clave del criterio avalado por el Tribunal Supremo es que las sanciones de la AEPD no se limitan a la imposición de multas económicas. También pueden ir acompañadas de medidas correctoras, como la obligación de modificar políticas internas, formularios, textos informativos o mecanismos de obtención del consentimiento. En el asunto analizado, la resolución contemplaba que la entidad financiera adecuara, en el plazo fijado por la autoridad, sus operaciones de tratamiento de datos, la información facilitada a los clientes y la forma en que recababa su consentimiento. El precedente se enmarca en resoluciones dictadas en los últimos años en las que la AEPD ha impuesto sanciones relevantes al sector financiero, algunas de ellas posteriormente revisadas por la Audiencia Nacional y el Tribunal Supremo, lo que ha contribuido a fijar doctrina sobre el alcance de la potestad sancionadora. Más allá del caso concreto, el mensaje para el mercado español es claro: cuando varias reclamaciones señalan un mismo patrón, la autoridad puede examinar el origen sistémico del problema, como políticas de privacidad deficientes, textos informativos confusos o mecanismos de consentimiento inadecuados. Este enfoque también tiene impacto en situaciones habituales como comunicaciones no deseadas, contactos reiterados o gestiones de recobro externalizadas que se apoyan en tratamientos de datos poco transparentes. En España, la respuesta concreta puede variar según la práctica y la autoridad competente, pero el criterio del Supremo refuerza la capacidad de supervisión. Según el Alto Tribunal, la AEPD está habilitada para abordar cuestiones fácticas y jurídicas conexas dentro del procedimiento sancionador cuando el problema detectado tiene un origen común.