Una resolución sancionadora contra el Fútbol Club Barcelona acaba de confirmar algo que muchos compliance officers intuían pero pocos podían demostrar: seguir las guías de la AEPD no es solo buena práctica. En determinadas circunstancias, puede ser la diferencia entre una sanción millonaria y el archivo de la misma.
El documento que no obliga pero que todos siguen
Las guías, informes jurídicos y criterios que publica la Agencia Española de Protección de Datos no son normas jurídicas en sentido formal. No están publicadas en el BOE como reglamentos. No tienen rango de ley. Un tribunal no está vinculado por ellas.
Y sin embargo, cualquier profesional del sector sabe que ignorarlas es una temeridad. Las empresas las estudian. Los DPDs las citan en sus informes. La abpgacía las invocan en sus alegaciones. ¿Por qué? Porque la AEPD las aplica. Porque cuando llega una inspección o un expediente sancionador, lo primero que se mira es si el responsable del tratamiento ha actuado conforme al criterio de la Agencia.
Pero hasta ahora, esa relevancia práctica tenía un límite difuso: ¿qué ocurre cuando el criterio de la AEPD cambia? ¿Qué pasa con quien actuó de buena fe siguiendo la doctrina anterior? La resolución dictada contra el FC Barcelona, da una respuesta clara.
La AEPD contra sí misma: el caso que lo cambió todo
El expediente nació de reclamaciones de socios del FC Barcelona por el uso de un sistema biométrico en el proceso de actualización del censo. La AEPD inició un procedimiento sancionador imputando, entre otras cosas, haber tratado datos biométricos sin la base jurídica especial que el RGPD exige para las categorías especiales de datos.
El Club se defendió con un argumento que, en otro contexto, podría parecer arriesgado: que había actuado exactamente conforme al criterio que la propia AEPD había publicado en sus guías e informes jurídicos. Y lo acreditó con documentos:
– El Informe Jurídico AEPD 36/2020 sostenía que los datos biométricos solo son categoría especial cuando se usan para identificación unívoca, no para mera verificación de identidad.
– La Guía de Relaciones Laborales de la AEPD de mayo de 2021 mantenía idéntica distinción.
– El Informe Jurídico AEPD 98/2022 reconocía expresamente que la Agencia seguía un criterio distinto al del Comité Europeo de Protección de Datos y que ese criterio podría necesitar revisión.
El proceso de actualización del censo empezó en marzo de 2023 y terminó el 30 de noviembre de 2023. El cambio de criterio de la AEPD se produjo el 23 de noviembre de 2023. Una semana antes de que acabara el proceso.
El Club diseñó e implementó su sistema siguiendo el criterio oficial de la autoridad supervisora. Ese criterio cambió cuando el tratamiento estaba prácticamente concluido. La AEPD archivó la infracción.
El fundamento jurídico: por qué el archivo es inevitable
La resolución no archiva por generosidad ni por razones de oportunidad. Lo hace porque no puede hacer otra cosa sin vulnerar principios jurídicos fundamentales.
El primero es el principio de culpabilidad. Cuando la autoridad competente ha publicado oficialmente que una conducta es conforme a derecho, no puede luego sancionar a quien la siguió. El elemento subjetivo desaparece.
El segundo es el principio de confianza legítima, reconocido en el artículo 3 de la Ley 40/2015 y en la jurisprudencia del TJUE. Las administraciones públicas generan expectativas en los operadores económicos. Cuando esas expectativas son razonables —y seguir el criterio publicado por la propia administración lo es— no pueden frustrarse sin consecuencias para la validez del acto sancionador.
El tercero es la irretroactividad de las disposiciones desfavorables, consagrada en el artículo 25 de la Constitución y en el artículo 49 de la Carta de Derechos Fundamentales de la UE. Aplicar retroactivamente un criterio más gravoso a una conducta que era conforme al criterio vigente en el momento de los hechos no es solo jurídicamente cuestionable: es inconstitucional.
La AEPD lo reconoce en la resolución con una frase que merece ser subrayada: «procede estimar sus alegaciones en relación con la culpabilidad de la conducta». No dice que el tratamiento fuera lícito. Dice que el Club no puede ser culpable por haber seguido lo que la Agencia decía que era lícito.
Lo que esto significa para cualquier responsable del tratamiento
La consecuencia práctica establece un precedente que afecta a cualquier operador bajo la supervisión de la AEPD. Las guías de la Agencia tienen un valor jurídico real, aunque no formal: cuando se siguen de buena fe, generan protección frente a la potestad sancionadora. Pero esa protección tiene condiciones:
– Hay que poder acreditarlo. El FC Barcelona pudo demostrar que su análisis fue anterior al cambio de criterio porque tenía documentos fechados. Sin trazabilidad documental, el argumento se desmorona. La buena fe no se presume ante la AEPD: se demuestra.
– Hay que seguir las guías vigentes, no las convenientes. La resolución critica expresamente el «espigueo normativo»: invocar normas anteriores cuando favorecen y normas posteriores cuando también convienen. El criterio aplicable es el vigente en el momento del diseño del tratamiento.
– Los cambios de criterio hay que monitorizarlos. El Informe 98/2022 ya advertía que la posición de la AEPD sobre biometría podía cambiar. Quien leía las publicaciones de la Agencia con atención tenía margen para adaptarse. La vigilancia activa del corpus interpretativo de la autoridad supervisora no es opcional para un compliance serio.
– La protección cubre la culpabilidad, no la legalidad. Seguir el criterio de la AEPD no convierte un tratamiento en lícito si objetivamente no lo es. Lo que hace es excluir la culpa. Si hay otras infracciones independientes, no quedan cubiertas por el mismo escudo.
La resolución /ofrece una respuesta parcial: quien siguió el criterio oficial vigente en su momento tiene derecho a que eso le proteja. Pero también lanza una advertencia implícita: el seguimiento pasivo de las guías no basta. Hay que leerlas, entenderlas, detectar sus advertencias sobre posibles cambios y actuar en consecuencia.
En protección de datos, el cumplimiento normativo no es un estado estático. Es un proceso continuo de seguimiento, adaptación y documentación. Las guías de la AEPD son una brújula imprescindible. Pero hay que saber leerlas —incluyendo lo que advierten sobre su propio futuro.