El VAR judicial revisa las sanciones de privacidad

Perfil del autor

El Video Assistant Referee, comúnmente conocido como videoarbitraje o simplemente VAR, lleva años revolucionando el mundo del fútbol. Desde finales de la década pasada se encuentra operativo en las competiciones más relevantes del mundo para asistir al arbitraje y favorecer una toma de decisiones más justa, imparcial y equitativa. El sistema consiste en una serie de medios tecnológicos gestionados por los propios árbitros y asistentes en base a un protocolo claro: intervenir únicamente en caso de errores graves, manifiestos y decisivos durante el partido. Por ello, aunque se revisa todo el encuentro, únicamente se analizan las jugadas transcendentales (goles, penaltis, tarjetas rojas y errores de identificación de los jugadores).

            Así, ante la compleja labor arbitral el fundamento del VAR es ayudar y asistir a los colegiados. El árbitro de campo es quien decide en ultima ratio. Pero ello no impide que el VAR impulse y recomiende una revisión que pueda revertir la decisión del árbitro. Al fin y al cabo, los árbitros son personas y, por lo tanto, pueden equivocarse. Un fútbol justo requiere que estas equivocaciones se minimicen y compensen, razón por la que el VAR existe.

            Pero los árbitros no son los únicos que toman decisiones erróneas y/o excesivas. También las autoridades públicas pueden excederse y errar en el ejercicio de sus potestades. Frente a ello, el ciudadano y las empresas disponen de un entramado de recursos a distintos órganos (administrativos y judiciales) para revisar una decisión que les afecte y que, en su opinión, les perjudique injustamente por indebido o por exceso.

            Recientemente se ha dado eco del aumento de las sanciones impuestas por la Agencia Española de Protección de Datos (AEPD)[1]. Parece ser que nuestra autoridad de control ha reforzado, valga la redundancia, su control. Estamos a la espera de la memoria del año 2025, momento el cual conoceremos verdaderamente la situación sancionadora actual en materia de privacidad[2].

            Históricamente, nuestra Agencia es una de las autoridades de control que más sanciones impone tanto en general (comparada con otras autoridades públicas), como en particular (comparada con otras autoridades de control europeas en materia de protección de datos personales)[3]. Por ello, y a mi juicio, lo más destacable es la tendencia de subida de los importes sancionadores paralelamente al número de resoluciones sancionadoras[4].

            En ocasiones parece que la potestad sancionadora ha derivado en un «oderint dum metuant» por la que se tramitarán cada vez un mayor número de reclamaciones a las que se impondrán sanciones asimismo mayores. Y ello afecta no solo a las grandes empresas de sectores relevantes (telecomunicaciones, financiero, energía o sanidad), sino también a las pymes y a los autónomos de sectores tradicionales.

            Vaya por delante que el cumplimiento normativo es un requisito innegociable en todas las organizaciones que quieren garantizar los derechos y libertades fundamentales de los interesados. Pero, más allá de eso, es necesario ser consciente de que existe un creciente riesgo sancionador que asola a todos los responsables y encargados del tratamiento. Ello requiere proactividad en la acreditación del cumplimiento normativo y, en su caso, en la petición del “VAR judicial”.

            Debe saberse que la potestad sancionadora de las autoridades de control se regula fundamentalmente a nivel europeo y se desarrolla a nivel nacional. El Reglamento General de Protección de Datos dispone que las autoridades de control cuentan con poderes correctivos entre los que destaca la imposición de una multa administrativa a los responsables o encargados del tratamiento con arreglo al artículo 83 (artículo 58.2. i)[5]. De acuerdo con esta disposición, la imposición de una multa administrativa requiere tener en cuenta una serie de hechos y circunstancias que gradúan la sanción. Es decir, cuestiones que pueden tanto agravar como atenuar la responsabilidad por el incumplimiento y que determinan la sanción en mayor o menor cuantía[6]. Con ello se garantiza los principios de todo procedimiento sancionador y, en concreto, que las sanciones se impongan teniendo en cuenta las circunstancias de cada caso y siendo en todo caso efectivas, proporcionadas y disuasorias.

La relevancia de la potestad sancionadora en materia de protección de datos radica no sólo en su importe[7], sino también en los efectos perniciosos sobre la reputación de la sancionada. Por ello, tal y como indica el Reglamento europeo, los sujetos sancionados deben contar con garantías procesales adecuadas para impugnar su sanción. O dicho de otro modo, cuando exista un ‘piscinazo’ de la autoridad de control los responsables y encargados deben poder acudir al VAR para revisar su decisión.

El “VAR judicial”, esto es, el recurso de las sanciones a los Tribunales, es cada vez más habitual y conveniente. En muchas ocasiones, la impugnación de las resoluciones sancionadoras de la AEPD logra que la Audiencia Nacional[8] intervenga frente a errores graves, manifiestos y decisivos de la sanción. Un caso relevante ha sido el de la SAN de 29 de octubre de 2024, rec. nº 1824/2021, donde la Agencia impuso una multa de más de ocho millones de euros a una famosa operadora de telecomunicaciones por distintas infracciones que se redujo a poco más de cuatro millones y medio de euros en aplicación del principio de proporcionalidad. Otro asunto muy relevante fue el de la SAN de 8 de mayo de 2025, rec. nº 1448/2021, por la que se rebaja una sanción de seis millones de euros a dos millones a una conocida entidad bancaria. Se consideró que la existencia de un concurso medial hace que solo debe sancionarse la infracción más grave. Esta sentencia se encuentra actualmente recurrida en nuestro Alto Tribunal para dilucidar justamente acerca del concurso medial de infracciones[9].

Pero más allá de casos de renombre, la rebaja de sanciones también concurre cuando las cifras no son astronómicas:

  • de 170.000 euros a 7.000 euros a un supermercado por considerar que no concurría una infracción y agravantes (SAN de 29 de octubre de 2024, rec. nº 1061/2022);
  • de 30.000 euros a 20.000 euros a una aseguradora por carecer la infracción de carácter continuado (SAN de 16 de octubre de 2023, rec. nº 1769/2021);
  • de 30.000 euros a 15.000 euros a un hotel por no concurrir las agravantes apreciadas en la resolución de la AEPD (SAN de 18 de marzo de 2024, rec. nº 710/2022).

Igualmente se han producido anulaciones de sanciones de todo tipo:

  • se anula la sanción de 250.000 euros a una asociación deportiva profesional por considerar que no se puede sancionar una conducta por el incumplimiento de garantías que se concretaron posteriormente y que no eran previsibles en el momento en el que se realizaron las conductas sancionadas (STS 1263/2024, de 15 de julio, rec. nº 5039/2022);
  • se anula la sanción de 150.000 euros a una entidad tecnológica por no considerar infringido el derecho al olvido (SAN de 23 de abril de 2019, rec. nº 88/2017);
  • se anula la sanción de 500 euros impuesta a una propietaria al no considerar excesivamente intrusivo el dispositivo de videovigilancia en una propiedad privada (SAN de 9 de julio de 2024, rec. nº 1301/2022).

No obstante, el “VAR judicial” también puede confirmar la decisión del árbitro (en este caso, la AEPD). Así sucedió con la confirmación por el Tribunal Supremo de las multas impuestas a una entidad bancaria por un total de cinco millones de euros[10].

En definitiva, del mismo modo que el VAR nació para reforzar la justicia en el fútbol sin sustituir la autoridad del árbitro, la revisión judicial de las sanciones en materia de protección de datos constituye una garantía esencial del Estado de Derecho. La intensificación de la potestad sancionadora de la AEPD —con sanciones cada vez más frecuentes y cuantiosas— exige un contrapeso efectivo que asegure el respeto a los principios de proporcionalidad, tipicidad y seguridad jurídica.

La experiencia jurisprudencial demuestra que el “VAR judicial” no es un recurso infructuoso ni meramente dilatorio, sino un mecanismo necesario para corregir excesos, depurar errores y consolidar un sistema sancionador más equilibrado y previsible. Ello no desvirtúa la finalidad protectora del RGPD, sino que la refuerza al garantizar que la tutela de los derechos fundamentales convive con sanciones justas, motivadas y ajustadas a las circunstancias de cada caso.

Por ello, en un contexto de creciente complejidad tecnológica –especialmente en el ámbito de la inteligencia artificial–, los responsables y encargados del tratamiento deben apostar por un cumplimiento normativo proactivo, pero también deben ser conscientes de que el recurso a los tribunales forma parte del juego. Porque, como en el fútbol, la justicia no se resiente cuando se revisa una decisión: se fortalece cuando se acierta tras hacerlo.

[1] Concretamente por la siguiente noticia del periódico CincoDías: https://cincodias.elpais.com/legal/2026-01-27/mas-sanciones-y-de-mayor-importe-la-aepd-sube-el-nivel-de-multas-en-2025.html  

[2] No obstante, puede verse una previsión en el Informe de Sanciones RGPD 2025 presentado en el XVIII Foro de la Privacidad.

[3] En cuanto al importe total, España es el sexto país europeo que sanciona con mayores cuantías.

[4] De hecho, este año se ha puesto una de las sanciones más elevadas en la historia de la Agencia: diez millones de euros a AENA por el tratamiento de datos mediante biometría sin cumplir las exigencias legales (Expediente N.º: EXP202304532). La compañía ya anunció que iba a recurrir la sanción ante los tribunales.

[5] Además, la autoridad de control puede imponer advertencias o apercibimientos, ordenar al responsable o al encargado del tratamiento a una determinada actuación o incluso suspender –temporal o definitivamente– el tratamiento. La multa administrativa puede ser adicional o sustitutiva a cualquiera de las anteriores.

[6] Todo ello ha sido interpretado y desarrollado por las Directrices 04/2022 sobre el cálculo de las multas bajo el RGPD adoptadas el 24 de mayo de 2023 por el Comité Europeo de Protección de Datos.

[7] Será mayor o menor en función de la infracción cometida, pudiendo llegar a veinte millones de euros o una cuantía equivalente al 4% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

[8] Cuya competencia se determina en la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, apartado quinto.

[9] Esta sentencia se encuentra actualmente recurrida en nuestro Alto Tribunal para dilucidar justamente acerca del concurso medial de infracciones (ATS de 17 de diciembre de 2025 (rec. nº 7057/2025)).

[10] La STS 1792/2024, de 11 de noviembre (rec. nº 2960/2023) avala a la AEPD al revocar la sentencia de la Audiencia Nacional que anulaba las sanciones.

Compartir

Compartir

Newsletter

Mantente al día de nuestras novedades

Suscríbete

© 2025 Estudio Jurídico Gabeiras y Asociados S.L.

© 2025 Estudio Jurídico Gabeiras y Asociados S.L.