Derecho Artificial
AEPD

Cesión de grabaciones como acta: AEPD sanciona a gestora de fondos por falta de consentimiento específico

PorRicardo Scarpa
Sentencia

El consentimiento no es un cheque en blanco: la resolución AEPD sobre grabaciones de comité

Una gestora de fondos de inversión graba una reunión de su Comité de supervisión con el beneplácito de todos los asistentes. Semanas después, remite esa grabación —conteniendo imagen y voz de seis personas— a dos partícipes del fondo que no participaron en la reunión, justificando la entrega al considerarla el "acta" del encuentro. La Agencia Española de Protección de Datos (en adelante, AEPD) sanciona la conducta con 3.000 euros tras reconocimiento de responsabilidad y pago voluntario. La resolución de terminación del procedimiento EXP202407307, dictada por Lorenzo Cotino Hueso como Presidente de la AEPD, es aparentemente modesta en cuantía. Sin embargo, su densidad jurídica justifica un análisis detenido: la resolución delimita con precisión los contornos del consentimiento finalista, articula la doctrina de la incompatibilidad de finalidades en el contexto de las actas digitales y anticipa consecuencias sistémicas para la gobernanza corporativa en la era de las videoconferencias.

I. Los hechos constitutivos y el iter procedimental

El 28 de febrero de 2024, la Consultora —sociedad gestora de instituciones de inversión colectiva— convocó una reunión del Comité de supervisión del fondo de inversión alternativa que gestiona, celebrada mediante la aplicación Microsoft Teams. Al inicio de la sesión, los organizadores informaron a los participantes de que la reunión sería grabada y que la grabación quedaría custodiada por la Consultora para las gestiones legales oportunas del Comité. Los asistentes prestaron su conformidad expresamente para esa finalidad.¹

La quiebra se produce con posterioridad. Con fecha 19 y 20 de marzo de 2024, la Consultora remitió copia de la grabación —imagen y voz de los seis participantes— a dos entidades partícipes del fondo que habían solicitado las actas de las últimas reuniones del Comité. La justificación ofrecida por el Director General de la entidad fue que, ante la ausencia de acta escrita, la grabación "tomaba consideración de acta" de la reunión. El particular afectado, miembro del Comité, interpuso reclamación ante la AEPD el 3 de mayo de 2024.

El procedimiento atravesó una primera inadmisión a trámite en julio de 2024, estimada en revisión de la resolución de agosto de ese año, y fue revertida mediante recurso de reposición estimado el 26 de noviembre de 2024. El procedimiento sancionador propiamente dicho se inició el 3 de diciembre de 2025. El 18 de diciembre de 2025, la Consultora reconoció su responsabilidad y abonó voluntariamente 3.000 euros —resultado de aplicar las dos reducciones acumulables del 20% previstas en el artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LPACAP)—, sobre una sanción inicial propuesta de 5.000 euros.²

II. La arquitectura del consentimiento finalista y su aplicación al supuesto

La cuestión central no es si los participantes consintieron la grabación —lo hicieron— sino si ese consentimiento abarcaba la posterior cesión del material a terceros ajenos al Comité. La AEPD aplica con rigor la doctrina del consentimiento específico que emana del artículo 4.11 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (en adelante, RGPD), que exige que el consentimiento sea "libre, específico, informado e inequívoco."³

El análisis de la resolución reproduce los criterios de las Directrices 5/2020 del Comité Europeo de Protección de Datos sobre el consentimiento. Conviene detenerse en dos de ellas. La primera es la especificidad: el consentimiento válido "va siempre precedida de la determinación de un fin específico, explícito y legítimo para la actividad de tratamiento prevista" (párrafo 56 de las Directrices). La segunda es la inequivocidad: "debe resultar evidente que el interesado ha dado su consentimiento a una operación concreta de tratamiento de datos" (párrafo 75). Ambas condiciones fueron satisfechas respecto de la grabación inicial —custodia para gestiones legales del Comité— pero no respecto de la ulterior cesión a terceros como sustituto del acta escrita.

Aquí es donde el razonamiento de la AEPD gana densidad propia. La resolución no niega que la reclamada tuviera alguna base de legitimación para la elaboración del acta —lo cual es relevante para la graduación de la sanción—. Lo que afirma, con precisión técnica, es que esa base de legitimación no amparaba la transformación de la grabación en un instrumento de acta distribuible a terceros. El consentimiento otorgado por los intervinientes tenía un objeto determinado: el apoyo a las gestiones legales del Comité. Extenderlo a una finalidad distinta —la cesión pública de imagen y voz como documento contractual— requería, cuando menos, información previa y una nueva manifestación de voluntad, específica e inequívoca.⁴

La Audiencia Nacional corrobora este enfoque en su sentencia de 13 de febrero de 2025 (rec. 1005/2022), citada expresamente en el acuerdo de inicio: "el consentimiento ha de ser necesariamente inequívoco […] ha de aparecer como evidente, o, lo que es lo mismo, que no admite duda o equivocación." La carga de acreditar la existencia del consentimiento inequívoco recae sobre el responsable del fichero, no sobre el interesado. Dicho de otro modo: ante la negativa del afectado, quien alega el consentimiento debe probarlo.⁵ La Consultora no lo acreditó.

III. El régimen jurídico de las actas digitales: un vacío que la práctica corporativa no puede llenar unilateralmente

La argumentación de la Consultora descansaba en una premisa normativa: que la grabación podía "tomar consideración de acta" porque el artículo 9.4 del Reglamento de Gestión del Fondo no exige expresamente soporte escrito. La defensa invocó que el verbo "redactar" no excluye formatos no textuales, y que el concepto genérico de "acta" admite cualquier soporte material.

La AEPD desactiva este argumento no por la vía de la interpretación del Reglamento del Fondo —que sería extralimitarse— sino por la de los requisitos del consentimiento informado. La cuestión no es si una grabación puede jurídicamente ser un acta, sino si el consentimiento prestado para grabar la reunión cubre la circulación de esa grabación como documento societario. Conviene examinar ambas dimensiones.

Desde la perspectiva del derecho societario, el problema de equiparar grabación y acta es doble. Primero, el artículo 9.4 del Reglamento del Fondo —reproducido literalmente en la resolución— dispone que la Sociedad Gestora "redactará un acta cuya copia se enviará a los miembros del mismo." El término "redactar" implica, en su sentido ordinario y en el contexto de la tradición documental española, la elaboración de un texto escrito. Segundo, la propia cadena de correos electrónicos aportada por la parte reclamada revela que el personal de la Consultora reconocía internamente que el Comité de febrero de 2024 "está grabado y está pendiente de transcribirlo", lo que presupone que la grabación no era en sí misma el acta, sino el material previo a su elaboración. Esta admisión implícita es determinante para la AEPD.⁶

Desde la perspectiva del RGPD, el artículo 6.4 establece un test de compatibilidad para el tratamiento con fines distintos a los recabados inicialmente. El responsable debe valorar, entre otros factores, la relación entre los fines para los que se recogieron los datos y los fines del tratamiento ulterior, el contexto de la recogida, la naturaleza de los datos y las posibles consecuencias para los interesados. El tratamiento ulterior en cuestión —distribución de una grabación audiovisual a entidades distintas de los propios interesados— no supera ninguna de estas variables razonablemente. El cambio de finalidad no es simplemente una extensión de la original, sino una operación cualitativamente diferente: de custodia interna a circulación externa.

Dicho esto, la resolución abre —sin cerrar— una cuestión sistémica de mayor calado: la ausencia de un marco normativo claro para la validez jurídica de las actas en formato audiovisual en el derecho español. La AEPD reconoce que "la grabación de las reuniones es una actuación cada vez más generalizada" y que "incluso en algunos casos la consideración de la grabación como acta está establecida en determinadas normas." El problema de la Consultora no fue adoptar la grabación como acta, sino no haber establecido el procedimiento adecuado —un acuerdo interno, una política de información y una base de legitimación actualizada— antes de distribuirla.⁷

IV. La gradación de la infracción: el impacto matizado de una conducta negligente

La tipificación de la infracción en el artículo 83.5 RGPD —cuya sanción máxima teórica alcanza los 20.000.000 de euros o el 4% del volumen de negocio global— no implica automáticamente sanciones desproporcionadas. El artículo 83.2 RGPD prevé una modulación atendiendo a circunstancias diversas, y la AEPD las aplica meticulosamente.

El volumen de negocio de la Consultora —3.035.564 euros en 2023— configura un contexto de pequeña empresa. La infracción afecta a los datos de imagen y voz de los seis participantes en la reunión, categorías no especialmente sensibles desde la perspectiva del artículo 9 RGPD, pero que incorporan una dimensión de intimidad relevante al tratarse de registros audiovisuales identificativos. La cesión se realizó a dos entidades, no a un número indeterminado de destinatarios. La intencionalidad se califica de "negligente en cierta medida", con reconocimiento expreso de que la entidad disponía de base de legitimación para las gestiones legales internas del Comité.⁸

Estos factores conducen a una sanción inicial de 5.000 euros —reducida a 3.000 euros tras el reconocimiento de responsabilidad y el pago voluntario, con arreglo a la doble reducción del 20% contemplada en el artículo 85.3 LPACAP—. La resolución confirma así que la cuantía final no busca carácter disuasorio máximo, sino proporcionalidad con la gravedad concreta del hecho, tal como exige el artículo 83.1 RGPD. La efectividad de las reducciones queda condicionada al desistimiento de cualquier recurso en vía administrativa.

Conviene señalar, no obstante, que la resolución introduce un matiz que tendrá consecuencias prácticas: habría bastado con "un acuerdo interno, junto con la información adecuada en la que se comunicara de la posibilidad de grabación, finalidad, validez de las grabaciones como actas, y las posibles cesiones." La AEPD no condena la práctica de las grabaciones como actas, sino la ausencia del procedimiento que la legitime. Este señalamiento tiene el valor de una orientación positiva de compliance.

V. Implicaciones doctrinales para la gobernanza corporativa y el derecho de la protección de datos

La resolución EXP202407307 contribuye a la doctrina en tres planos que conviene distinguir analíticamente.

En primer lugar, consolida el principio de especificidad finalista como límite real al reaprovechamiento de consentimientos genéricos. La práctica de invocar un consentimiento para grabar como cobertura para distribuciones ulteriores —sea a socios, partícipes, aseguradoras o cualquier otra parte con interés en el contenido— carece de soporte en el RGPD. El consentimiento informado requiere que el interesado pueda representarse mentalmente el tratamiento que autoriza; cuando ese tratamiento es materialmente distinto del que se le comunicó, el consentimiento es ineficaz para cubrirlo.⁹

En segundo lugar, la resolución ilumina una zona de riesgo emergente en la práctica corporativa post-pandémica. La generalización de las herramientas de videoconferencia —Microsoft Teams, Zoom, Google Meet— ha instalado en muchas organizaciones la costumbre de grabar reuniones sin haber establecido un marco jurídico que regule: (i) las finalidades admisibles de esas grabaciones; (ii) los destinatarios autorizados; (iii) los plazos de conservación; y (iv) los mecanismos de ejercicio de derechos por parte de los interesados. La resolución, al confirmar que la base de legitimación para grabar no cubre automáticamente la distribución del material, obliga a las entidades a revisar sus políticas internas de videoconferencia y documentación.

En tercer lugar, la resolución anticipa un problema normativo que el legislador español no ha abordado con suficiencia: la validez jurídica de las actas en formato audiovisual. La Ley de Sociedades de Capital no contempla expresamente las grabaciones como modalidad de acta, aunque la doctrina mercantilista ha discutido si la digitalización normativa del artículo 17 de la Ley 34/2002 y las reformas introducidas por el Real Decreto-ley 34/2020 pueden servir de anclaje.¹⁰ En ausencia de regulación expresa, las organizaciones que deseen adoptar las grabaciones como actas deberán articular esa decisión en sus estatutos o reglamentos internos y garantizar que el consentimiento de los interesados abarca explícitamente esa finalidad.

Conviene, en este punto, trazar la frontera con un supuesto que la resolución sí valida: la remisión de la grabación a la Comisión Nacional del Mercado de Valores (CNMV) en el contexto del proceso de inspección. La AEPD acepta sin objeción que esa cesión al organismo regulador "no constituye una cesión de datos" en sentido propio —más exactamente, se ampara en el artículo 6.1.c) RGPD (obligación legal) o en el artículo 6.1.e) (misión de interés público)—. La distinción es funcionalmente importante: las cesiones a autoridades reguladoras en el ejercicio de sus funciones de supervisión no requieren el consentimiento de los interesados y no generan responsabilidad para el cedente.

VI. La medida correctiva y su alcance prospectivo

Más allá de la sanción pecuniaria, la resolución ordena a la Consultora que, en el plazo de tres meses desde su firmeza, adopte las medidas necesarias para garantizar que cuenta con base de legitimación adecuada para realizar grabaciones de las reuniones del Comité y para comunicarlas. La concreción de esas medidas se deja a la autonomía organizativa de la entidad, conforme al principio de responsabilidad proactiva del artículo 24 RGPD.

Esta flexibilidad es coherente con la arquitectura del Reglamento, que no impone un único modelo de cumplimiento, sino que exige que el responsable pueda demostrar que su actuación es conforme. Las vías que la propia AEPD sugiere obiter son claras: un procedimiento interno de gobernanza de las grabaciones, una política de información previa que identifique finalidades y posibles destinatarios, y —si se pretende que las grabaciones tengan valor de acta— una previsión estatutaria o reglamentaria que así lo establezca, acompañada de un consentimiento específico e informado de los interesados.¹¹

El incumplimiento de la medida correctiva constituiría una infracción autónoma tipificada en el artículo 83.6 RGPD, susceptible de un procedimiento sancionador ulterior. La resolución advierte de ello expresamente.

VII. Conclusiones

La resolución EXP202407307 de la AEPD destila cinco proposiciones jurídicas que merecen ser enunciadas con precisión:

Primera: el consentimiento para grabar una reunión es específico respecto de la finalidad comunicada; no cubre ipso facto la distribución del material a terceros ajenos a la reunión, aunque esos terceros tengan un interés legítimo en su contenido.

Segunda: la transformación de una grabación en un instrumento de acta requiere una base de legitimación autónoma que no puede derivarse por implicación del consentimiento prestado para la grabación; esa base puede construirse contractualmente, estatutariamente o mediante acuerdo interno documentado, con la información adecuada a los interesados.

Tercera: la carga probatoria del consentimiento inequívoco recae sobre el responsable del tratamiento; la negativa del interesado invierte la carga y exige al responsable acreditar documentalmente la autorización.

Cuarta: las cesiones a organismos reguladores en el ejercicio de funciones de supervisión no constituyen cesiones de datos en sentido jurídico-sancionador y no generan responsabilidad bajo el RGPD.

Quinta: la generalización de las videoconferencias corporativas plantea un desafío normativo no resuelto en el derecho español respecto de la validez y distribución de grabaciones como actas societarias; en tanto el legislador no actúe, las organizaciones deben establecer marcos internos específicos que integren base de legitimación, información previa y consentimiento finalista.

La resolución invita a concluir, en términos más amplios, que el derecho de la protección de datos no penaliza la modernización documental, sino la modernización imprudente. La diferencia entre una práctica conforme y una infracción no residía aquí en la decisión de grabar la reunión, sino en la ausencia de un procedimiento que regulara sus consecuencias.

Notas al pie

¹ AEPD, Resolución de terminación del procedimiento EXP202407307, de diciembre de 2025. Antecedente Primero, apartado HECHOS PRIMERO.

² Ibid., Antecedente SEGUNDO. El cálculo resulta de aplicar las reducciones acumulables del art. 85.3 LPACAP: 5.000 × (1 − 0,20 − 0,20) = 3.000 euros.

³ Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 [en adelante, RGPD], DO L 119, de 4 de mayo de 2016, art. 4.11.

⁴ COMITÉ EUROPEO DE PROTECCIÓN DE DATOS, Directrices 5/2020 sobre el consentimiento en el sentido del Reglamento (UE) 2016/679, versión 1.1, adoptadas el 4 de mayo de 2020, párrs. 56, 68 y 75.

⁵ Sentencia de la Audiencia Nacional (Sala de lo Contencioso-administrativo, Sección 1.ª) de 13 de febrero de 2025, rec. 1005/2022, FD 4.º. En el mismo sentido, SAN de 5 de mayo de 2021, rec. 1434/2020, FD 6.º.

⁶ Correo electrónico de 19 de marzo de 2024 citado en la resolución: "Respecto a los comités de supervisión, hemos tenido 3: […] 2. Febrero de 2024: el Comité está grabado y está pendiente de transcribirlo."

⁷ RGPD, art. 6.4, letras a) a e). Sobre el test de compatibilidad de finalidades, vid. HIJMANS, Hielke, The European Union as a Constitutional Guardian of Internet Privacy and Data Protection, Springer, Berlín, 2016, pp. 213-228.

⁸ RGPD, art. 83.2, letras a), b) y g). Los datos de imagen y voz de personas identificadas pueden constituir datos biométricos en los términos del art. 4.14 RGPD, si bien la resolución no aplica el régimen del art. 9 RGPD al no concurrir tratamiento biométrico en sentido estricto.

⁹ LYNSKEY, Orla, The Foundations of EU Data Protection Law, Oxford University Press, Oxford, 2015, pp. 189-215.

¹⁰ Real Decreto-ley 34/2020, de 17 de noviembre, art. 40 ter LSC. Vid. PAZ-ARES RODRÍGUEZ, Cándido, "Notas sobre la naturaleza del acta de la junta de accionistas", en Estudios Jurídicos en Homenaje al Profesor Aurelio Menéndez, Civitas, Madrid, 1996, tomo II, pp. 1743-1764.

¹¹ RGPD, art. 24. AEPD, Guía sobre protección de datos en relaciones laborales, 2023, disponible en www.aepd.es (consulta: 29 de abril de 2026), pp. 41-47.

Referencias bibliográficas

Normativa

  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), DO L 119, de 4 de mayo de 2016.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), BOE núm. 294, de 6 de diciembre de 2018.
  • Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP), BOE núm. 236, de 2 de octubre de 2015.
  • Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba el texto refundido de la Ley de Sociedades de Capital (LSC), BOE núm. 161, de 3 de julio de 2010.
  • Real Decreto-ley 34/2020, de 17 de noviembre, de medidas urgentes de apoyo a la solvencia empresarial y al sector energético, y en materia tributaria, BOE núm. 304, de 18 de noviembre de 2020.

Jurisprudencia

  • Sentencia de la Audiencia Nacional (Sala de lo Contencioso-administrativo, Sección 1.ª) de 13 de febrero de 2025, rec. 1005/2022.
  • Sentencia de la Audiencia Nacional (Sala de lo Contencioso-administrativo) de 5 de mayo de 2021, rec. 1434/2020.
  • Sentencia de la Audiencia Nacional de 28 de febrero de 2007, rec. 236/2005.
  • Sentencia de la Audiencia Nacional de 8 de noviembre de 2012, rec. 789/2010.

Resoluciones administrativas

  • AEPD, Resolución de terminación del procedimiento EXP202407307, de diciembre de 2025.

Doctrina

  • COMITÉ EUROPEO DE PROTECCIÓN DE DATOS, Directrices 5/2020 sobre el consentimiento en el sentido del Reglamento (UE) 2016/679, versión 1.1, adoptadas el 4 de mayo de 2020.
  • HIJMANS, Hielke, The European Union as a Constitutional Guardian of Internet Privacy and Data Protection, Springer, Berlín, 2016.
  • LYNSKEY, Orla, The Foundations of EU Data Protection Law, Oxford University Press, Oxford, 2015.
  • PAZ-ARES RODRÍGUEZ, Cándido, "Notas sobre la naturaleza del acta de la junta de accionistas", en Estudios Jurídicos en Homenaje al Profesor Aurelio Menéndez, Civitas, Madrid, 1996, tomo II, pp. 1743-1764.
  • RALLO LOMBARTE, Artemi, "Hacia un nuevo sistema europeo de protección de datos: las claves de la reforma", Revista de Estudios Políticos, núm. 158 (2012), pp. 11-39.
  • ZANFIR-FORTUNA, Gabriela, "Forgetting About Consent. Why The Focus Should Be On 'Suitable Safeguards' in Data Transfers", International Data Privacy Law, vol. 2, núm. 2 (2012), pp. 79-93.

Documentos institucionales

  • AEPD, Guía sobre protección de datos en relaciones laborales, 2023, disponible en www.aepd.es.

Artículos relacionados

Crossover RGPD y LOPDGDD V.3.0: guía de referencia con 800 enlaces

reference

F. Javier Sempere publica la tercera versión de su obra de referencia que conecta artículo por artículo el RGPD y la LOPDGDD con más de 800 recursos jurídicos enlazados.

Guía ICO sobre tecnologías de almacenamiento y acceso 2026

reference

La ICO actualiza su marco regulatorio sobre cookies y rastreo web: 43.000 proveedores afectados, nuevas excepciones PECR por la DUAA y obligaciones reforzadas de consentimiento.

Revista RPIT nº 1 AEPD: privacidad, IA y derechos fundamentales

guias

Análisis del primer número de la Revista de Privacidad, Innovación y Tecnología de la AEPD: gobernanza algorítmica, sesgos y protección de datos en la era de la IA.

Agentes de IA como extensiones conductuales: privacidad en riesgo

firma scarpa

El 34,6% de los agentes de IA filtra datos sensibles de sus propietarios sin configuración explícita. Análisis doctrinal sobre privacidad, identidad digital y RGPD.