Una reciente sentencia de la Audiencia Nacional establece que la seguridad jurídica debe existir también en materia de protección de datos, y que si las empresas de un determinado sector ajustan sus actuaciones a los criterios que se desprenden de las resoluciones de la Agencia de Protección de Datos, a sus recomendaciones e instrucciones, no pueden verse sorprendidas por un cambio de criterio en el seno de un procedimiento sancionador, sustentado en dos sentencias judiciales dictadas con posterioridad al momento en que se desarrollan los hechos que determinan la responsabilidad.
Si la Agencia de Protección de Datos decide cambiar sus criterios, debe hacerlo inicialmente a través de sus recomendaciones, instrucciones y memorias, aportando sus inspectores a las empresas información sobre el nuevo criterio que se va a sostener en el futuro para que los administrados puedan adaptarse a las nuevas exigencias y sólo de no hacerlo así puedan y deban ser sancionados. La forma en la que la Agencia de Protección de Datos ha modificado sus criterios anteriores no se considera razonable por lo que se estima vulnerado el derecho a la igualdad jurídica, derecho que deriva de la existencia de precedentes en los que los mismos hechos no han sido sancionados.
Los nuevos criterios, por muy razonables que sean, ya estén contenidos en una norma o deriven de una decisión de la Administración interpretando las normas, han de desplegar sus efectos hacia el futuro pero nunca proyectarse hacia actuaciones pasadas que se acomodaron a los criterios entonces existentes. La relación de los administrados con la Administración debe sustentarse en un principio de confianza legítima, confianza que sólo puede generarse cuando se tiene previsibilidad y seguridad en la actuación de la Administración.