Protección de Datos: Implicaciones en materia protección de datos de carácter personal en Fusiones frías
Protección de Datos: Implicaciones en materia protección de datos de carácter personal en Fusiones frías
(Imagen: el blog de DIGI)
Por María López Muñoz. Asociada senior del área de Governance, Risk & Compliance de Ecija.
EN BREVE: «Recientes Informes de la Agencia Española de Protección de Datos analizan los flujos de datos personales que se producen como consecuencia de las fusiones frías de las Cajas de Ahorros. En términos generales, y como conclusión, no es preciso obtener el consentimiento del cliente para ceder sus datos dentro del sistema institucional de protección.»
Los problemas de solvencia de las cajas de ahorros han tenido como consecuencia la propagación de procesos de integración, auspiciados por el Banco de España, conocidos como «fusiones frías». Tal figura representa, paradójicamente, una especie de «clavo ardiendo» al que se aferran las cajas para asegurar su supervivencia, accediendo a los recursos del Fondo de Reestructuración Ordenada Bancaria, sin renunciar totalmente a su independencia y poder territorial.
Las denominadas «fusiones frías» de las entidades de crédito, esto es, los Sistemas Institucionales de Protección (SIP), se regulan, básicamente, en el artículo 8.3.d) de la Ley 13/1985, de 25 de mayo, de Coeficientes de Inversión, Recursos Propios y Obligaciones de Información de los Intermediarios Financieros, que atribuye a los SIP, si reúnen determinados requisitos, la consideración de grupos consolidables de entidades de crédito.
En síntesis, el SIP se constituye mediante un acuerdo contractual entre determinadas entidades de crédito que, manteniendo su personalidad jurídica, deciden suscribir un compromiso mutuo de solvencia y liquidez, consolidar sus resultados y crear una entidad central que determine las políticas de negocio, así como la gestión de riesgos.
¿Y qué ocurre con el cliente de una caja de ahorros que se integra en un SIP? No cabe duda de que el impacto de las «fusiones frías» puede analizarse desde diversos puntos de vista y el presente artículo pretende describir, o al menos identificar, las principales implicaciones en materia de protección de datos de carácter personal, a la luz de los recientes informes de la Agencia Española de Protección de Datos (AEPD).
Pues bien, en términos generales, del Informe 0452/2010 de la AEPD se desprende que no es necesario que la caja obtenga el consentimiento del cliente para ceder sus datos con el fin de integrarse en un SIP. En este sentido, la comunicación de los datos relativos a las relaciones mantenidas con sus clientes por parte de la caja a la entidad central, y al resto de entidades, con la finalidad de que se establezcan las políticas comunes y se garantice la mutualización de solvencia y resultados, se encontraría amparada por el artículo 11.2 a) de la Ley Orgánica 15/1999, de 13 de diciembre de Protección de datos de carácter personal (LOPD), en relación con los artículos 8.3 de la Ley 13/1985 y 62.3 de la Ley 44/2002, de 22 noviembre, de Medidas de Reforma del Sistema Financiero. No obstante, debe tenerse en cuenta que, en el supuesto objeto del Informe de la AEPD, la puesta en común de riesgos y beneficios es del 100%.
Asimismo, será posible la cesión de datos entre las entidades integrantes del SIP cuando resulten aplicables normas con rango de Ley que afecten a los grupos consolidables de entidades de crédito.
En cuanto a la transmisión de ficheros referidos a la cartera de negocio de la caja a la sociedad central, o a otras entidades, en el marco de una cesión global de activos y pasivos, nos encontraríamos ante un cambio en la figura del Responsable del Fichero. Tal modificación en la condición del Responsable del Fichero debería quedar debidamente inscrita en el Registro de la AEPD y la comunicación de datos quedaría amparada por el artículo 19 del Real Decreto 1720/2007, de 21 diciembre, que aprueba el Reglamento de desarrollo de la LOPD, siempre que se informe a los interesados.
Sin embargo, las cesiones de datos con fines distintos a los previamente indicados necesitan de la autorización de los clientes de la entidad. En particular, la comunicación de los datos por parte de la caja para fines de publicidad y prospección comercial, si se produce al margen de una cesión del negocio, requerirá obtener el consentimiento al efecto.
En el caso de que se produzca una centralización técnica de los procesos en la sociedad central, ésta actuará como Encargado del Tratamiento de las entidades integrantes del SIP, siendo precisa la suscripción de un acuerdo de prestación de servicios en los términos del artículo 12 de la LOPD.
Por último, el Informe 0517/2010 de la AEPD vino a despejar las dudas generadas por el anterior Informe 0452/2010 en relación con la cesión, dentro del SIP, de los datos comunicados al Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias o de operaciones que estén siendo objeto de un análisis especial. En este sentido, la AEPD finalmente considera que la cesión de datos entre las entidades que conforman un SIP con la finalidad de prevención del blanqueo de capitales y la financiación del terrorismo también se encuentra amparada por el artículo 11.2 a) de la LOPD, en conexión con el artículo 24.2 a) de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, interpretado a la luz del artículo 28.3 de la Directiva 2005/60/CE de 26 de octubre de 2005.
En conclusión, los flujos de información que se produzcan dentro del sistema institucional de protección (SIP) no precisarán del consentimiento de los clientes, siempre que las comunicaciones de datos personales se encuentren impuestas o habilitadas por la normativa aplicable o se enmarquen en una cesión global de activos y pasivos.
Si desea leer el Artículo en formato PDF puede hacerlo abriendo el documento adjunto.
...