La creación de los servicios institucionales de protección (SIP) de las cajas de ahorros han planteado serias dudas sobre la posibilidad de que puedan incumplir las condiciones impuestas por la Ley Orgánica de Protección de Datos (LOPD) para la cesión de datos, ya que se trata de grupos de sociedades establecidos a través de acuerdos contractuales y no como grupos consolidados. La norma equipara a las SIP entre los grupos consolidables de entidades de crédito, siempre que, entre otras condiciones, exista una entidad central que determine con carácter vinculante sus políticas y estrategias de negocio, así como los niveles y medidas de control interno y de gestión de riesgos.
En estos casos, la Agencia Española de Protección de datos considera que dependiendo del tipo de datos no habrá problemas en su cesión, pero en otras ocasiones se deberá informar a los clientes o solicitarles autorización. Una delicada labor que deberá seguirse con mucha atención y cuidado para evitar ser sancionados.
El informe jurídico indica que será necesaria la autorización de los clientes cuando se realice la transmisión de los datos relativos a los clientes de una entidad distinta de la amparada para fines distintos de los indicados.
En particular, la transmisión entre entidades de los datos de sus clientes para fines de publicidad y prospección comercial cuando la destinataria no sea la que va a prestar en lo sucesivo los servicios como consecuencia del reparto territorial derivado de la constitución del sistema requerirá el mencionado consentimiento específico de los clientes.
Con respecto al tratamiento de los datos relacionados con el personal de las distintas cajas de ahorros, dependerá de si los trabajadores se integran en una sola sociedad, con lo que estarán amparados por la LOPD, o si, por el contrario, mantienen sus puestos en las distintas cajas de ahorros, lo que les dejará fuera de esta cobertura legal y tendrán que atenerse a las limitaciones que aquélla les impone.
Por el contrario, la transmisión por parte de una entidad a la sociedad central y a las restantes entidades de los datos relativos a las relaciones mantenidas con sus clientes a fin de que por la sociedad central se establezcan las políticas y estrategias centralizadas de gestión del negocio y del riesgo y se garantice la adecuada agrupación del beneficio y del riesgo se ajusta a la LOPD.
También, será posible la cesión de datos entre las entidades implicadas en el sistema y de éstas con la sociedad central para las finalidades respecto de las que una norma con rango de Ley imponga la obligación de su cumplimiento en los grupos consolidables de entidades de crédito.
Deberá informar a los titulares de los datos los transmitidos por las entidades a la sociedad central, referidos a su cartera de negocio, para su tratamiento posterior por la misma o su comunicación a la entidad que desarrolle la actividad de banca comercial en su territorio de actuación.
Capítulo aparte merecen los datos cedidos en cumplimiento de la Ley de Prevención del Blanqueo de Capitales y Financiación del Terrorismo, puesto que esta normativa se refiere como grupos consolidados definidos del Código de Comercio.
Sin embargo, la AEPG determina que el tipo de grupo que debe tenerse en cuenta no es este, limitado, sino el más ampliado que se define en la Directiva de Prevención del Blanqueo de Capitales, en el que se incluyen las SIP, puesto que la norma comunitaria no autoriza al legislador nacional a definir este ámbito en las transposiciones.
FUENTE: www.icnr.es