El informe jurídico 0290/2005 de la Agencia Española de Protección de Datos (AEPD) aborda diversas cuestiones relacionadas con la aplicación de la Ley 12/2003, de 21 de mayo, de Prevención y Bloqueo de la Financiación del Terrorismo. La consulta se centra en los ficheros creados por una entidad para verificar si sus clientes están vinculados a actividades terroristas, conforme a lo establecido en dicha ley.
La Ley 12/2003 establece que las cuentas, transacciones y movimientos financieros deben ser bloqueados si están relacionados con personas o entidades vinculadas al terrorismo. El artículo 7 de la ley especifica que la Comisión de Vigilancia de Actividades de Financiación del Terrorismo puede considerar a ciertas personas o entidades como vinculadas al terrorismo.
El artículo 4.1 de la ley impone varias obligaciones a los sujetos obligados, como examinar operaciones sospechosas, comunicar hechos indicativos de financiación del terrorismo a la Comisión de Vigilancia, no revelar la transmisión de información a la Comisión, y establecer procedimientos de control interno. Además, el artículo 4.2 establece que estos sujetos deben cumplir con la Ley 19/1993, que impone el deber de identificación de los sujetos intervinientes en las operaciones.
El tratamiento de datos en los ficheros creados por la entidad consultante tiene como objetivo facilitar el cumplimiento de estas obligaciones legales. La AEPD concluye que, siempre que la finalidad del fichero sea exclusivamente cumplir con la Ley 12/2003 y que solo el órgano de control interno tenga acceso a los datos, el tratamiento de estos datos está amparado por la Ley Orgánica 15/1999 de Protección de Datos.
El fichero debe ser notificado y registrado en el Registro General de Protección de Datos, y se deben implantar medidas de seguridad de nivel medio, según el Real Decreto 994/1999. Los datos deben conservarse mientras sean necesarios para el examen y comunicación de operaciones a la Comisión de Vigilancia.
En cuanto al deber de información y los derechos de acceso, rectificación, cancelación y oposición, la AEPD señala que la prohibición de revelar la transmisión de información a la Comisión de Vigilancia exime a las entidades de cumplir con estos deberes en relación con los ficheros creados para cumplir con la Ley 12/2003. Esta restricción está justificada por la necesidad de proteger bienes e intereses constitucionalmente relevantes, respetando el contenido esencial del derecho fundamental a la protección de datos.
En resumen, la AEPD permite la creación de ficheros para cumplir con la Ley 12/2003, siempre que se respeten las medidas de seguridad y se limiten el acceso y la utilización de los datos a los órganos de control interno. Además, se exime a las entidades del deber de información y del ejercicio de ciertos derechos de los afectados en relación con estos ficheros, debido a la prohibición legal de revelar la transmisión de información a la Comisión de Vigilancia.