El informe jurídico de la Agencia Española de Protección de Datos (AEPD) con número 364/2006 aborda la aplicación de la Ley Orgánica 15/1999 de Protección de Datos a los ficheros creados al amparo de la Ley 12/2003, de 21 de mayo, de prevención y bloqueo de la financiación del terrorismo, y del Reglamento (CE) Nº 881/2002 del Consejo. La consulta plantea si la excepción prevista en el artículo 2.2 c) de la Ley Orgánica 15/1999 es aplicable al tratamiento de datos realizado bajo estos reglamentos.
La excepción mencionada en el artículo 2.2 c) de la Ley Orgánica 15/1999 se refiere a los ficheros mantenidos por las Administraciones Públicas con fines de seguridad pública, defensa, seguridad del Estado y actividades del Estado en materia penal. Sin embargo, esta excepción no se aplica a los ficheros de titularidad privada que transmiten datos a las Administraciones Públicas para el cumplimiento de estas funciones.
El informe concluye que el fichero en cuestión, creado por una entidad privada para cumplir con las obligaciones legales de prevención de la financiación del terrorismo, no está excluido de la aplicación de la Ley Orgánica 15/1999. Por lo tanto, debe ser notificado para su inscripción en el Registro General de Protección de Datos y cumplir con todas las obligaciones previstas en dicha ley.
Además, la entidad consultante adquiere la condición de responsable del fichero, ya que decide sobre la finalidad, contenido y uso del tratamiento de datos. Debe cumplir tanto con el Reglamento (CE) Nº 881/2002 como con la Ley 12/2003, que impone obligaciones específicas para prevenir la financiación del terrorismo, como examinar operaciones sospechosas, comunicar indicios de financiación del terrorismo y establecer procedimientos de control interno.
El tratamiento de datos en este contexto está amparado por el artículo 6.1 de la Ley Orgánica 15/1999, siempre que la finalidad sea exclusivamente facilitar el cumplimiento de las funciones previstas en la Ley 12/2003 y el Reglamento (CE) Nº 881/2002. Los datos deben ser conservados mientras sean necesarios para el examen y comunicación de operaciones, y su uso debe estar restringido a los órganos de control creados por la entidad.
En cuanto al deber de información y los derechos de acceso, rectificación, cancelación y oposición, la prohibición legal de revelar la transmisión de información a la Comisión de Vigilancia exime a las entidades obligadas de cumplir con estos deberes en relación con los ficheros creados bajo la Ley 12/2003. Esta restricción es conforme con la doctrina constitucional, que permite limitar derechos fundamentales cuando es necesario y proporcionado para lograr un fin legítimo.
En resumen, el informe establece que los ficheros creados por entidades privadas para cumplir con la Ley 12/2003 deben ser notificados y cumplir con la Ley Orgánica 15/1999, aunque con ciertas limitaciones en cuanto al deber de información y los derechos de los afectados, debido a la naturaleza de las obligaciones legales impuestas.