El Informe 0452/2010 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda las implicaciones legales de la creación de un sistema institucional de protección (SIP) integrado por siete cajas de ahorros, en relación con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su Reglamento de desarrollo. Este sistema busca mutualizar riesgos y beneficios entre las entidades participantes, centralizando políticas y estrategias de negocio bajo una entidad central.
El informe destaca que la creación del SIP implica la transmisión de datos personales entre las cajas de ahorros y la entidad central. Se analiza si estas transmisiones constituyen cesiones de datos, definidas como la revelación de datos a una persona distinta del interesado. Según el artículo 12.1 de la Ley Orgánica, no se considera cesión de datos el acceso de un tercero necesario para la prestación de un servicio al responsable del tratamiento. Además, el artículo 19 del Reglamento establece que en operaciones de reestructuración societaria no se produce cesión de datos, siempre que se cumplan ciertas obligaciones.
El informe concluye que las transmisiones de datos necesarias para la gestión centralizada de riesgos y beneficios están amparadas por el artículo 11.2 a) de la Ley Orgánica, en relación con las normas que regulan los SIP. Sin embargo, para otras finalidades, como la publicidad y prospección comercial, se requiere el consentimiento explícito de los interesados, salvo que la cesión esté autorizada por una ley o sea necesaria para el desarrollo de una relación jurídica.
Se subraya la importancia de cumplir con el deber de información a los afectados, especialmente en casos de cambio de responsable del fichero, para evitar que la transmisión de datos se considere una cesión ilícita. La AEPD recomienda utilizar medios fiables y audibles para notificar a los interesados, como correos electrónicos y publicaciones en medios de comunicación.
En cuanto al tratamiento de datos del personal, el informe considera que la transmisión de datos a la entidad central o a otras cajas de ahorros puede estar amparada por el artículo 19 del Reglamento o por el artículo 11.2 c) de la Ley Orgánica, dependiendo de si se adopta una política centralizada de recursos humanos.
Finalmente, el informe destaca la necesidad de implantar y mantener medidas de seguridad adecuadas, así como de notificar al Registro General de Protección de Datos cualquier creación, modificación o supresión de ficheros resultante de la constitución del SIP. En resumen, el informe proporciona un marco legal claro para la transmisión y tratamiento de datos personales dentro del SIP, asegurando el cumplimiento de la normativa de protección de datos.