El Informe 0517/2010 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda el régimen jurídico aplicable a las cesiones de datos en el seno de los Sistemas Institucionales de Protección, conforme a la Ley 13/1985 y la Ley 10/2010 sobre prevención del blanqueo de capitales y financiación del terrorismo. Este informe se enmarca en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007.
El informe parte de la premisa de que, aunque una norma con rango de Ley pueda prever el intercambio de información entre entidades integradas en un grupo consolidable, este no se aplica directamente a los Sistemas Institucionales de Protección, ya que estos no constituyen un grupo consolidado según el artículo 42 del Código de Comercio. Por lo tanto, la comunicación de datos para las finalidades autorizadas por la Ley no sería suficiente para habilitar la cesión de datos dentro de estos sistemas.
El artículo 24 de la Ley 10/2010 establece una prohibición general de revelación de información relacionada con el examen especial de operaciones, salvo en casos específicos como la revelación a autoridades competentes o por motivos policiales. Sin embargo, esta prohibición no impide la comunicación de información entre entidades financieras pertenecientes al mismo grupo, definido según el artículo 42 del Código de Comercio. Dado que los Sistemas Institucionales de Protección no se consideran grupos en este sentido, el artículo 24.2 a) de la Ley 10/2010 no otorga cobertura suficiente para la cesión de datos dentro de estos sistemas.
El informe también analiza la Directiva 2005/60/CE del Parlamento Europeo y del Consejo, que establece una excepción a la prohibición general de revelación en el seno de los grupos, remitiéndose a la definición de grupo en la Directiva 2002/87/CE. Esta definición es más amplia y puede incluir figuras asimilables a un grupo consolidado, como aquellas entidades que tienen una dirección única o están bajo una misma unidad de decisión.
En España, la Ley 13/1985 y el Real Decreto 216/2008 imponen a los Sistemas Institucionales de Protección la obligación de elaborar cuentas consolidadas, lo que los incluye en la definición de grupo de la Directiva 2002/87/CE. Por lo tanto, estos sistemas pueden considerarse dentro del ámbito de aplicación de la excepción establecida en el artículo 28.3 de la Directiva 2005/60/CE, objeto de transposición por el artículo 24.2 a) de la Ley 10/2010.
En conclusión, el informe considera que la cesión de datos entre las entidades que conforman un Sistema Institucional de Protección con la finalidad de prevención del blanqueo de capitales y la financiación del terrorismo se encuentra amparada por el artículo 11.2 a) de la Ley Orgánica 15/1999, en conexión con el artículo 24.2 a) de la Ley 10/2010 y, particularmente, del artículo 28.3 de la Directiva 2005/60/CE. Esto permite la comunicación de datos dentro de estos sistemas, siempre que se cumplan las condiciones establecidas por la normativa comunitaria y nacional.