El Informe 0404/2011 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) analiza la conformidad del Reglamento del Repositorio del Servicio de Información de los Sujetos Obligados (Repositorio SISO) con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su Reglamento de desarrollo. Este informe se centra en evaluar si el tratamiento y la comunicación de datos en el Repositorio SISO están amparados por la normativa vigente.
El Repositorio SISO es un fichero común de intercambio de información entre entidades sujetas a la Ley 10/2010 de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo. Este fichero está dividido en compartimentos independientes según la tipología de los sujetos obligados y las características de sus operaciones. El responsable del fichero es la entidad consultante, que encomienda el mantenimiento a otra entidad mediante un contrato que cumple con la normativa de protección de datos.
El informe destaca que el Repositorio SISO tiene su fundamento jurídico en el artículo 33.2 de la Ley 10/2010 y contiene datos de operaciones comunicadas al Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales. El acceso al fichero está limitado a los órganos de control interno de los sujetos obligados y a un coordinador designado por cada entidad. Además, se establece un régimen de responsabilidad para garantizar la exactitud y veracidad de la información.
El informe también aborda la aplicación de la Sentencia del Tribunal de Justicia de la Unión Europea de 24 de noviembre de 2011, que establece que el tratamiento de datos personales debe ser necesario para la satisfacción del interés legítimo del responsable del tratamiento, siempre que no prevalezcan los derechos y libertades fundamentales del interesado. En este sentido, se evalúa si el Repositorio SISO cumple con estos criterios de ponderación.
El Reglamento del Repositorio SISO incluye varias garantías adicionales para proteger los derechos de los interesados, como la creación de compartimentos diferenciados, plazos reducidos para la inclusión y baja de datos, y la prohibición de decisiones automatizadas. Además, se establece un procedimiento de contestación a las solicitudes de ejercicio de derechos y un régimen sancionador para los incumplimientos.
El informe concluye que el sistema introduce medidas y garantías que minimizan el riesgo para los derechos y libertades del interesado, permitiendo considerar que la creación del Repositorio SISO y los tratamientos derivados del mismo están amparados por la normativa vigente en materia de protección de datos. Sin embargo, se sugieren algunas mejoras en el texto del Reglamento para clarificar y reforzar aún más estas garantías.