El Informe 0267/2012 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la evolución del Sistema Institucional de Protección (SIP) de un consultante, previamente analizado en un informe de noviembre de 2010. Este informe se centra en cómo los acuerdos adoptados por la Junta General del Banco afectan la gestión de datos personales conforme a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su reglamento de desarrollo.
El informe destaca tres situaciones concretas derivadas de los acuerdos adoptados:
1. **Gestión de la Obra Social**: Las Cajas asociadas al SIP pueden consultar al Banco sobre posibles beneficiarios de la Obra Social que sean clientes del Banco. Estas consultas deben estar basadas en el consentimiento de los afectados y deben establecerse mecanismos de salvaguarda para el acceso a los datos de los clientes del Banco.
2. **Gestión del Monte de Piedad**: El Banco ha actuado como encargado del tratamiento de datos para las Cajas, según convenios que cumplen con el artículo 12 de la Ley Orgánica 15/1999. Si esta relación continúa, se debe seguir el convenio. Si no, se deben tomar acciones para finalizar el servicio, garantizando la imposibilidad de acceso de las Cajas a los datos personales de los clientes del Banco y la devolución o destrucción de los datos tratados.
3. **Desarrollo del Negocio Bancario**: Al dejar de ser accionistas del Banco, las Cajas ya no tienen legitimación para acceder a datos personales de los clientes del Banco. Por lo tanto, los datos que las Cajas tengan en su poder deben ser destruidos o devueltos al responsable, incluyendo cualquier soporte o documento que contenga datos personales.
El informe concluye que la cesación en la prestación del negocio bancario por parte de las Cajas implica que estas ya no tienen legitimación para tratar datos relacionados con esa finalidad. Por lo tanto, los datos deben ser cancelados conforme al artículo 4.5 de la Ley Orgánica 15/1999. Además, si las Cajas dejan de prestar servicios al Banco, los datos deben ser destruidos o devueltos al responsable, según el artículo 12.3 de la misma ley.
En el caso del Monte de Piedad, si el Banco deja de prestar servicios, se deben segregar los datos relacionados con la prestación de servicios de aquellos que guarden relación con el negocio bancario, devolviendo solo los primeros y conservando los segundos.
Finalmente, en cuanto a la Obra Social, las Cajas deben contar con el consentimiento de los afectados o derivar el tratamiento de la relación jurídica mantenida con ellos, sin poder tratar datos sin la debida legitimación.
En resumen, el informe considera que las medidas propuestas por el consultante son ajustadas a lo dispuesto en la Ley Orgánica 15/1999, asegurando la protección adecuada de los datos personales en las nuevas circunstancias derivadas de los acuerdos adoptados por la Junta General del Banco.