El informe jurídico de la Agencia Española de Protección de Datos (AEPD) se centra en el análisis del Proyecto de Circular del Banco de España sobre la Central de Información de Riesgos (CIR) y la modificación de la Circular 4/2004. Este proyecto tiene como objetivo reformar integralmente el régimen aplicable a la CIR, derogando el contenido de la Circular 3/1995 y estableciendo un régimen más detallado y diferenciado en cuanto a los riesgos declarados y sus titulares, así como en la cesión de datos a las entidades obligadas a suministrar información.
El informe destaca dos aspectos novedosos en la reforma de la CIR: la diferenciación de los riesgos declarados según su finalidad y un régimen diferenciado de acceso a los datos por parte de los afectados. La AEPD considera que estas modificaciones son favorables y ajustadas al principio de proporcionalidad, consagrado en la Ley Orgánica de Protección de Datos. La diferenciación permite tratar datos de manera distinta según su finalidad, ya sea para supervisión e inspección por parte del Banco de España o para facilitar información a las entidades declarantes.
En cuanto al derecho de acceso, el informe señala que el acceso a los datos se realizará con toda su extensión en lo referente a la información facilitada a las entidades declarantes, mientras que el acceso será restringido para los datos facilitados exclusivamente para el cumplimiento de las funciones supervisoras del Banco de España. La AEPD considera que este sistema garantiza el cumplimiento del principio de limitación de la finalidad en el tratamiento de datos y la coexistencia de sistemas de información crediticia públicos y privados.
El informe también aborda la exactitud de los datos, destacando la importancia de que los datos sean exactos y puestos al día. Se señala que el proyecto establece un procedimiento que garantiza la exactitud de la información, con plazos reducidos para la rectificación o cancelación de datos y un procedimiento de actualización semanal. Además, se menciona la responsabilidad de las entidades declarantes en la rectificación de oficio de los datos inexactos.
En relación con el uso de la CIR por las entidades declarantes, el informe subraya la necesidad de que la información tenga carácter confidencial y solo pueda ser usada o cedida conforme a lo dispuesto en la normativa de protección de datos. Se recomienda hacer referencia explícita a esta normativa en el texto de la circular.
Finalmente, el informe aborda los derechos de los afectados, destacando la conformidad de las especialidades relacionadas con el ejercicio del derecho de acceso y la suspensión de la remisión de información en ciertos supuestos, como la presentación de una solicitud de cancelación o la reclamación judicial. Se garantiza la comunicación inmediata a las entidades de las rectificaciones o cancelaciones de datos, asegurando así el principio de exactitud en la cesión de los mismos.
En resumen, el informe jurídico de la AEPD considera que el Proyecto de Circular del Banco de España sobre la CIR es conforme a la normativa de protección de datos, destacando la diferenciación de finalidades, el régimen de acceso a los datos y la garantía de la exactitud y confidencialidad de la información. Se proponen algunas modificaciones en la redacción para evitar confusiones y reforzar las garantías de protección de datos.