El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la conservación de datos personales por parte de entidades financieras asociadas a ASNEF, en el contexto de un Convenio de Colaboración con la Tesorería General de la Seguridad Social (TGSS) y la normativa de prevención de blanqueo de capitales y financiación del terrorismo.
El Convenio entre la TGSS y ASNEF, vigente desde 2008, establece la verificación de datos de clientes para cumplir con las exigencias legales en materia de prevención de blanqueo de capitales. Este convenio exige a las entidades financieras la recogida y custodia del consentimiento de los clientes por un plazo de dos años. La consulta plantea si la figura del bloqueo puede ser una base jurídica suficiente para que estas entidades conserven, y no supriman, el consentimiento de los clientes.
El informe destaca que el Reglamento General de Protección de Datos (RGPD) define el tratamiento de datos como cualquier operación realizada sobre datos personales, incluyendo la conservación. El artículo 5.1.e del RGPD establece que los datos personales deben mantenerse solo durante el tiempo necesario para los fines del tratamiento. Sin embargo, el artículo 17.3 del RGPD permite excepciones a la supresión de datos cuando el tratamiento es necesario para el cumplimiento de una obligación legal.
La Ley 10/2010 de prevención del blanqueo de capitales y financiación del terrorismo impone a los sujetos obligados la conservación de documentación relevante durante un período de diez años. Esta obligación legal desplaza el derecho de supresión del interesado, conforme al artículo 17.3.b del RGPD.
El informe concluye que la obligación legal de conservación de documentos impuesta por la normativa de prevención del blanqueo de capitales justifica la excepción al derecho de supresión de datos personales. No obstante, las entidades financieras deben seguir tratando los datos personales conforme a la normativa de protección de datos, aplicando medidas técnicas y organizativas adecuadas para garantizar la seguridad e integridad de los datos.
Finalmente, el informe señala que el bloqueo no puede ser considerado una base jurídica suficiente para el mantenimiento de los datos, aunque se pueden adoptar medidas técnicas y organizativas para la protección de los datos personales, siempre que no impidan los tratamientos obligatorios por ley.