El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la cuestión de determinar el estatus de responsable o encargado del tratamiento de datos personales en el contexto de las Instituciones de Inversión Colectiva (IIC). Este análisis se realiza bajo el marco del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Las IIC están reguladas por la Ley 35/2003 y tienen como objetivo la captación y gestión de fondos del público. Estas instituciones se constituyen mediante un acuerdo entre la Sociedad Gestora de la Institución (SGIIC) y una entidad depositaria. La SGIIC se encarga de la gestión y representación del fondo, mientras que el depositario custodia el patrimonio y vigila la gestión.
En la gestión de las IIC, la SGIIC lleva a cabo acciones de comercialización, ya sea directamente a través de su personal o agentes, o indirectamente mediante entidades autorizadas para prestar servicios de intermediación, como las Empresas de Servicios de Inversión (ESI). Estas entidades pueden actuar como intermediarios en la suscripción y reembolso de participaciones de los fondos.
El informe se centra en tres cuestiones principales: si las plataformas de distribución son encargadas del tratamiento de la SGIIC, si una entidad puede ser encargada del tratamiento de dos responsables distintos con finalidades complementarias, y si es necesario calificar a la plataforma de distribución como encargada del tratamiento de cada responsable.
Según el RGPD, el responsable del tratamiento es quien determina los fines y medios del tratamiento de datos, mientras que el encargado del tratamiento es quien procesa datos personales por cuenta del responsable. La LOPDGDD establece que el acceso a datos personales por parte de un encargado no se considera una comunicación de datos siempre que se cumpla con el RGPD.
El informe concluye que la SGIIC es el responsable del tratamiento de los datos de los inversores, ya que determina los fines y medios del tratamiento. Las plataformas de distribución actúan como encargadas del tratamiento tanto de la SGIIC como de las ESI, ya que canalizan las órdenes de inversión sin tomar decisiones propias sobre el tratamiento de datos. Las ESI, por su parte, son responsables del tratamiento de los datos de sus clientes, ya que prestan servicios de inversión y mantienen una relación contractual directa con ellos.
Por lo tanto, se recomienda que existan contratos de encargado del tratamiento entre la SGIIC y la plataforma de distribución, y entre la ESI y la plataforma de distribución, en los términos previstos en el artículo 28.3 del RGPD. Esto garantiza que las plataformas de distribución actúen bajo las instrucciones de los responsables del tratamiento y cumplan con las obligaciones de protección de datos.