El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la determinación del estatus de responsable o encargado del tratamiento de datos personales en el contexto de las Instituciones de Inversión Colectiva (IIC). Este análisis se basa en el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).
El informe se centra en tres actores principales: la Sociedad Gestora de Instituciones de Inversión Colectiva (SGIIC), las Entidades de Servicios de Inversión (ESI) o subdistribuidores, y la plataforma de distribución. La consulta surge a raíz del Informe 12/2021, que concluyó que la SGIIC es responsable de los datos de los inversores desde el momento en que se ejecuta la orden de suscripción, mientras que la ESI es responsable del tratamiento de los datos derivados del servicio de inversión. La plataforma de distribución se considera encargada del tratamiento tanto de la SGIIC como de la ESI.
El análisis se profundiza con la aportación de contratos que regulan las relaciones entre estos actores. Se destaca que la ESI, como responsable, decide el cómo y el para qué del tratamiento de datos, mientras que la plataforma de distribución actúa como encargada, facilitando la canalización y transmisión de órdenes de inversión sin tomar decisiones autónomas.
En cuanto a la relación entre la SGIIC y la plataforma de distribución, el informe rectifica el Informe 12/2021, concluyendo que no se trata de una relación de responsable y encargado, sino de dos actores independientes que tratan datos para sus propios intereses. La SGIIC se convierte en responsable del tratamiento cuando los inversores adquieren participaciones, mientras que la plataforma de distribución trata datos para la ESI, que utiliza su servicio para adquirir dichas participaciones.
El informe subraya la importancia de analizar las relaciones contractuales y las actividades concretas de cada actor para determinar su rol en el tratamiento de datos. Se enfatiza que las conclusiones se basan en la información aportada y que podrían variar en otros contextos con elementos distintos.
En resumen, el informe jurídico de la AEPD clarifica los roles de responsable y encargado del tratamiento de datos en el ámbito de las IIC, destacando la necesidad de un análisis detallado de las relaciones contractuales y las actividades específicas de cada actor involucrado.