| Informe | 2022-0086 |
| Enlace | 📋 |
**Resumen del Informe Jurídico de la AEPD sobre el Anteproyecto de Ley de Creación de la Autoridad Administrativa Independiente de Defensa del Cliente Financiero (Expediente 2022-0086)**
La Agencia Española de Protección de Datos (AEPD) emite un informe jurídico sobre el Anteproyecto de Ley que crea la **Autoridad Administrativa Independiente de Defensa del Cliente Financiero**, un organismo encargado de resolver extrajudicialmente conflictos entre entidades financieras y clientes con reclamaciones de hasta 20.000 euros. Su objetivo es **mejorar la protección de los consumidores, impulsar la transparencia y elevar los estándares de calidad en los servicios financieros**, combinando los actuales servicios de atención al cliente con un sistema de reclamaciones unificado bajo una única autoridad independiente.
### **1. Ámbito de aplicación y exclusiones**
El informe destaca que **las reclamaciones relativas a la protección de datos personales quedan excluidas del ámbito de la Autoridad**, ya que son competencia exclusiva de la AEPD según el **RGPD (Reglamento General de Protección de Datos)** y la **LOPDGDD (Ley Orgánica 3/2018)**. Esto evita duplicidades en la gestión de conflictos.
### **2. Tratamiento de datos personales: bases legales y principios clave**
La AEPD analiza la **base jurídica** para el tratamiento de datos en el marco del Anteproyecto:
– **Misión de interés público (Artículo 6.1.e RGPD)**: Justifica el tratamiento de datos necesarios para cumplir las funciones de la Autoridad.
– **Obligación legal (Artículo 6.1.c RGPD)**: Ampara los tratamientos derivados de la cooperación con otros organismos (Banco de España, CNMC, etc.).
El informe subraya la necesidad de **garantizar los principios del RGPD** (licitud, lealtad, transparencia, minimización, exactitud, limitación en el tiempo, integridad y confidencialidad), así como los requisitos de **seguridad jurídica y proporcionalidad** establecidos por la jurisprudencia constitucional y del **Tribunal de Justicia de la UE**. Especial atención merece la **doctrina del TC en su STC 76/2019**, que exige que las limitaciones al derecho a la protección de datos **esten detalladas en la propia ley**, sin deferirlas a desarrollos posteriores.
### **3. Categorías especiales de datos**
El Anteproyecto **no especifica si se requerirá tratar categorías especiales de datos** (salud, condenas penales, etc.). La AEPD recomienda:
– **Excluir de tratamiento** estas categorías cuando no sean estrictamente necesarias, **suprimiéndolas inmediatamente** si aparecen en los procedimientos.
– Si su tratamiento fuera imprescindible, el Anteproyecto debe **identificar claramente**:
– **Qué categorías se manejarán** (ej.: datos de salud en productos financieros específicos).
– **La base legal exacta** (Artículo 9.2.f RGPD para reclamaciones o defensa jurídica; Artículo 9.2.g para interés público esencial).
– **Garantías adicionales**: anonimización, pseudonimización, minimización de datos y plazos de conservación limitados.
### **4. Cooperación interadministrativa y acceso a datos**
El Anteproyecto prevé que la Autoridad y los organismos supervisores (Banco de España, CNMC) **accedan a bases de datos de reclamaciones** (Artículo 50). La AEPD advierte de riesgos:
– **Prohibición de acceso masivo o indiscriminado**: Debe limitarse a datos **necesarios y pertinentes** para un expediente concreto, en línea con la **STC 17/2013**, que prohíbe cesiones genéricas de datos.
– **Base legal explícita**: El Anteproyecto debe detallar **cómo, cuándo y con qué garantías** se realizará este acceso, evitando vulneraciones del derecho a la protección de datos.
### **5. Medidas de seguridad y evaluación de impacto**
La AEPD **echa en falta** un **análisis de riesgos** y una **Evaluación de Impacto en Protección de Datos (EIPD)** en la Memoria del Análisis de Impacto Normativo (MAIN). Recomienda:
– Incorporar estos estudios **antes de promulgar la ley**, pues:
– Permitirían **identificar medidas técnicas y organizativas** (encriptación, control de accesos) para mitigar riesgos.
– Ev