| Informe | 2024-0007 |
| Enlace | 📋 |
Resumen del Informe Jurídico de la AEPD (2024-0007, Gabinete Jurídico 007/2024)
El informe de la Agencia Española de Protección de Datos (AEPD) analiza el Anteproyecto de Ley que crea la Autoridad Administrativa Independiente de Defensa del Cliente Financiero, enfocándose en aspectos clave relacionados con la protección de datos personales y la compatibilidad con el Reglamento General de Protección de Datos (RGPD).
Exclusión de reclamaciones sobre protección de datos
El Anteproyecto excluye de la competencia de la nueva Autoridad las reclamaciones sobre protección de datos (art. 3.2.e), pero la AEPD considera que esto no es obligatorio por normativa europea, sino una decisión política del legislador. El RGPD (arts. 77-79) permite que los interesados recurran a vías extrajudiciales, como esta Autoridad, sin perjuicio de otras posibilidades (como reclamar ante la AEPD o los tribunales).
La AEPD recomienda incluir las reclamaciones sobre protección de datos en el ámbito de la Autoridad, siempre que se garantice:
Vinculación de la resolución a las partes.
Posibilidad de recurso judicial (como ya prevé el Anteproyecto).
Inclusión obligatoria de informes del Delegado de Protección de Datos (DPD) en los procedimientos.
Tratamiento de datos por entidades financieras
El informe destaca dos problemas principales en el tratamiento de datos por parte de las entidades financieras:
a) Datos de categorías especiales (art. 9 RGPD)
El Anteproyecto introduce el principio de prestación personalizada (art. 2.9), que implica el tratamiento de datos sensibles (ej. discapacidad, salud). Sin embargo:
No se específica la base jurídica que legitima su tratamiento (art. 9.2 RGPD).
No se establecen garantías adecuadas (como requiere la STC 76/2019 y el RGPD), como anonimización o evaluaciones de impacto.
Falta un análisis de riesgos previo, lo que podría llevar a desviaciones de finalidad (ej. uso de datos para perfilar clientes).
b) Ausencia de regulación en el Anteproyecto
El art. 7 del Anteproyecto solo regula los tratamientos de datos por la Autoridad Independiente, pero no menciona los tratamientos por parte de las entidades financieras, dejando un vacío legal.
Colaboración con terceros (Disposición Adicional Tercera)
Se permite que la Autoridad recurra a organismos públicos o privados para la tramitación de reclamaciones, pero la AEPD advierte que estos deben actuar como encargados del tratamiento (art. 28 RGPD), con un contrato que garantice el cumplimiento de la protección de datos.
Impugnación judicial y legitimación pasiva
Las resoluciones de fondo son impugnables ante la jurisdicción civil, pero la AEPD señala incoherencias (ej. plazos diferentes para impugnar resoluciones de inadmisión vs. fondo).
Recomienda que la legitimación pasiva en los procesos judiciales recaiga exclusivamente en las partes, no en la Autoridad, para evitar un tratamiento innecesario de datos personales por la Administración (principio de minimización, art. 5.1.b RGPD).
Conclusión
La AEPD valora positivamente el Anteproyecto por su objetivo de proteger a los clientes financieros, pero recuerda que el RGPD y la LOPDGDD exigen:
Mayor claridad en la regulación de tratamientos de datos sensibles.
Garantías adecuadas (no solo genéricas) para evitar riesgos.
Coherencia procesal en la impugnación de resoluciones.
Minimización en el tratamiento de datos en los procesos judiciales.
El informe sugiere modificaciones clave para alinear el Anteproyecto con el marco legal de protección de datos, asegurando un equilibrio entre la defensa del cliente y el respeto a sus derechos fundamentales.