| Informe | 2024-0048 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre el «Formulario para la autorización de administrador de créditos» (Expediente 2024-0048/Gabinete Jurídico)
La Agencia Española de Protección de Datos (AEPD) ha emitido un informe jurídico crítico sobre el formulario propuesto por el Banco de España para la autorización de administradores de créditos, incidiendo en incumplimientos del Reglamento General de Protección de Datos (RGPD) y de la normativa aplicable.
Principales objeciones de la AEPD
Falta de base legal y consulta al Delegado de Protección de Datos (DPD) del Banco de España:
El formulario no se fundamenta en ninguna normativa específica ni incluye un informe previo del Delegado de Protección de Datos (DPD) del Banco de España, cuya intervención es obligatoria según el RGPD (art. 37 y 39). El DPD debe supervisar el cumplimiento de la normativa y asesorar al responsable del tratamiento.
Recolección excesiva de datos en el formulario:
Datos de contacto obligatorios: El formulario exige teléfono y correo electrónico de contacto como requisito obligatorio () para personas físicas, violando el principio de minimización** (art. 5.1.c RGPD). La AEPD considera que no están justificados como obligatorios, ya que las notificaciones administrativas pueden realizarse mediante sede electrónica sin necesidad de estos datos.
Copia del DNI/NIE/pasaporte: La solicitud de fotocopia completa del DNI o pasaporte para verificar la identidad de los miembros del órgano de administración es desproporcionada. Según la AEPD, bastaría con su examen en plataformas de intermediación de datos (art. 28 Ley 39/2015), respetando el principio de minimización.
Certificados de antecedentes penales:
Aunque la Directiva (UE) 2021/2167 y el Anteproyecto de Ley (APL) exigen verificar la honorabilidad de los miembros, la AEPD considera que se solicita un certificado genérico (sin restringir delitos relevantes), lo que infringe el principio de proporcionalidad (art. 5.1.c RGPD). Solo deberían incluirse delitos relacionados con blanqueo de capitales, fraude, insolvencia, etc., como especifica la normativa.
Sistemas de gobernanza y control interno:
El formulario exige una descripción de los sistemas de gobernanza y mecanismos de control interno para cumplir con el RGPD (Anexo 8), pero la AEPD señala que:
No se ha consultado al DPD del Banco de España, como exige el art. 39 RGPD.
El APL prevé que la AEPD emita un informe previo, lo que vulnera la independencia de la AEPD como autoridad de control (art. 51 y 52 RGPD). La AEPD no debe posicionarse como «aprobando» tratamientos, sino garantizando supervisión objetiva.
La AEPD propone que, en lugar de un informe vinculante, los administradores de créditos nombren un Delegado de Protección de Datos (DPD) y se adhieran a un código de conducta (art. 40 RGPD) para demostrar cumplimiento.
Relación con compradores de créditos:
Los administradores de créditos actúan como encargados del tratamiento (art. 28 RGPD) de los compradores, por lo que deben establecer un contrato regulado (art. 28.3 RGPD) que defina sus obligaciones en materia de protección de datos.
Obligatoriedad del DPD para administradores de créditos:
La AEPD recomienda que el APL exija obligatoriamente la figura del DPD para administradores de créditos, igual que para entidades de crédito (EC) y establecimientos financieros de crédito (EFC), ya que gestionan datos personales a gran escala («observación sistemática de interesados»).
Propuesta de modificación al APL: incluir en el art. 5.2.e) la obligación de nombrar un DPD y en el art. 6.1.g) exigir una Declaración Responsable firmada por el solicitante y un informe del DPD que certifique el cumplimiento normativo.
Conclusiones y recomendaciones
La AEPD insta a reformar el formulario para ajustarlo al RGPD, eliminando requisitos desproporcionados (teléfonos, copias de DNI) y limitando los certificados de antecedentes penales a delitos relevantes.
El Anteproyecto de Ley debe modificarse para:
Suprimir la previsión de que la AEPD emita informes previos vinculantes.
Establecer la obligatoriedad de nombrar un DPD para administradores de créditos.
Promover códigos de conducta sectoriales (art. 40 RGPD) para demostrar cumplimiento.
El Banco de España debe involucrar al DPD en todo el proceso, garantizando asesoramiento y supervisión desde el diseño del formulario y los requisitos de autorización.
Este informe subraya la necesidad de alinear las prácticas del Banco de España con el régimen de responsabilidad proactiva del RGPD, evitando tratamientos innecesarios de datos y garantizando la independencia de las autoridades de control.