| Informe | 2024-0049 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre el Anteproyecto de Ley de administradores y compradores de crédito (2024-0049)
El informe jurídico de la Agencia Española de Protección de Datos (AEPD) analiza el Anteproyecto de Ley (APL) que transpone la Directiva (UE) 2021/2167, regulando los administradores de crédito y compradores de créditos dudosos. El documento, estructurado en 41 artículos más disposiciones adicionales, incluye modificaciones a las Directivas 2008/48/CE (crédito al consumo) y 2014/17/UE (crédito inmobiliario). La AEPD centra su evaluación en la compatibilidad del anteproyecto con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), identificando varios incumplimientos y proponiendo mejoras.
Tratamiento de datos personales (Disposición Adicional única)
La AEPD destaca que el APL debe dejar claro que los tratamientos de datos personales se someterán al RGPD (UE 2016/679) y a la LOPDGDD, según corresponda:
Tratamientos por instituciones de la UE: Se aplicaría el Reglamento (UE) 2018/1725.
Tratamientos por entidades privadas: Rigen el RGPD y la LOPDGDD.
La AEPD sugiere ajustar la redacción para evitar solapamientos normativos y reiterar competencias ya establecidas en el RGPD y la LOPDGDD.
Cumplimiento del RGPD en los requisitos de autorización (Arts. 5.1 y 7.1)
El APL exige que la AEPD emita un informe previo sobre el cumplimiento del RGPD antes de que el Banco de España autorice a los administradores de crédito. La AEPD considera que esto:
Vulnera el principio de responsabilidad proactiva del RGPD (Art. 5.2), donde el responsable (administrador de crédito) debe demostrar el cumplimiento, no la autoridad de control.
Compromete la independencia de la AEPD, ya que su informe podría interpretarse como una aprobación implícita, generando riesgos en futuros procedimientos sancionadores.
Resulta innecesario, pues el RGPD ya establece mecanismos para demostrar el cumplimiento (códigos de conducta, certificaciones o evaluaciones de impacto).
Propuesta de la AEPD:
Eliminar la exigencia de informe previo de la AEPD en los Arts. 5.1 y 7.1.
Establecer que los administradores de crédito deben nombrar un Delegado de Protección de Datos (DPD) (obligación no prevista en el APL, aunque sí para entidades de crédito y establecimientos financieros).
Incluir en la documentación de solicitud (Art. 6.1.g) una Declaración Responsable firmada por el solicitante y un Informe del DPD que verifique el cumplimiento del RGPD, las medidas técnicas/organizativas y la evaluación de riesgos.
Comunicación de sanciones al Banco de España (Art. 9.1.f)
El APL prevé que la AEPD informe al Banco de España sobre sanciones firmes por infracciones muy graves en materia de protección de datos. La AEPD plantea dos objeciones:
Falta de precisión: La LOPDGDD no distingue entre infracciones «graves» o «muy graves» a efectos de prescripción, sino por categorías (Arts. 72-74).
Riesgo de duplicidad: En su lugar, propone que los administradores de crédito informen directamente a la AEPD sobre su condición y la posible comunicación de sanciones, evitando que la AEPD actúe como intermediario.
Propuesta:
Reemplazar el Art. 9.1.f para que la AEPD comunique al Banco de España solo cuando se demuestre que la entidad «ha dejado de cumplir los requisitos de autorización» por infracciones muy graves.
Derecho a la información en la compraventa de créditos (Art. 14)
El APL regula cómo las entidades de crédito facilitan información a los compradores de créditos dudosos. Sin embargo, la AEPD destaca que:
El Reglamento de Ejecución (UE) 2023/2083 establece limitaciones en la información que puede proporcionarse sobre deudores personas físicas (ej.: créditos pequeños no garantizados).
El Art. 14 del APL no refleja estas excepciones, lo que podría llevar a compartir datos innecesarios o desproporcionados.
Propuesta:
Modificar el Art. 14 para:
Aclarar que la transmisión de información debe seguir lo dispuesto en el Reglamento (UE) 2023/2083 y usar sus plantillas.
Excluir casos específicos (ej.: créditos a personas físicas exentos) donde no se facilite información completa.
Relación contractual entre administradores y compradores de crédito (Arts. 22 y 23)
La AEPD recuerda que, cuando un administrador de crédito actúa en nombre de un comprador, éste es un encargado del tratamiento (Art. 28 RGPD). El APL no regula adecuadamente:
Contrato entre responsable (comprador) y encargado (administrador): Debe incluir cláusulas específicas sobre protección de datos (Art. 28.3 RGPD).
Subencargados de tratamiento: Si el administrador externaliza servicios, el contrato debe exigir autorización previa del responsable (Art. 28.2 RGPD).
Propuestas:
Art. 22.2.f: Incluir una cláusula sobre cumplimiento de la normativa de protección de datos.
Art. 22.3: Añadir que el administrador debe notificar al comprador antes de externalizar actividades que impliquen tratamiento de datos.
Art. 23.2.e: Exigir que los contratos con proveedores de servicios incluyan disposiciones sobre protección de datos.
Eliminación de referencias a la AEPD en procedimientos (Art. 24)
El Art. 24 del APL otorga funciones de supervisión a la AEPD en procedimientos de autorización/revocación de administradores de crédito. La AEPD considera que esto:
Contradicen el RGPD, que garantiza la independencia de las autoridades de control (Art. 51-52 RGPD).
No son necesarias, pues las competencias del RGPD ya están establecidas.
Propuesta:
Eliminar las referencias a la AEPD en los Arts. 24.3 y 24.8.
Modificaciones en leyes complementarias (Disposiciones Finales)
La AEPD propone ajustes en otras normas para alinearlas con el RGPD:
Disposición Final 1ª (Ley 44/2002): Cambiar la referencia obsoleta a la Ley Orgánica 15/1999 (derogada) por los Arts. 9 y 10 RGPD y LOPDGDD, que incluyen datos sensibles e infracciones administrativas.
Disposición Final 2ª (Ley 16/2011): Ampliar el Art. 30 ter.1.c para incluir que las comunicaciones de recuperación de crédito deben respetar el RGPD y la LOPDGDD.
Conclusión
La AEPD valora positivamente el objetivo del APL pero subraya que debe garantizar plenamente el cumplimiento del RGPD y la LOPDGDD. Las principales recomendaciones son:
Eliminar requisitos redundantes (informes previos de la AEPD).
Exigir la designación de Delegados de Protección de Datos para administradores de crédito.
Ajustar los contratos entre responsables y encargados para incluir cláusulas de protección de datos.
Clarificar las limitaciones en la transmisión de datos según el Reglamento (UE) 2023/2083.
Actualizar referencias normativas en leyes complementarias para evitar obsolescencias.
El informe busca asegurar que la regulación financiera no vulnere los derechos fundamentales en materia de protección de datos, alineándose con el marco jurídico europeo y nacional.