| Informe | 2025-0033 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre el Anteproyecto de Ley de digitalización y modernización del sector financiero
La Agencia Española de Protección de Datos (AEPD) ha emitido un informe jurídico (Referencia: 2025-0033/0033/2025) sobre el Anteproyecto de Ley (APL) de digitalización y modernización del sector financiero, destacando aspectos clave relacionados con la protección de datos y su alineación con la normativa vigente.
Contexto y objetivos del anteproyecto
El APL busca modernizar el sector financiero español, transponiendo varias directivas europeas, como:
Directiva (UE) 2022/2556 (DORA): Regula la resiliencia operativa digital en el sector financiero, ampliando las obligaciones de ciberseguridad para entidades financieras.
Directiva (UE) 2023/2864: Modifica normas para establecer el Punto de Acceso Único Europeo (PAUE), un repositorio de información financiera y no financiera.
Ajustes normativos y protección de datos
El informe analiza modificaciones en tres leyes clave:
Ley 10/2024 (entidades de crédito):
Artículo 9.3: Amplía las facultades del Banco de España para recabar información de entidades financieras (incluyendo datos almacenados en proveedores TIC), amparándose en el artículo 8 LOPDGDD (Ley Orgánica 3/2018). La AEPD señala que esta habilitación cumple con el RGPD, pero no especifica condiciones como plazos de conservación o medidas de seguridad, lo que limita la garantía de proporcionalidad.
Artículo 9.8: Permite al Banco de España solicitar registros telefónicos y de tráfico de datos a operadores de telecomunicaciones, siempre que se ajuste a la normativa de protección de datos. Sin embargo, la AEPD considera insuficiente esta remisión genérica, ya que no detalla requisitos como la finalidad, alcance o garantías adicionales para evitar abusos.
Ley 7/2020 (transformación digital financiera):
Artículo 18: Introduce la posibilidad de que promotores presenten una declaración responsable para acceder al Sandbox regulatorio, en lugar de requerir una evaluación previa. La AEPD valora positivamente esta simplificación como reducción de cargas administrativas, aunque exige que se asegure el cumplimiento efectivo del RGPD.
Ley 6/2023 (Mercados de Valores y Servicios de Inversión):
Artículo 20: Autoriza a la CNMV a recabar datos de comunicaciones electrónicas de prestadores de servicios, siempre que cumpla con la disposición adicional decimoquinta LOPDGDD y obtenga autorización judicial si implica restricción de derechos fundamentales.
Cuestiones críticas destacadas por la AEPD
Falta de precisión en habilitaciones legales:
Las modificaciones en la Ley 10/2024 cumplen con el RGPD al ampararse en una base legal (art. 8 LOPDGDD), pero no detallan aspectos esenciales como los plazos de conservación, los tipos de datos accesibles o los procedimientos para garantizar la minimización del tratamiento. Esto contrasta con lo exigido por el artículo 6.3 RGPD, que recomienda incluir estas garantías.
Solicitud de registros de tráfico de datos:
La habilitación para acceder a registros telefónicos y de tráfico (punto 9.8) se considera insuficiente porque remite a la normativa general sin delimitar condiciones específicas, lo que podría vulnerar el principio de proporcionalidad (requisito de que las restricciones sean estrictamente necesarias).
Transposición de directivas europeas:
La AEPD valora positivamente que el APL transponga correctamente la Directiva DORA y el Reglamento (UE) 2022/2554, que refuerzan la ciberseguridad. Sin embargo, insiste en que las futuras normas de desarrollo (como reales decretos) deberán ser coherentes con estos principios.
Consulta pública y criterios de la AEPD:
En la fase de consulta pública, se mencionó la simplificación para el Sandbox (evaluada positivamente) y la propuesta del PAUE, que la AEPD consideró no necesaria por estar ya garantizada en la normativa europea.
Conclusión y recomendaciones
La AEPD concluye que:
Las modificaciones en las Leyes 7/2020 y 6/2023 no establecen nuevas injerencias en derechos fundamentales, ya que remiten a marcos legales preexistentes (LOPDGDD).
Las modificaciones en la Ley 10/2024 sí habilitan injerencias en la protección de datos, pero requieren ser más precisas en cuanto a condiciones y garantías para cumplir con el principio de proporcionalidad (STC 76/2019 y Schrems 2).
Se recomienda modificar el artículo 9 para incluir:
Finalidad concreta del tratamiento.
Plazos de conservación.
Procedimientos detallados para el acceso a datos.
Garantías adicionales en el caso de solicitud de registros de tráfico.
En definitiva, el informe de la AEPD apoya la modernización financiera pero insta a que las futuras normas detallen con claridad los límites a los tratamientos de datos para garantizar su licitud y proporcionalidad, evitando vulneraciones al derecho fundamental a la protección de datos.