| Informe | 2025-0054 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre el anteproyecto de ley de régimen sancionador de los PEPP
La Agencia Española de Protección de Datos (AEPD) emite un informe jurídico sobre el anteproyecto de ley que desarrolla el régimen sancionador para los Productos Paneuropeos de Pensiones Individuales (PEPP), regulados por el Reglamento (UE) 2019/1238. El objetivo de la norma es garantizar la protección de los ahorradores y la transparencia del mercado, alineándose con el mandato europeo de establecer sanciones efectivas, proporcionadas y disuasorias.
Principales aspectos del anteproyecto
Objeto y finalidad: El texto regula un marco sancionador específico para los PEPP, cubriendo infracciones en su promoción, gestión y distribución, clasificadas en leves, graves y muy graves, con plazos de prescripción y un sistema de graduación de sanciones.
Autoridad competente: Se designa a la Dirección General de Seguros y Fondos de Pensiones (DGSFP) como supervisora, en coordinación con otras instituciones como el Banco de España o la CNMV.
Transparencia y publicidad de sanciones: Se prevé la publicación de resoluciones en el portal de la DGSFP, incluyendo datos identificativos de los infractores (personas físicas), lo que implica un tratamiento de datos personales que debe ajustarse al RGPD y la LOPDGDD.
Responsabilidad de directivos: Se amplía la responsabilidad penal y administrativa a las personas físicas con funciones de dirección, reforzando la diligencia exigible a las gestoras.
Observaciones clave de la AEPD sobre protección de datos
La AEPD destaca que el anteproyecto no menciona explícitamente el marco legal en materia de protección de datos, a pesar de que:
Se tratan datos identificativos de infractores (nombres, sanciones).
Se permite la publicación de sanciones en línea.
Se comunican datos a la Autoridad Europea de Seguros y Pensiones (AESPJ).
Para cumplir con el RGPD y la LOPDGDD, la AEPD recomienda:
Incluir una referencia expresa en el texto a la normativa de protección de datos (RGPD y LOPDGDD), para dejar clara la base legal de los tratamientos.
Realizar una Evaluación de Impacto (EIPD) sobre la protección de datos, especialmente en relación con la publicación de sanciones, ya que podría afectar gravemente a los derechos de los afectados. La AEPD alerta de que, sin esta evaluación, no se garantiza el principio de proporcionalidad en el tratamiento de datos.
Asegurar medidas de seguridad técnicas y organizativas para proteger los datos tratados, en cumplimiento con los artículos 25 y 32 del RGPD y la LOPDGDD.
Conclusiones y recomendaciones
La AEPD considera que el anteproyecto cumple parcialmente con el RGPD, pero requiere ajustes para garantizar:
Legalidad y proporcionalidad en el tratamiento de datos.
Minimización de datos: Solo publicar información estrictamente necesaria.
Evaluación de riesgos mediante una EIPD.
Seguridad en los tratamientos: Protocolos técnicos para evitar filtraciones.
En definitiva, la norma es necesaria para implementar el régimen sancionador de los PEPP, pero debe integrarse con el marco de protección de datos para evitar vulneraciones de derechos fundamentales. La AEPD sugiere incorporar las modificaciones propuestas antes de su aprobación definitiva.