Publicado en El Derecho, 26 de marzo de 2014.
El tratamiento de datos personales en una entidad bancaria atiende sin dudas a diferentes finalidades, y por tanto pueden ser objeto de la implantación de varios niveles de seguridad. La necesidad de apertura de líneas de negocio y productos ofertados por dichas entidades conlleva a que sea numerosa la información que de una persona se puede llegar a albergar. Los productos financieros y bancarios, seguros, así como el tratamiento de sus datos para la prevención de blanqueo de capitales y la propia gestión de ficheros de morosidad, además en la sociedad de la información se hace necesario llegar a los clientes actuales y potenciales para mostrarles los productos y nuevas oportunidades.
Además del nivel de seguridad que la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y Reglamento de desarrollo, les aplica, se debe tener en cuenta un nivel de seguridad, social, que dicha información debe tener. Al margen de las finalidades y niveles de seguridad que desarrollaremos a continuación, determinada información que a los ojos del legislador puede tener un nivel básico, puede constituir un riesgo y gran perjuicio para el usuario, o puede influir socialmente tener conocimiento de determinadas transacciones.
Debe recordarse que además de la confidencialidad recogida en la citada Ley Orgánica, en el sector de la banca se debe aplicar el secreto bancario y la especial confidencialidad que se debe tener con respecto a los datos de los usuarios, que en la mayor parte de las entidades vienen desarrolladas en políticas de privacidad y compromisos específicos de confidencialidad.
Una correcta implantación de la Ley Orgánica 15/1999, conlleva por tanto, una mayor seguridad en el tratamiento de los datos de las personas, una mejor imagen con respecto a los usuarios actuales y potenciales, generación de mayor confianza, prevención del robo de datos e información y su utilización por otras entidades, una mayor trazabilidad de la información y por tanto una optimización de recursos, así como la delimitación de responsabilidades y posibles infracciones por el personal trabajador o colaborador de la entidad. Se debe recalcar por último el auge de denuncias en materia de protección de datos que se han producido en los últimos años, tal y como reflejan las diferentes memorias de la propia Agencia Española de Protección de Datos.
ENTIDADES BANCARIAS Y SERVICIOS FINANCIEROS
El Real Decreto 1560/1992, de 18 de diciembre, por el que se aprueba la clasificación nacional de actividades económicas, en el epígrafe J de su Anexo incluye la intermediación financiera, banca, cajas de ahorro, cooperativas de crédito, sociedades y fondos de capital riesgo, intermediación monetaria entre otras.
Del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, puede deducirse que acorde con dichas finalidades (solvencia patrimonial, operaciones financieras y de crédito) deberíamos aplicar las medidas de seguridad relativas al nivel medio.
De la Ley 30/1995, de 8 de noviembre, de ordenación y supervisión de los seguros privados, podemos deducir que la actividad aseguradora y sobre planes y fondos de pensiones, es de las más avanzadas en el sistema financiero. El incremento de las tasas de morosidad, así como el aseguramiento del pago de cuotas, créditos y otros productos por parte de las entidades bancarias, en una época de crisis económica, así como la aparición y prestación de nuevos servicios conllevan a que la mayor parte de dichas entidades presten este tipo de servicios, bien directamente, a través de empresas del grupo o de terceros.
A mayor abundamiento el artículo 8.4 de la Ley 13/1992, de 1 de junio, reguladora de los recursos propios y supervisión en base consolidada de las entidades financieras, incluía las Sociedades Gestoras de Fondos de Pensiones entre las entidades financieras que deberán incluirse en el grupo consolidable de entidades de crédito, tal y como recalcaba la propia Agencia Española de Protección de Datos en su informe de 1999.
En este sentido, aunque en el ámbito de seguros, la finalidad no es directamente el tratamiento de datos de salud, tal como sería aplicable por un centro sanitario, si que podemos obtener datos de nivel alto de seguridad, derivados de cuestionarios de salud, tramitación de partes o las mismas pólizas, que conllevaran la adopción de las medias de nivel alto de seguridad para los mismos.
Mismo nivel de seguridad deberá implantarse a los ficheros derivados de la aplicación de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo. En su artículo 32, la norma obliga a registra el Fichero correspondiente a las finalidades establecidas en la normativa de blanqueo de capitales, a la inclusión de los datos de carácter personal de los afectados, que quedarán exentos tanto del deber de información como del ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
El Real Decreto 1720/2007, en su Título IV, Capítulo I hace referencia a los Ficheros de información sobre solvencia patrimonial y crédito, donde se desglosan los requisitos para la inclusión de datos en dichos ficheros, las medidas de seguridad y ejercicio de derechos entre otros.
EL SECRETO BANCARIO Y PROTECCIÓN DE DATOS
Se tiende por secreto bancario, la protección que los bancos e instituciones financieras deben otorgar a la información relativa a los depósitos y captaciones de cualquier naturaleza, que reciban de sus al considerar que esta información es parte de la privacidad de los clientes del sistema financiero. Si no existiera esta norma, cualquier persona podría solicitar en un banco, por ejemplo, información sobre los movimientos de las cuentas de una persona.
El artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal establece que, “el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal estén obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.
Este precepto se encuentra reforzado por la propia jurisprudencia, Sentencia de la Sección Novena de la Sala de lo Contencioso Administrativo del Tribunal Superior de Justicia de Madrid, de 3 de mayo de 2001 “(…) el deber de guardar secreto el artículo 10 queda definido por el carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho individual y no colectivo. Por ello, es igualmente ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a que se refiera la información. En este caso (….) la repercusión para el afectado de la divulgación de datos a terceros es sumamente subjetiva, de tal forma que, en el caso de autos, podría afectar más a la interesada la comunicación de su deuda a su padre que a cualquier otra persona”.
La Audiencia Nacional en su Sentencia de 18 de enero de 2002, recoge en sus fundamentos jurídicos que “el deber de secreto profesional que incumbe a los responsables de ficheros automatizados, recogido en el artículo 10 de la Ley Orgánica 15/1999, comporta que el responsable –en este caso, la entidad bancaria recurrente- de los datos almacenados –en este caso, los asociados a la denunciante- no puede revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero automatizado o, en su caso, con el responsable del mismo”. Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la STC 292/2000, y por lo que ahora interesa, comporta que los datos tratados automatizadamente, como el teléfono de contacto, no pueden ser conocidos por ninguna persona o entidad, pues en eso consiste precisamente el secreto. “Este deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la CE. En efecto, este precepto contiene un “instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos” (STC 292/2000). Este derecho fundamental a la protección de los datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino” (STC 292/2000) que impida que se produzcan situaciones atentatorias con la dignidad de la persona, “es decir, el poder de resguardar su vida privada de una publicidad no querida”
Para Luís María Cazorla Prieto, el secreto bancario “se desenvuelve dentro de las relaciones Banco-cliente; sus elementos subjetivos son, pues, el cliente que tiene derecho a exigir tal sigilo, y la entidad bancaria, que tiene la obligación de respetarlo, salvo en un número determinado de casos (…). Por otra parte, el instituto analizado tiene un objeto muy preciso, como son los valores, aquellos que conlleve, encierre o represente riqueza material, y que generalmente está constituido por dinero”. Para Rafael Jiménez de Parga “La primera naturaleza posible del secreto bancario no es otra que constituir un deber moral. Es decir, el Banco debe moralmente no revelar secretos de sus clientes debido a dos razones. Por un lado para defender los intereses del cliente que no puede interesarle la exteriorización de su situación patrimonial. Y por otro lado, en interés propio; es decir, para salvar su propia reputación. Volvemos, así, de nuevo al campo moral”
Este deber de secreto, se encuentra regulado, en el caso del Banco de España en la Ley 13/1994, de 1 de junio, de Autonomía del Banco de España. Artículo 6 “1. Los miembros de sus órganos rectores y el personal del Banco de España deberán guardar secreto, incluso después de cesar en sus funciones, de cuantas informaciones de naturaleza confidencial tuvieran conocimiento en el ejercicio de sus cargos. La infracción de dicho deber se sancionará, en el caso del personal del Banco de España, de acuerdo con lo dispuesto en el Reglamento interno del Banco; y, en el caso de los miembros de sus órganos rectores, de acuerdo con lo previsto en el artículo 29. 2. El deber de secreto se entiende sin perjuicio de las obligaciones de información sobre política monetaria impuestas al Banco de España por el artículo 10 de esta Ley, y de lo dispuesto en las disposiciones específicas que, en aplicación de las directivas de la Comunidad Europea en materia de entidades de crédito, regulan la obligación de secreto de las autoridades supervisoras. 3. El acceso de las Cortes Generales a la información sometida al deber de secreto se realizará a través del Gobernador del Banco de España, de conformidad con lo previsto en los Reglamentos parlamentarios. A tal efecto, el Gobernador podrá solicitar motivadamente de los órganos competentes de la Cámara la celebración de sesión secreta o la aplicación del procedimiento establecido para el acceso a las materias clasificadas”.
Es importante recordar la Sentencia 110/1984 del Tribunal Constitucional, que a este respecto informaba que “Respecto a la primera cuestión (se refiere a en qué medida el conocimiento de las cuentas bancarias por la Administración a efectos fiscales debe entenderse comprendido en la zona de la intimidad constitucionalmente protegida), la respuesta ha de ser negativa, pues aun admitiendo como hipótesis que el movimiento de las cuentas bancarias esté cubierto por el derecho a la intimidad, nos encontraríamos que ante el Fisco operaría un límite justificado de ese derecho. Conviene recordar, en efecto, que, como ya ha declarado este Tribunal Constitucional, no existen derechos ilimitados. Todo derecho tiene sus límites que en relación a los derechos fundamentales establece la Constitución por sí misma en algunas ocasiones, mientras en otras el límite deriva de una manera mediata o indirecta de tal norma, en cuanto ha de justificarse por la necesidad de proteger o preservar no sólo otros derechos constitucionales, sino también otros bienes constitucionalmente protegidos (Sentencia 11/1981, de 8 de abril, Fundamento Jurídico 7, y Sentencia 2/1982, de 29 de enero, Fundamento Jurídico 5). Ahora bien, el conocimiento de las cuentas corrientes puede ser necesario para proteger el bien constitucionalmente protegido, que es la distribución equitativa del sostenimiento de los gastos públicos, pues para una verificación de los ingresos del contribuyente y de su situación patrimonial puede no ser suficiente en ocasiones la exhibición de los saldos medios anuales y de los saldos a 31 de diciembre. Es importante señalar que las certificaciones pedidas al recurrente o las que se exigirían a las Entidades bancarias caso de que aquél no las entregase voluntariamente son los extractos de las cuentas, en que figuran, como es notorio, sólo la causa genérica de cada partida (talón bancario, transferencia, efectos domiciliados, entrega en efectivo, etc.), pero no su causa concreta. Ahora bien, estos datos en sí no tienen relevancia para la intimidad personal y familiar del contribuyente, como no la tiene la declaración sobre la renta o sobre el patrimonio. El recurrente parece insistir especialmente en la gravedad de que la investigación de las cuentas comprenda las operaciones pasivas, pues a nadie le importa en qué gasta cada cual su dinero. Pero el conocimiento de una cuenta corriente no puede darse si no se contempla en su integridad. Las operaciones pasivas pueden ser también reveladoras de una anómala conducta fiscal, como ocurriría, entre otros supuestos que podrían citarse con la retirada de una masa importante de dinero sin que se explique el destino de la misma, que ha podido trasladarse de una situación de transparencia fiscal a otra menos o nada transparente”.
Continúa diciendo la Sentencia que “el problema del llamado secreto bancario es distinto. En lo que aquí importa, el secreto bancario no puede tener otro fundamento que el derecho a la intimidad del cliente reconocido en el artículo 18.1 de la Constitución, pues no hay una consagración explícita y reforzada de este tipo de secreto, como la hay del secreto profesional. De forma que lo que se ha dicho antes sobre los límites del derecho a la intimidad es totalmente aplicable al caso en que sea la Entidad de crédito la obligada a facilitar los datos y antecedentes que requiera la Inspección”.
La Ley 44/2002, de 22 de noviembre, de Medidas de Reforma del Sistema Financiero hace diferentes menciones a la aplicación de la Ley Orgánica 15/1999, sírvase como ejemplo el Capítulos VI sobre las centrales de información de riesgos, como el artículo 62 sobre el uso y cesión de datos por las entidades declarantes “la información recibida por las entidades declarantes con arreglo a lo previsto en el artículo anterior tendrá carácter confidencial”.
La propia Agencia Española de Protección de Datos, en sus “Conclusiones relativas al plan de inspección de oficio al sector de la banca a distancia con objeto de verificar el grado de adecuación de sus ficheros de clientes y clientes potenciales a la Ley Orgánica 15/1999, de protección de datos de carácter personal, hacia las siguientes recomendaciones “Se recomienda incluir en los contratos de trabajo cláusulas relativas al deber de secreto respecto de los datos personales a los que tienen acceso los empleados como consecuencia de su actividad, ya sean los propios empleados de la entidad como los empleados de las empresas prestatarias de servicios para la entidad con acceso a los datos personales de los clientes. Se recomienda también que las páginas web de acceso a los servicios se diseñen de tal manera que no proporcionen al usuario más datos personales que los introducidos por el propio usuario, hasta que éste no haya superado con éxito los controles de identificación y autenticación”.
Se deben recordar las excepciones legales previstas, tales como las recogidas en la legislación española y europea en materia de prevención del blanqueo de capitales y la obligatoriedad de comunicar operaciones sospechosas conforme a la Ley al Servicio Ejecutivo del Banco de España de prevención de blanqueo de capitales (SEPBLAC).
FICHEROS DE SOLVENCIA PATRIMONIAL Y CENTRAL DE RIESGOS
Según hace referencia el propio Banco de España, la Central de Información de Riesgos recoge el historial crediticio de las personas físicas y jurídicas para facilitar a las entidades el análisis de sus riesgos de crédito.
Con carácter general, las entidades declarantes (entidades de crédito y otras) tienen la obligación de informar sobre los riesgos directos con residentes por importe igual o superior a 6.000 euros en el conjunto de negocios en España o a 60.000 euros en cualquier otro país. Para los no residentes, la obligación de declarar es a partir de 300.000 euros.
El propio artículo 59 de la Ley 44/2002, de 22 de noviembre, de Medidas de Reforma del Sistema Financiero la define como “un servicio público que tiene por finalidad recabar de las entidades declarantes a que se refiere el apartado primero del artículo siguiente, datos e informaciones sobre los riesgos de crédito, para facilitar a las entidades declarantes datos necesarios para el ejercicio de su actividad; permitir a las autoridades competentes para la supervisión prudencial de dichas entidades el adecuado ejercicio de sus competencias de supervisión e inspección; contribuir al correcto desarrollo de las restantes funciones que el Banco de España tiene legalmente atribuidas”.
Los datos declarados permiten al Banco de España conocer los créditos totales concedidos, lo que facilita el ejercicio de sus competencias de supervisión bancaria.
Por su parte, las entidades que declaran sus riesgos a la Central de Información de Riesgos del Banco de España reciben mensualmente información agregada del riesgo contraído por las personas físicas y jurídicas para las que han hecho una declaración (los llamados titulares).
El artículo 60 de la citada Ley establece que las entidades declarantes deberán facilitar “los datos necesarios para identificar a las personas con quienes se mantengan, directa o indirectamente, riesgos de crédito, así como las características de dichas personas y riesgos, incluyendo, en particular, las que afecten al importe y la recuperabilidad de éstos. Esta obligación se extenderá a los riesgos mantenidos a través de entidades instrumentales integradas en los grupos consolidables de las entidades declarantes, y a aquellos que hayan sido cedidos a terceros conservando la entidad su administración.
Entre los datos a los que se refiere el párrafo anterior se incluirán aquellos que reflejen una situación de incumplimiento, por la contraparte, de sus obligaciones frente a la entidad declarante, así como los que pongan de manifiesto una situación en la cual la entidad estuviera obligada a dotar una provisión específica en cobertura de riesgo de crédito, según lo previsto en las normas de contabilidad que le sean de aplicación.
Los datos referentes a las personas mencionadas en el presente apartado no incluirán, en ningún caso, los regulados en el artículo 7 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”.
Cabe recordar que el artículo 7 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal se refiere a los datos especialmente protegidos “1. De acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo. 2. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado. 3. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente. 4. Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual. 5. Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras. 6. No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este artículo, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto. También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento”.
Mediante el Decreto Ley 18/1962, se crea el fichero “Central de Información de Riesgos” cuyo artículo 16 se prevé: “El Banco de España establecer á un Servicio Central de información de Riesgos en relación con las operaciones de crédito de la Banca, Cajas de ahorro y demás entidades de crédito”.
La Norma Segunda de la Circular 3/1995, de 25/09, modificada por la Circular 3/2002, de 25/06, del Banco de España obliga a las entidades bancarias a informar mensualmente al Servicio Central de Información de Riesgos del Banco de España de los riesgos contraídos y de sus titulares, considerando como riesgos declarables los denominados indirectos, esto es, los contraídos por la entidad con quienes garantizan o avalan operaciones de riesgos indirectos tales como avales, afianzamiento y garantías personales
La Circular 3/1995, de 25/09, establece en su norma novena: “1. Cualquier titular podrá solicitar la información que contiene la Central de Información de Riesgos sobre él…2. Si el titular observara alguna inexactitud en los datos detallados que le hubiera facilitado la CIR, deberá dirigirse a las entidades declarantes solicitando su rectificación… La CIR suspenderá la cesión a terceros de datos sobre los que exista duda fundada sobre su exactitud. 3. Lo dispuesto en los apartados precedentes se entiende sin perjuicio de los derechos de acceso, rectificación y cancelación que amparan a la s personas físicas, según lo dispuesto en la Ley 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de Datos de Carácter Personal”, actualmente Ley Orgánica 15/1999 de 13 de diciembre de protección de datos de carácter personal”.
El artículo 64 de Ley 44/2002, de 22 de noviembre, de Medidas de Reforma del Sistema Financiero, referido a “Conservación de los datos”, establece que “los datos registrados en la CIR se conservarán durante diez años contados desde la fecha a la que se refieran, cancelándose una vez transcurrido dicho plazo. No obstante, podrán conservarse indefinidamente mediante procedimientos que no permitan la identificación del afectado, atendiendo a sus valores históricos, estadísticos o científicos. También podrán conservarse indefinidamente los datos que identifiquen a las personas jurídicas para permitir el ejercicio de las finalidades contempladas en los guiones segundo y tercero del apartado primero del artículo 59 de la presente Ley (…). Conforme a lo previsto en el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, el Banco de España adoptará las medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos registrados en la CIR y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural”.
En relación a la seguridad de los datos el artículo 9 de la Ley Orgánica 15/1999 establece que “el responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. 2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. 3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley”.
Es importante recordar, en relación a la exactitud de los datos recogidos por la Central de Información de Riesgos que (artículo 9 de la citada Ley Orgánica), “los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado ”.
La Instrucción 1/1995, de 1 de marzo, de la Agencia Española de Protección de Datos, relativa a prestación de servicios de información sobre solvencia patrimonial y crédito, aplicable al caso, que establece que “la inclusión de los datos de carácter personal en los ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias deberá efectuarse solamente cuando concurran los siguientes requisitos: la existencia previa de una deuda cierta, vencida y exigible, que haya resultado impagada y el requerimiento previo de pago a quien corresponda, en su caso, el cumplimiento de la obligación.
No obstante, cualquier entidad puede pedir información concreta de un titular si este le solicita una operación de riesgo o figura como obligado al pago o garante en documentos cambiarios o de crédito cuya adquisición o negociación haya sido solicitada a la entidad.
En relación a los ejercicios de derechos e acceso el Banco de España, a través de su web informa que “Cualquier persona física (un individuo) o jurídica (una sociedad) puede acceder de forma gratuita a toda la información que está a su nombre en la CIR.
El acceso puede hacerse de tres formas:
- A través de la Oficina Virtual del Banco de España, siendo el único requisito imprescindible para ello disponer de firma digital: para informes de personas físicas, DNI electrónico certificado de firma digital de la Fábrica Nacional de Moneda y Timbre y, para personas jurídicas, certificado de personas jurídicas de este Organismo.
- Ir a las oficinas de la Central de Información de Riesgos, en la sede del Banco de España en la calle Alcalá, 48, de Madrid, o a cualquiera de sus sucursales en horario de 8.30 a 14 horas. El solicitante deberá identificarse suficientemente, presentando su DNI, NIE, pasaporte u otro documento válido.
- Pedirlo por carta, a la Central de Información de Riesgos de Madrid en la siguiente dirección: Banco de España. Información Financiera y Central de Riesgos C/ Alcalá, 48. 28014 Madrid
Entre los requisitos encontramos que debe ir firmada por el titular, adjuntando fotocopia legible de ambas caras del DNI, NIE, pasaporte u otro documento válido que le identifique, e indicando la dirección para su envío por correo certificado (preferiblemente el domicilio particular).
En caso de que el informe de riesgos lo solicite un representante del titular, será necesario que se aporte fotocopia del documento público que acredite su derecho a obtener información en nombre del representado, así como el DNI, NIE, pasaporte u otro documento válido que identifique al representante.
No obstante lo anterior, el Banco de España, en defensa de la confidencialidad de los datos, se reserva la posibilidad de ampliar las exigencias de información necesarias cuando tenga dudas sobre la correcta identificación de quien solicita los datos”. Sobre el ejercicio del derecho de rectificación “los titulares que consideren que los datos declarados por las entidades a la Central de Información de Riesgos (CIR) son inexactos o incompletos deben dirigirse a la entidad que ha facilitado la información errónea para pedir su rectificación o cancelación. También pueden hacerlo a través del Banco de España, que hará la gestión ante la entidad declarante. En este caso, el titular enviará al Banco de España un escrito, con los mismos requisitos establecidos para el derecho de acceso, en el que se especificarán los datos erróneos y las razones de la petición (…) El procedimiento que se sigue para la tramitación de las solicitudes presentadas, así como sus efectos, se recogen en el apartado 2 de la norma novena de la Circular 3/1995, de 25 de septiembre”.
Por último, el Banco de España, en relación al procedimiento de reclamación contra una entidad por disconformidad con lo declarado a la Central de Información de Riesgos, informa que “si una persona física o jurídica considera que los datos declarados a la CIR a su nombre son inexactos o incompletos podrá dirigirse directamente a la entidad o entidades declarantes requiriendo su rectificación o cancelación, o solicitar al Banco de España que tramite su reclamación, para lo cual deberá identificar los datos que considera erróneos, así como justificar por escrito las razones y alcance de su petición (Articulo 65 de la Ley 44/2002 de Medidas de Reforma del Sistema Financiero). La CIR, al no ser la acreedora, no puede modificar los riesgos declarados por las entidades que son las responsables de su declaración y quienes deben realizar las modificaciones. El Banco de España dará traslado, siempre que así lo estime, de las solicitudes de rectificación o cancelación a la entidad o entidades declarantes de los datos supuestamente inexactos o incompletos. Las entidades deberán contestar tanto al reclamante como a la CIR (cuando la reclamación se hubiese tramitado a través del Banco de España), en el plazo máximo de 15 días hábiles, si el reclamante es una persona física, y de 20 días hábiles si se trata de una persona jurídica. El plazo se contará desde la recepción de la reclamación en cualquiera de las oficinas de la entidad.
Si la entidad accediese a lo solicitado por el reclamante, deberá enviar de inmediato a la CIR una declaración complementaria con las rectificaciones o cancelaciones de todos los datos declarados erróneamente. La CIR comunicará los datos corregidos a las entidades a las que previamente les hubiese cedido los erróneos. Si, por el contrario, la entidad se ratifica en su declaración, deberá justificar los motivos de su decisión. En este último caso la CIR prorrogará la suspensión de la cesión de los datos controvertidos durante dos meses más, salvo que el titular admita la justificación dada por la entidad, en cuyo caso se desbloquearán inmediatamente”.
PREVENCIÓN DE BLANQUEO DE CAPITALES Y PROTECCIÓN DE DATOS
El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en su artículo 10.4, establece que será posible la cesión de datos de carácter personal sin contar con el consentimiento del interesado cuando “la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas o a las instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas y se realice en el ámbito de las funciones que la ley les atribuya expresamente”.
En este sentido la entrada en vigor de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, recoge la obligación de los sujetos enumerados en su artículo 2, de establecer requisitos de control y conservación de documentos en operación que excedan de 15.000 euros, en una o varias operaciones siempre que el pago se efectúe en metálico, cheques bancarios al portador o pagos electrónicos que tengan la consideración de pago al portador; identificando a cuantas personas físicas o jurídicas pretendan establecer relaciones de negocio o intervenir en cualesquiera operaciones, realizando una comprobación previa, mediante documentos fehacientes.
Quedan fuera del sometimiento a las obligaciones, como sujetos obligados, los abogados, en relación al entablar relaciones de negocio, comunicación por indicio y colaboración con el SEPBLAC, con respecto a la información que éstos tengan de sus clientes al defenderles en procedimientos judiciales.
La Ley incorpora a nuestro sistema normativo la Directiva 2005/60/CE del Parlamento europeo y del Consejo, de 26 de octubre de 2005, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales y para la financiación del terrorismo, desarrollada por la Directiva 2006/70/CE de la Comisión, de 1 de agosto de 2006, por la que se establecen disposiciones de aplicación de la citada Directiva, en lo relativo a la definición de personas del medió político y a los criterio técnicos aplicables en los procedimientos simplificados de diligencia debida con respecto al cliente así como en lo que atañe a la exención por razones de actividad financiera ocasional o muy limitada.
La citada Ley establece como obligaciones dentro del control citado, la identificación formal de la persona física o jurídica que realice la operación, la realización de un examen de comportamientos y operaciones complejas que puedan tener relación con el blanqueo de capitales o financiación del terrorismo, la obligatoriedad de comunicar cualquier indicio al Servicio Ejecutivo de la Comisión de Prevención de Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC), estableciendo la prohibición de revelación de dichas comunicaciones a terceras personas; en la medida de los posible se abstendrán de ejecutar dichas operaciones, así mismo se establece la obligación de conservar dicha información diez años.
En lo relativo a la conservación, tratamiento y comunicación de datos de carácter personal, el artículo 32 somete el cumplimiento de la norma a la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y normativa de desarrollo. Especificando que no se requerirá, como es lógico, el consentimiento del interesado para el tratamiento de los datos necesarios para el cumplimiento de las obligaciones en materia de prevención del blanqueo de capitales, ni para las obligadas comunicaciones el SEPBLAC, estableciéndose una excepción legal al deber de información recogido en el artículo 5 de la citada Ley Orgánica. Existiendo una prohibición expresa de revelar a los propios clientes o terceros que su información ha sido comunicada al SEPBLAC o que la misma esta siendo objeto de examen.
Como se desprende del espíritu de la Ley 10/2010, la excepción al deber de información se amplia al ejercicio de derechos de acceso, rectificación, cancelación y oposición por el afectado, debiendo los sujetos obligados, informarle en los términos del artículo 32.3.
La Ley otorga la condición de encargados de tratamiento a los órganos centralizados de prevención, y eleva al nivel alto de seguridad las medidas aplicables a los ficheros que contengan datos de prevención de blanqueo de capitales y financiación del terrorismo.
La Ley, así mismo se centra en el intercambio de información entre sujetos obligados y ficheros centralizados de prevención del fraude, cuando concurran circunstancias excepcionales que se determinen reglamentariamente, pudiendo la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias, acordar dicho intercambio de información, referida a determinado tipo de operaciones distintas o a clientes sujetos a determinadas circunstancias, siempre que se encuentren en la categorías de sujetos obligados, previstas en el artículo 2 de la Ley.
La Ley establece, además, la obligación de los sujetos obligados de establecer medidas en las operaciones con personas que desempeñen o hayan desempeñado responsabilidades públicas, tanto en otros Estados miembro de la Unión Europea, como en terceros países, así como sus familiares y personas con la consideración de allegados.
Los sujetos obligados podrán intercambiar información relativa a las operaciones con la única finalidad de prevenir o impedir operaciones relacionadas con el blanqueo de capitales o financiación del terrorismo cuando las características y operativa del supuesto, implique la posibilidad de que una vez rechazada por el sujeto obligado, al operación pueda llevarse a cavo, con otro sujeto obligado, con idéntico desarrollo u operativa.
Los sujetos obligados y las autoridades judiciales, policiales y administrativas competentes podrán consultar la información contenida en los ficheros siempre que el acceso fuese necesario para el cumplimento de las obligaciones recogidas en la Ley. Dicho acceso deberá quedar limitado a los órganos de control interno y las unidades técnicas de control creadas en el ámbito de los sujetos obligados.
En relación a la conservación de documentos, el artículo 25 de la Ley establece que los sujetos obligados conservarán durante un periodo de diez años la documentación en que se formalice el cumplimiento de las obligaciones en materia de prevención del blanqueo de capitales y financiación del terrorismo, así como el lo referente a la investigación o análisis, en materia de posibles casos infractores, especificando el artículo que documentos se deben conservar. Dicha conservación se realizar, preferiblemente, en soportes ópticos, magnéticos o electrónicos, que garanticen su integridad, la correcta lectura, la imposibilidad de manipulación y su adecuada conservación y localización.
De los citados preceptos de la Ley 10/2010, deducimos la obligatoriedad por parte de los sujetos obligados, de creación e inscripción del correspondiente Fichero de datos de carácter personal ante la Agencia Española de Protección de Datos; quedando clara su finalidad (la prevención del blanqueo de capitales y financiación del terrorismo), el Responsable del Fichero y encargado de tratamiento, así como las medidas aplicables (nivel alto de seguridad) y los destinatarios de cesiones y comunicaciones, así como los propios usuarios del sujeto obligado que podrán acceder a la información con la correspondiente obligatoriedad de llevar los necesarios registros de acceso a la información, así como los registros destinados al inventariado de los soportes que la contienen.
En relación al registro de personas con responsabilidad pública, se faculta a los sujetos obligados, para la creación de ficheros, aún cuando no se mantengan con ellos relaciones negociales, pudiendo los sujetos obligados, recabar toda la información necesaria sin necesidad de tener el previo consentimiento, sólo pudiendo ser utilizada la información para el cumplimento de las medidas previstas en la Ley 10/2010.
ACCIONES PUBLICIATRIAS Y PROSPECCIÓN COMERCIAL
En relación al tratamiento para actividades de publicidad y prospección comercial, habrá que tener en cuenta lo dispuesto en el Real Decreto 1720/2007, que establece que para que una entidad pueda realizar por sí misma una actividad publicitaria de sus productos o servicios entre sus clientes será preciso que el tratamiento se ampare en alguno de los supuestos contemplados en el artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre. En todo caso, los responsables a los que el afectado haya manifestado su negativa a recibir publicidad podrán conservar los mínimos datos imprescindibles para identificarlo y adoptar las medidas necesarias que eviten el envío de publicidad.
El propio artículo 5 de la Ley Orgánica 15/1999 establece que los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco de la existencia de un fichero, del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas, de las consecuencias de la obtención de los datos o de la negativa a suministrarlos, de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición, de la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
PRINCIPIOS Y MEDIDAS DE SEGURIDAD APLICABLES
Debe tenerse en cuenta el ejercicio de derechos en materia de protección de datos (Instrucción 1/1998 de la Agencia Española de Protección de Datos, relativa al ejercicio de los derechos de acceso, rectificación, cancelación, oposición), en especial el ejercicio del derecho de oposición y cancelación, así como lo establecido en la legislación vigente sobre el consentimiento para el tratamiento de datos con fines publicitarios. Esta es sin duda una de las mayores causas de denuncias en materia de protección de datos.
El tratamiento de los datos por parte de las entidades bancarias y financieras, debe realizarse conforme al principio de calidad de los datos, es decir, deben ser adecuados, pertinentes y no excesivos con respecto a las finalidades para las que fueron recabados. Deben ser exactos y actualizados, e informarse al usuario de las posibles cesiones o comunicaciones de datos que pueden producirse, así como las finalidades de las mismas.
En caso de que el cliente haya solicitado la cancelación de sus datos, las entidades podrían mantener los mismos bloqueados, restringiendo su inclusión en futuras campañas comerciales, siempre que haya norma que me habilite para ello, deba custodiarlos a efectos judiciales o de pago de deudas.
El compromiso de las diferentes entidades bancarias y financieras en aras a una mayor transparencia e información, tanto sobre la recogida de los datos, como el consentimiento o al prevención de delitos informáticos, suplantaciones de identidad o fraudes, cada vez es mayor, ofreciendo información a través de las propias oficinas, Internet, telefónicamente, mediante medios entendibles por el ciudadano.
En relación a las medidas de seguridad, además de las especificadas, se debe tener en cuenta la aparición de nuevos servicios como la banca electrónica, a distancia, la contratación de productos telefónicamente o el telemarketing, en la que deberá asegurarse la prestación del consentimiento, tanto en materia de protección de datos, como en la propia contratación de productos con fines probatorios y en lo referido a lo establecido en la legislación vigente y en materia de defensa del consumidor. Debe hacerse especial hincapié en lo relativo a la identificación del usuario, mediante la inclusión de un código o clave telefónica, la autenticación como control de seguridad, así como la utilización de nuevas tecnologías como la firma electrónica, certificados digitales, entre otros. En todo caso, deberá estarse a lo dispuesto en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, legislación, instrucciones y recomendaciones específicas del sector y normativa europea.
Por último, se debe hacer una mención a las medidas de seguridad, avisos legales, cláusulas y políticas de privacidad y cookies con las que debe cumplir las entidades bancarias o financieras, recogidas en la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico.