¿Están obligadas las SGIIC a nombrar un delegado de protección de datos?

Gloria_Vogelweid_y_Maria_Vidal
FinReg360

Tribuna de Gloria Vogelweid, asociada, y María Vidal, Of Counsel de finReg360.

La designación de un delegado de protección de datos (DPD) se ha convertido en una de las principales novedades del Reglamento General de Protección de Datos[1] (RGPD), en vigor desde el 25-5-2018. El propio reglamento determina las entidades que han de tener esa figura.

Combinar los supuestos específicos que recoge la norma comunitaria sobre esta obligación, con las particularidades que añade la norma española, puede llegar a ser un verdadero rompecabezas para determinadas entidades. Con la aplicación concreta en las sociedades gestoras de instituciones de inversión colectiva (las SGIIC), como a continuación detallamos, la controversia está servida.

El artículo 37 del RGPD obliga a las compañías a nombrar un DPD en los siguientes casos:  a) si el tratamiento lo lleva a cabo una autoridad u organismo público; b) si las actividades principales del responsable o del encargado consisten en operaciones de tratamiento que, en razón de su naturaleza, alcance o fines, requieren una observación habitual y sistemática de interesados a gran escala; c) si las actividades principales del responsable o del encargado se basan en el tratamiento a gran escala de categorías especiales de datos personales, como los de salud, de origen racial, opiniones políticas o convicciones religiosas y referidos a condenas e infracciones penales; o bien, d) «si así lo exige el Derecho de la Unión o de los Estados miembros».

A priori, podemos pensar que muchas de las actividades principales de las SGIIC no requerirán, en sentido estricto, una «observación habitual y sistemática de interesados a gran escala», si se atiende al número de interesados afectados, al volumen de datos, la duración o permanencia de la actividad de tratamiento de datos, o al alcance geográfico de la actividad de tratamiento[2]. Pero el legislador español ha aprovechado la puerta que abre el apartado d) del artículo 37 antes citado y ha incorporado a la nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante LOPDyGDD)[3] la obligación de determinadas entidades, según su sector de actividad, a designar un DPD. Entre las entidades que han de disponer de esta nueva figura encontramos las «empresas de servicios de inversión reguladas por la legislación del Mercado de Valores»”[4].

Si revisamos la Ley del Mercado de Valores[5], encontraremos que su artículo 143 clasifica las empresas de servicio de inversión (las ESI) en sociedades de valores, agencias de valores, sociedades gestoras de carteras y empresas de asesoramiento financiero.

Sin embargo, su artículo 145 establece la aplicación de determinadas obligaciones de dicha norma y del reglamento delegado por el que se completa la normativa MiFID[6] a las SGIIC y las sociedades gestoras de entidades de inversión colectiva de tipo cerrado cuando presten los servicios y actividades de inversión de gestión de carteras, asesoramiento, custodia y administración, y recepción y transmisión de órdenes.

¿Podemos entonces entender que las SGIIC que prestan servicios de inversión se equiparan a las ESI a los efectos de la obligación de designar un DPD?

Para poder responder a esta cuestión, primero debemos entender que la normativa de protección de datos personales vela para que su tratamiento se realice en un contexto seguro, con un nivel de protección adecuado al riesgo generado por ese tipo de tratamiento y de la categoría de datos personales manejados. Está claro que el legislador decidió hacer uso del margen de discrecionalidad dejado a los Estados miembros por el RGPD para dar más precisión en lo que respecta a las entidades cuyo riesgo generado por sus actividades de tratamiento es indudable.

La directiva MiFID II (artículo 1.2.b) y la Ley de Mercado de Valores (artículo 145.2) no limitan su ámbito de aplicación a las empresas de inversión stricto sensu, sino que determinan su aplicabilidad en función de si se presta o no servicios de inversión. En este sentido, consideramos que los servicios de inversión ―como la recepción y transmisión de órdenes de clientes, la gestión discrecional de carteras o el asesoramiento en materia de inversión― conllevan un riesgo intrínseco en el tratamiento de datos personales. En concreto, las entidades que prestan estos servicios de inversión recaban de sus clientes datos personales para los test de conveniencia o de idoneidad, según los casos, con el fin de adecuar sus servicios a las circunstancias concretas de los ordenantes. En función de los servicios que se les vayan a prestar, se podrían recabar:

  • Datos esenciales del cliente para que las entidades puedan recomendar transacciones personalizadas.
  • Información relativa a los conocimientos y experiencia del cliente en mercados financieros, o del tipo de producto o transacción de la operación y los riesgos inherentes a ella.
  • Identificación derivada de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.

Conclusiones

Partiendo del objetivo perseguido por el legislador en materia financiera y en protección de datos personales, coincidiendo ambas en velar por la protección de las personas físicas inversoras, y como consecuencia del riesgo derivado de los tratamientos de datos señalados, consideramos que la figura del DPD resulta necesaria en aquellas SGIIC que presten los servicios de gestión discrecional de carteras, asesoramiento en materia de inversión, recepción y transmisión de órdenes, o custodia y administración de instituciones de inversión colectiva. La designación de un DPD, en estas circunstancias, siempre demostrará una actitud diligente en aplicación del principio de responsabilidad proactiva.

Cuestiones prácticas que deben tenerse en cuenta

  1. Ante cualquier duda sobre la obligación de designación de esta figura, el actual Comité Europeo de Protección de Datos recomienda que las compañías documenten el análisis interno realizado para determinar si debe nombrarse o no un DPD, para poder demostrar que se ha analizado la cuestión y que, teniendo en cuenta todos los factores y la naturaleza de las operaciones de tratamiento, ha concluido que no necesita un DPD.
  2. Es posible designar voluntariamente un DPD, en cualquier caso. De hecho, este nombramiento es alentado por el Comité Europeo de Protección de Datos y será visto con muy buenos ojos por la autoridad de control de protección de datos, dado que dicho recurso es clave en la acreditación de una responsabilidad proactiva en su cumplimiento.
  3. Por último, establecida la alta cualificación[7] requerida para la figura del DPD, hace complicado que las SGIIC puedan contar con un perfil interno que cumpla con todos los requisitos. A este respecto, la norma permite que este perfil sea un miembro de la plantilla o bien un externo en el marco de un contrato de servicios.
 


[1] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

[2] Aclaración ofrecida por el Comité Europeo de Protección de Datos (anteriormente denominado Grupo de trabajo del artículo 29 en su documento finalmente aprobado en abril de 2017 relativo a las “Directrices sobre los Delegados de Protección de Datos”.

[3] La LOPD-GDD en vigor desde el 7 de diciembre de 2018.

[4] Artículo 34 apartado h) de la nueva LOPD-GDD.

[5] Real Decreto Legislativo 4/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Mercado de Valores.

[6] Reglamento Delegado (UE) 2017/565 de la Comisión, de 25 de abril de 2016, por el que se completa la Directiva 2014/65/UE del Parlamento Europeo y del Consejo en lo relativo a los requisitos organizativos y las condiciones de funcionamiento de las empresas de servicios y actividades de inversión y términos definidos a efectos de dicha Directiva

[7]  (1) conocimientos especializados del Derecho, (2) práctica en materia de protección de datos y (3) capacidad para desempeñar cada una de las funciones que recoge el RGPD.