Declaración de confidencialidad en relación con la plataforma de denuncia de infracciones del BCE
Marco jurídico de protección de datos aplicable al BCE
Los datos personales se tratan conforme a la legislación sobre protección de datos de la UE, es decir, el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE.
¿Qué datos recoge el BCE y cómo lo hace?
El BCE recoge información sensible y datos personales de las personas que denuncian una presunta infracción del derecho de la Unión Europea aplicable. También recoge información sensible y datos personales de las personas que presuntamente han cometido una infracción, así como de otras partes mencionadas en las denuncias enviadas a través de la plataforma. El BCE también trata los datos de las personas que trabajan para él o para una autoridad nacional competente (supervisor nacional), así como los de otras personas mencionadas en las denuncias de infracciones o en los expedientes que de ellas se deriven. Si el BCE concluye que estas personas no están relacionadas con el caso, dejará de tratar sus datos.
Dado que la plataforma permite denunciar de forma anónima infracciones del derecho de UE aplicable, las personas que denuncien una presunta infracción no están obligadas a revelar sus datos personales. Sin embargo, no puede excluirse la posibilidad de que, durante el proceso de investigación de una denuncia, el BCE reciba información que contenga datos identificativos (entre ellos, nombre y apellidos, fecha y lugar de nacimiento, domicilio, número de teléfono y fax, dirección de correo electrónico y dirección IP), profesionales (como profesión, empleador y función) o financieros (incluidas nóminas, cuentas bancarias y carteras de valores) de personas.
¿Quién es el responsable del tratamiento de los datos personales que se recogen a través de la plataforma de denuncia de infracciones?
El BCE es el responsable del tratamiento de los datos personales recogidos a través de la plataforma de denuncia de infracciones, y la División de Ejecución y Sanciones del BCE es la unidad organizativa encargada del tratamiento de esos datos.
La información que se transmita a través de la plataforma también es tratada externamente en nombre del BCE por nuestro proveedor externo seguro EQS Group AG, que no tiene acceso al contenido de las denuncias.
¿Por qué trata datos personales el BCE? ¿Cuál es el fundamento jurídico de dicho tratamiento?
La plataforma desarrollada por el BCE permite denunciar infracciones a cualquier persona que, actuando de buena fe, tenga motivos fundados para creer que una entidad supervisada o una autoridad competente (un supervisor nacional, también denominado «autoridad nacional competente», o el BCE) ha infringido los actos jurídicos a los que se refiere el artículo 4, apartado 3, del Reglamento (UE) n.º 1024/2013 del Consejo (el Reglamento del MUS) y desee transmitir información relevante al BCE.
La División de Ejecución y Sanciones y EQS Group AG recogen y tratan los datos personales conforme al artículo 5, apartado 1, letra a), del Reglamento 2018/1725.
¿Quién tiene acceso a la información enviada y a quién se transmite?
La información enviada a través de la plataforma de denuncia de infracciones es procesada externamente en nombre del BCE por nuestro proveedor externo seguro EQS Group AG. Para ello utiliza un sistema de almacenamiento en la nube cuyos servidores están ubicados en Alemania. Solo los usuarios del BCE tienen acceso a la información enviada.
Dentro del BCE, la División de Ejecución y Sanciones, cuyos integrantes están sujetos a un régimen de confidencialidad estricto, es la encargada de dar curso a las denuncias recibidas. Esta División decide si transmite la información a las áreas de negocio pertinentes del BCE o a las autoridades competentes (supervisores nacionales) conforme a lo dispuesto en el Reglamento del MUS.
La intención del BCE al habilitar la plataforma de denuncia de infracciones únicamente es recibir información relativa a infracciones del derecho de la Unión Europea aplicable cometidas por una entidad supervisada, un supervisor nacional o el propio BCE.
En caso de recibir denuncias de infracciones del derecho de la UE aplicable, el BCE transmitirá la información al área de negocio competente del BCE o a los supervisores nacionales. No obstante, el BCE tratará dichas denuncias como «denuncias confidenciales», es decir, no revelará la identidad o datos personales de la persona o personas que hayan enviado la denuncia a través de la plataforma sin obtener primero su consentimiento explícito, a menos que se exija lo contrario por orden judicial en el contexto de investigaciones o procedimientos judiciales ulteriores.
En caso de que el BCE reciba denuncias no relacionadas con infracciones del derecho de la UE aplicable, pero sí con otras tareas asignadas al BCE, la información se transmitirá al área de negocio competente del BCE y se aplicarán las normas generales de protección de datos del BCE.
En caso de recibirse denuncias que el BCE determine que están relacionadas con infracciones de disposiciones del derecho de la UE no aplicable (por ejemplo, lucha contra el blanqueo de capitales y prevención de la financiación del terrorismo, protección del consumidor o supervisión de los servicios de pago), y no con otras tareas asignadas al BCE, este suprimirá los datos personales recibidos y no transmitirá la información. Se aplicarán las normas generales de protección de datos del BCE.
Sin embargo, las infracciones de disposiciones del derecho de la UE no aplicable pueden revelar incumplimientos de los requerimientos prudenciales. Por ejemplo, las infracciones de las normas sobre lucha contra el blanqueo de capitales y prevención de la financiación del terrorismo pueden ser indicios de una gobernanza o de unos mecanismos de control interno inadecuados, cuya estructura se establece en las normas relativas a la supervisión prudencial de las entidades de crédito. En consecuencia, según sea el caso, el BCE podrá tratar tales denuncias como «denuncias confidenciales» relacionadas con infracciones del derecho de la UE aplicable y transmitir la información a las áreas de negocio competentes del BCE o a los supervisores nacionales conforme a lo dispuesto en el Reglamento del MUS.
Asimismo, el BCE puede enviar la información recibida en una denuncia a las autoridades nacionales responsables de la lucha contra el blanqueo de capitales si: i) la denuncia contiene información relevante y necesaria para el desempeño de las funciones de esas autoridades conforme a lo previsto en el acuerdo multilateral sobre las modalidades prácticas para el intercambio de información entre el BCE y las autoridades competentes en la lucha contra el blanqueo de capitales y la prevención de la financiación del terrorismo, y ii) la información se refiere a los sistemas y controles internos de una entidad supervisada.
¿Durante cuánto tiempo conserva el BCE los datos personales enviados a través de la plataforma de denuncia de infracciones?
Una vez cerrado un expediente, los datos personales pertinentes se conservan durante un período de retención que se determina como se explica a continuación.
Si el BCE considera que una denuncia es relevante para sus tareas de supervisión, los datos se conservan durante cinco años. Si considera que no es relevante para sus tareas de supervisión, pero sí para otras tareas del BCE, los datos se conservan durante doce meses. Si el BCE decide que una denuncia no es relevante para ninguna de sus tareas, los datos se conservan durante tres meses.
Transferencia de datos personales a países no pertenecientes a la UE
El BCE ha suscrito distintos acuerdos de cooperación y continuará participando en acuerdos de este tipo con otras instituciones o con organizaciones internacionales. Estas organizaciones pueden solicitar datos personales de los expedientes de las denuncias de infracciones del derecho de la UE. En estos casos, el BCE debe cumplir normas específicas sobre la transferencia de datos personales a destinatarios de países no pertenecientes a la UE en los que no son de aplicación las normas de protección de datos de la UE. Dichas normas se establecen en el capítulo V del Reglamento sobre protección de datos.
Sus derechos
Los interesados tienen derecho a acceder a sus datos personales y a rectificarlos, a restringir o formular objeciones a su tratamiento y, en determinadas condiciones, a solicitar su eliminación. Para ejercer sus derechos diríjase a la siguiente dirección:
Banco Central Europeo
Directorate General SSM Governance and Operations – Enforcement and Sanctions Division
Whistleblowing mechanism
60640 Frankfurt am Main
También puede ponerse en contacto en cualquier momento con el Supervisor Europeo de Protección de Datos en relación con el tratamiento de sus datos personales.
Más información
Si tiene alguna pregunta sobre el tratamiento de sus datos personales o sus derechos, puede ponerse en contacto con la Oficina de Protección de Datos del BCE en la dirección dpo@ecb.europa.eu.