Declaración de confidencialidad de la plataforma del BCE para comunicación de infracciones

Marco jurídico de protección de datos aplicable al BCE

Los datos personales son tratados conforme a las normas sobre protección de datos de la UE, es decir, el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE.

¿Qué datos recoge el BCE y cómo lo hace?

El BCE recoge información sensible y datos personales de las personas que comunican una presunta infracción del derecho de la Unión Europea aplicable. También recoge información sensible y datos personales de las personas que presuntamente han cometido la infracción, así como de otras partes mencionadas en las comunicaciones enviadas a través de la plataforma. El BCE también trata los datos de las personas que trabajan para él, o para una autoridad nacional competente (supervisor nacional), así como los de cualquier persona mencionada en las comunicaciones de infracciones o en los expedientes que de ellas se deriven. Si el BCE concluye que estas personas no están relacionadas con el caso, dejará de tratar sus datos.

Dado que la plataforma permite comunicar de forma anónima infracciones del derecho de UE aplicable, las personas que comuniquen una presunta infracción no están obligadas a revelar sus datos personales en modo alguno. Sin embargo, no puede excluirse la posibilidad de que, durante el proceso de investigación de una comunicación, el BCE reciba información que contenga datos identificativos (incluidos el nombre y apellidos, fecha y lugar de nacimiento, domicilio, número de teléfono y fax, dirección de correo electrónico y dirección IP), profesionales (incluida la profesión, empleador y función) o financieros (incluidas nóminas, cuentas bancarias y carteras de valores) de personas.

¿Quién es el responsable del tratamiento de los datos personales que se recogen a través de la plataforma de comunicación de infracciones?

El BCE es el responsable del tratamiento de los datos personales recogidos a través de la plataforma de comunicación de infracciones, y la Sección de Ejecución de la División de Ejecución y Sanciones del BCE es la unidad organizativa encargada del tratamiento de esos datos.

La información que se transmita a través de la plataforma también es tratada externamente en nombre del BCE por nuestro proveedor externo seguro EQS Group AG, que no tiene acceso al contenido de las comunicaciones.

¿Por qué trata datos personales el BCE? ¿Cuál es el fundamento jurídico de dicho tratamiento?

La plataforma desarrollada por el BCE permite comunicar infracciones a cualquier persona que, actuando de buena fe, tenga motivos fundados para creer que una entidad supervisada o una autoridad competente (un supervisor nacional, también denominado «autoridad nacional competente», o el BCE) han infringido los actos jurídicos a los que se refiere el artículo 4, apartado 3, del Reglamento (UE) nº. 1024/2013 del Consejo (el Reglamento del MUS) y desee transmitir información relevante al BCE.

La División de Ejecución y Sanciones y EQS Group AG recogen y procesan los datos personales conforme al artículo 5, apartado 1, letra a), del Reglamento 2018/1725.

¿Quién tiene acceso a la información recibida y a quién se transmite?

La información recibida a través de la plataforma de comunicación de infracciones es procesada en nombre del BCE por nuestro proveedor externo seguro EQS Group AG. Para ello utiliza un sistema de almacenamiento en la nube cuyos servidores están ubicados en Alemania. Solo los usuarios del BCE tienen acceso a la información recibida.

Dentro del BCE, la Sección de Ejecución, cuyos integrantes están sujetos a un régimen de confidencialidad estricto, es la encargada de dar curso a las comunicaciones recibidas. La Sección de Ejecución decide si transmite la información a las áreas de negocio del BCE competentes o a las autoridades competentes (supervisores nacionales) conforme a lo dispuesto en el Reglamento del MUS.

La intención del BCE al habilitar la plataforma de comunicación de infracciones es recibir información relativa a infracciones del derecho de la Unión Europea aplicable cometidas por entidades de crédito significativas, supervisores nacionales o el propio BCE.

En caso de recibir comunicaciones de infracciones del derecho de la UE aplicable, el BCE transmitirá la información al área de negocio del BCE competente o a los supervisores nacionales. No obstante, el BCE tratará dichas comunicaciones como «comunicaciones confidenciales», es decir, no revelará la identidad o datos personales de la persona o personas que enviaron la comunicación a través de la plataforma sin obtener primero su consentimiento explícito, a menos que se exija lo contrario por orden judicial en el contexto de investigaciones o procedimientos judiciales ulteriores.

En caso de comunicaciones no relacionadas con infracciones del derecho de la UE aplicable, pero sí con otras tareas asignadas al BCE, la información será transmitida al área de negocio del BCE competente y se aplicarán las normas generales de protección de datos del BCE.

En caso de comunicaciones que el BCE determine que están relacionadas con infracciones de disposiciones del derecho de la UE no aplicables (por ejemplo, lucha contra el blanqueo de capitales y prevención de la financiación del terrorismo, protección de los consumidores o supervisión de los servicios de pago), pero no con otras tareas del BCE, este suprimirá los datos personales recibidos y no transmitirá la información. Se aplicarán las normas generales de protección de datos del BCE.

Sin embargo, las infracciones de disposiciones del derecho de la UE no aplicables pueden revelar incumplimientos de los requerimientos prudenciales. Por ejemplo, las infracciones de las normas sobre lucha contra el blanqueo de capitales y prevención de la financiación del terrorismo pueden ser indicios de una gobernanza o unos mecanismos de control interno inadecuados, cuya estructura se establece en las normas relativas a la supervisión prudencial de las entidades de crédito. En consecuencia, según el caso, el BCE podrá tratar tales comunicaciones como «comunicaciones confidenciales» relacionadas con infracciones del derecho de la UE aplicable y transmitir la información a las áreas de negocio del BCE competentes o a los supervisores nacionales conforme a lo dispuesto en el Reglamento del MUS.

El BCE también puede enviar la información recibida a las autoridades nacionales responsables de la lucha contra el blanqueo de capitales si: i) las comunicaciones contienen información relevante y necesaria para el desempeño de las tareas de esas autoridades conforme a lo previsto en el acuerdo multilateral sobre las modalidades prácticas para el intercambio de información entre el BCE y las autoridades competentes en la lucha contra el blanqueo de capitales y la prevención de la financiación del terrorismo, y ii) la información se refiere a los sistemas y controles internos de una entidad supervisada.

¿Durante cuánto tiempo mantiene el BCE los datos personales recibidos a través de la plataforma de comunicación de infracciones?

Una vez cerrado un expediente, los datos personales relevantes se almacenan durante un período de retención que se determina como se explica a continuación.

Si el BCE considera que una comunicación es relevante para sus tareas de supervisión, los datos se almacenarán durante cinco años. Si no considera que sea relevante para sus tareas de supervisión, pero sí para otras tareas del BCE, los datos se almacenarán durante doce meses. Si el BCE decide que una comunicación no es relevante para ninguna de sus tareas, los datos se almacenarán durante tres meses.

Transferencia de datos personales a países no pertenecientes a la UE

El BCE ha suscrito distintos acuerdos de cooperación y continuará participando en acuerdos de este tipo con otras instituciones u organizaciones internacionales. Estas organizaciones pueden solicitar datos personales de los expedientes de las infracciones del derecho de la UE comunicadas. En estos casos, el BCE debe cumplir normas específicas sobre transferencia de datos personales a destinatarios de países no pertenecientes a la UE, en los que no son de aplicación las normas de protección de datos de la UE. Dichas normas se establecen en el capítulo V del Reglamento sobre protección de datos.

Sus derechos

Los interesados tienen derecho a acceder a sus datos personales y a rectificarlos, restringir o formular objeciones a su tratamiento y, en determinadas condiciones, solicitar su eliminación. Para ejercer sus derechos diríjase a la Sección de Ejecución:

Banco Central Europeo
DG/SSB/ESA/EN – Enforcement Section
Breach reporting/whistleblowing mechanism
60640 Frankfurt am Main

También puede ponerse en contacto en cualquier momento con el Supervisor Europeo de Protección de Datos en relación con el tratamiento de sus datos personales.

Más información

Si tuviera alguna pregunta sobre el tratamiento de sus datos personales o sus derechos, puede ponerse en contacto con la Oficina de Protección de Datos del BCE en la dirección dpo@ecb.europa.eu.