Declaración de privacidad para el tratamiento de datos personales en el contexto de la supervisión prudencial en el marco del Mecanismo Único de Supervisión
El BCE trata los datos personales en el contexto de sus funciones, responsabilidades y competencias de supervisión prudencial. Esta declaración de privacidad explica la forma en que el BCE gestiona el tratamiento de los datos personales en el marco general de sus actividades de supervisión prudencial.
En esta página también se detallan los datos personales tratados por el BCE en el contexto de los procedimientos de autorización. Esta información puede consultarse haciendo clic en el procedimiento pertinente (autorización, adquisición de participaciones cualificadas, evaluaciones de idoneidad, derecho de establecimiento o revocación de la autorización) en las listas que figuran a continuación.
¿Cuál es nuestro marco jurídico?
El Reglamento (UE) n.o 1024/2013 del Consejo encomienda al Banco Central Europeo (BCE) tareas específicas respecto de políticas relacionadas con la supervisión prudencial de las entidades de crédito sobre la base del artículo 127, apartado 6, del Tratado de Funcionamiento de la Unión Europea (TFUE).
A efectos de supervisión prudencial, se han confiado al BCE las funciones específicas a que se refiere el artículo 4 del Reglamento del MUS, en el marco del artículo 6 de dicho Reglamento, en relación con las entidades de crédito establecidas en: i) los Estados miembros de la UE cuya moneda es el euro y ii) los Estados miembros de la UE cuya moneda no es el euro que han suscrito acuerdos de cooperación estrecha con el BCE de conformidad con el artículo 7 del Reglamento del MUS (los Estados miembros participantes). Reglamento (UE) n.º 468/2014, por el que se establece el marco de cooperación en el Mecanismo Único de Supervisión entre el Banco Central Europeo y las autoridades nacionales competentes y con las autoridades nacionales designadas (Reglamento Marco del MUS).
Dado que el BCE puede recopilar y tratar ulteriormente datos personales en el ejercicio de sus funciones de supervisión conforme al Reglamento del MUS, está sujeto a la legislación sobre protección de datos de la UE, es decir, el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).
¿Por qué tratamos datos personales?
El BCE recopila y trata ulteriormente datos personales para el desempeño y el ejercicio de las funciones, responsabilidades y competencias de supervisión prudencial que le confiere el Reglamento del MUS (en particular, los artículos 4, 5, 6, 7, 8 y 18 de dicho Reglamento), lo que abarca una amplia gama de actividades, incluidas las siguientes:
- Procedimientos de autorización:Concesión de autorizaciones
De conformidad con el artículo 4, apartado 1, letra a), del Reglamento del MUS, el BCE tiene competencia exclusiva para conceder autorización para acceder a la actividad de una entidad de crédito en un Estado miembro participante, a reserva de lo dispuesto en el artículo 14 de dicho Reglamento. En este contexto, el BCE tiene encomendada la tarea de asegurar que las entidades que entran en el mercado bancario sean sólidas y cumplan el Derecho nacional y de la Unión. El BCE analiza, en particular, los niveles de capital de las entidades solicitantes, sus programas de actividades, su estructura organizativa y la idoneidad de sus administradores, directivos y accionistas significativos. Por tanto, los datos personales solicitados son necesarios para evaluar los criterios de concesión de la autorización para acceder a la actividad de una entidad de crédito.
Participaciones cualificadasDe conformidad con el artículo 4, apartado 1, letra c), del Reglamento del MUS, el BCE tiene competencia exclusiva para evaluar las notificaciones de adquisición de participaciones cualificadas en entidades de crédito establecidas en Estados miembros participantes, a reserva de lo dispuesto en el artículo 15 de dicho Reglamento. El BCE decide si se opone o no a dichas adquisiciones basándose en los criterios de evaluación establecidos en el Derecho aplicable de la Unión y/o nacional y de conformidad con los procedimientos y dentro de los plazos que en ellos se establecen. Por tanto, los datos personales solicitados son necesarios para evaluar los criterios para permitir la adquisición de participaciones cualificadas en las entidades de crédito. De acuerdo con el artículo 23, apartado 1, letras a) a e), de la Directiva 2013/36/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, deben evaluarse los siguientes criterios para determinar la idoneidad del adquirente propuesto y la solidez financiera de la adquisición propuesta:
- la reputación y la solvencia financiera del adquirente propuesto;
- la idoneidad de todo miembro del órgano de dirección y de todo miembro de la alta dirección que vaya a dirigir la actividad de la entidad de crédito como consecuencia de la adquisición propuesta;
- la capacidad de la entidad de crédito de cumplir de forma duradera los requisitos prudenciales que le son aplicables;
- la existencia de indicios razonables que permitan suponer que, en relación con la adquisición propuesta, se están efectuando o intentado efectuar o se han efectuado operaciones de blanqueo de dinero o financiación del terrorismo, o que la adquisición propuesta podría aumentar el riesgo de que se efectúen tales operaciones.
Evaluaciones de idoneidadEn virtud del artículo 4, apartado 1, letra e), del Reglamento del MUS, el BCE garantizará el cumplimiento de las disposiciones aplicables del Derecho de la Unión que exigen a las entidades de crédito que establezcan estructuras de gobernanza sólidas, incluidos requisitos de idoneidad de las personas responsables de la gestión de las entidades de crédito. Así pues, los datos personales se recopilan y tratan con el fin de evaluar si las personas responsables de la gestión de entidades de crédito significativas satisfacen dichos requisitos de idoneidad. Los cinco criterios que se evalúan a este respecto se refieren a lo siguiente: i) la experiencia de la persona, ii) su reputación, iii) conflictos de intereses y criterio independiente, iv) dedicación de tiempo de la persona a la entidad de que se trate y v) la idoneidad colectiva del consejo de administración en su conjunto.
Revocación de la autorizaciónCon arreglo al artículo 4, apartado 1, letra a), y al artículo 6, apartado 4, del Reglamento del MUS, el BCE tiene competencia exclusiva para revocar la autorización para ejercer la actividad de una entidad de crédito en un Estado miembro participante, a reserva de lo dispuesto en el artículo 14 de dicho Reglamento, con el fin de garantizar que solo las entidades de crédito que tengan i) una base económica sólida, ii) mecanismos organizativos que puedan hacer frente a los riesgos específicos inherentes a la captación de depósitos y a la concesión de créditos y iii) directores idóneos puedan llevar a cabo actividades de las entidades de crédito. Por tanto, los datos personales solicitados son necesarios para evaluar si los criterios de concesión de la autorización para realizar la actividad de una entidad de crédito se siguen cumpliendo.
Derecho de establecimiento en otro Estado miembro participanteLas entidades de crédito establecidas en Estados miembros participantes pueden ejercer el derecho de establecimiento en el territorio de otro Estado miembro participante. Las autoridades nacionales competentes (ANC) deben comunicar al BCE (mediante los procedimientos establecidos en el Reglamento Marco del MUS) toda la información que les proporcionen las entidades de crédito significativas con arreglo al artículo 35, apartado 2, de la Directiva 2013/36/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013 (incluida, entre otras cosas, información sobre las personas que serán encargadas de la gestión de la sucursal propuesta y sus funciones clave). Todos los datos personales requeridos, referidos en los formularios establecidos en el Reglamento de Ejecución (UE) n.º 926/2014 de la Comisión, de 27 de agosto de 2014, por el que se establecen normas técnicas de ejecución con respecto a los modelos de formularios, plantillas y procedimientos para las notificaciones relativas al ejercicio del derecho de establecimiento y de la libre prestación de servicios con arreglo a la Directiva 2013/36/UE del Parlamento Europeo y del Consejo, son necesarios para que el BCE pueda evaluar la idoneidad de las personas que serán responsables de la gestión o de las funciones clave de la sucursal propuesta. Además, las ANC también notifican al BCE la información (que puede incluir datos personales) recibida de: i) las entidades menos significativas que ejercen el derecho de establecimiento en el territorio de otro Estado miembro participante y ii) las entidades de crédito establecidas en Estados miembros no participantes que ejercen el derecho de establecimiento en un Estado miembro participante.
Derecho de establecimiento en un Estado miembro no participanteLas entidades de crédito significativas establecidas en Estados miembros participantes podrán ejercer el derecho de establecimiento en el territorio de un Estado miembro no participante (lo que se denomina «pasaporte de salida»). En tales situaciones, el BCE está obligado a ejercer las funciones de la autoridad competente del Estado miembro de origen de conformidad con los procedimientos establecidos en el artículo 17, apartado 1, del Reglamento Marco del MUS. Las funciones del Estado miembro de origen con respecto al derecho de establecimiento de las entidades de crédito se recogen en el artículo 35 de la Directiva 2013/36/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, e incluyen una evaluación de la idoneidad de la estructura administrativa de la entidad de crédito. A tal fin, la entidad de crédito debe proporcionar información sobre las personas que serán responsables de la gestión y de las funciones clave de la sucursal propuesta. Todos los datos personales requeridos, referidos en los formularios establecidos en el Reglamento de Ejecución (UE) n.º 926/2014 de la Comisión, de 27 de agosto de 2014, por el que se establecen normas técnicas de ejecución con respecto a los modelos de formularios, plantillas y procedimientos para las notificaciones relativas al ejercicio del derecho de establecimiento y de la libre prestación de servicios con arreglo a la Directiva 2013/36/UE del Parlamento Europeo y del Consejo, son necesarios para evaluar la idoneidad de las personas que serán responsables de la gestión o de las funciones clave de la sucursal propuesta. Por otra parte, las ANC también notifican al BCE la información recibida de instituciones menos significativas sobre el ejercicio del derecho de establecimiento en el territorio de un Estado miembro no participante, que puede incluir datos personales.
- supervisión del cumplimiento por parte de las entidades de crédito del Derecho de la Unión aplicable que impone requisitos prudenciales (por ejemplo, requisitos de fondos propios, normas sobre el crédito a partes vinculadas y normas que rigen las políticas y prácticas de remuneración);
- revisiones supervisoras (incluidas las pruebas de resistencia) y su publicación;
- la aplicación de requisitos relativos a los colchones de capital y otras medidas destinadas a hacer frente a los riesgos sistémicos o macroprudenciales;
- la transferencia de datos personales a otras instituciones, órganos y organismos de la Unión, autoridades de supervisión, organizaciones internacionales y administraciones de terceros países.
- a fin de llevar a cabo investigaciones y análisis cuantitativos y la presentación de datos estadísticos a nivel agregado (en cuyo caso, los datos personales serán agregados y suficientemente anonimizados, de manera que no se pueda identificar a las personas a nivel agregado);
- mediante la aplicación de la tecnología (incluido el procesamiento automatizado y normalizado de la información, así como las fases automatizadas de los procesos de adopción de decisiones) a fin de mejorar el desempeño de sus tareas de supervisión. En ese caso, los interesados no serán objeto de decisiones basadas únicamente en un tratamiento automatizado que tengan efectos jurídicos en ellos, o les afecte significativamente de modo similar. Se adoptarán todas las medidas técnicas y organizativas adecuadas necesarias para garantizar el cumplimiento del Reglamento (UE) 2018/1725.
Las consecuencias de no facilitar la información solicitada se determinarán caso por caso. Si no se facilita información, se evaluará la importancia de la información no disponible y, si el BCE no puede concluir su evaluación sin ella, es posible que esto impida al BCE adoptar una decisión favorable.
¿Cuál es la base jurídica para el tratamiento de sus datos personales?
El tratamiento de datos personales para los fines mencionados es necesario con arreglo al artículo 5, apartado 1, letras a) y b), del Reglamento (UE) 2018/1725, conjuntamente con el Reglamento del MUS.
Para más detalles sobre los procedimientos de autorización, consulte aquí:
De conformidad con el artículo 4, apartado 1, letra a), y el artículo 6, apartado 4, del Reglamento del MUS, el BCE tiene competencia exclusiva para conceder autorización para acceder a la actividad de una entidad de crédito, a reserva de lo dispuesto en el artículo 14 de dicho Reglamento. De conformidad con el artículo 14 del Reglamento del MUS, la solicitud de autorización para acceder a la actividad de una entidad de crédito debe presentarse a la ANC del Estado miembro en el que vaya a establecerse la entidad, de conformidad con los requisitos previstos en la legislación nacional pertinente. La ANC pertinente deberá evaluar la solicitud y presentar al BCE un proyecto de decisión si se cumplen todos los criterios pertinentes establecidos en la legislación nacional. El BCE solo puede oponer objeciones al proyecto de decisión en caso de que no se cumplan las condiciones de autorización establecidas en los actos pertinentes del Derecho de la Unión. Las condiciones que rigen la concesión de la autorización se evalúan de conformidad con los artículos 8 a 14 de la Directiva 2013/36/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, y/o con el Derecho nacional aplicable. Los artículos 73 a 79 del Reglamento Marco del MUS establecen las normas que rigen la cooperación entre las ANC y el BCE en lo que respecta al procedimiento de concesión de autorizaciones.
Según el artículo 4, apartado 1, letra c), el artículo 6, apartado 4, y el artículo 15 del Reglamento del MUS, el BCE i) tiene competencia exclusiva para evaluar las notificaciones que indiquen la adquisición de participaciones cualificadas admisibles en entidades de crédito y ii) debe decidir si se opone a dichas adquisiciones basándose en los criterios de evaluación establecidos en el Derecho de la Unión pertinente (artículo 23, apartado 1, letras a) a e), de la Directiva 2013/36/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013) y/o el Derecho nacional aplicable, de conformidad con los procedimientos y los plazos que en ellos se establecen. Los artículos 85 a 87 del Reglamento Marco del MUS establecen las normas que rigen la cooperación entre las ANC y el BCE en relación con la adquisición de participaciones cualificadas.
En virtud del artículo 4, apartado 1, letra e), del Reglamento del MUS, a efectos del ejercicio de sus funciones, el BCE garantizará el cumplimiento de las disposiciones aplicables del Derecho de la Unión y/o nacional que exigen a las entidades de crédito que establezcan estructuras de gobernanza sólidas, incluidos requisitos de idoneidad de las personas responsables de la gestión de las entidades de crédito. De conformidad con el artículo 16, apartado 2, letra m), del Reglamento del MUS, el BCE está facultado para destituir en cualquier momento a los miembros de los órganos de dirección de las entidades de crédito que no cumplan los requisitos establecidos en la legislación pertinente de la Unión. Por otra parte, el artículo 91, apartado 1, de la Directiva 2013/36/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, establece que los miembros del órgano de dirección de una entidad de crédito deben tener en todo momento la oportuna reputación así como los conocimientos, competencias y experiencia indispensables para ejercer sus funciones. Los artículos 93 y 94 del Reglamento Marco del MUS establecen las normas que rigen la evaluación por el BCE del cumplimiento de los requisitos de idoneidad por parte de las personas responsables de la gestión de las entidades de crédito. Para garantizar que se cumplan en todo momento los requisitos de idoneidad, el BCE podrá iniciar una nueva evaluación basada en nuevos hechos o cuestiones si tiene conocimiento de nuevos hechos que puedan tener un impacto en una evaluación previa de un miembro de un órgano de dirección.
De conformidad con el artículo 4, apartado 1, letra a), del Reglamento del MUS, el BCE puede decidir revocar la autorización para el ejercicio de la actividad de una entidad de crédito, a reserva de lo dispuesto en el artículo 14 de dicho Reglamento. Este procedimiento podrá ser iniciado por la ANC competente o por el BCE, y también deberá participar la autoridad nacional responsable de la resolución de las entidades de crédito. Los artículos 80 a 84 del Reglamento Marco del MUS establecen las normas que rigen la cooperación entre las ANC y el BCE en relación con la revocación de la autorización para el ejercicio de las actividades de una entidad de crédito.
El artículo 17, apartado 1, del Reglamento del MUS dispone que, entre los Estados miembros participantes, los procedimientos establecidos en el Derecho aplicable de la Unión respecto a las entidades de crédito que deseen abrir una sucursal en el territorio de otro Estado miembro y las competencias correspondientes de los Estados miembros de origen y de acogida se aplicarán únicamente a efectos de las funciones no atribuidas al BCE en virtud del artículo 4 de dicho Reglamento. Los procedimientos que rigen la interacción entre las ANC y el BCE en lo que respecta al derecho de establecimiento de las entidades de crédito significativas en el territorio de otro Estado miembro participante se recogen en el artículo 11, apartados 1 y 3, del Reglamento Marco del MUS. De acuerdo con estas disposiciones, el BCE debe recibir toda la información que las entidades de crédito significativas proporcionen a las ANC de conformidad con el artículo 35, apartado 2, de la Directiva 2013/36/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013 (incluida la información sobre las personas que serán responsables de la gestión y de las funciones clave de la sucursal propuesta). Según el artículo 11, apartado 4, y el artículo 13, apartado 1, del Reglamento Marco del MUS, las ANC notifican al BCE la información recibida de: i) las entidades menos significativas que ejercen el derecho de establecimiento en el territorio de otro Estado miembro participante y ii) las entidades de crédito establecidas en Estados miembros no participantes que ejercen el derecho de establecimiento en un Estado miembro participante. Cuando una entidad de crédito establecida en un Estado miembro participante establezca una sucursal significativa en un Estado miembro no participante, el BCE ejerce las funciones de la autoridad competente del Estado miembro de acogida, de conformidad con el artículo 14, apartado 1, del Reglamento Marco del MUS.
De conformidad con el artículo 4, apartado 1, letra b), del Reglamento del MUS, el BCE es competente para llevar a cabo las funciones que la autoridad competente del Estado miembro de origen está obligada a desempeñar con arreglo al Derecho de la Unión aplicable cuando una entidad de crédito significativa establecida en un Estado miembro participante desee establecer una sucursal en un Estado miembro no participante. Las competencias del Estado miembro de origen con respecto al derecho de establecimiento de las entidades de crédito se recogen en el artículo 35 de la Directiva 2013/36/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, e incluyen una evaluación de la idoneidad de la estructura administrativa de la entidad de crédito. A tal fin, la entidad de crédito debe proporcionar información sobre las personas que serán responsables de la gestión y de las funciones clave de la sucursal propuesta. Los procedimientos que rigen la interacción entre las ANC y el BCE en lo que respecta al derecho de establecimiento de las entidades de crédito significativas en Estados miembros no participantes se recogen en el artículo 17, apartado 1, del Reglamento Marco del MUS. En virtud de lo dispuesto en el artículo 4, apartado 1, letra b), del Reglamento del MUS y en el artículo 17, apartado 2, del Reglamento Marco del MUS, las ANC informan al BCE sobre las notificaciones presentadas por entidades menos significativas en relación con el ejercicio del derecho de establecimiento en un Estado miembro no participante.
¿Quién es el responsable del tratamiento de sus datos personales?
De acuerdo con el artículo 3, apartado 8, del Reglamento (UE) 2018/1725, el BCE es el responsable de las operaciones de tratamiento de datos para diversos tipos de procedimientos de supervisión en el contexto de la supervisión prudencial de entidades significativas.
El BCE y las ANC son corresponsables del tratamiento —en el desempeño de las tareas de supervisión prudencial que les confieren el Reglamento del MUS y el Reglamento Marco del MUS— siempre que determinen conjuntamente la finalidad y los medios de las operaciones de tratamiento de datos. De conformidad con el artículo 28 del Reglamento (UE) 2018/1725 (así como con el artículo 26 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 («Reglamento general de protección de datos»), que se aplica al tratamiento de datos personales por las ANC), se suscribirá un acuerdo específico entre los corresponsables del tratamiento que determine sus responsabilidades. Los elementos esenciales del acuerdo se publicarán.
Para más detalles sobre los procedimientos de autorización, consulte aquí:
El BCE y las ANC son corresponsables de las operaciones de tratamiento de datos relacionadas con la concesión de la autorización para acceder a la actividad de una entidad de crédito (también denominada «autorización») en el contexto de la supervisión prudencial de entidades significativas y menos significativas.
El BCE y las ANC son corresponsables de las operaciones de tratamiento de datos relacionadas con las participaciones cualificadas en el contexto de la supervisión prudencial de entidades significativas y menos significativas.
El BCE es el responsable de las operaciones de tratamiento de datos relacionadas con las evaluaciones de idoneidad en el contexto de la supervisión prudencial de entidades significativas.
El BCE y las ANC son corresponsables de las operaciones de tratamiento de datos relacionadas con la revocación de la autorización para ejercer la actividad de una entidad de crédito en el contexto de la supervisión prudencial de entidades significativas y menos significativas.
El BCE es el responsable de las operaciones de tratamiento de datos relacionadas con el derecho de establecimiento en otro Estado miembro participante en el contexto de la supervisión prudencial de entidades significativas. Además, las ANC informan al BCE cuando reciben notificaciones de i) las entidades menos significativas que ejercen el derecho de establecimiento en otro Estado miembro participante y ii) las entidades de crédito establecidas en Estados miembros no participantes que ejercen el derecho de establecimiento en un Estado miembro participante.
El BCE es el responsable de las operaciones de tratamiento de datos relacionadas con el derecho de establecimiento en un Estado miembro no participante en el contexto de la supervisión prudencial de entidades significativas. Además, las ANC informan al BCE cuando se reciben notificaciones de entidades menos significativas que ejercen el derecho de establecimiento en un Estado miembro no participante.
¿Quién recibirá sus datos personales?
Cuando el BCE procesa datos personales para los fines mencionados, las siguientes personas tienen acceso a los datos personales sobre la base de la aplicación estricta del principio de «necesidad de conocer»:
- un número limitado de empleados del BCE (para el ejercicio de sus funciones, incluidas las relacionadas con la supervisión prudencial de las entidades de crédito);
- un número limitado de empleados de las ANC (para el ejercicio de sus funciones, incluidas las relacionadas con la supervisión prudencial de las entidades de crédito);
- miembros del Consejo de Supervisión y del Consejo de Gobierno del BCE;
- expertos y contratistas externos que trabajan por cuenta del BCE y que proporcionan dictámenes, asesoramiento y apoyo en el contexto de la supervisión prudencial de las entidades de crédito (por ejemplo, asesoramiento jurídico);
- un número limitado de miembros del personal de otras instituciones, órganos y organismos de la Unión, autoridades de supervisión y autoridades nacionales (por ejemplo, fiscales o autoridades de lucha contra el blanqueo de capitales).
¿Qué tipos de datos personales se procesan?
El BCE procesa diferentes tipos de datos personales, dependiendo de la actividad de tratamiento en cuestión. Algunos ejemplos de estos datos son los siguientes:
- información relacionada con la reputación, los conocimientos, las competencias y la experiencia de los miembros actuales y futuros de: i) las entidades de crédito supervisadas y ii) las empresas que tengan la intención de adquirir o disponer de participaciones cualificadas en entidades de crédito supervisadas. Para más detalles sobre los procedimientos de autorización, consulte aquí:
Los datos personales que se procesan en relación con los procedimientos de concesión de autorización incluyen, entre otras cosas, datos relativos al programa de operaciones y al marco de gobernanza de la entidad de crédito (que pueden incluir información financiera personal, datos sobre la idoneidad de los accionistas cualificados o de los 20 principales accionistas, e información sobre la idoneidad de los miembros de los órganos de dirección). El Proyecto de normas técnicas de regulación de conformidad con el artículo 8, apartado 2, de la Directiva 2013/36/UE del Parlamento Europeo y del Consejo, sobre la información que debe facilitarse para la autorización de las entidades de crédito, los requisitos aplicables a los accionistas y socios con participaciones cualificadas y los obstáculos que puedan impedir el ejercicio efectivo de las competencias de supervisión (EBA/RTS/2017/08), proporciona todos los detalles de la información que será necesaria para las solicitudes de concesión de autorizaciones cuando entren en vigor. Pueden encontrarse ejemplos de datos personales relativos a la entidad de crédito solicitante, sus accionistas o socios actuales o futuros, miembros actuales o futuros de sus órganos de dirección, titulares de funciones clave o funciones de control interno, o cualquier otra parte afiliada (como resultado de acuerdos de externalización, acuerdos de financiación, etc.) en las secciones sobre participaciones cualificadas y evaluaciones de idoneidad.
Sin perjuicio del Derecho nacional, se tratan los siguientes tipos de datos personales en relación con la adquisición de participaciones cualificadas, con información relativa a i) los adquirentes directos o indirectos propuestos (personas físicas o, en el caso de personas jurídicas, miembros de sus órganos de dirección) y ii) las personas vinculadas a dichos adquirentes propuestos:
- datos personales (nombre completo, tarjeta de identidad/número de pasaporte, nacionalidad, etc.);
- datos de contacto (dirección postal, dirección de correo electrónico, número de teléfono, etc.);
- detalles sobre los conocimientos, las competencias y la experiencia (por ejemplo, información sobre la experiencia práctica, profesional adquirida en cargos anteriores y experiencia teórica (conocimientos y competencias) adquirida mediante estudios y formación);
- información sobre la reputación, como:
- detalles de antecedentes penales, información pertinente sobre investigaciones y procedimientos penales, procedimientos civiles y administrativos pertinentes y las medidas disciplinarias (incluida la inhabilitación para ocupar un puesto directivo, procedimientos concursales, de quiebra, insolvencia y similares);
- una declaración sobre la existencia o ausencia de procedimientos penales pendientes o sobre si la persona o alguna organización dirigida por ella se ha visto involucrada como deudor en procedimientos de insolvencia o similares;
- detalles de investigaciones, procedimientos de ejecución o sanciones adoptadas o impuestas por una autoridad de supervisión;
- información sobre cualquier denegación de registro, autorización, pertenencia o licencia para realizar actividades comerciales, empresariales o profesionales;
- información sobre la revocación, retirada o anulación del registro, la autorización, afiliación o licencia;
- información sobre la expulsión dictada por un órgano regulador o público;
- información sobre despido o destitución de un puesto de confianza, relación fiduciaria o situación similar, o la petición de cese en dicho puesto;
- datos financieros, tales como:
- información sobre la situación y solvencia financiera de la persona, fuentes de ingresos, activos y pasivos, garantías reales y personales;
- calificaciones crediticias e informes públicos sobre empresas controladas o dirigidas por la persona en cuestión;
- calificaciones e informes públicos sobre la persona en cuestión;
- información sobre si otra autoridad de supervisión competente del sector financiero ha llevado a cabo una evaluación de la reputación de la persona como adquirente o persona que dirige la actividad de una entidad financiera (incluidos detalles de la identidad de dicha autoridad y pruebas de los resultados de esta evaluación);
- información sobre si otra autoridad competente de otro sector no financiero ya ha realizado una evaluación previa de la reputación de la persona (incluidos detalles de la identidad de dicha autoridad y pruebas de los resultados de esta evaluación);
- detalles de cualquier relación financiera (con operaciones de crédito, garantías reales y personales, etc.) o no financiera (por ejemplo, una relación familiar cercana o de cohabitación) con:
- todo accionista actual de la entidad objeto de la operación;
- toda persona facultada para ejercer el derecho de voto en la entidad objeto de la operación;
- la propia entidad objeto de la operación o su grupo;
- detalles de cualquier otro interés o actividad que esté en conflicto con la entidad objeto de la operación y posibles soluciones a dichos conflictos de intereses.
También debe hacerse referencia a la lista de información recomendada por las Directrices conjuntas sobre evaluación cautelar de las adquisiciones y de los incrementos de participaciones cualificadas en el sector financiero (JC/GL/2016/01) en lo que respecta a la evaluación de la adquisición de una participación admisible.
Además, todos los datos personales enumerados en la sección pertinente que sean necesarios para una evaluación de idoneidad de los nuevos miembros que vayan a ser nombrados miembros del órgano de dirección de la entidad de que se trate también podrán ser tratados en la evaluación de la participación cualificada.
El anexo III de las Directrices conjuntas de la AEVM y la ABE sobre la evaluación de la idoneidad de los miembros del órgano de administración y los titulares de funciones clave de conformidad con la Directiva 2013/36/UE y la Directiva 2014/65/UE (EBA/GL/2017/12) contiene una lista de la información que debe facilitarse a las autoridades competentes para cada evaluación de idoneidad.
Los siguientes datos personales se tratan en relación con las evaluaciones de idoneidad:
- datos personales proporcionados por los designados (ya sea por escrito en respuesta al cuestionario de idoneidad o verbalmente durante las entrevistas), tales como:
- datos personales (nombre completo, tarjeta de identidad/número de pasaporte, nacionalidad, etc.);
- datos de contacto (dirección postal, dirección de correo electrónico, número de teléfono, etc.);
- detalles sobre los conocimientos, las competencias y la experiencia (por ejemplo, información sobre la experiencia práctica, profesional adquirida en cargos anteriores y experiencia teórica (conocimientos y competencias) adquirida mediante estudios y formación);
- información sobre reputación, como detalles de antecedentes penales, información pertinente sobre investigaciones y procedimientos penales, procedimientos civiles y administrativos pertinentes y las medidas disciplinarias (incluida la inhabilitación para ocupar un puesto directivo, procedimientos concursales, de quiebra, insolvencia y similares);
- detalles de cualquier conflicto de intereses (por ejemplo, una relación personal estrecha con un miembro de un órgano de dirección, una transacción comercial privada significativa con la entidad de crédito en cuestión o una posición de influencia política significativa);
- información sobre el compromiso de dedicación de tiempo del designado a la entidad de crédito de que se trate (incluidos, en su caso, detalles del tiempo dedicado a otras actividades profesionales o personales);
- información sobre la idoneidad colectiva del consejo (por ejemplo, en lo que respecta al valor que el designado añade en términos de la composición global del consejo);
- datos personales que se pongan en conocimiento de la autoridad competente por otros medios (por ejemplo, a través de los medios de comunicación);
- datos personales relativos a terceros (en lugar de la persona designada);
- cualquier comentario de los empleados del BCE o de la ANC sobre el desempeño de la persona designada durante la evaluación de idoneidad (por ejemplo, observaciones que reflejen la opinión o la evaluación del supervisor sobre la persona designada, en particular por lo que se refiere a sus conocimientos y competencias en el ámbito pertinente);
- información sobre si otra autoridad de supervisión competente ya ha llevado a cabo una evaluación de idoneidad (incluidos detalles de la identidad de dicha autoridad y pruebas del resultado de esta evaluación).
Los siguientes tipos de datos personales (entre otros) pueden ser tratados al decidir si se revoca la autorización para ejercer la actividad de una entidad de crédito:
- los datos personales facilitados en el contexto de una evaluación de participaciones cualificadas, la concesión de la autorización o una evaluación de idoneidad (véanse más arriba las secciones pertinentes) que sean necesarios para evaluar la posible revocación de la autorización;
- los datos personales que figuren en la información sobre las actividades de la entidad, las declaraciones de la entidad sobre su situación y otros documentos facilitados en virtud de la legislación nacional aplicable y los estatutos de la entidad;
- cualquier dato personal que figure en la información sobre inspecciones in situ, el proceso de revisión y evaluación supervisora, denuncia de irregularidades, deficiencias y medidas de supervisión, comunicación con la entidad de crédito y autos y decisiones judiciales.
Los datos personales tratados en relación con el derecho de establecimiento se mencionan en los formularios establecidos en el Reglamento de Ejecución (UE) n.o 926/2014 de la Comisión, de 27 de agosto de 2014, por el que se establecen normas técnicas de ejecución con respecto a los modelos de formularios, plantillas y procedimientos para las notificaciones relativas al ejercicio del derecho de establecimiento y de la libre prestación de servicios con arreglo a la Directiva 2013/36/UE del Parlamento Europeo y del Consejo.
- información relativa a las personas físicas asociadas con entidades de crédito supervisadas (por ejemplo, como miembros del personal o clientes) en el contexto de la supervisión in situ y a distancia.
No obstante, esta lista no es exhaustiva. Para más información, póngase en contacto con el BCE utilizando el formulario de solicitud de información.
¿Dónde se transfieren, tratan y almacenan sus datos?
En el contexto de la cooperación en materia de supervisión, algunos datos personales pueden enviarse fuera del Espacio Económico Europeo (EEE) a organizaciones internacionales, autoridades de supervisión y administraciones de terceros países.
Dichas transferencias podrán realizarse sobre la base de una decisión de adecuación adoptada por la Comisión Europea de conformidad con el artículo 47 del Reglamento (UE) 2018/1725.
A falta de una decisión de adecuación de la Comisión Europea, los datos personales solo podrán transferirse, de conformidad con el artículo 48, apartado 1, del Reglamento (UE) 2018/1725, a un tercer país o a una organización internacional si se ofrecen las garantías apropiadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.
A falta de una decisión de adecuación o de garantías adecuadas, las transferencias de datos personales a terceros países solo podrán realizarse excepcionalmente sobre la base de las excepciones específicas previstas en el artículo 50 del Reglamento (UE) 2018/1725 (en particular, artículo 50, apartado 1, letra d)).
Los datos personales se almacenan en un sistema de TI seguro que está protegido por funciones de cifrado y autenticación.
¿Durante cuánto tiempo conservará el BCE datos personales?
El BCE conserva los datos personales durante el tiempo que sean necesarios para el fin específico de supervisión en cuestión, tal como se especifica en las normas de retención del BCE.
Períodos de retención para los procedimientos de autorización
El BCE almacena datos personales relativos a los procedimientos de autorización durante los siguientes períodos máximos:
- 15 años a partir de la fecha de solicitud o notificación si se retira una solicitud antes de que se haya adoptado una decisión formal;
- 15 años a partir de la fecha de la decisión negativa;
- en caso de decisión positiva, transcurridos 15 años a partir de la fecha en que el interesado deje de ser miembro de la dirección de la entidad de crédito, titular de una función clave, accionista fundador o accionista cualificado, o gestor o titular de una función clave de una sucursal;
- 15 años a partir de la fecha de adopción en que el BCE decida revocar la autorización para ejercer la actividad de una entidad de crédito.
Si se incoan procedimientos administrativos o judiciales, los períodos de retención mencionados podrán ampliarse hasta un año tras la conclusión de dichos procedimientos por una resolución definitiva.
Períodos de retención de los datos personales facilitados en relación con las evaluaciones de idoneidad
El BCE almacena datos personales relativos a las evaluaciones de idoneidad durante los siguientes períodos máximos:
- un período general de retención de siete años a partir de la fecha en que el BCE comunique su decisión a la entidad supervisada. Este período se aplica a la mayoría de las evaluaciones de idoneidad. En aquellos casos en que la solicitud se retire antes de que el BCE haya tomado una decisión, el período de retención comenzará en la fecha de la solicitud o de la notificación al BCE;
- podrá aplicarse excepcionalmente un período de retención más largo cuando exista una justificación concreta: a) hay un procedimiento judicial al respecto pendiente de resolución; b) hay una revisión administrativa en curso; o c) si la legislación nacional o los estatutos de la entidad supervisada permiten la renovación del mandato de las personas sujetas a la evaluación de idoneidad y los datos relativos a la evaluación de idoneidad original son esenciales para que el BCE considere la renovación. En los casos a) y b), el período de retención expirará transcurridos dos años desde la fecha de la resolución judicial definitiva o de la decisión final adoptada en la revisión administrativa, respectivamente, y en el caso c), expirará transcurridos siete años desde la renovación;
- se aplicaría un período de retención de diez años a partir de la fecha en que el BCE comunique la decisión a la entidad supervisada en situaciones muy concretas, como la adopción de decisiones negativas, y de decisiones con condiciones no acordadas previamente con la entidad supervisada pertinente.
La información sobre los períodos de retención de datos personales específicos puede facilitarse si se solicita. Para más información, póngase en contacto con el BCE en la dirección info@ecb.europa.eu.
¿Cuáles son sus derechos?
Tiene derecho a acceder a sus datos personales y corregirlos si son inexactos o incompletos. También tiene derecho (con algunas limitaciones) a suprimir sus datos personales o limitar u oponerse a su tratamiento conforme al Reglamento (UE) 2018/1725.
Podrán aplicarse excepciones y restricciones a estos derechos de conformidad con el Reglamento (UE) 2018/1725.
El BCE podrá limitar sus derechos para salvaguardar los intereses y objetivos a que se refiere el artículo 25, apartado 1, del Reglamento (UE) 2018/1725.
¿Con quién puede ponerse en contacto para cualquier consulta o solicitud?
Puede ejercer sus derechos poniéndose en contacto con el BCE en la dirección info@ecb.europa.eu.
Datos de contacto para procedimientos de autorización específicos
Los interesados pueden ejercer sus derechos enviando un correo electrónico a la División de Autorizaciones o a la División de Evaluación de los Requisitos de Idoneidad del BCE.
De conformidad con el artículo 14, apartado 3, del Reglamento (UE) 2018/1725, el BCE, en su calidad de responsable del tratamiento de datos, facilitará al interesado, sin dilaciones indebidas y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud, información relativa a sus actuaciones sobre la base de una solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El BCE informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.
Con arreglo al artículo 14, apartado 4, del Reglamento (UE) 2018/1725, si el BCE no atiende a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes a partir de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos y de interponer un recurso judicial.
En caso de conflicto, también puede ponerse en contacto directamente con el responsable de protección de datos del BCE escribiendo a dpo@ecb.europa.eu para todas las consultas relacionadas con los datos personales.
Reclamaciones ante el Supervisor Europeo de Protección de Datos
Si el titular considera que, como resultado del tratamiento de sus datos personales, se han infringido los derechos que le reconoce el Reglamento (UE) 2018/1725, puede presentar en cualquier momento una reclamación ante el Supervisor Europeo de Protección de Datos.
Más información
Puede encontrarse información adicional en el dictamen del Supervisor Europeo de Protección de Datos de 3 de noviembre de 2014 sobre el tratamiento de datos personales en procesos de supervisión prudencial como parte del Mecanismo Único de Supervisión.
Dictamen del SEPD