Comentario a la Resolución de la APD de 27 de julio de 2007
Fernando Zunzunegui
La Agencia de Protección de Datos ha examinado y reconocido la admisibilidad conforme al Derecho español de la posible cesión de datos bancarios de carácter personal al Departamento del Tesoro los Estados Unidos a través de SWIFT, en el marco de la lucha contra la financiación del terrorismo, a partir del 11 de septiembre de 2001. Este examen se ha realizado en el marco de las actuaciones abiertas de oficio el 28 de junio de 2006 a Swift Iberia, S.L., al tener conocimiento de noticias de prensa sobre la posible cesión de este tipo de datos.
Los antecedentes de hecho del expediente permiten conocer cómo funciona de hecho la red SWIFT. Según estos antecedentes Swift Iberia, S.L. no interviene en el tratamiento de datos personales relativos a transferencias financieras realizadas por entidades financieras españolas. Sólo actúa como agente de ventas de la compañía Swift SCRL, con sede en Bélgica. Su actividad por lo tanto es la de «encargado de datos» por cuenta de las entidades financieras que deciden suscribir dicho contrato con Swift, SCRL (Bélgica).
En los contratos suscritos entre Swift, SCRL (Bélgica) y las entidades financieras no se contemplaba la transferencia de datos a un centro de operaciones en Estados Unidos. Sin embargo, la arquitectura técnica de la red SWIFT cuenta de hecho con un “centro principal de operaciones” en Europa y una “réplica” en Estados Unidos. Y aunque las entidades financieras no fueron informadas de la comunicación de datos a las autoridades estadounidenses, en el expediente se reconoce que desde el 11 de septiembre de 2001 se han venido comunicando datos, desde la filial de SWIFT en Estados Unidos, a la Oficina de Control Financiero del Departamento del Tesoro de los Estados Unidos. La compañía asimismo reconoce en el ámbito del expediente que en cumplimiento de la política denominada “Data Retrieval Policy”, no se informó a las entidades financieras clientes de la red, aunque sí al grupo de control constituido por los Bancos Centrales que coordinan las operaciones de SWIFT.
Con estos antecedentes, la Agencia Española de Protección de Datos viene a considerar que, en cualquier caso, debería cumplirse la obligación de comunicación de la cesión de datos recogida en el art. 5 de la Ley española de protección de datos.
Para dar cumplimiento a este requerimiento legal la Asociación Española de Banca (AEB) ha propuesto y la APD ha admitido como válida la siguiente cláusula-tipo:
“Las entidades de crédito y demás proveedores de servicios de pago, así como los sistemas de pago y prestadores de servicios tecnológicos relacionados a los que se transmitan los datos para llevar a cabo la transacción pueden estar obligados por la legislación del Estado donde operen, o por Acuerdos concluidos por éste, a facilitar información sobre la transacción a las autoridades u organismos oficiales de otros países, situados tanto dentro como fuera de la Unión Europea, en el marco de la lucha contra la financiación del terrorismo y formas graves de delincuencia organizada y la prevención del blanqueo de capitales”.
De tal modo que, incorporando en los contratos de las entidades de crédito españolas esta cláusula-tipo, se considerará que dichas entidades han cumplido con la exigencia legal de comunicar a los interesados la cesión de datos de carácter personal. Y con estos fundamentos, la APD archiva las actuaciones del expediente abierto a Swift Iberia, S.L.
Referencia
Acceda al texto completo de la Resolución de la Agencia Española de Protección de Datos, de 27 de julio de 2007, sobre archivo de las actuaciones practicadas de oficio ante la entidad Swift Iberia, S.L.