TOP

SORPRENDENTE DECISIÓN EN PROTECCIÓN DE DATOS

En su resolución de 27 de julio de 2007, la Agencia Española de Protección de Datos (AEPD) llegó a una conclusión contraria a la alcanzada de forma 'unánime' por el Grupo de Trabajo del Artículo 29 (GT29), órgano consultivo de la Comisión Europea en materia de protección de datos. La AEPD determinó que Swift actuaba como 'encargada del tratamiento' incluso cuando adoptó la 'decisión crucial' de transferir datos personales a las autoridades estadounidenses.
La resolución de la AEPD es significativa por varios motivos: La resolución se refiere fundamentalmente a las actividades de Swift SCRL (la matriz belga), y no a las actividades de Swift Iberia, el agente de ventas de Swift en España. La resolución afirma con mucha rotundidad que Swift SCRL actuaba como 'encargada del tratamiento'. Esta no es la primera vez que una autoridad de protección de datos de la UE sostiene dicha posición. Por ejemplo, el regulador en materia de protección de datos del land alemán Schleswig-Holstein llegó a la misma conclusión. Lo que es sorprendente es que la AEPD concluye que Swift SCRL actuaba como encargada del tratamiento se produzca 10 meses después de que el dictamen del GT29 (del que la AEPD es miembro) concluyera unánimemente que Swift SCRL actuaba como 'responsable conjunto'.
Esta resolución muestra la complejidad no sólo en torno al estatus de la actividad de Swift, sino también del estatus de responsable del fichero/encargado del tratamiento desde la emisión del informe del GT29 en el caso Swift. Esta entidad siempre ha defendido que actúa como encargada del tratamiento al gestionar mensajes de pago por cuenta de unas 8.000 entidades financieras a nivel mundial. Según la resolución, las entidades financieras son responsables de la información en relación con los mensajes de pago que envían a través de la red Swift, y deben cumplir con el derecho de información de sus clientes, insertando en sus condiciones generales una cláusula tipo de la AEPD.
El informe del GT29 en el caso Swift ha sido criticado por muchos expertos, preocupados porque el nuevo enfoque del GT29 podría llevar a perjudicar muchas relaciones establecidas entre responsables del fichero/encargados del tratamiento, incluso en relación con un amplio elenco de prestadores de servicios y de outsourcers.
Su impacto ya se ha sentido en sectores distintos al financiero.
La resolución de la AEPD puede alimentar el debate. En relación con el cumplimiento por las entidades financieras españolas con el derecho de información de sus clientes, parece que la AEPD ha adoptado la posición razonable de no multar a todo el sector, por haber permitido que se comunicaran datos de sus clientes a las autoridades estadounidenses sin haberles informado de ello.
Por último, es una ocasión perdida que la resolución de la AEPD no se pronuncie sobre la controvertida y cada vez más frecuente situación en la que se encuentra una entidad cuando no puede dar cumplimiento a la vez a normativas contradictorias de distintos países (en este caso, la normativa estadounidense de prevención del terrorismo y las normativas europeas sobre protección de datos personales).

Christopher Millard y Carmen Burgos
Socio de Linklaters (Londres) y Managing Asociate (Madrid)