Los organismos europeos no son invencibles y así lo demostraron un grupo de afectados del Banco Popular que denunciaron a la Junta Única de Resolución (JUR) ante el Servicio Europeo de Protección de Datos, quien, a través de una resolución a la que ha tenido acceso Diario16, ha condenado a la JUR por transferencia ilegal de datos.
Estos afectados participaron en el proceso de «derecho a ser escuchado» y alegan que la JUR transfirió sus datos personales a dos empresas privadas (Deloitte y Banco Santander) sin informarles, algo de lo que se dieron cuenta a través de un informe escrito por el Defensor del Pueblo Europeo, en el contexto de su investigación.
Los denunciantes agregaron que el aviso de protección de datos de la JUR no mencionó ni al Santander ni a Deloitte como destinatarios de sus datos personales y que la cesión de los mismos es ilegal, dado que ponía en serio su estrategia legal porque tienen una disputa en curso con el Banco Santander y que no habrían proporcionado cierta información a la JUR si hubieran sabido esos datos se cederían a Banco Santander y Deloitte.
La JUR alegó que todos los datos personales recopilados en la fase 1 del proceso del derecho a ser escuchado se trataron de acuerdo con la declaración de privacidad, algo con lo que el Supervisor Europeo de Protección de Datos (SEPD) no está de acuerdo ya que la JUR pudo vincular a cada sujeto de datos sus respuestas dado en las fases 1 y 2 del proceso de «derecho a ser escuchado», a través de un identificador atribuido por el primero al segundo.
El propio Tribunal de Justicia de la Unión Europea (TJUE) se ha pronunciado varias veces sobre la definición de datos personales, afirmando que tanto las respuestas en una prueba. como las direcciones 1P son datos personales.
Transferencia de datos de la JUR a Deloitte
La JUR envió las respuestas en la fase 2 a Deloitte para su evaluación independiente. Las respuestas no fueron agregadas. La JUR simplemente transfirió a Deloitte las respuestas de los participantes, total o parcialmente, en la misma forma en que los participantes las enviaron usando el formulario en línea de la JUR, luego de verificar que tales respuestas no incluían los nombres o detalles de contacto de los interesados.
Sin embargo, estas respuestas contenían datos personales de los participantes en el proceso del derecho a ser escuchado (sus puntos de vista y opiniones). Al proporcionar su razonamiento y opiniones, los reclamantes proporcionaron sus datos personales que podrían usarse para volver a identificarlos combinando esa información con otros datos.
Según lo establecido por el TJUE «para que la información sea tratada como datos personales (…) no se requiere que toda la información que permite la identificación del interesado debe estar en las manos de una persona».
Por lo tanto, incluso si Deloitte no sabía los nombres de los participantes en el proceso del derecho a ser escuchado, estaba procesando datos personales al analizar las respuestas.
Los afectados demandantes plantearon conflictos de intereses con respecto a la intervención de Deloitte en el procedimiento de valoración del Banco Popular y afirmaron que podrían presentar casos judiciales contra Santander y Deloitte. Teniendo en cuenta lo anterior, sus respuestas en la fase 2 podrían coincidir con sus procedimientos judiciales, lo que permitiría a Deloitte la reidentificación de los interesados.
El aviso de protección de datos se puso a disposición en inglés y español inmediatamente al comienzo de la fase 1 del proceso del derecho a ser escuchado en la página web de registro. Esto significa que, en el momento del registro, cuando se solicitó a los interesados que enviaran información personal, se les entregó el aviso de protección de datos donde se informó a los interesados de la posibilidad de que sus respuestas en la fase 2 se hicieran públicas de forma anónima o en forma agregada. «La anonimización mencionada en el aviso de protección de datos de la JUR no solo se basó en la separación entre la recopilación de datos en la fase 1 y en la fase 2 , sino también en la evaluación individual realizada por cada una de las respuestas del personal de la JUR. El propósito era asegurar que los datos personales, como nombres y detalles de contacto, no fueran revelados por los participantes en sus respuestas», indica el SEPD.
Los miembros del personal de la JUR verificaron así las respuestas de los participantes en el proceso del derecho a ser escuchado antes de enviarlos a Deloitte.
Sin embargo, «el alcance de los datos personales, de conformidad con el artículo 3, apartado 1, del Reglamento y la interpretación dada por el TJUE, comprende las opiniones y comentarios de los interesados. Sus respuestas exactas, incluso sin los nombres y datos de contacto recopilados en la fase 1 del proceso del “derecho a ser escuchado”, deben considerarse datos personales si permiten la reidentificación de los interesados. Esto hace que los encuestados sean identificables, a pesar de los esfuerzos de la JUR para evitar la transferencia de datos personales», afirma el SEPD.
Por tanto, las respuestas en la fase 2 no fueron debidamente anonimizadas, a pesar de que la JUR declarara que no todos los comentarios de los reclamantes se consideraron relevantes y que solo algunos fueron enviados a Deloitte. Sin embargo, el riesgo de reidentificación todavía existe.
Además, el aviso de protección de datos de la JUR no incluyó a Deloitte como destinatario en el aviso de protección de datos, ya que, en opinión de la JUR, no se les transferirá ningún dato personal. Sin embargo, «el SEPD no comparte esta opinión y su interpretación limitada de los datos personales».
En consecuencia, Deloitte recibió los datos personales de los interesados y, por lo tanto , la JUR debería haber mencionado a Deloitte como un posible receptor en el aviso de protección de datos. Al proporcionar esta información, la JUR habría garantizado una operación de procesamiento justo y los afectados podrían haber tomado una decisión informada sobre la información que querían revelar a Deloitte
A la luz de lo anterior, «el SEPD concluye que hubo una violación del artículo 15 del Reglamento , ya que la JUR no informó a los denunciantes en el aviso de protección de datos sobre la posibilidad de que sus datos personales se transfirieran a Deloitte».