La Junta Única de Resolución cedió datos del Banco Popular al Santander y a Deloitte

Un grupo de afectados del Banco Popular han denunciado a la Junta Única de Resolución (JUR), autoridad de resolución de la Unión Bancaria Europea que garantiza la resolución ordenada de bancos en crisis con el menor impacto sobre la economía real y las finanzas públicas de los países de la Unión participantes y terceros, ante el Supervisor Europeo de Protección de Datos (SEPD) tras haber transferido sus datos personales a dos empresas privadas sin informarles.

Los afectados, que participaron en el proceso del “derecho a ser escuchado”, denuncian que el aviso de protección de datos de la JUR no mencionaba al Santander ni a Deloitte como destinatarios de sus datos y que dicha cesión era ilegal.

A este respecto, la JUR alegó que todos los datos personales recopilados se trataron de acuerdo con el aviso de protección de datos, en el que se informaba a los interesados de la posibilidad de que sus respuestas se hicieran públicas de forma anónima o de forma agregada. El SEPD indica que “la anonimización mencionada en el aviso de protección de datos de la JUR no solo se basó en la separación entre la recopilación de datos en la fase 1 y en la fase 2, sino también en la evaluación individual realizada por cada una de las respuestas del personal de la JUR. El propósto era asegurar que los datos personales, como nombres y detalles de contacto, no fueran revelados por los participantes en sus respuestas”.

Asimismo, el SEPD incide sobre el alcance de los datos personales, que “comprende las opiniones y comentarios de los interesados. Sus respuestas exactas, incluso sin los nombres y datos de contacto recopilados en la fase 1 del proceso del “derecho a ser escuchado”, deben considerarse datos personales si permiten la reidentificación de los interesados. Esto hace que los encuestados sean identificables, a pesar de los esfuerzos de la JUR para evitar la transferencia de datos personales. En definitiva, el SEPD concluye que hubo una violación del RGPD, ya que la JUR no informó a los denunciantes en el aviso de protección de datos sobre la posibilidad de que sus datos personales se transfirieran a Deloitte.