La JUR no es invencible y así lo han demostrado un grupo de afectados del Banco Popular que han denunciado al organismo que implementó la resolución de la entidad y provocó la ruina de más de 1,2 millones de personas ante el Servicio Europeo de Protección de Datos, quien, a través de una resolución a la que ha tenido acceso Diario16, ha condenado a la JUR por transferencia ilegal de datos.

Estos afectados participaron en el proceso de «derecho a ser escuchado» y alegan que la JUR transfirió sus datos personales a dos empresas privadas (Deloitte y Banco Santander) sin informarles, algo de lo que se dieron cuenta a través de un informe escrito por el Defensor del Pueblo Europeo, en el contexto de su investigación.

Los denunciantes agregaron que el aviso de protección de datos de la JUR no mencionó a ninguna de las entidades privadas mencionadas como destinatarios de sus datos personales y que la transferencia de sus datos personales es ilegal y pone en serio su estrategia legal porque tienen una disputa en curso con el Banco Santander y que no habrían proporcionado cierta información a la JUR si hubieran sabido esos datos se transferían a Banco Santander y Deloitte.

Según la JUR, todos los datos personales recopilados en la fase 1 del proceso del derecho a ser escuchado se trataron de acuerdo con la declaración de privacidad, algo con lo que el Supervisor Europeo de Protección de Datos (SEPD) no está de acuerdo ya que la JUR pudo vincular a cada sujeto de datos sus respuestas dado en las fases 1 y 2 del proceso de «derecho a ser escuchado», a través de un identificador atribuido por el primero al segundo.

El propio Tribunal de Justicia de la Unión Europea (TJUE) se ha pronunciado varias veces sobre la definición de datos personales, afirmando que las respuestas en una prueba. así como las direcciones 1P son datos personales.

Transferencia de datos de la JUR a Deloitte

La JUR envió las respuestas en la fase 2 a Deloitte para su evaluación independiente. Las respuestas no fueron agregadas. La JUR simplemente transfirió a Deloitte las respuestas de los participantes, total o parcialmente, en la misma forma en que los participantes las enviaron usando el formulario en línea de la JUR, luego de verificar que tales respuestas no incluían los nombres o detalles de contacto de los interesados. Sin embargo, estas respuestas contenían datos personales de los participantes en el proceso del derecho a ser escuchado (sus puntos de vista y opiniones). Al proporcionar su razonamiento y opiniones, los reclamantes proporcionaron sus datos personales. Estos datos podrían usarse para volver a identificarlos combinando esa información con otros datos personales.

Según lo establecido por el TJUE «para que la información sea tratada como datos personales (…) no se requiere que toda la información que permite la identificación del interesado debe estar en las manos de una persona».

Por lo tanto, incluso si Deloitte no sabía los nombres de los participantes en el proceso del derecho a ser escuchado, estaba procesando datos personales al analizar las respuestas.

Los afectados demandantes plantearon conflictos de intereses con respecto a la intervención de Deloitte en el procedimiento de valoración del Banco Popular y afirmaron que podrían presentar casos judiciales contra Santander y Deloitte. Teniendo en cuenta lo anterior, sus respuestas en la fase 2 podrían coincidir con sus procedimientos judiciales, lo que permitiría a Deloitte la reidentificación de los interesados.

El aviso de protección de datos se puso a disposición en inglés y español inmediatamente al comienzo de la fase 1 del proceso del derecho a ser escuchado en la página web de registro. Esto significa que en el momento del registro, cuando se solicitó a los interesados que enviaran información personal, se les entregó el aviso de protección de datos donde se informó a los interesados de la posibilidad de que sus respuestas en la fase 2 se hicieran públicas de forma anónima o en forma agregada. «La anonimización mencionada en el aviso de protección de datos de la JUR no solo se basó en la separación entre la recopilación de datos en la fase 1 y en la fase 2 , sino también en la evaluación individual realizada por cada una de las respuestas del personal de la JUR. El propósito era asegurar que los datos personales, como nombres y detalles de contacto, no fueran  revelados  por los participantes  en sus respuestas», indica el SEPD.

Los miembros del personal de la JUR verificaron así las respuestas de los participantes en el proceso del derecho a ser escuchado antes de enviarlos a Deloitte.

Sin embargo, «el alcance de los datos personales, de conformidad con el artículo 3, apartado 1, del Reglamento y la interpretación dada por el TJUE, comprende las opiniones y comentarios de los interesados. Sus respuestas exactas, incluso sin los nombres y datos de contacto recopilados en la fase 1 del proceso del “derecho a ser escuchado”, deben considerarse datos personales si permiten la reidentificación de los interesados. Esto hace que los encuestados sean identificables, a pesar de los esfuerzos de la JUR para evitar la transferencia de datos personales», afirma el SEPD.

Por tanto, las respuestas en la fase 2 no fueron debidamente anonimizadas, a pesar de que la JUR declarara que no todos los comentarios de los reclamantes se consideraron relevantes y que solo algunos fueron enviados a Deloitte. Sin embargo, el riesgo de reidentificación todavía existe.

Además, el aviso de protección de datos de la JUR no incluyó a Deloitte como destinatario en el aviso de protección de datos, ya que, en opinión de la JUR, no se les transferirá ningún dato personal. Sin embargo, «el SEPD no comparte esta opinión y su interpretación limitada de los datos personales».

En consecuencia, Deloitte recibió los datos personales de los interesados y, por lo tanto , la JUR debería haber mencionado a Deloitte como un posible receptor en el aviso de protección de datos. Al proporcionar esta información, la JUR habría garantizado una operación de procesamiento justo y los afectados podrían haber tomado una decisión informada sobre la información que querían revelar a Deloitte

A la luz de lo anterior, «el SEPD concluye que hubo una violación del artículo 15 del Reglamento , ya que la JUR no informó a los denunciantes en el aviso de protección de datos sobre la posibilidad de que sus datos personales se transfirieran a Deloitte».

Apúntate a nuestra newsletter

5 Comentarios

  1. Buen “comentario”(jose luis)…..Seguro que asi “tus datos nunca serán “transferidos””manipulados””tu identidad vilipendiada”etc etc…..¿Para que reivindicar el derecho constitucional a la privacidad?……¿Todo vale…no?…Total,si luego te roban como a las 305000 familias que confiaban en su Banco “de toda la vida”siempre puedes contestar “¿y que?”…….!!!Gran reivindicación la tuya¡¡¡.

  2. Nuestro derecho a la propiedad no vale nada, nuestra privacidad no vale nada pero luego frente a esto protegen las malas formas la mala fé y el derecho de unos pocos a robar impunemente.

Dejar respuesta

Comentario
Introduce tu nombre