La Agencia Española de Protección de Datos (AEPD) ha emitido un informe en el que se centro en cómo configurar desde el punto de vista de protección de datos la relación contractual entre la SGIIC (Sociedad Gestora de Instituciones de Inversión Colectiva) y la plataforma de distribución y la consideración que debe tener la ESI (Empresa de Servicio de Inversión).
A estas cuestiones responde la AEPD argumentando que los conceptos de responsable y encargado son conceptos funcionales, cuyo objetivo es asignar responsabilidades de acuerdo con las funciones reales de las partes, determinándose, por tanto, su posición, por sus actividades reales en una situación específica. El papel de un responsable del tratamiento no se deriva de la naturaleza de una entidad que está tratando datos, sino de sus actividades concretas en un contexto específico.
La AEPD analiza la actividad de los actores en este negocio para poder atribuir un rol en cuanto a protección de datos. En cuanto a las SGIIC, estas pueden contratar a entidades mediadoras, siendo estas las plataformas de distribución, por lo que son las SGIIC quienes determinan el cómo y el porqué del tratamiento (responsable del tratamiento) y a la plataforma de distribución como encargada del tratamiento.
En cuanto a las ESI, los servicios que prestan son asesoramiento previo en inversión mediante recomendaciones personalizadas y, una vez tomada la decisión por el potencial inversor, prestan el servicio de recepción y transmisión de órdenes para la ejecución por parte de la SGIIC de las suscripciones y reembolsos de las participaciones de los fondos. Por ello, las ESI serán, en primer término, responsables del tratamiento de los clientes a los que les preste el servicio de inversión y, en cuanto a la plataforma de distribución y su relación con la ESI, la plataforma deberá considerarse como encargada del tratamiento de la ESI, puesto que presta un servicio de canalización y transmisión de la orden de inversión que lleva aparejado tratamiento de datos personales.
Accede al informe de la AEPD aquí: 2021-0012_intervinientes en el negocio de las Instituciones de inversión colectivas (aepd.es)