22.7.2011   

ES

Diario Oficial de la Unión Europea

C 216/9

1.

El 15 de septiembre de 2010, la Comisión adoptó una propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a los derivados OTC, las contrapartes centrales y los registros de operaciones (en lo sucesivo, la «propuesta»). (3) El objetivo principal de la propuesta es establecer normas comunes con el fin de aumentar la seguridad y la eficiencia de los mercados no regulados derivados.

2.

El SEPD no ha sido consultado por la Comisión, a pesar de lo establecido en el artículo 28, apartado 2, del Reglamento (CE) no 45/2001 [«Reglamento (CE) no 45/2001»]. Por tanto, el SEPD ha adoptado por iniciativa propia el presente dictamen, sobre la base del artículo 41, apartado 2, del Reglamento (CE) no 45/2001.

3.

El SEPD, consciente de que esta recomendación llega en una fase avanzada del proceso legislativo, considera adecuado y conveniente emitir el presente dictamen. En primer lugar, destaca las posibles repercusiones en materia de protección de datos de la propuesta. En segundo lugar, el análisis presentado en este dictamen tiene una pertinencia directa para la aplicación de la legislación existente y para cualquier otra propuesta pendiente y posible que incluya disposiciones similares, tal como se indica en el apartado 3.4 del presente dictamen.

4.

A raíz de la crisis financiera, la Comisión ha iniciado y presentado una revisión del marco jurídico existente en materia de supervisión financiera para hacer frente a las importantes deficiencias detectadas en este ámbito, tanto en casos concretos como en relación con el sistema financiero en su totalidad. Recientemente, se han adoptado una serie de propuestas legislativas en este ámbito, con el fin de reforzar las disposiciones vigentes en materia de supervisión así como de mejorar la coordinación y la cooperación a escala europea.

5.

La reforma introdujo, en concreto, una mejora del marco de supervisión financiera europea integrado por una Junta Europea de Riesgo Sistémico (4) y un Sistema Europeo de Supervisión Financiera (SESF). El SESF consiste en una red de supervisores financieros nacionales que trabajan en tándem con tres nuevas Autoridades Europeas de Supervisión, es decir, la Autoridad Bancaria Europea (5) (ABE), la Autoridad Europea de Seguros y Pensiones de Jubilación (6) (AESPJ) y la Autoridad Europea de Valores y Mercados (AEVM) (7). Además, por lo que se refiere a determinados ámbitos o productos financieros la Comisión adoptó una serie de iniciativas específicas para aplicar una reforma de la normativa.

6.

Una de esas iniciativas es la propuesta actual, que aborda los «derivados OTC», es decir, aquellos productos derivados (8) que no son negociados en bolsa, sino que son contratos de carácter privado entre dos contrapartes. La propuesta introduce una obligación tanto para las contrapartes financieras como para las no financieras de cumplir con determinadas condiciones de umbral para que los derivados OTC normalizados se compensen a través de contrapartes centrales. Asimismo, el reglamento propuesto obligará a las contrapartes financieras y no financieras a que notifiquen a un registro de operaciones los datos de cualquier contrato de derivados que hayan suscrito, así como toda modificación del mismo. La propuesta también establece requisitos organizativos y de prudencia armonizados para las contrapartes centrales, así como requisitos organizativos y operativos para los registros de operaciones. De conformidad con lo dispuesto en la propuesta legislativa, mientras que la responsabilidad relativa a la autorización y la supervisión de las contrapartes centrales sigue correspondiendo a las autoridades nacionales, la inscripción y la supervisión de los registros de operaciones se confían enteramente a la AEVM.

7.

El artículo 61, apartado 2, letra d), de la propuesta faculta a la AEVM a «requerir una relación de comunicaciones telefónicas y tráfico de datos» (la cursiva es nuestra). Como se explicará más adelante, el ámbito de aplicación de la disposición y, en particular, el significado exacto de la expresión «relación de comunicaciones telefónicas y tráfico de datos» no quedan claros. Sin embargo, parece probable — o al menos no puede descartarse esa posibilidad — que dichos registros de comunicaciones telefónicas y tráfico de datos incluyan datos personales en el sentido de la Directiva 95/46/CE y el Reglamento (CE) no 45/2001 y, hasta cierto punto, de la Directiva 2002/58/CE (actualmente denominada, tras la modificación por la Directiva 2009/136/CE, «Directiva sobre privacidad electrónica»), es decir, datos relativos a las comunicaciones electrónicas de personas físicas identificadas o identificables (9). Mientras este sea el caso, deberá garantizarse que se respeten totalmente las condiciones para un tratamiento leal y legítimo de los datos personales, tal como se establece en las Directivas y el Reglamento.

8.

Los datos relativos al uso de medios de comunicación electrónica pueden implicar un amplio abanico de información personal, como la identidad de las personas que realizan y reciben la llamada, el tiempo y la duración de la misma, la red utilizada, la ubicación geográfica del usuario en caso de dispositivos portátiles, etc. Algunos datos relativos al tráfico sobre el uso de Internet y el correo electrónico (por ejemplo, la lista de sitios web que se han visitado) pueden revelar, asimismo, detalles importantes sobre el contenido de la comunicación. Además, el tratamiento de datos relativos al tráfico entra en conflicto con el secreto de la correspondencia. Respecto a esto, la Directiva 2002/58/CE estableció el principio de que los datos relativos al tráfico deberán eliminarse o hacerse anónimos cuando ya no sean necesarios a efectos de la transmisión de una comunicación (10). Los Estados miembros podrán incluir excepciones en la legislación nacional para fines legítimos específicos, aunque tales medidas deberán ser las necesarias, proporcionadas y apropiadas de una sociedad democrática para la obtención de dichos fines (11).

9.

El SEPD reconoce que los objetivos que persigue la Comisión en este caso son legítimos y éste reconoce la necesidad de iniciativas cuya finalidad consista en reforzar la supervisión de los mercados financieros con el fin de preservar su solidez y ofrecer una mejor protección a los inversores y a la economía en general. Sin embargo, los poderes de investigación directamente relacionados con los datos sobre tráfico, dada su índole potencialmente invasiva, deben cumplir los requisitos de necesidad y proporcionalidad, es decir, deben limitarse a permitir el logro del objetivo que se persigue y no ir más allá de lo necesario para alcanzarlo (12). Desde esta perspectiva, resulta pues esencial que estén formulados de manera clara en relación con el ámbito de aplicación personal y material, así como con respecto a las circunstancias y las condiciones en que podrán ser utilizados. Además, deben establecerse las garantias apropiadas para evitar el riesgo de abusos.

10.

El artículo 61, apartado 2, letra d), establece que: «a fin de ejercer las funciones contempladas en los artículo 51 a 60, 62 y 63 (esto es, funciones relativas a la vigilancia de los registros de operaciones), la AEVM estará facultada para requerir una relación de comunicaciones telefónicas y tráfico de datos». Por estar formulada en términos muy generales, la disposición plantea varias dudas en relación con su ámbito material y personal.

11.

En primer lugar, el significado de la expresión «relación de comunicaciones telefónicas y tráfico de datos» no está absolutamente claro, por lo que requiere más especificación. La disposición podría hacer referencia a la relación de comunicaciones y tráfico de datos que deben retenerse obligatoriamente en los registros de operaciones en el transcurso de sus actividades. Varias disposiciones del reglamento propuesto hacen referencia a los requisitos de almacenamiento de los registros de operaciones (13). Sin embargo, ninguna de estas disposiciones especifica si los registros de operaciones deben conservar los registros de telecomunicaciones telefónicas y el tráfico de datos ni cuáles son los registros que deben conservarse (14). Por tanto, por lo que si la disposición se refiere a las relaciones conservadas por los registros de operaciones, es fundamental definir con precisión las categorías de comunicaciones telefónicas y de tráfico de datos que deben conservarse y que la AEVM podrá requerir. De conformidad con el principio de proporcionalidad, dichos datos deberán ser adecuados, pertinentes y no excesivos en relación con los fines de supervisión para los que se traten (15).

12.

El presente caso requiere especialmente una mayor precisión, teniendo en cuenta las importantes sanciones y las multas coercitivas que pueden imponerse a los registros de operaciones y otras personas (incluidas las personas físicas en lo que se refiere a las multas coercitivas) afectadas que hayan cometido una infracción con arreglo al reglamento propuesto (véanse los artículos 55 y 56). Dichas multas podrán alcanzar el 20 % de los ingresos o el volumen de negocios anual del registro de operaciones correspondiente al ejercicio anterior, es decir, un umbral dos veces superior al máximo establecido para las infracciones de la legislación europea en materia de competencia.

13.

Debe resaltarse asimismo que el artículo 67, apartado 4, anteriormente citado, delega en la Comisión la facultad de adoptar normas técnicas reglamentarias en las que se especifique la información que los registros de operaciones pondrán obligatoriamente a disposición de la AEVM y otras autoridades. Esta disposición podría utilizarse, por tanto, para especificar con más detalle los requisitos de conservación de la información de los registros de operaciones y, de ese modo, indirectamente, la facultad de acceso a los registros de comunicaciones telefónicas y de tráfico de datos que se le ha concedido a la AEVM. El artículo 290 del TFUE establece que un acto legislativo podrá delegar en la Comisión los poderes para adoptar actos no legislativos de alcance general que completen o modifiquen determinados elementos no esenciales del acto legislativo. Según opinión del SEPD, el perímetro exacto del poder de acceso a los datos del tráfico no puede considerarse un elemento no esencial del reglamento, por lo cual el ámbito de aplicación material debería quedar especificado directamente en el texto del reglamento y no aplazarse a futuros actos delegados.

14.

Dudas similares aparecen en relación con el alcance personal de la disposición en cuestión. En particular, el artículo 61, apartado 2, letra d), no especifica los destinatarios potenciales a los que podría dirigirse una solicitud que instase a proporcionar los registros de comunicaciones telefónicas y tráfico de datos. En concreto, no queda claro si las facultades para requerir una relación de comunicaciones telefónicas y tráfico de datos estarían limitadas únicamente a los registros de operaciones (16). Dado que la disposición tiene como finalidad permitir a la AEVM que supervise los registros de operaciones, el SEPD opina que dicha facultad debería quedar limitada estrictamente a estos registros.

15.

Por último, el SEPD entiende que el objetivo del artículo 61, apartado 2, letra d), no es habilitar a la AEVM para obtener acceso a los datos del tráfico directamente de las empresas de telecomunicaciones. Ésta parece ser la conclusión lógica, especialmente si tenemos en cuenta el hecho de que la propuesta no se refiere a todos los datos de que disponen las empresas de telecomunicaciones o a los requisitos establecidos por la Directiva sobre privacidad electrónica, tal como se ha mencionado anteriormente en el punto 8 (17). Sin embargo, en aras a una mayor claridad, el SEPD recomienda que dicha conclusión se indique de manera más explícita en el artículo 61, apartado 2, o al menos en uno de los considerandos del reglamento propuesto.

16.

El artículo 61, apartado 2, letra d), no indica las circunstancias ni las condiciones en las que puede requerirse el acceso ni ofrece garantías procesales o salvaguardias significativas contra el riesgo de abusos. En los párrafos siguientes, el SEPD formulará algunas sugerencias concretas en este sentido.

17.

Investir a las autoridades de supervisión de competencias para requerir el acceso a los registos de comunicaciones telefónicas y tráfico de datos no es una novedad en la legislación europea, ya que dicha facultad ya estaba contemplada en varias directivas y reglamentos existentes relativos al sector financiero, en particular, en la Directiva sobre manipulación del mercado (abuso en el mercado) (20), la Directiva MiFID (21), la Directiva OICVM (22) y el Reglamento sobre agencias de calificación crediticia actual (23), normativas que incluyen disposiciones con una redacción similar. Lo mismo puede decirse de una serie de propuestas recientes adoptadas por la Comisión, en especial, las propuestas de Directiva relativa a los gestores de fondos de inversión alternativos (24), de Reglamento por la que se modifica el Reglamento sobre las agencias de calificación crediticia (25), de Reglamento sobre las ventas en corto y determinados aspectos de las permutas de cobertura por impago (26) y de Reglamento sobre la integridad y la transparencia del mercado de la energía (27).

18.

En lo que respecta a dichos instrumentos legislativos existentes y propuestos, debe hacerse una distinción entre las competencias de investigación concedidas a las autoridades nacionales y la concesión de dichas competencias a las autoridades de la UE. Varios instrumentos obligan a los Estados miembros a conceder la competencia de solicitar registros existentes sobre tráfico de datos y sobre datos telefónicos a las autoridades nacionales «de conformidad con la normativa nacional» (28). Por consiguiente, el ejercicio real de esta obligación queda necesariamente sujeto a la normativa nacional, incluida la normativa de aplicación de la Directiva 95/46/CE y la Directiva 2002/58/CE y otras normas nacionales que incluyen otras garantías procesales para las autoridades nacionales de supervisión e investigación.

19.

Esta condición no está contemplada entre los instrumentos que conceden la competencia de requerir los registros de telecomunicaciones telefónicas y tráfico de datos directamente a las autoridades europeas, como ocurre en la actual propuesta sobre los derivados OTC y la propuesta de Reglamento por el que se modifica el Reglamento (CE) no 1060/2009 sobre las agencias de calificación crediticia (la «Propuesta sobre las agencias de calificación crediticia»). En consecuencia, en dichos casos es más necesario aún aclarar en el propio instrumento legislativo, el ámbito de aplicación personal y material de esta competencia y las circunstancias y las condiciones en las que puede ser utilizada, y garantizar que se adoptan las adecuadas garantías con el fin de evitar abusos.

20.

En este sentido, las observaciones formuladas en el presente dictamen, aunque tienen por objeto la propuesta relativa a los derivados OTC, también tienen un alcance más general. El SEPD es consciente de que en relación con la legislación ya adoptada, o que está a punto de serlo, estas observaciones llegan demasiado tarde. No obstante, invita a las instituciones a que reflexionen sobre la necesidad de modificar las propuestas pendientes con el fin de tener en cuenta las inquietudes formuladas en el presente dictamen. Asimismo, en lo que a los textos adoptados se refiere, el SEPD invita a las instituciones a que exploren vías para aclarar ciertas cuestiones, por ejemplo, cuándo el ámbito de aplicación de la disposición afectada es susceptible de ser especificado directa o indirectamente en actos delegados o de aplicación, o, por ejemplo, a través de actos que definan los pormenores de los requisitos de conservación de registros, notas de interpretación u otros documentos semejante. (29) El SEPD espera ser consultado oportunamente por la Comisión en el contexto de estos procedimientos relacionados.

21.

El SEPD considera apropiado formular observaciones adicionales en relación con otros puntos de la propuesta referidos a los derechos a la protección de los datos y a la intimidad de las personas físicas.

22.

El considerando 48 señala acertadamente que es fundamental que los Estados miembros y la AEVM protejan el derecho a la intimidad de las personas físicas con relación al tratamiento de datos personales, de conformidad con la Directiva 95/46/CE. El SEPD acoge positivamente la inclusión de dicha referencia a esta Directiva en el considerando. Sin embargo, el significado de este considerando podría aclararse más si se especificase que las disposiciones del Reglamento se entienden sin perjuicio de las normas nacionales de aplicación de la Directiva 95/46/CE. Principalmente, esta referencia podría incluirse asimismo en una disposición sustantiva.

23.

Asimismo, el SEPD destaca que la AEVM es un organismo europeo sujeto al Reglamento (CE) no 45/2001 y a la supervisión del SEPD. Por tanto, se recomienda introducir una referencia explícita a este Reglamento, especificando también que las disposiciones de la propuesta se entienden sin perjuicio de lo dispuesto en dicho Reglamento.

24.

Uno de los principales objetivos del reglamento propuesto es mejorar la transparencia del mercado de derivados OTC y la supervisión reglamentaria de dicho mercado. Para alcanzar este objetivo, la propuesta obliga a las contrapartes financieras y no financieras a que cumplan determinadas condiciones umbral con el fin de notificar al registro de operaciones los datos de todo contrato de derivados OTC que hayan suscrito, así como toda modificación o resolución de un contrato (artículo 6) (30). Dicha información está destinada a ser conservada por los registros de operaciones y que éste deberá ponerlo a disposición de diversas autoridades para fines reglamentarios (artículo 67) (31).

25.

En caso de que una de las partes de un contrato de derivados sujeto a las obligaciones de compensación y de declaración mencionadas anteriormente sea una persona física, la información sobre dicha persona son datos personales en el sentido de lo dispuesto en el artículo 2, letra a), de la Directiva 95/46/CE. El cumplimiento de las citadas obligaciones, por tanto, constituye un tratamiento de datos personales según el artículo 2, letra b), de la Directiva 95/46/CE. Incluso en caso de que las partes de la transacción no fueran personas físicas, los datos personales podrán tratarse en el marco de los artículos 6 y 67, como por ejemplo, los nombres e información de contacto de los directores de las empresas. Las disposiciones de la Directiva 95/46/CE (o del Reglamento (CE) no 45/2001 según sea pertinente) resultarían, por tanto, de aplicación a las operaciones actuales.

26.

Un requisito básico de la ley de protección de datos es que la información debe ser procesada con fines determinados, explícitos y legítimos y que no puede ser procesada posteriormente de manera incompatible con dichos fines (32). Por otra parte, los datos utilizados para lograr los fines deben ser adecuados, pertinentes y no excesivos en relación con los mismos. Tras analizar el reglamento propuesto, el SEPD llega a la conclusión de que el sistema establecido en la propuesta no cumple estos requisitos.

27.

En relación con la limitación a una finalidad específica, debe destacarse que la propuesta no especifica el sistema de notificación y, lo que es más importante, los fines para los que las autoridades competentes pueden acceder a la información conservada por los registros de operaciones, con arreglo a lo dispuesto en el artículo 67 de la propuesta. La referencia general a la necesidad de mejorar la transparencia del mercado de derivados OTC es claramente insuficiente para cumplir con el principio de limitación a una finalidad específica. Dicho principio se ve comprometido aún más en el artículo 20, apartado 3, del reglamento propuesto en relación con el «secreto profesional», que con su redacción actual, parece permitir el uso de información confidencial recibida con arreglo a lo dispuesto en el reglamento propuesto para una serie de fines adicionales que no se especifican con claridad (33).

28.

La propuesta tampoco especifica el tipo de datos que serán grabados, comunicados o a los que se podrá acceder, incluidos los datos personales de personas físicas identificadas o identificables. Los artículos 6 y 67 anteriormente mencionados facultan a la Comisión a que especifique con más detalle en actos delegados el contenido de las obligaciones de comunicación y de conservación de la información. Aunque el SEPD comprende la necesidad práctica de emplear este procedimiento, desea subrayar que, cuando la información que está siendo tratada con arreglo a los artículos mencionados se refiera a personas físicas, las principales normas y garantías de protección de datos deben establecerse en la ley básica.

29.

Por último, el artículo 6 de la Directiva 46/95/CE y el artículo 4 del Reglamento (CE) no 45/2001 exigen que los datos personales sean conservados en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que fueron recogidos. El SEPD destaca que la propuesta no establece ningún plazo de prescripción concreto para la conservación de datos personales que puedan procesarse según los artículos 6, 27 y 67 del reglamento propuesto. Los artículos 27 y 67 establecen solo que la documentación pertinente deberá conservarse durante un período mínimo de diez años. Sin embargo, únicamente indica un período de conservación mínimo, lo cual contradice claramente los requisitos establecidos en la legislación en materia de protección de datos.

30.

Teniendo en cuenta lo anterior, el SEPD insta al legislador a que especifique el tipo de información personal que se puede procesar con arreglo a la propuesta, defina los fines para los que las diversas entidades afectadas pueden tratar datos personales y establezca un período de conservación de los datos preciso, necesario y proporcionado para dicho tratamiento.

31.

El artículo 61, apartado 2, letra c), faculta a la AEVM para realizar inspecciones in situ con o sin previo aviso. No queda claro si dichas inspecciones quedarían limitadas a las dependencias profesionales del registro de operaciones o si se aplicarían también a los locales privados o propiedades de personas físicas. El artículo 56, apartado 1, letra c), al facultar a la Comisión, a instancia de la AEVM, para imponer a toda persona empleada por un registro de operaciones, que trabaje para un registro de operaciones o que tenga relación con un registro de operaciones, multas coercitivas a fin de obligarla a someterse a una investigación iniciada por la AEVM de conformidad con el artículo 61, apartado 2, podría sugerir (de manera involuntaria) lo contrario.

32.

Sin entrar en más detalles sobre este punto, el SEPD recomienda que se limite la competencia para realizar inspecciones in situ (y la competencia relacionada para imponer multas coercitivas con arreglo al artículo 56) únicamente a las dependencias profesionales de los registros de operaciones y a otras personas jurídicas sustancial y claramente relacionadas con dichos registros (34). En caso de que la Comisión efectivamente contemple efectuar inspecciones en las instalaciones no comerciales de personas físicas, esto debería dejarse claro y deberían preverse requisitos más estrictos, para garantizar que se cumplen los principios de necesidad y proporcionalidad (en especial en lo que se refiere a la indicación de las circunstancias y las condiciones en las que pueden realizarse las inspecciones).

33.

Varias disposiciones del reglamento propuesto permiten amplios intercambios de datos y de información entre la AEVM, las autoridades competentes de los Estados miembros y las autoridades competentes de terceros países (véanse en particular los artículos 21, 23 y 62). Los intercambios de datos con terceros países serán posibles cuando una contraparte central o registro de operaciones reconocidos presten servicios a entidades reconocidas en la Unión. En la medida en que la información y los datos intercambiados afecten a personas físicas identificadas o identificables, serán de aplicación, llegado el caso, los artículos 7 a 9 del Reglamento (CE) no 45/2001 y los artículos 25-26 de la Directiva 95/46/CE. En particular, las transmisiones a terceros países únicamente podrán tener lugar cuando dichos países garanticen un nivel de protección suficiente o cuando sea de aplicación una de las excepciones pertinentes de la legislación en materia de protección de datos. En aras a la claridad, debería incluirse una referencia explícita al Reglamento (CE) no 45/2001 y a la Directiva 95/46/CE, indicando que dicha transmisión debe atenerse a las normas aplicables previstas, respectivamente, en el Reglamento o en la Directiva.

34.

De conformidad con el principio de limitación a una finalidad específica (35), el SEPD recomienda asimismo introducir límites claros en relación con el tipo de información personal que puede intercambiarse y definir los fines para los que pueden intercambiarse datos personales.

35.

El artículo 68 de la propuesta incluye una serie de obligaciones de presentación de informes de la Comisión relativas a la aplicación de varios elementos del reglamento propuesto. El SEPD recomienda introducir asimismo una obligación para la AEVM de informar periódicamente sobre el uso de sus competencias de investigación y, en particular, sobre la facultad de requerir relaciones de comunicaciones telefónicas y tráfico de datos. A la luz de las conclusiones del informe, la Comisión también debe poder hacer recomendaciones, incluso, en su caso, propuestas de revisión del Reglamento.

36.

La presente propuesta faculta a la AEVM a «requerir una relación de comunicaciones telefónicas y tráfico de datos» con el fin de ejercer las funciones relativas a la supervisión de los registros de operaciones. Para que dicha facultad pueda considerarse necesaria y proporcionada, deberá limitarse a permitir el logro del objetivo que se persigue y no ir más allá de lo que es necesario para alcanzarlo. En su formulación actual, la disposición en cuestión no cumple estos requisitos, ya que está redactada de en términos muy generales. En particular, no se ha especificado de manera suficiente el ámbito personal y material la facultad ni las circunstancias y las condiciones en que puede utilizarse.

37.

Las observaciones incluidas en el presente dictamen, aunque tienen como fin la propuesta relativa a los derivados OTC, también tienen una pertinencia directa para la aplicación de la legislación existente y para cualquier otra propuesta pendiente y posible que incluya disposiciones similares. Esto es válido, en particular, cuando la facultad en cuestión se confía, como es el caso de la propuesta actual, a una autoridad europea sin incluir referencia a las condiciones y procedimientos específicos establecidos en las legislaciones nacionales (p. ej., la Propuesta sobre las agencias de calificación crediticia).

38.

Teniendo en cuenta todo lo anterior, el SEPD recomienda al legislador:

39.

En lo que respecta a otros aspectos de la propuesta, el SEPD se remite a las observaciones formuladas en el apartado 4 del presente dictamen. En particular, el SEPD recomienda al legislador: