El día 3 de mayo publiqué un comentario titulado “Comisiones de Control y Protección de datos; la DGS siembra la cizaña”, en relación a un documento de 28 de abril, de la Dirección General de Seguros y Fondos de Pensiones (DGSFP), que venía a decir que las Comisiones de Control de los Planes de Pensiones de Empleo no tienen porque disponer, para su labor de supervisión, de datos que permitan identificar a los partícipes, salvo en caso en los que sea absolutamente imprescindibles, para no conculcar la legislación en materia de protección de datos.
En dicha entrada nos referíamos a dos resoluciones de la Agencia Española de Protección de Datos (AEPD), que citaba la DGSFP en su documento, y nos emplazábamos a comentarlas con mas detalle.
Su análisis ha destapado dos historias diferentes, pero igual de apasionantes.
La primera podíamos titularla “¡Vaya Plan!”, y aunque por el título no lo parezca es casi una de terror… Entre septiembre y diciembre de 2004, hasta cinco personas presentaron una reclamación por negación del acceso a sus datos personales contra la Comisión de Control del Plan de Pensiones de Nuclenor (empresa gestora de la central nuclear de Santa María de Garoña, al 50% entre Iberdrola y Endesa), ante la Agencia Española de Protección de Datos (AEPD).
Uno de ellos hasta se quejaba del tratamiento que se estuviera haciendo de su condición de afiliado sindical… porque era miembro de la Comisión de Control denunciada y el nombre del sindicato al que pertenecía aparecía en las actas de las reuniones, junto a su propio nombre… Menudo lio debió de montarse. Todo un ejemplo de paz social y compañerismo, si señor…
La segunda historia ya se adentra en el meollo de la cuestión que nos ocupa y tiene más título de diccionario de refranes; “Hay de todo como en botica”. Por supuesto las cinco resoluciones de Nuclenor decían exactamente lo mismo; las Entidades Gestoras deben declarar los ficheros de datos personales y las Comisiones de Control no tienen obligación de hacerlo.
Esto me plantea una primera pregunta: ¿en el caso de que el Plan de Pensiones tenga una Oficina del Partícipe, o algo parecido, y custodie los boletines de adhesión (que pueden llevar asociados hasta cuestionarios de salud destinados a la aseguradora de las prestaciones de riesgo), y este archivo no esté bajo el control del promotor, estamos en el mismo caso de que la Comisión de Control no tiene responsabilidad alguna?...
La segunda pregunta que se me ocurre es ¿y que hacen las Entidades Gestoras en estos casos?. ¿Declaran o no declaran los ficheros?. Pues eso, ... de todo un poco. Como los reglamentos de los planes de pensiones de empleo no son públicos (aprovecho la ocasión para lanzar una moción para que lo sean y estén disponibles en la página de la DGSFP), es difícil concluir algo con rotundidad. Pero viendo lo que circula por internet;
- El Plan de Pensiones de empleados de la Caixa asigna la titularidad del fichero a la Entidad Depositaria.
- El Montepío y Mutualidad de la Minería Asturiana, incluye en su reglamento la cláusula de protección de datos con titularidad del fichero asignado a la Entidad Gestora.
- El Plan de Pensiones de la Administración General del estado (AGE), va mas allá e incluye esta cláusula en el boletín de adhesión, haciendo referencia tanto a la Entidad Gestora, como a la Entidad Depositaria.
y entonces, ¿cuantas Entidades Gestoras no tiene declarados los datos de los partícipes como ficheros de datos personales ante la AEPD…?. Pues yo conozco a más de una y más de dos.... y lo curioso es que no lo omiten por desconocimiento, sino por convicción, ya que consideran a las Comisiones de Control las responsables de estos datos.
Conclusión; Si es obligatorio que las Entidades Gestoras declaren estos ficheros, ya podría la propia AEPD comentárselo a la DGSFP para que lo fueran solucionando, para garantía de todos los partícipes afectados, antes de que algún otro grupo de denunciantes anónimos, como los del caso Nuclenor, obligue a la AEPD a iniciar una ristra de procesos sancionadores.
PD1: Incluyo a continuación la relación completa de Resoluciones de la AEPD sobre el caso NUCLENOR.
R/00116/2004 (TD/00339/2004) Reclamante M.S.V. 15/09/2004
R/00154/2005 (TD/00384/2004) Reclamante D.L.U.L. 01/10/2004 (la del sindicalista)
R/00260/2005 (TD/00006/2005) Reclamante G.S.H. 10/12/2004
R/00278/2005 (TD/00009/2005) Reclamante M.S.I. 10/12/2004
R/00287/2005 (TD/00454/2004) Reclamante V.O.A. 23/11/2004
PD2: Es curioso el poco eco que ha tenido hasta la fecha la resolución de la DGS que comentábamos al principio (al menos por internet). Además de mi comentario, solamente encontré una referencia publicada por INESE en su Boletín Diario del Seguro bajo el título “Coto al acceso de las Comisiones de Control de Planes de Pensiones a datos personales”, de 29/04/2010. Bueno, casi mejor así.
No hay comentarios:
Publicar un comentario