Central de Información de Riesgos del Banco de España (CIRBE)
En España tiene gran relevancia la Central de Información de Riesgos perteneciente al Banco de España (conocida indistintamente como CIR o CIRBE), en lo que a la protección de datos se refiere, pues cuando nos referimos a esta Central de Información de Riesgos que tiene carácter público y confidencial, no estamos hablando de un registro común de morosos sino de un gran banco de datos donde se recogen todos los riesgos de crédito, tanto directos como indirectos, que las entidades financieras tienen con sus clientes, independientemente de que sus titulares estén al corriente de pago o no.
En este caso, si lo que se pretende es conocer si un particular, cliente o no, tiene impagos, en qué cuantía y con qué entidades, no será esta base de datos la más adecuada porque la CIRBE solamente informa a cada entidad los datos relativos únicamente a sus clientes y les informa sobre los riesgos, los avales y los créditos, sin especificar cuales son ni en que condiciones.
Es importante destacar, en esta materia de protección de datos personales, que la CIRBE por ser un fichero de titularidad pública debe considerarse un fichero excluido del régimen que establece el art. 29 de la LOPD, por lo que no le resultarán de aplicación las obligaciones dispuestas en el mismo, pero la Agencia de Protección de Datos no considera que esta exclusión implique también la del resto de la LOPD en relación a la responsabilidad de las empresas que declaran a la CIRBE, por lo que ha venido sancionando en numerosos procedimientos sancionadores el incumplimiento del principio de calidad de los datos, tanto por altas improcedentes como por mantener la información inexacta en el mismo.
Una vez que hemos indicado la relevancia de esta Central de Información de Riesgos, podemos establecer cuales son los objetivos de la misma destacando, el de facilitar a las entidades financieras información relevante para su actividad y el de permitir al Banco de España, el adecuado ejercicio de sus competencias de supervisión e inspección.
Por lo que respecta a su funcionamiento, las entidades financieras se encuentran obligadas a:
- Declarar mensualmente a la CIRBE, todas las situaciones de riesgo en que se encuentran,
- Proporcionarle los datos necesarios para identificar a las personas con quienes se mantengan, directa o indirectamente esos riesgos de crédito,
- Así como las características de dichas personas y riesgos, no pudiendo incluir aquí datos especialmente protegidos, regulados en el artículo 7 de la LOPD.
Con carácter general, el importe mínimo a declarar será de 6.000 €. Dicho esto, si una persona solicita un préstamo por importe inferior a esta cantidad, esta información no quedará registrada en la CIRBE.
También mensualmente, la CIRBE informará a las entidades declarantes, de los titulares que éstas tienen declarados.
Igualmente podrán informarse los titulares de los datos, gratuitamente, de qué información consta en esta Central de Riesgos, con el fin de saber exactamente que es lo que se puede conocer sobre ellos y poder detectar posibles errores, ejerciendo sus derechos de acceso o rectificación de los mismos ante la entidad que los ha declarado o bien directamente ante el Banco de España.
Desde la aprobación de la Ley de Medidas para la Reforma del Sector Financiero (Ley 44/2002), la declaración de los datos sobre riesgos referidos a personas físicas que las entidades declarantes realizan a la CIRBE, no precisa de su consentimiento. No obstante, las entidades declarantes deberán informarles de la citada declaración obligatoria de datos a la CIRBE y del alcance de la misma. Todo ello sin perjuicio de la información que deban facilitar a aquéllas en función de lo establecido en el apartado 1 del artículo 5 de la LOPD.
Además, la entidad a la que se solicite un préstamo o cualquier otra operación de riesgo, no necesitará la autorización expresa de su cliente para acceder a los datos que sobre él tenga la CIRBE, aunque sí habrá de informarle por escrito del derecho de la entidad a consultarlos.
Finalmente y en cuanto a la conservación de los datos registrados en la CIRBE., éstos se conservarán durante diez años contados desde la fecha a la que se refieran, cancelándose una vez transcurrido dicho plazo. No obstante, podrán conservarse indefinidamente mediante procedimientos que no permitan la identificación del afectado, atendiendo a sus valores históricos, estadísticos o científicos.
Difiere aquí este plazo de conservación de diez años para los datos de esta Central de Información de Riesgos con el plazo de seis años establecido por el RDLOPD en su art. 41.2 para los ficheros de solvencia patrimonial o de crédito, o de morosos.
Concluimos esta exposición, expresando la importancia que tiene conocer qué es y como funciona esta Central de Información de Riesgos, para conocer nuestros derechos y obligaciones con respecto a determinada información financiera y poder así hacer una diferenciación coherente con los ficheros de solvencia patrimonial y de crédito, más comúnmente denominados “ficheros de morosos”, que regula la LOPD en su art. 29.
Áudea Seguridad de la Información
Cristina Sandoval