Norma vigente
Texto consolidado
Primero. la Central de Información de Riesgos (en adelante CIR) es un servicio público que tiene por finalidad recabar de las entidades declarantes a que se refiere el apartado primero del artículo siguiente, datos e informaciones sobre los riesgos de crédito, para facilitar a las entidades declarantes datos necesarios para el ejercicio de su actividad; permitir a las autoridades competentes para la supervisión prudencial de dichas entidades el adecuado ejercicio de sus competencias de supervisión e inspección; contribuir al correcto desarrollo de las restantes funciones que el Banco de España tiene legalmente atribuidas.
Segundo. La administración y gestión de la CIR corresponden al Banco de España. El Banco de España estará facultado para desarrollar sus normas de funcionamiento de acuerdo con lo previsto en la presente Ley.
Tercero. No habrá lugar al derecho de oposición de los afectados al tratamiento, realizado conforme a lo previsto en la presente Ley, de sus datos de carácter personal.
Primero. Tendrán la consideración de entidades declarantes, a los efectos de esta Ley, las siguientes: el Banco de España, las entidades de crédito españolas, las sucursales en España de las entidades de crédito extranjeras, las entidades de crédito que operen en régimen de libre prestación de servicios, el fondo de garantía de depósitos, las sociedades de garantía recíproca y de reafianzamiento, los establecimientos financieros de crédito, los prestamistas inmobiliarios y aquellas otras entidades que determine el Ministerio de Economía y Empresa, a propuesta del Banco de España. [67]
Segundo. Las entidades declarantes estarán obligadas a proporcionar a la CIR los datos necesarios para identificar a las personas con quienes se mantengan, directa o indirectamente, riesgos de crédito, así como las características de dichas personas y riesgos, incluyendo, en particular, las que afecten al importe y la recuperabilidad de éstos. Esta obligación se extenderá a los riesgos mantenidos a través de entidades instrumentales integradas en los grupos consolidables de las entidades declarantes, y a aquellos que hayan sido cedidos a terceros conservando la entidad su administración.
Entre los datos a los que se refiere el párrafo anterior se incluirán aquellos que reflejen una situación de incumplimiento, por la contraparte, de sus obligaciones frente a la entidad declarante, así como los que pongan de manifiesto una situación en la cual la entidad estuviera obligada a dotar una provisión específica en cobertura de riesgo de crédito, según lo previsto en las normas de contabilidad que le sean de aplicación.
Los datos referentes a las personas mencionadas en el presente apartado no incluirán, en ningún caso, los regulados en el artículo 7 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Los datos declarados a la CIR por las entidades obligadas serán exactos y puestos al día, de forma que respondan con veracidad a la situación actual de los riesgos y de sus titulares en la fecha de la declaración.
Tercero. A efectos de esta Ley se considera riesgo de crédito la eventualidad de que la entidad declarante pueda sufrir una pérdida como consecuencia del incumplimiento de alguna de las obligaciones de sus contrapartes o de los garantes de éstas en contratos tales como préstamos, créditos, descuentos, emisiones de valores, contratos de garantía, compromisos relativos a instrumentos financieros, o cualquier otro tipo de negocio jurídico propio de su actividad financiera. También se incluirán como riesgo de crédito, en todo caso, las situaciones en las que haya tenido lugar el incumplimiento de las mencionadas obligaciones.
Cuarto. El Ministro de Economía y Competitividad y, con su habilitación expresa, el Banco de España, determinará las clases de riesgos a declarar entre los mencionados en el apartado anterior, las declaraciones periódicas o complementarias a remitir de modo que se asegure que los datos están suficientemente actualizados, las fechas a las que habrán de referirse, el procedimiento, la forma y el plazo de remisión de las mismas, el alcance de los datos a declarar a la CIR respecto a las características y circunstancias de las diferentes clases de riesgo y de sus titulares. A estos efectos se podrá diferenciar, incluso estableciendo umbrales de declaración distintos, entre:
a) los datos a declarar exclusivamente en cumplimiento de las obligaciones de información que establezca el Banco de España en el ejercicio de sus funciones de supervisión e inspección y demás funciones que tiene legamente atribuidas, incluidos los datos basados en previsiones propias de las entidades, y,
b) aquellos otros datos que también se declaren con la finalidad de facilitarlos a las entidades declarantes para el ejercicio de su actividad. [68]
Quinto. La declaración de los datos sobre riesgos referidos a personas físicas que las entidades declarantes realicen a la CIR conforme a lo previsto en la presente Ley no precisa de su consentimiento. No obstante, las entidades declarantes deberán informar a las personas físicas que sean sus acreditados de la citada declaración obligatoria de datos a la CIR y del alcance de la misma, haciendo mención expresa, cuando se trate de riesgos de empresarios individuales actuando en el ejercicio de su actividad empresarial, a que se hará constar tal condición. Todo ello se entenderá sin perjuicio de la información que deban facilitar a aquéllas en función de lo establecido en el apartado 1 del artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Sexto. En todo caso, los datos registrados estarán a disposición de la Agencia de Protección de Datos, para el ejercicio de las funciones que legalmente tiene atribuidas.
Primero. Los datos declarados sobre los riesgos cuyos titulares sean Administraciones públicas españolas serán públicos y a tal efecto se comunicarán por el Banco de España, con la misma periodicidad con que se recaban, al Ministerio de Hacienda y, en su caso, a la Comunidad Autónoma de la que dependan, para su conocimiento y publicación en la forma que establezcan.
Segundo. Las entidades declarantes y los intermediarios de crédito inmobiliario, tendrán derecho a obtener informes sobre los riesgos de las personas físicas o jurídicas, incluidas las Administraciones públicas, registrados en la CIR, siempre que dichas personas cumplan alguna de las circunstancias siguientes:
a) Mantener con la entidad algún tipo de riesgo.
b) Haber solicitado a la entidad un préstamo o cualquier otra operación de riesgo.
c) Figurar como obligadas al pago o garantes en documentos cambiarios o de crédito cuya adquisición o negociación haya sido solicitada a la entidad.
Las entidades deberán informar por escrito a las personas en las que concurra el supuesto contemplado por la letra b) precedente del derecho de la entidad previsto en este apartado.
Las entidades conservarán los documentos justificativos de las solicitudes a que se refieren las letras b) y c) precedentes que hayan sido denegadas durante el plazo establecido con carácter general en el artículo 30 del Código de Comercio.
El Banco de España podrá impedir temporalmente el acceso de una entidad declarante a los datos de la CIR cuando haya incumplido sus obligaciones de información con la calidad y exactitud necesarias a juicio del Banco de España. [69]
Tercero. El Ministro de Economía y, con su habilitación expresa, el Banco de España determinarán el contenido, forma y periodicidad de los informes a que se refieren los apartados anteriores.
Los informes referidos a personas físicas sólo podrán incluir los datos registrados en función de las declaraciones de los últimos cinco años recibidas de las entidades declarantes. No obstante, en el caso de las personas jurídicas o cuando se trate de riesgos de empresarios individuales actuando en el ejercicio de su actividad empresarial, dichos informes podrán también incluir datos referidos a declaraciones anteriores, en la forma que establezca el Banco de España. Los informes no podrán referirse, tan sólo, a los datos mencionados en el párrafo segundo del artículo 57.2.º[70] de esta Ley e incluirán, necesariamente, los relativos a la última declaración recibida, todo ello sin perjuicio de lo previsto en el apartado siguiente.
Cuarto. En los informes a las entidades declarantes a que se refieren los apartados precedentes se omitirá la denominación de las entidades que hayan contraído los mencionados riesgos y, cuando se trate de los datos a que se refiere el párrafo segundo del artículo 57.2.º[70] de esta Ley sólo se incluirán situaciones de incumplimiento de las obligaciones directas o garantizadas, así como las relativas a procedimientos concursales.
Del mismo modo, en los citados informes se omitirán aquellos datos aportados por las entidades declarantes exclusivamente en cumplimiento de las obligaciones de información que establezca el Banco de España en el ejercicio de sus funciones de supervisión e inspección y demás funciones que tiene legamente atribuidas [71] .
Primero. La información recibida por las entidades declarantes con arreglo a lo previsto en el artículo anterior tendrá carácter confidencial.
Segundo. La información a la que se refiere el apartado anterior sólo podrá ser usada por las entidades declarantes en relación con la concesión y gestión de créditos así como con la finalidad de asegurar el efectivo cumplimiento de la normativa sobre concentración de riesgos y cualquier otra que, en el ámbito de la supervisión cautelar a la que están sometidas, les sea de aplicación. Los datos concernientes a personas físicas deberán ser cancelados una vez hayan dejado de ser necesarios o pertinentes para tales finalidades.
Tercero. Salvo que medie consentimiento expreso del interesado, la información a que se refiere este artículo no podrá ser cedida por las entidades declarantes a ninguna otra persona. Se exceptúa de esta prohibición la cesión de datos referidos a personas jurídicas realizada entre las entidades financieras que formen parte del mismo grupo consolidable, según se determina en la Ley 13/1992, de 1 de junio, de Recursos Propios y Supervisión en Base Consolidada de las Entidades Financieras, y en su normativa de desarrollo.
También queda exceptuada la cesión de datos concernientes a personas físicas realizada a las cesionarias indicadas en el párrafo anterior cuando sean necesarios para asegurar el efectivo cumplimiento de la normativa sobre concentración de riesgos, cálculo de requerimientos de recursos propios mínimos y cualquier otra prevista en la Ley 13/1985, de 25 de mayo, sobre Coeficientes de Inversión, Recursos Propios y Obligaciones de Información de los Intermediarios Financieros, y disposiciones que la desarrollan.
Primero. Sin perjuicio de lo dispuesto en el artículo 58[72] de esta Ley, los datos declarados a la CIR tendrán carácter reservado para el Banco de España.
Segundo. La comunicación o cesión de la información a que se refiere el apartado 1 de este artículo queda sujeta a las reglas de colaboración en la información y secreto profesional previstas en el artículo 6 del Real Decreto legislativo 1298/1986, de 28 de junio, sobre adaptación del Derecho vigente en materia de entidades de crédito al de las Comunidades Europeas.
Además de las exigencias previstas en el artículo mencionado en el párrafo anterior, cuando los datos a comunicar se refieran a personas físicas, la cesión a autoridades, personas o entidades extranjeras en él indicadas no pertenecientes a otro Estado miembro de la Unión Europea exigirá que las mismas queden sujetas a un régimen de protección de datos equiparable al previsto en la normativa española en función de lo establecido en el artículo 33 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Con independencia de lo previsto en los párrafos anteriores, el Banco de España, dentro de un régimen de reciprocidad y en los términos que establezca, podrá ceder los datos declarados a organismos o entidades de carácter público que cumplan funciones semejantes a las de la CIR en un Estado miembro de la Unión Europea, así como a las entidades declarantes o miembros de los mismos, siempre que quede asegurada la sujeción, tanto del cesionario como de los datos cedidos, a reglas de uso, confidencialidad y protección de datos equiparables a los establecidos en la normativa española. Si dichos organismos o entidades están situados en un país no miembro de la Unión Europea, los datos sólo podrán referirse a personas jurídicas y a riesgos de empresarios individuales actuando en el ejercicio de su actividad empresarial. Los datos a proporcionar quedarán sujetos a las limitaciones previstas en el apartado cuarto del artículo 58[73] de esta Ley.
Tercero. El Banco de España no estará obligado a informar a los titulares de riesgos, ni a los cedentes de los datos recibidos, del tratamiento a que someta los citados datos, ni de su uso o cesión conforme a lo previsto en la presente Ley, ello sin perjuicio de lo dispuesto en el apartado primero del artículo 62[74].
Lo dispuesto en el párrafo precedente se establece sin perjuicio de las obligaciones de información a las personas físicas titulares de riesgos que, de acuerdo con lo establecido en el apartado quinto del artículo 57[75] de esta Ley y en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, correspondan a las entidades declarantes.
Cuarto. El Banco de España colaborará con el Ministerio de Hacienda mediante el suministro de la información que reciba relacionada con las operaciones de crédito de las Entidades Locales y las Comunidades Autónomas.
Primero. Los datos registrados en la C.I.R. se conservarán durante diez años contados desde la fecha a la que se refieran, cancelándose una vez transcurrido dicho plazo. No obstante, podrán conservarse indefinidamente mediante procedimientos que no permitan la identificación del afectado, atendiendo a sus valores históricos, estadísticos o científicos. También podrán conservarse indefinidamente los datos que identifiquen a las personas jurídicas para permitir el ejercicio de las finalidades contempladas en los guiones segundo y tercero del apartado primero del artículo 59 de la presente Ley. [76]
Segundo. Conforme a lo previsto en el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, el Banco de España adoptará las medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos registrados en la CIR y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural.
Primero. Cualquier persona, física o jurídica, que figure como titular de un riesgo declarable a la CIR, podrá acceder a toda la información que le afecte, salvo aquellos datos aportados por las entidades declarantes exclusivamente en cumplimiento de las obligaciones de información que establezca el Banco de España en el ejercicio de sus funciones de supervisión e inspección y demás funciones que tiene legamente atribuidas. Las personas físicas podrán igualmente solicitar el nombre y dirección de los cesionarios a los que la CIR haya comunicado sus datos durante los últimos seis meses así como las cesiones de los mismos que vayan a realizarse. La información sobre los cesionarios se acompañará de una copia de los datos cedidos en cada caso.
Cuando todos los datos de un titular hayan sido aportados a la CIR exclusivamente en cumplimiento de las obligaciones de información que establezca el Banco de España en el ejercicio de sus funciones de supervisión e inspección y demás funciones que tiene legamente atribuidas, el titular podrá acceder únicamente al nombre de las entidades que hayan declarado los riesgos a fin de que puedan ejercer el derecho de acceso ante ellas.
La solicitud de acceso podrá realizarse por cualquier medio que asegure la identificación y, en su caso, título del peticionario, correspondiendo al Banco de España fijar los procedimientos que los aseguren y el sistema de consulta, sin menoscabo, en lo que se refiere a las personas físicas, del régimen de tutela del derecho de acceso, y de las limitaciones a su ejercicio, previstos en el artículo 15 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Los datos interesados deberán facilitarse al peticionario en el plazo máximo de diez días hábiles desde la recepción de la solicitud en el Banco de España.
Segundo. Sin perjuicio de los derechos que asistan a las personas físicas, de acuerdo con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y en sus normas de desarrollo, respecto a los datos de carácter personal incluidos en los ficheros de las entidades declarantes, todo titular de datos declarados a la CIR que considere que éstos son inexactos o incompletos podrá solicitar al Banco de España, mediante escrito en el que se indiquen las razones y alcance de su petición, que tramite la rectificación o cancelación de los mismos ante las entidades declarantes, salvo aquellos datos aportados por las entidades declarantes exclusivamente en cumplimiento de las obligaciones de información que establezca el Banco de España en el ejercicio de sus funciones de supervisión e inspección y demás funciones que tiene legamente atribuidas. El Banco de España dará traslado inmediato de la solicitud recibida a la entidad o entidades declarantes de los datos supuestamente inexactos o incompletos.
Las solicitudes remitidas por el Banco de España deberán ser contestadas y comunicadas por las entidades declarantes al afectado y a la CIR, en el plazo máximo de quince días hábiles a contar desde su recepción en cualquiera de sus oficinas. La decisión será motivada en el supuesto de que considere que no procede acceder a lo solicitado.
Las personas físicas podrán formular contra las entidades declarantes la reclamación ante la Agencia de Protección de Datos a que se refiere el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, cuando las decisiones adoptadas conforme a lo previsto en el párrafo anterior no accedan a la rectificación o cancelación solicitada por el afectado, o no haya sido contestada su solicitud dentro del plazo previsto al efecto.
Tercero. Las entidades declarantes estarán obligadas a facilitar a las personas jurídicas titulares de riesgo el acceso efectivo a los datos remitidos a la CIR de los que sean titulares, en el plazo máximo de un mes desde la fecha en que sea solicitado; también deberán atender las solicitudes de rectificación o cancelación de datos inexactos o incompletos que aquéllas les formulen; el plazo para contestar dichas solicitudes será de veinte días hábiles.
Cuarto. Sin perjuicio de las competencias de la Agencia de Protección de Datos previstas en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, cuando una persona física interponga una reclamación ante aquélla a los efectos de la tutela de sus derechos de acceso, rectificación, cancelación u oposición en relación a sus datos de carácter personal incluidos en los ficheros de las entidades declarantes, la Agencia deberá comunicarlo con carácter inmediato al Banco de España a los efectos de la suspensión de la cesión de datos prevista en el párrafo segundo del apartado primero del artículo siguiente, en el caso de que los datos objeto de la reclamación estuvieran incluidos entre los que son de obligada remisión a la CIR.
Primero. En tanto las entidades declarantes dan respuesta a la solicitud de rectificación o cancelación presentada a través del Banco de España conforme a lo previsto en el apartado segundo del artículo precedente, el Banco de España suspenderá toda cesión a terceros de los datos sobre los que verse la solicitud, así como de los congruentes con ellos que hayan sido registrados en la CIR con motivo de declaraciones anteriores y posteriores.
La suspensión procederá igualmente, y con idéntica extensión, en el supuesto de que se hubiere acreditado ante el Banco de España la admisión a trámite de cualquier acción judicial que se dirija a declarar la inexactitud de los datos declarados, o se hubiere recibido de la Agencia de Protección de Datos la comunicación a que se refiere el apartado cuarto del artículo anterior. En el mismo supuesto, el Banco de España comunicará la suspensión a los terceros a los que, durante los seis meses anteriores a la fecha de la misma, se hubieren cedido los datos afectados y los congruentes con éstos.
Segundo. La suspensión cesará a partir de que la CIR reciba de la entidad declarante la comunicación a que se refiere el segundo párrafo del apartado segundo del artículo anterior, salvo que se trate de contestaciones desestimatorias, en cuyo caso el Banco de España prorrogará por dos meses más la suspensión citada, ello sin perjuicio de la aplicación de lo previsto en el segundo párrafo del apartado anterior.
También cesará la suspensión cuando el Banco de España tenga constancia de la sentencia firme o la resolución acordada al respecto por la Agencia de Protección de Datos, una vez rectificados o cancelados, en su caso, los datos, según se establece en el apartado siguiente.
Tercero. Las rectificaciones o cancelaciones acordadas por la Agencia de Protección de Datos, o las resultantes de sentencia judicial, obligarán a la entidad declarante a rectificar o cancelar igualmente, con arreglo al alcance de la correspondiente resolución o sentencia, los datos congruentes con los rectificados o cancelados que se contengan en otras declaraciones a la CIA. Dichos acuerdos o sentencias se tendrán en cuenta en las sucesivas declaraciones que se remitan.
Cuarto. Los datos objeto de rectificación o cancelación, así como los que los sustituyan, serán comunicados por el Banco de España a los terceros a los que se hubieren cedido.
Quinto. Según lo previsto en el apartado 3 del artículo 16 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, la cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a su supresión.
Las competencias sancionadoras del Banco de España y de otras autoridades financieras en esta materia se entenderán sin perjuicio de las atribuidas a la Agencia de Protección de Datos en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Primero. Se modifica la redacción del párrafo j) del artículo 4 de la Ley 26/1988, de 29 de julio, sobre Disciplina e Intervención de las Entidades de Crédito, quedando del siguiente modo[78]:
"j) El incumplimiento del deber de veracidad informativa debida a sus socios, a los depositantes, prestamistas, y al público en general, así como el incumplimiento del deber de confidencialidad sobre los datos recibidos de la Central de Información de Riesgos, su uso para fines diferentes de los previstos en la Ley reguladora de la misma, o la solicitud de informes sobre personas titulares de riesgos fuera de los casos expresamente autorizados en dicha Ley. Todo ello siempre que, por el número de afectados o por la importancia de la información, tales incumplimientos puedan estimarse como especialmente relevantes."
Segundo. Se modifica la redacción del párrafo n) del artículo 5 de la Ley 26/1988, de 29 de julio, sobre Disciplina e Intervención de las Entidades de Crédito, quedando del siguiente modo:
"n) El incumplimiento del deber de veracidad informativa debida a sus socios, a los depositantes, prestamistas, y al público en general, así como el incumplimiento del deber de confidencialidad sobre los datos recibidos de la Central de Información de Riesgos, su uso para fines diferentes de los previstos en la Ley reguladora de la misma, o la solicitud de informes sobre personas titulares de riesgos fuera de los casos expresamente autorizados en dicha Ley, cuando no concurran las circunstancias a que se refiere el párrafo j) del artículo anterior."
Sin perjuicio del desarrollo por parte de la Central de Información de Riesgos a cargo del Banco de España de la totalidad de las funciones que le encomienda la presente Ley, la actividad de facilitar a las entidades de crédito los datos necesarios para el ejercicio de su actividad crediticia podrá ser también realizada por otras entidades de naturaleza privada cuya actividad se ajustará, en todo caso, al régimen previsto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal.
