Tradicionalmente, el tratamiento de datos personales a través de sistemas de información crediticia ha sido uno de los temas que mayor número de reclamaciones ha supuesto ante la Agencia Española de Protección de Datos, lo que dio lugar a la Instrucción 1/1995 de 1 de marzo, de la Agencia de Protección de Datos, relativa a prestación de servicios de información sobre solvencia patrimonial y crédito a fin de determinar la necesidad de garantizar el cumplimiento del principio de calidad de los datos incluidos en tales sistemas, esto es, que los datos objeto de tratamiento sean los adecuados, pertinentes y estrictamente necesarios para cumplir con el fin inicial para el que se recopilaron, así como la exactitud y, en su caso, su actualización para ajustarse al hecho concreto del momento presente en que constan incluidos en los ficheros con la situación económica del interesado.
Con la llegada de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDyGDD), se establece que el tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia se presumirá lícito, salvo prueba en contrario y a tenor de lo dispuesto en el art. 20.1 LOPDyGDD, siempre que se cumpla con los siguientes criterios:
Los datos deben ser facilitados por el acreedor o tercero que actúa en interés del acreedor
Tal y como establece el art. 20.1.a) LOPDyGDD, los datos que se incluyan en el sistema de información crediticia deben haber sido comunicados por el acreedor o por tercero que obra por cuenta o interés del acreedor.
La deuda tiene que ser cierta, vencida y exigible:
A este respecto, la letra b) del apartado 1 del art. 20 LOPDyGDD añade que la deuda, aún habiendo cumplido los criterios anteriores, no podrá ser objeto de inclusión en este sistema de información crediticia si se encuentra inmersa o es objeto en reclamación en un procedimiento administrativo o judicial por parte del deudor o a través de un procedimiento de resolución extrajudicial de conflictos entre las partes. En este último supuesto, solo resultan de aplicación la excepciones previstas en el presente párrafo en caso de que se acredite formalmente a través de documento oficial la existencia de un procedimiento de resolución judicial o extrajudicial de conflictos a efectos de acreditar el carácter vinculante de dicho procedimiento. A este respecto, conviene recordar que existe un canal de comunicación, con carácter previo a la interposición de una reclamación ante la Agencia Española de Protección de Datos antes las principales operadoras de telecomunicaciones, como alternativa a un procedimiento administrativo y/o judicial; concretamente, el sistema de mediación gratuito y gestionado por AUTOCONTROL.
Cumplimiento del deber de información:
Hay que haber informado al interesado, deudor afectado, en el contrato establecido entre las partes que trae causa o, en su defecto, en la primera comunicación por la que se requiere el pago por parte del acreedor al deudor sobre el tratamiento de sus datos personales con motivo de la inclusión de los datos relativos al cobro de la deuda pendiente en el sistema de información crediticia, detallando el sistema concreto de aplicación y el contenido establecido en los arts. 13 y/o 14 RGPD relativo al tratamiento de datos personales del deudor a los efectos aquí referidos, así como la posibilidad de ejercitar los derechos establecidos en los artículos 15 a 22 del Reglamento General de Protección de Datos, dentro de los treinta días siguientes a la notificación de la deuda en el sistema de información, permaneciendo bloqueados los datos durante ese plazo.
Determinar el plazo o criterio sobre la conservación de los datos personales en el sistema de información:
En base al principio de plazos de conservación los datos del art. 5.1.e) Reglamento General de Protección de Datos (RGPD), los datos personales objeto de tratamiento deberá ser “mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales”. Concretamente, a tenor de lo dispuesto en el art. 20.1.d) LOPDyGDD, los datos personales destinados a incluirse en el sistema de información crediticia se mantendrán en el mismo en base al criterio del mantenimiento de la situación de incumplimiento de la obligación dineraria, financiera o de crédito al acreedor prevista y pendiente por parte del deudor. No obstante lo anterior, la normativa vigente señalada establece un límite máximo de conservación de tales datos en 5 años, a contar desde la fecha de vencimiento de la obligación dineraria, financiera o de crédito entre las partes.
Estar legitimado para la consulta del sistema en base a la relación contractual con el afectado o la necesidad de la consulta para la celebración de dicha relación entre las partes:
De acuerdo al art. 20.1.e) LOPDyGDD, solo estará legitimado para consultar los datos personales relativos al deudor afectado aquella persona física o jurídica que mantuviera una relación contractual con el interesado por la que resulte preceptivo el abono de una cuantía de carácter pecuniario. Sin perjuicio de lo anterior, también existe legitimación para la consulta de los datos personales relativos al afectado en los supuestos en los que este último hubiera solicitado previamente la celebración de un contrato que implique financiación, aplazamiento de pagos o facturación con carácter periódico por parte del afectado, tal y como se recoge en el art .1.1 Ley 16/2011, de 24 de junio, de contratos de crédito al consumo, no resultando de aplicación los créditos que consistan en el suministro de bienes de un mismo tipo o en la prestación continuada de servicios, siempre que en el marco de aquéllos asista al consumidor el derecho a pagar por tales bienes o servicios a plazos durante el período de su duración, así como todos aquellos contratos excluidos de conformidad con el art. 3 Ley 16/2011, de 24 de junio. En esta línea, también resultan de aplicación todos aquellos contratos de crédito inmobiliario conforme a lo establecido en el art. 2.1 Ley 5/2019, de 15 de marzo, reguladora de los contratos de crédito inmobiliario a saber: a) la concesión de préstamos con garantía hipotecaria u otro derecho real de garantía sobre un inmueble de uso residencial; y b) la concesión de préstamos cuya finalidad sea adquirir o conservar derechos de propiedad sobre terrenos o inmuebles construidos o por construir, siempre que el prestatario, el fiador o garante sea un consumidor.
La cuantía de la deuda debe ser superior a 50 euros:
La Disposición Adicional sexta LOPDyGDD establece el importe de 50 euros como la cuantía mínima necesaria para la incorporación de la deuda, sin perjuicio del resto de criterios, al sistema de información crediticia. No obstante lo anterior, el Gobierno mediante Real Decreto podrá actualizar dicho importe.
Realización de la Evaluación de Impacto relativa a protección de datos:
El tratamiento de datos personales de los afectados para cumplir con los fines aquí expuestos se incluye entre los supuestos de aplicación preceptiva de la Evaluación de Impacto relativa a protección de datos a tenor de lo dispuesto en el art. 35.3.a RGPD: evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
Asimismo, el tratamiento de datos personales referido se encuentra dentro de los supuestos tipificados en la lista de tipos de tratamiento de datos que requiere dicha evaluación publicada por la Agencia Española de Protección de Datos a tenor del art. 35.4 RGPD y las Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del RGPD del Grupo de Trabajo del artículo 29 . Más concretamente, con motivo de:
- Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), que cubran varios aspectos de su personalidad o sobre sobre sus hábitos;
- Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones, incluyendo cualquier tipo de decisión que impida a un interesado el ejercicio de un derecho o el acceso a un bien o un servicio o formar parte de un contrato.
En relación a la legitimación para la consulta preceptiva por parte de las entidades responsables de la contratación de créditos al consumo y/o inmobiliarios conforme a la normativa vigente anterior, conviene recordar que sí, con motivo de la consulta del sistema de información crediticia, resultara la cancelación y/o no celebración del contrato de crédito que trae causa entre las partes, corresponde al responsable de dicha contratación de crédito cumplir con el deber de información establecido en el art. 20.1.f) LOPDyGDD para con el afectado, en particular, de las consecuencias de dicha consulta en lo relativo a la celebración y/o ejecución del contrato de crédito entre las partes. En tales supuestos, si bien la consulta del sistema de información crediticia responde al cumplimiento de la obligación legal establecida por la legislación específica y el art. 20 LOPDyGDD, el afectado tiene derecho a recibir información exacta sobre las consecuencias de dicha consulta del sistema de información crediticia para con la celebración del contrato que el afectado hubiera solicitado previamente. A este respecto, se recomienda utilizar un lenguaje claro y sencillo que permita una fácil comprensión por parte del afectado al respecto de los criterios de la entidad concesionaria del crédito al consumo y/o inmobiliario de aplicación, concretamente, en relación a los datos de las obligaciones dinerarias, financieras o de crédito que hubieran sido consultados, el sistema de información crediticia de aplicación y su relación de conformidad o no conformidad respecto a los criterios de baremación económica y/o financiera de aplicación en la entidad responsable del contrato de crédito.
Por último, cabe recordar que la presunción de licitud del tratamiento de datos personales con motivo del sistema de información crediticia no ampara a los responsables del sistema de aplicación ni a la entidad acreedora o quien actúe por cuenta de esta última, al tratamiento de datos personales para cumplir con una finalidad ulterior distinta e incompatible con la inicial, resultando preceptivo el cumplimiento del resto de bases de legitimación por las que se establece la licitud del tratamiento de los datos personales del afectado según corresponda; en todo caso, la legitimación para el tratamiento de datos personales aquí expuesto se limita a los fines de dar cumplimiento a la inclusión de tales datos personales por parte del acreedor en el sistema de información crediticia en relación a las obligaciones concretas de carácter dinerario, financiero y/o de crédito entre las partes, no existiendo amparo legal a tenor del art. 20 LOPDyGDD para fin ulterior distinto, salvo que el responsable del tratamiento de aplicación demuestra su conformidad con el resto de bases de licitud del tratamiento en los supuestos que corresponda. En este último caso, recientemente se ha pronunciado la Agencia Española de Protección de Datos, en su informe 028891/2019, al respecto de la no legitimación para el tratamiento de la información positiva incluida en dichos sistemas en base al interés legítimo del responsable, entendiendo que prevalecen los derechos y libertades de los interesados afectados, para lo cual resulta preceptivo el cumplimiento de lo estipulado anteriormente a efectos de garantizar la licitud del tratamiento.
Una vez incluida la deuda en el sistema de información crediticia, corresponde al responsable del tratamiento que tenga entre sus funciones el mantenimiento de dicho sistema, informar al afectado en el plazo máximo de treinta días desde la inclusión de la deuda en el sistema, periodo durante el cual los datos personales objeto de tratamiento permanecerán bloqueados, a efectos de que el propio interesado pueda interponer las reclamaciones oportunas en caso de no conformidad.
Por último, junto al cumplimiento de los criterios anteriores por los que se presume la licitud del tratamiento de datos a través del sistema de información crediticia, corresponde al responsable del tratamiento de aplicación la implementación de las medidas de seguridad técnicas y organizativas apropiadas para garantizar la protección del resto de derechos y libertades de los interesados afectados, evitando situaciones de discriminación y perjuicio para el derecho al honor y reputación del afectado, así como la difusión de cualquier información ulterior que pudiera ocasionar la comisión de un delito de suplantación de identidad, estafa o fraude fiscal, así como cualquier otro perjuicio material o inmaterial en la persona del afectado a partir de la información incluida en dicho sistema. A efectos de garantizar el cumplimiento normativo en materia de protección de datos por parte de las entidades responsables del tratamiento de datos a través de los sistemas de información crediticia, cabe recordar el carácter preceptivo de la designación de la figura de Delegado de Protección de Datos, por todas aquellas entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito, los establecimientos financieros de crédito, así como las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo, conforme a lo estipulado en las letras e, f y j del art. 34 LOPDyGDD, respectivamente. Para finalizar, se recomienda la atenta lectura del documento de preguntas frecuentes de la Agencia Española de Protección de Datos, donde se presenta información detallada sobre las dudas más comunes relativas al tratamiento de datos personales en materia de solvencia patrimonial.
