En la actualidad, al tiempo que los índices de endeudamiento ascienden exponencialmente tanto en el sector público como privado y a raíz de una reciente resolución de la Agencia Española de Protección de Datos (AEPD) con número de expediente EXP202300932, en relación a una reclamación interpuesta ante el Banco de España contra una entidad bancaria por disconformidad con lo declarado a la Central de Información de Riesgos” en la que considera que la deuda que le reclama ha prescrito y solicita su eliminación; se detallan, a continuación, los criterios a tener en cuenta para la licitud del tratamiento de datos personales en relación a los sistemas de información sobre los riesgos asociados a préstamos y/o avales bancarios de las entidades financieras, en relación con los sistemas de información crediticia y la posibilidad de ejercer los derechos de protección de datos por parte del interesado cuyos datos se hubieran declarado ante las entidades financieras y constaran en la base de datos del Centro de Información de Riesgos del Banco de España.
En primer lugar, a tenor del art. 20.1 Ley Orgánica de Protección de Datos y garantía de derechos digitales (LOPDGDD), se presume lícito, salvo prueba en contrario, el tratamiento de datos personales relativo al incumplimiento de operaciones dinerarias, financiera o de crédito por sistemas comunes de información crediticia, siempre que se cumplan los siguientes requisitos:
- Que los datos hayan sido facilitados por el acreedor o por quien actúe por su cuenta o interés;
- Que los datos se refieran a deudas ciertas, vencidas y exigibles, cuya existencia o cuantía no hubiese sido objeto de reclamación administrativa o judicial por el deudor o mediante un procedimiento alternativo de resolución de disputas vinculante entre las partes; y
- Que el acreedor haya informado al afectado en el contrato o en el momento de requerir el pago acerca de la posibilidad de inclusión en dichos sistemas, con indicación de aquéllos en los que participe.
- Que los datos únicamente se mantengan en el sistema mientras persista el incumplimiento, con el límite máximo de cinco años desde la fecha de vencimiento de la obligación dineraria, financiera o de crédito.
- Que los datos referidos a un deudor determinado solamente puedan ser consultados cuando quien consulte el sistema mantuviese una relación contractual con el afectado que implique el abono de una cuantía pecuniaria o este le hubiera solicitado la celebración de un contrato que suponga financiación, pago aplazado o facturación periódica, como sucede, entre otros supuestos, en los previstos en la legislación de contratos de crédito al consumo y de contratos de crédito inmobiliario.
- Que, en el caso de que se denegase la solicitud de celebración del contrato, o éste no llegara a celebrarse, como consecuencia de la consulta efectuada, quien haya consultado el sistema informe al afectado del resultado de dicha consulta
A este respecto, cabe recordar que la entidad que mantenga el sistema de información crediticia con datos relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito deberá notificar al afectado la inclusión de tales datos y le informará sobre la posibilidad de ejercitar los derechos establecidos en los artículos 15 a 22 del Reglamento General de Protección de Datos (RGPD), dentro de los treinta días siguientes a la notificación de la deuda al sistema, permaneciendo bloqueados los datos durante ese plazo.
En relación a los datos declarados ante las entidades financieras que consten en la base de datos del Banco de España, más concretamente, su Centro de Información de Riesgos relativos a datos declarados relativos a préstamos y avales bancarios de los clientes de las entidades financieras o de crédito), cabe recordar que todo interesado tiene derecho, en caso de que en calidad de titular de los datos personales referidos los considere inexactos o incompletos, a dirigir su solicitud de rectificación y/o supresión directamente ante la entidad o entidades declarantes, así como solicitar ante la organismo o autoridad pública competencia en la materia (en este caso, el Banco de España a tenor de lo dispuesto en la Circular 1/2021, de 28 de enero, del Banco de España) para que se proceda a tramitar su solicitud. Para ello, el titular de los datos declarados relativos a una deuda incluida en el sistema de información crediticia y/o de riesgos financieros con motivo de una deuda, el interesado titular de los datos deberá identificar los datos que considera erróneos o inexactos, así como justificar por escrito los motivos y el alcance de su solicitud, para lo cual deberá indicar en la misma los datos objeto de rectificación y/o supresión y, en su caso, la oportuna corrección que habrá de realizarse; pudiendo aportar, en su caso, la documentación justificativa de la inexactitud o el carácter incompleto de los datos objeto de tratamiento declarados en el sistema de información crediticia. A este respecto, de acuerdo al art. 20.1 LOPDGDD, cuando se hubiera ejercitado, ante el sistema o entidad responsable de aplicación, el derecho a la limitación del tratamiento de los datos impugnando su exactitud conforme a lo previsto en el artículo 18.1.a) del RGPD, el sistema informará a quienes pudieran consultarlo con arreglo al párrafo anterior acerca de la mera existencia de dicha circunstancia, sin facilitar los datos concretos respecto de los que se hubiera ejercitado el derecho, en tanto se resuelve sobre la solicitud del afectado.
En caso de que la solicitud se presentara ante la Central de información de Riesgos del Banco de España (datos declarados ante entidades financieras en relación a la solicitud o deuda de un préstamo y/o aval bancario) cabe tener en cuenta la Circular 1/2021 anterior, por la que cabe recordar que, recibida la solicitud de rectificación y/o supresión por parte del interesado titular de los datos declarados, las entidades responsables de la inclusión de dichos datos en el sistema financiero y/o de riesgos que corresponda, deberán dar contestación al titular de los datos y, en su caso, al resto de entidades públicas responsables de la tramitación de los datos declarados en el sistema de Información de Riesgo en el plazo máximo de quince días hábiles si el reclamante es una persona física o de veinte días hábiles si se tratara de una persona jurídica.
Sin perjuicio de lo anterior, la reclamación de rectificación o supresión de datos declarados que constaran en dicho sistema de información también podrá presentarse ante las propias entidades financieras, las cuales quedan sujetas a la obligación de comunicar al Centro de Información de Riesgo del Banco de España dicha solicitud con las rectificaciones o supresiones que correspondan. Seguidamente, corresponderá al propio Centro de Información de Riesgo del Banco de España el procesamiento de dicha rectificación o supresión, y comunicar los datos rectificados que le hubieran sido comunicados con anterioridad.
En conclusión, las entidades financieras no pueden eludir la obligación de dar respuesta a la solicitud de rectificación y supresión de los interesados de los datos declarados, debiendo informar, en consecuencia, al propio Banco de España de cualquier solicitud que hubieran recibido en relación al ejercicio del derecho de rectificar y suprimir los datos personales por parte del interesado en relación a un procedimiento de préstamo o aval bancario por el cual constaran dichos datos declarados en el sistema de información del Centro de Información de Riesgo del Banco de España, en base a la normativa específica del Banco de España, la cual se encuentra alineada con el vigente marco jurídico en materia de protección de datos. Por su parte, en caso de que la reclamación se presentara a través de la oficina virtual del propio Banco de España, corresponderá a las entidades financieras mantener actualizada la base de datos declarados de sus clientes en relación con los préstamos y/o avales en curso por los que llevan a cabo el tratamiento de datos personales de los interesados. De hecho, cabe recordar que la exactitud y actualización de los datos de acuerdo a los fines para los que se trataran tales datos, es un principio jurídico en que se fundamenta la regulación comunitaria en materia de protección de datos a tenor de lo expuesto en su art. 5.1d) RGPD; y, en todo caso, cualquier persona física podrá formular contra las entidades declarantes la reclamación ante la Agencia Española de Protección de Datos a la que se refiere el artículo 63 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, cuando aquellas no accedan a la rectificación o supresión solicitada por el afectado, o no haya sido contestada su solicitud dentro del plazo previsto al efecto como es el caso analizado.
