Publicaciones

Comienza el contenido principal

Tratamiento de datos relativos al cumplimiento de obligaciones dinerarias o ficheros de solvencia positiva

| Publicaciones | Privacy, IT & Digital Business

El equipo de Privacy, IT & Digital Business analiza el informe sobre la licitud del tratamiento de los datos en sistemas de información crediticia publicado por la Agencia Española de Protección de Datos (AEPD)

El pasado 19 de abril de 2021, la Agencia Española de Protección de Datos (AEPD) ha publicado el informe sobre la licitud del tratamiento de los datos en sistemas de información crediticia.

El informe ha sido publicado a raíz del análisis realizado sobre el Código de conducta del sector infomediario de protección de datos de carácter personal presentado por la Asociación Multisectorial de la Información (el “Código”). El Código presentado proponía legitimar el tratamiento de información relativa al cumplimiento de obligaciones dinerarias – denominados como ficheros positivos- con base en el interés legítimo del responsable del tratamiento, tal y como se legitima el tratamiento de la información relativa al incumplimiento de dichas obligaciones – denominados como ficheros negativos.

En el marco del análisis del Código, la AEPD ha considerado que la base de legitimación de la información relativa al cumplimiento de obligaciones dinerarias, esto es, la información que consta en los ficheros positivos, no se puede amparar en el interés legítimo, debiendo primar una interpretación restrictiva de los derechos e intereses de los titulares de los datos personales. A este respecto, la AEPD considera que obtener la información que consta en los ficheros positivos tiene como fin otorgar un beneficio económico al responsable del tratamiento obteniendo lucro de la consulta de estos ficheros por parte de terceras empresas interesadas.

En cambio, en relación con los ficheros negativos, la AEPD ha venido considerando que el tratamiento está amparado en el interés legítimo del responsable, siempre que cumpla los requisitos recogidos en el artículo 20 de la LOPD-GDD:

  1. Que los datos hayan sido facilitados por el acreedor o por quien actúe en su cuenta o interés.
  2. Se trate de una deuda líquida, vencida y exigible.
  3. El acreedor haya informado al afectado sobre la posibilidad de inclusión en estos sistemas en el contrato o en el momento de requerir el pago. Además, la entidad que mantenga el sistema de información crediticia debe informar al afectado sobre su inclusión y la posibilidad de ejercitar sus derechos.
  4. Que los datos se mantengan en el sistema durante el incumplimiento, con el límite máximo de cinco años desde la fecha de vencimiento de la obligación.
  5. Que los datos solo puedan ser consultados por quien tenga una relación contractual con el afectado que implique el abono de una cuantía pecuniaria o que le haya solicitado la celebración de un contrato que suponga financiación, pago aplazado o facturación periódica.
  6. Que en el supuesto de que no se celebre el contrato a consecuencia de la consulta efectuada en estos sistemas, se informe al afectado del resultado de dicha consulta.

Por otro lado, respecto de los ficheros positivos, la AEPD ha señalado que, no resulta admisible el tratamiento de los datos de los interesados sin que medie el consentimiento expreso del titular de los datos, aunque la finalidad del tratamiento se justifique en la evaluación de la solvencia de los deudores, no es un medio adecuado para garantizar la prevención del fraude y, por tanto, no podría considerarse un tratamiento amparado en el interés legítimo del RGPD.

A efectos ilustrativos, actualmente en España existe la CIRBE creada por el Banco de España que se constituye como una base de datos para controlar y valorar los riesgos financieros que asumen las personas físicas, las empresas y los propios bancos amparada en las bases del cumplimiento de obligaciones legales del responsable y misión de interés público. No obstante, en ningún caso la CIRBE podrá ser considerada como un registro de morosidad ya que no permite conocer si el interesado ha asumido las cuotas o no de las obligaciones asumidas sin cruzar la información con otras bases de datos que sí son ficheros de solvencia patrimonial (i.e. ASNEF o RAI, entre otros).

En conclusión, los tratamientos de datos personales en ficheros positivos no se pueden amparar en el interés legítimo al prevalecer los intereses, derechos y libertades fundamentales de los titulares y en todo caso, deberá mediar el consentimiento expreso del afecto para la inclusión de sus datos relativos al cumplimiento de obligaciones dinerarias.

Puede descargar el documento desde aquí

Para más información, puede contactar con:

Isabel Martínez Moriel, Socio del área de Privacy, IT & Digital Business

isabel.martinez@es.Andersen.com

Fin del contenido principal