en Laboral y Seguridad Social, Protección de datos de carácter personal

La protección de datos de carácter personal: Los ficheros de información de solvencia patrimonial y crédito.

Maria del Mar Fernández Romo, Magistrada del Tribunal Superior de Justicia de la Comunidad de Madrid (Sala Contencioso-Administrativo).

El Real Decreto 1332/94 y la Ley Orgánica de 13 de Diciembre de 1999, (B.O.E. número 298 de 14 de Diciembre de 1999) número 15, de Protección de Datos de Carácter Personal se dictan en el marco de protección y garantía del tratamiento de datos personales, resguardando esta normativa las libertades públicas y los derechos fundamentales de las personas físicas, especialmente en cuanto se refiere a su honor e intimidad personal y familiar. El ámbito de aplicación de tal norma legal es la del dato de carácter personal que se registra en un soporte fisico que lo hace susceptible de tratamiento, es decir, no sólo de conocimiento, sino de manipulación, de modificación, de comunicación, cancelación y otras acciones que puedan comprenderse dentro de este genérico término conocido como «tratamiento», pues la propia Ley se refiere a la modalidad de uso posterior del dato tanto por el sector público como por el privado; se requiere para la aplicación o inclusión en tal normativa que el dicho tratamiento se realize en territorio español y si el tratamiento del dato se verifica fuera de dicho territorio, le es de aplicación también esta normativa como norma de derecho internacional público; en los casos de actuación y tratamiento fuera del territorio de la Unión Europea, será de aplicación la Ley cuando se utilicen medios situados en territorio español salvo que tal utilización ser con fines de tránsito.

Destaca por tanto de todo ello la concepción legal del denominado «tratamiento», entendido por aquella como cualquier operación y tratamiento técnico de carácter automatizado o no que permita la siguientes acciones: grabación, recogida, conservación, elaboración, modificación, bloqueo y cancelación, así como la cesión del dato; como es de ver, en las acciones que conforman tales operaciones, no se establece un listado tasado, pues, a primera vista, tanto los procedimientos técnicos de carácter automatizado o no pueden encerrar diversas modalidades, cuanto la forma de recogida, su grabación, conservación o elaboración, modificación o cancelación pueden realizarse por muy diversos medios, entre los que quepa destacar desde luego el informático, pero sin que ello suponga desdeñar otro tipo de modalidad.
En cuanto interesa acerca de los datos personales que conforman los archivos de solvencia patrimonial a los que nos vamos a dedicar, debe primar uno de los principios generales establecidos por la citada Ley, que es el de la PROTECCION DE LOS DATOS, en virtud del cual:

1. Los citados datos deben se exactos y puestos al día respondiendo a la veracidad y situación actual del afectado por el dato.

2. Ante la inexactitud de dichos datos, total o parcial, procede la cancelación de oficio, y procede también tal cancelación cuando los datos hubieren perdido la finalidad para la que fueron recabados o registrados en el correspondiente fichero.

Sobre estas bases ha de girar el tratamiento de los datos personales de solvencia económica, de modo que ante su asiento en el correspondiente registro, aquellas personas a las que afecte o interese el dato registrado deben ser informados, dice la ley, «previamente», de varias cuestiones:

a. De la existencia del fichero o tratamiento de datos de carácter personal que han sido recogidos con una concreta finalidad así como quienes sean los destinatarios de tal información.

b. De la posibilidad de ejercitar el interesado diversos derechos: el derecho de acceso al fichero, el derecho de rectificación del dato, el derecho de modificación del dato total o parcial, el derecho de cancelación y el derecho de oposición al dato, derechos como se ve, que van surgiendo en cascada desde el inicial conocimiento del dato, que una vez conocido, no siendo conforme a la veracidad y situación efcta del interesado, puede ser modificado o cancelado, con un procedimiento administrativo de oposición al mismo y de desaparición del correspondiente fichero que puede dar lugar como ahora pasaremos a comprobar, a la actuación del organismo autónomo de la Agencia de Protección de Datos en aquellos casos de lesión en alguno de tales derechos del afectado.

Para poder ejercitar el afectado tales derechos necesita conocer la IDENTIDAD Y DIRECCION DEL RESPONSABLE DEL TRATAMIENTO, o en su caso del responsable, y en el supuesto de los ficheros de datos de solvencia patrimonial es claro que el citado dato no ha sido recabado directamente del interesado al que previamente se le informa de la existencia del fichero; en tal caso, el responsable del fichero dispone de un plazo de un mes para comunicar al afectado su inclusión en el fichero, salvo que ya hubiera sido informado con anterioridad de su inclusión.

El consentimiento del afectado no es preciso para el tratamiento de datos incluídos en estos ficheros de solvencia patrimonial, pues los mismos, por un lado, son datos referidos a una de las partes de un contrato o precontrato de una relación negocial, son datos que además figuran en fuentes accesibles al público, o al menos, en una de las partes de la citada relación negocial, y su tratamiento puede ser necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el tercero a quien se comunique el dato, siempre que con ello no se vulneren los derechos y libertades fundamentales del interesado; es el caso de la solicitud de una operación bancaria crediticia, relación negocial de partes, que se nutre de la información contenida en los diversos ficheros de solvencia patrimonial, en el que el tratamiento de dichos datos aparece como necesario para la satisfacción última del interés legítiimo del tercero a quien se comunican los datos, la entidad crediticia, por ejemplo, pues en este caso, la información de inclusión en el fichero correspondiente pueda determinar la denegación de la operación crediticia que se pretende establecer por el interesado.

No se trata por tanto de datos especialmente protegidos por la Ley, pues a pesar de la importancia económica y moral que pueda tener para una u otra parte el establecimiento de una relación crediticia con fundamento en la existencia o inxistencia de datos en los ficheros de solvenica patrimonial y crediticia, no son datos que afecten a la ideología, religión, creencias, salud, vida sexual, afiliación sindical, etc, motivo por el que no se requiere autorización alguna del afectado para su tratamiento.

LOS DERECHOS DE CONSULTA, ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN.

El primer derecho de los ciudadanos es el de consulta al Registro General de Protección de datos, al que se pueden dirigir para recabar la información en relación a la existencia de tratamiento de datos de carácter personal, su finalidad y la identidad del responsable del fichero, registro general público y gratuito.

En el caso del tratamiento de datos sobre la solvencia patrimonial, estos son los ficheros más comunes en los que se puede consultar la inclusión:

ASNEF-EQUIFAC, SERVICIOS DE INFORMACION SOBRE SOLVENCIA Y CREDITO: es el fichero ASNEF gestionado por la empresa Equifax Ibérica, S.L.

EQUIFAX IBERICA, que gestiona los ficheros AESIS, DELTA e INCIDENCIAS JUDICIALES.

INFORMACION TECNICA DEL CREDITO, que gestiona el fichero INCRESA.

CENTRO DE COOPERACION INTERBANCARIA, que gestiona el fichero RAI a través de la empresa Cálculo y tratamiento de la información, CTI.

EXPERIAN BUREAUT DE CREDITO, que gestiona el fichero BADEX a través de la empresa Cálculo y tratamiento de la información, CTI.

SERVICIOS DE FICHEROS MECANIZADOS, que gestiona el fichero BDI
Se trata, de ficheros comunes de información sobre solvencia patrimonial y crédito, previstos en el art. 28 de la Ley Orgánica de Regulación de Tratamiento Automatizado de Datos, en adelante LORTAD, cuyo contenido fue desarrollado por la Instrucción 1/95 de la Agencia de Protección de Datos.

La permisbilidad de tales ficheros se encuentra en el citado artículo. 28, que entre otros extremos, dispone que «podrán tratarse, igualmente, datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los afectados respecto de los que hayan registrado datos de carácter personal en ficheros automatizados…»

La Ley de Protección de Datos de Carácter Personal permite también la creación de estos ficheros en su artículo 25: se trata de ficheros de TITULARIDAD PRIVADA, que contienen datos de carácter personal-patromonial y de solvencia que se entiende resultan necesarios para el logro de las actividades u objetos legítimos de la empresa o entidad que se relaciona o se va a relacionar comercialmente con la persona incluída o no en el fichero.

Teniendo en cuenta la importancia de estos ficheros, la Ley citada no ha querido olvidar una necesaria regulación explicita de aquellos, de forma que procede en su artículo 29 a determinar los sujetos que pueden realizar tratamiento de estos datos, en concreto, aquellas entidades que se dediquen a la prestación de servicios de información sobre solvencia patrimonial y crédito. En tal caso, el plazo de notificación al interesado de la inclusión en los ficheros es de treinta días desde el dicho registro, con referencia de los datos que constan e información del derecho del afectado a recabar información de los mismos; ejercitado tal derecho de información en su caso, el responsable del fichero comunicará al interesado los datos así como la persona o entidad a la que se hayan revelado los datos y las apreciaciones e incidencias de los mismos durante los últimos seis meses. En tal caso estos ficheros se nutren de las fuentes del acreedor-es, pues es meridiano que la información del cumplimiento o incumplimiento de obligaciones dinerarias no es nunca facilitada por el interesado- de ahí la propia razón de ser de tales ficheros- y /o que los mismos no han sido facilitados con el consentimiento del interesado.

Especialidad en cuanto a tales ficheros, es la de que sólo podrán registrarse y ceder aquellos datos para el enjuiciamiento de la solvencia económica de los interesados, que no refieran, en el caso de ser adversos, a más de seis años, siempre desde luego que se correspondan con la veracidad de la sitación personal del mismo, principio que ya hemos dicho, es uno general de la protección de datos, este de su veracidad y correspondencia a la situación personal del interesado.

A ello debe añadirse en pro de la justificación de su existencia el contenido de la Exposición de Motivos de la citada Instrucción 1/95, de 1 de Marzo, de la Agencia de Protección de Datos relativa a la prestación de servicios de Información sobre solvencia Patrimonial y Crédito y dictada en desarrollo del precitado art. 28 de la LORTAD, que reconoce, que en estos casos, » coexisten perfectamente engarzados dos tipos de ficheros: uno, el del propio acreedor, que se nutre de los datos personales que son consecuencia de las relaciones económicas mantenidas con el afectado, cuya única finalidad es obtener la satisfacción de la obligación dineraria, y otro, un fichero que podríamos denominar común que, consolidando todos los datos personales contenidos en aquellos otros ficheros, tiene por finalidad proporcionar información sobre la solvencia de una persona determinada y cuyo responsable, al no ser el acreedor, no tiene competencia para modificar o cancelar los datos inexactos que se encuentren en aquéllos».

De estos dos ficheros es claro que los citados ficheros de solvencia que hemos nominado han de ser incluido dentro del segundo grupo: ficheros comunes que consolidan los datos personales contenidos en los ficheros de las entidades bancarias, crediticias y financieras que lsuministran los datos registrados en dicho fichero, y tal distinción es trascendente a la hora de determinar quien es el que viene obligado a satisfacer los citados derechos de acceso, modicicación y cancelación del dato registrado en el fichero común; del estudio sistemático de las disposiciones normativas citadas se infiere que en relación con el citado artículo 28 y de los apartados, «Calidad de los datos objeto de tratamiento» y «Notificación de la inclusión en el fichero, de la Instrucción 1/95, deba ser el presunto acreedor, en este caso a la entidad bancaria suministradora del dato al fichero común, a quien incumbe la responsabilidad de la veracidad y calidad de los datos, debiendo comunicar al titular del fichero común el dato inexistente o inexacto a fin de que proceda a su cancelación o modificación.

Sin embargo, la notificación de la inclusión del dato en el fichero común corresponde al titular de éste, única obligación que, por lo que aquí -interesa, le es exigible, así como la de proceder a la cancelación o modificación del dato una vez es requerido para ello.

Por ello, la importancia de los derechos de rectificación y cancelación de los datos se erige como soporte fundamental de protección del ciudadano ante los posibles abusos de los responsables de estos ficheros así como de las entidades que les suministran datos: ante la petición de tal rectificación o cancelación se establece un plazo de diez días para la efectividad del derecho, a cumplimentar por el responsable del tratamiento; distinta sea el ejercicio concreto de este derecho, pues la posibilidad de modificación o cancelación sólo puede alcanzarse cuando el dato no se ajuste a lo prevenido en la Ley de Protección de Datos de carácter personal, y en particular, cuando tales datos resulten inexactos o incompletos; pensemos en el supuesto de una deuda bancaria cancelada en virtud de un procedimiento ejecutivo, o en virtud de la finalización de los periodo de prestamo; en tales casos, el derecho de cancelación del dato de la morosidad del afectado que resulto no pagador a su vencimiento puede ejercitarse en cualquier momento una vez cancelada la deuda, pero estos antecentes desfavorables» pueden figuar en el fichero por plazo de seis meses; distintos sean los supuestos de presunta o real morosidad acompañada de la prescripción de la obligación de pago o de la deuda, no reconocida judicialmente o explícitamente por el acreedor, pues en tales supuestos la rectificación o la cancelación del dato requiere la acreditación y comprobación del dato correcto, y la única solución pueda ser en su caso la proporcionada por la decisión de la agencia de Protección de datos.

. Nada establece la Ley citada acerca del movimiento internacional de los datos de solvencia patrimonial, y teniendo en cuenta la importancia de las nuevas operaciones crediticias en dicho ámbito que supera el nacional, así como la consideración de una globalidad de territorio conformado por la Unión Europea, sería deseable una regulación específica en tan importante temática. La única referencia la encontramos en el Titulo V de la citada Ley en relación con las transferencias temporales o definitivas de datos de carácter personal con destino a paises o estados que no proporcionen un nivel de protección equiparable al que presta la presente Ley; en tales casos para la transferencia de estos datos se requiere la autorización previa del Director de la Agencia de Protección de Datos, el cual sólo debe otorgarla cuando se obtengan las garantías adecuadas, de manera que podemos estimar que la inclusión en ficheros de tratamiento de solvencia patrimonial que no pertenezcan a España, bien porque el responsable del tratamiento o del fichero no tenga su sede social en nuesto país o porque se pretenda la cesión del dato definitiva o temporalmente a un tercer Estado, requiere una serie de cautelas que se cifran en la observación por la Agencia de Protección de datos de los siguientes parámetros:

1. Nivel de protección (de los datos una vez cedidos temporal o definitivamente) del país de destino, para lo cual se debe evaluar tanto la transferencia como la categoría misma de los datos, nada desdeñable desde luego en los supuestos en los que lo que se ventila es la solvencia patrimonial.

2. Finalidad y duración del tratamiento de los datos, así como la normativa en la materia en el país de destino, tanto general como sectorial, las normas profesionales y deontológicas en la materia de tal país, las medidas de seguridad vigentes en el mismo en cuanto a la circulación de los datos y en su caso los informes de la comisión de la Unión Europea.

3. Sólo se excepcionan tales cautelas cuando la transferencia internacional de datos resulte de la aplicación de tratados o convenios firmados entre España y tercero-s Estados.-s, o cuando la transferencia sea necesaria para la ejecución de un contraro entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del interesado, casos de contratación internacional; tampoco serán necesarias la citadas cautelas cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebar en interés del afectado, por el responsable de un fichero y un tercero.

LA AGENCIA DE PROTECCION DE DATOS : sus funciones en relación con los ficheros de solvencia patrimonial:

De forma general la Agencia de Protección de Datos través de su director, atiende las peticiones y reclamaciones formuladas por las personas afectadas por tales ficheros, proporcionándoles información acerca de sus derechos en esta materia de tratamiento de datos de carácter personal.

De manera más especifica, es su labor requerir a los responsables y encargados del tratamiento de los datos, previa audiencia de los mismos, para la adopción de las medidas necesarias para la adecuación del tratamiento de los datos a las disposiciones legales, ordenado en su caso la cesación del tratamiento y la cancelación de los ficheros cuando no se ajusten a la misma. De ello se infiere el ejercicio de la POTESTAD SANCIONADORA DE LA AGENCIA DE PROTECCION DE DATOS respecto de los responsables de los ficheros y encargados de los tratamientos de los datos, sometidos al regimen sancionador determinado en dicha Ley que preceptua infracciones leves, graves y muy gaves, entre las que se encuentran tipificas como leves las conductas consistentes en no atender las solicitudes del interesado de rectificación o cancelación de datos cuando legalmente proceda, y no poporcionar a la Agencia los datos que esta le solicite en relación con el derecho de acceso y cancelación. Distinto carácter tiene la actividad de impedimento u obstaculización del ejercicio del derecho de acceso y oposición, así como la negativa a facilitar al interesado la información requerida, conducta que se tipifica legalmente como grave, así también merece esta calificación la conducta consistente en el manteminiento de datos inexactos o la negativa del derecho de rectificación o cancelación cuando legalmente proceda, se entiende, que una vez ejercitado el derecho por el interesado, pues en otro caso la conducta se ha de tipificar como leve; también es una uinfraccíón grave el incumplimiento del deber de información cuando los datos hayan sido recabados de persona distinta del afectado. El no atendimiento u obstaculización sistemática del ejercicio del derecho de rectificación y cancelación tiene el carácter de conducta muy grave, pudiendose en su caso, además del ejercicio de la potestad sancionadora, inmovilizar el fichero a los solos efectos de restaurar los derechos del afectado.