La AEPD multa con un millón de euros a EQUIFAX por gestionar un fichero de morosos ilegal

La compañía recopilaba datos personales de supuestos deudores a través de boletines y diarios oficiales incumpliendo la normativa

Un millón de euros de multa. Ese es el importe que la Agencia Española de Protección de Datos (AEPD) ha impuesto como sanción a la compañía EQUIFAX por incumplir la normativa en materia de protección de datos.

La multinacional con filial en España (EQUIFAX IBÉRICA, S.L.) se encarga de la elaboración de informes de solvencia e historial crediticio de personas. Informes que son puestos a disposición de empresas (sus socios) y que la compañía explota comercialmente alcanzando una cifra de negocio, a fecha 31/12/2019, que ascendió a 42.259.655 €.

Debido al funcionamiento de uno de sus registros, la Agencia recibió cerca de un centenar de reclamaciones informando de diversas situaciones: inclusión de datos personales sin consentimiento, imposibilidad en la contratación de créditos o préstamos debido a la inclusión en ficheros de morosidad por deudas inciertas, etc.

A raíz de la investigación realizada por la AEPD, se constató que la información afectada provenía del denominado Fichero de Reclamaciones Judiciales y Organismos Públicos (FIJ) propiedad de EQUIFAX. Un sistema de información crediticia que se nutría principalmente del Tablón Edictal Único del BOE (TEU-BOE), de los diarios oficiales de las Comunidades Autónomas, de los Boletines Provinciales (BOP) y a través de la sede electrónica o física de organismos o entidades de Derecho Público. En otras palabras, y según la denunciada, los datos eran obtenidos «de registros y fuentes accesibles al público» y se incluían en el FIJ para su consulta.

Las fuentes accesibles al público es un concepto que existía en la anterior Ley Orgánica de Protección de Datos (LOPD 15/1999), pero que ya no se aplica con el Reglamento General de Protección de Datos (RGPD). Tanto es así, que la Agencia insiste en este aspecto aludiendo a varios informes:

“[…] ya en la 10ª sesión anual se expuso que con el RGPD no puede hablarse de un concepto legal de fuente de acceso público como la existente con la anterior LOPD. El artículo 14.1 f) del RGPD tan sólo menciona dicho concepto para establecer la obligación del responsable del tratamiento de facilitar al interesado la información de si sus datos personales proceden de fuentes de acceso público, pero sin definir estas”.

Informe 136/2018 – Agencia Española de Protección de Datos

Es necesario tener en cuenta que las publicaciones de datos personales a través de boletines oficiales asociados a una supuesta deuda responden a la finalidad de hacer efectiva la notificación de una resolución administrativa o judicial. Estos datos, por tanto, no podrían ser utilizados por terceros para otra finalidad tal y como detalla la Agencia Estatal Boletín Oficial del Estado atendiendo a las consultas realizadas por parte de varios afectados:

«De conformidad con lo anterior, esta Agencia Estatal considera que la reutilización de datos de tipo personal como nombres, apellidos, DNI asociados a deudas, publicados en el BOE, que vd. solicita, no sería un tratamiento lícito de datos de carácter personal de los previstos en el art. 6 de RGPD y, por lo tanto, de acuerdo con lo regulado tanto en el Reglamento (UE) 2016/679 como en el Ley orgánica 3/2018, de 5 de diciembre, no deben ser objeto de reutilización por terceros.»

¿Qué ha incumplido EQUIFAX con este fichero de morosos?

Principio de limitación de la finalidad

Este principio establece que «los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados […] de manera incompatible con dichos fines.»

En este caso, el origen de los datos, como ya hemos visto, proviene principalmente de diarios y boletines oficiales. Datos que han sido publicados para una finalidad concreta (interés público) y amparada por una norma con rango de ley.

Sin embargo, la finalidad que EQUIFAX persigue es otra finalidad distinta al interés público: la evaluación de la solvencia de los afectados y a la prevención del fraude.

Principio de licitud

El artículo 5.1.a) del RGPD requiere que los datos personales sean tratados de manera lícita, leal y transparente.

Entenderemos que un tratamiento es lícito cuando «el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.»

El interés perseguido por el responsable deberá ser, por tanto, legítimo para ser lícito. Dentro de esa licitud, durante el procedimiento llevado a cabo por la Agencia, EQUIFAX alegaba que el interés jurídico perseguido a través de su registro era conocer las deudas y reclamaciones de las personas físicas para dar «seguridad al tráfico mercantil», «prevenir la morosidad» y «valorar la solvencia patrimonial» de esas personas. Intereses incompatibles con respecto a la finalidad a través de la cual los datos fueron comunicados.

Principio de exactitud

El artículo 5.1.d) exige que los datos personales deben ser «exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.»

Ha quedado acreditado que la información recabada por EQUIFAX a través de su FIJ se ha mantenido a lo largo del tiempo sin actualizar durante un plazo máximo de seis años. Duración que la información se mantenía en el fichero desde que esta era publicada en algún diario o boletín oficial, salvo que el afectado hubiese ejercitado el derecho de supresión o rectificación.

Extracto AEPD. Procedimiento sancionador PS-00240-2019

Aparte de que la información pudiese no ser exacta porque no estaba actualizada o contrastada se le suma otro inconveniente: la identidad de los presuntos deudores. Las publicaciones de las que el fichero recaba la información no siempre permitían identificar de manera exacta al supuesto titular de la deuda. Frecuentemente estaban identificados no por el NIF, sino por nombre y dos apellidos combinados con un domicilio.

De esta manera, un asociado de EQUIFAX que quisiera realizar una comprobación de insolvencia a través de este fichero podía encontrarse con una o varias personas con el mismo nombre y apellido posibilitando una identificación errónea del supuesto deudor. Un motivo más que evidencia, en palabras de la Agencia, un incumplimiento del principio de exactitud que difícilmente podría responder al interés legítimo vinculado a «la prevención del fraude».

Extracto AEPD. Procedimiento sancionador PS-00240-2019

Principio de minimización

El RGPD establece en su artículo 5.1.c) que los datos personales serán «adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (minimización de datos)».

En este sentido, la Agencia estima que al igual que sucede con el resto de principios ya tratados (el de licitud o el de exactitud), el de minimización está condicionado por la infracción del principio de limitación de la finalidad evidenciando su incumplimiento.

Deber de informar

El artículo 14 del RGPD detalla la información que deberá facilitarse al titular cuando los datos personales no se hayan obtenido del interesado.

Una obligación que EQUIFAX no cumplió. En 2018 los datos que constaban en el fichero ascendían a más de cuatro millones. Sin embargo, el número de notificaciones realizadas ese año no alcanzaban a las trescientas cuarenta mil.

Queda acreditado que la compañía no notificó a los interesados el tratamiento de sus datos a través del fichero. Una necesidad que es consecuencia del principio de transparencia, el cual también se vería incumplido según la resolución emitida por la Agencia.

Sanción millonaria y cese del tratamiento

Atendiendo a lo anterior, la Agencia Española de Protección de Datos resolvió la resolución con una sanción de 1.000.000 € por la infracción del artículo 5.1.b), en concurso medial con las infracciones de los artículos 6.1, en relación con el artículo 5.1.a), 5.1.d), 5.1.c) y 14 del Reglamento General de Protección de Datos.

Extracto AEPD. Procedimiento sancionador PS-00240-2019

Atendiendo a un incumplimiento que ha perdurado en el tiempo a través del uso de un fichero incompatible con respecto a lo establecido en la normativa de protección de datos, la Agencia también ha exigido a EQUIFAX que proceda a la supresión de todos los datos personales tratados a través del mencionado Fichero de Reclamaciones Judiciales y organismos Públicos (FIJ) prohibiéndole continuar haciendo uso del mismo.


Sigue esta y otras noticias a través de nuestro canal de Telegram