La AEPD reitera que tratar los ficheros positivos no puede ampararse en el interés legítimo de los responsables

26-04-2021 — AR/2021/056

El supervisor español de datos ha hecho público el informe jurídico, del 19-4-2021, que responde a la consulta realizada sobre la licitud del tratamiento de datos en un sistema de información crediticia al amparo del interés legítimo.

El informe jurídico revisa las conclusiones de la Subdirección General del Registro General de Protección de Datos respecto del código de conducta del sector infomediario —intermediarios de información—,  presentado por la Asociación Multisectorial de la Información (ASEDIE) sobre los «ficheros positivos», ante la consulta presentada sobre su posible amparo basándose en artículo 6.1.f) del Reglamento General de Protección de Datos (RGPD).

Conclusión del informe

El informe concluye que el tratamiento de datos personales en los ficheros positivos, que son los que analizan el cumplimiento de obligaciones dinerarias (información positiva), en lugar de limitarse solo al impago de deudas, no puede ampararse en el interés legítimo del responsable o del tercero, pues prevalecen los intereses, derechos y libertades fundamentales de los afectados.

En consecuencia, afirma que el único fundamento de licitud posible para este tipo de tratamiento es el consentimiento expreso de los interesados.

Criterios

El informe se basa en los siguientes criterios:

Confusión entre el interés del responsable y la finalidad del fichero

La consultante invoca un interés para para el tratamiento que solo resulta aplicable a terceros, pero no a ella misma.

Se detalla como interés la necesidad de que terceras entidades conozcan los datos del cumplimiento económico de deudas por el interesado, pero el interés propio del responsable, que es el que debe tenerse en consideración para analizar la licitud de estos tratamientos, se limita al beneficio económico.

Tratamiento diferenciado de los sistemas de información crediticia

El legislador nacional no ha regulado los ficheros positivos como un supuesto de interés público, como ha hecho, por ejemplo, con los responsables de los tratamientos con fines de videovigilancia, los sistemas de exclusión publicitaria o los sistemas de información de denuncias internas, en los artículos 22, 23 y 24 de la LOPDyGDD,1 ni ha determinado una presunción iuris tantum2 de prevalencia de interés legítimo, para los que identifica los requisitos y las garantías adecuadas.

Las importantes diferencias entre los ficheros de información crediticia positivos y negativos y la mayor complejidad e injerencia en los intereses, derechos y libertades de los afectados que implican los positivos motivan que la normativa vigente los diferencie y someta a reglas diferentes.

Necesidad de que una norma reconozca la contribución de estos ficheros a la estabilidad del sistema financiero

A esto se añade que se garantice la participación del mayor número de entidades, además de que el derecho de oposición solo puede limitarse por una norma con rango de ley que precise las garantías necesarias tras un análisis riguroso de los riesgos que implica.

Necesidad de garantizar la exactitud

Un buen historial crediticio debería recoger toda la información relativa a una persona, sin que aparezcan omisiones intencionadas o erróneas que puedan dar lugar a discriminación positiva o sus errores puedan impedir el acceso al mercado crediticio.

Este criterio lo comparte la mayoría de los Estados miembros, según recalca el informe jurídico.

Sin embargo, si solo se trata de la mayoría y, por tanto, alguno de los Estados miembros sí permite que este tipo de ficheros se fundamente en el interés legítimo, debería ser el Tribunal de Justicia de la Unión Europea el que se pronuncie al respecto, para garantizar el principio de libre circulación de los datos.

Este principio se vería roto si no hubiera unanimidad en este criterio en la Unión Europea, pues las discrepancias provocarían diferencias injustificadas en las condiciones aplicables en la prestación de servicios en diferentes puntos del territorio común.


1 Siglas por las que se suele conocer la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
2 «Presunción solo de derecho que ordena admitir como probado en juicio un hecho, mientras no se tenga prueba de lo contrario» (Diccionario panhispánico del español jurídico).