El anteproyecto de ley de contratos de crédito al consumo desde la perspectiva de la protección de datos
Publicado en El Confidencial el 27-06-2026
27-06-2026 — CM/2026/091
El anteproyecto de ley de contratos de crédito al consumo aprobado el 7-1-2026 inicia el proceso de trasposición en España de la Directiva 2023/2225 relativa a los contratos de crédito al consumo. Trata de reforzar la protección de los consumidores mediante la transparencia, el crédito responsable y la prevención del sobreendeudamiento, según afirma su exposición de motivos. Para ello, obliga a las entidades prestamistas a realizar cambios importantes en los procesos internos de oferta y asunción del riesgo, que conllevarán tratamientos de datos personales.
Por este motivo, es necesario también revisar las innovaciones que impone desde la perspectiva de la protección de datos.
Concurrencia normativa y competencial
De entrada, el anteproyecto aclara que la atribución al Banco de España (BdE) de la competencia para vigilar el cumplimiento de la propia norma no limita las competencias de la Agencia Española de Protección Datos (AEPD).
Esta aclaración, técnicamente innecesaria, pone de relieve que las entidades quedarán sometidas a la competencia sancionadora concurrente de ambos organismos, sin el límite del principio jurídico de non bis in idem (“nadie puede ser sancionado dos veces por lo mismo”).
En este mismo sentido, el anteproyecto determina que las infracciones muy graves de protección de datos infringen también sus propias disposiciones, de modo que el BdE podrá revocar la autorización para operar en el caso de que la entidad prestamista incurra en una de ellas. A estos efectos, la AEPD comunicará al BdE la imposición de estas sanciones. Esta es la primera vez que se instaura en España que infringir la privacidad provoque el cese de la actividad financiera. Esta previsión tiene como precedente la Directiva 2021/2167 sobre los administradores de créditos y los compradores de créditos, si bien, cabe señalar que la Directiva 2023/2225 no prevé esta sanción.
Obligación de licitud, lealtad y transparencia del tratamiento de datos
Si se promulga con el texto del anteproyecto, la norma obligará a las entidades a analizar con detalle la solvencia del acreditado y, además, a realizar un seguimiento continuo del riesgo sobrevenido de insolvencia mediante el proceso de alerta temprana.
Para atender estas obligaciones sin quebrantar la protección de datos, las entidades tendrán que revisar con detalle qué datos utilizan, y revisar además los procesos de scoring, para justificar la adecuación, finalidad y minimización de cada dato que utilicen, y los procesos en sí mismos.
Para ello, lo más apropiado será hacer una evaluación de impacto en la protección de datos (PIA por sus siglas en inglés) que documente esta revisión y los motivos que justifican los procesos aprobados por la entidad.
Para evaluar la solvencia, el anteproyecto prohíbe utilizar datos de categoría especial, como son los de salud, aunque cuenten con el consentimiento expreso del interesado. Cometerían una infracción muy grave que les haría perder la licencia si lo hicieran. También prohíbe utilizar los datos de redes sociales y solo permite consultar los ficheros de impagos cuando han recibido una solicitud de préstamo. Si deniegan la solicitud por anotaciones de impago, deberán comunicarlo expresamente al interesado.
Si utilizan herramientas informáticas para evaluar la solvencia o para personalizar la oferta, tienen que explicar al interesado la lógica aplicada, es decir, qué datos han considerado en este proceso y su procedencia, y atender las observaciones y la eventual impugnación del interesado.
Todas estas garantías obligan a revisar las cláusulas de información de protección de datos y a contar con personas cualificadas con autoridad para revisar la decisión automática y resolver las quejas y reclamaciones. En caso contrario, infringirían el principio de transparencia y, nuevamente, podrían perder su licencia.
Necesidades concretas
En definitiva, para cumplir la norma que se está elaborando y, al mismo tiempo, las de protección de datos, las entidades necesitan revisar y adaptar todos sus documentos y procesos internos:
- Las cláusulas de protección de datos: para incluir información sobre las fuentes de los datos, la lógica que aplica el scoring, y las vías de revisión de las decisiones tomadas.
- Los procedimientos y políticas de aplicación del reglamento general:
- El registro de actividades de tratamiento para reflejar los de evaluación de solvencia, scoring crediticio, ofertas personalizadas, consulta de bases de datos externas, alerta temprana, denegación de solicitudes y servicios financieros a distancia.
- La evaluación del impacto en la privacidad de los procesos de scoring, de las consultas sistemáticas a ficheros de solvencia, de la automatización de decisiones, de la personalización de precios, de las alertas tempranas y la prevención de fraude. Además, de forma coordinada con el reglamento de inteligencia artificial: inventario de modelos, sistemas de datos de entrenamiento, control de sesgos, supervisión humana, registros de decisiones, monitorización continua y gestión de cambios.
- Los procesos de atención de solicitudes de financiación, reclamaciones y derechos, en previsión de las explicaciones detalladas apropiadas en las situaciones que podrían provocar la reclamación.
En todos estos procesos es preciso que intervenga el delegado de protección de datos.
En conclusión, las entidades que conceden créditos al consumo no pueden limitarse a revisar sus procesos desde la perspectiva financiera de la futura norma. Esta adaptación les obliga a revisar también sus políticas y procedimientos sobre protección de datos y a hacerlo de forma coordinada, para evitar interacciones nocivas.
Últimas noticias (ver todas)
Crossmint obtiene la licencia de entidad de pago para operar con ‘stablecoins’
Mariona Pericas, directora05-07-2026
«En un entorno regulatorio cada vez más exigente, contar con una arquitectura de cumplimiento sólida desde el inicio es clave para que modelos innovadores puedan escalar con seguridad jurídica, confianza institucional y vocación europea», Mariona Pericas, directora de Regulación Financiera de finReg360.
En Cinco Días el 03-07-2026
El Banco de España autoriza a Crossmint a operar pagos con ‘stablecoin’
finReg36003-07-2026
El proceso de autorización ha contado con el asesoramiento legal de finReg360, firma de servicios profesionales especializada en regulación financiera.
En Expansión el 03-07-2026
Sin prórroga ni tiempo de descuento: MiCA ya está en plena aplicación en Europa
Mariona Pericas, directora01-07-2026
«Contar con la licencia MiCA hace a las entidades más atractivas y aporta la seguridad jurídica necesaria para que se produzcan esos movimientos. Da músculo», Mariona Pericas, directora de Regulación Financiera de finReg360.
En Cinco Días el 01-07-2026